Teaching the protected computer nets design at the Cisco platform.pdf Основным известным подходом к созданию многоуровневой защиты сетевых компьютерныхсистем является архитектура Cisco SAFE [1]. В ней рассматриваются принципыи механизмы повышения безопасности сетевой инфраструктуры, предлагаютсятиповые схемы сетей, маршрутизации и коммутации в них, а также приводятся рекомендациипо проектированию и настройке сетевых технологий защиты информации.Методы и подходы, изложенные в руководстве Cisco SAFE, в принципе, не зависятот производителя конкретных средств защиты и могут быть применены в сетях, построенныхна основе технологий различных производителей, таких, как Cisco Systems,Check Point, Juniper, IBM ISS, Microsoft, H3C, HP, D-Link и др.Одним из требований ФГОС ВПО третьего поколения в области информационнойбезопасности является наличие дисциплины «Основы построения защищенныхвычислительных сетей». На кафедре защиты информации и криптографии Томскогогосударственного университета данный курс читается автором на протяжении двухсеместров и состоит из двух частей - теоретической (лекционной) и практической (лабораторной).В теоретической части, излагаемой на основе [1, 2], рассматриваются основныепринципы и методы проектирования защищенных сетей, а в практической -изученные принципы и методы применяются студентами в лабораторных работах, проводимыхв среде эмуляции Cisco Packet Tracer [3].В теоретической части курса рассматриваются следующие основные вопросы:1) Основные механизмы обеспечения безопасности вычислительных сетей.2) Общие меры повышения защищенности сетевых устройств.3) Технологии межсетевого экранирования.4) Технологии систем обнаружения и предотвращения вторжений.5) Технологии анализа защищенности сетей.6) Выбор платформы сетевых средств защиты информации.7) Принципы разработки и оптимизации современных локальных вычислительныхсетей (ЛВС).8) Принципы построения виртуальных частных сетей.9) Принципы проектирования защищенных приложений.10) Анализ рекомендуемых типовых схем защиты сетей.После изучения вопросов теоретической части студенты выполняют персональноезадание по проектированию схемы защиты конкретной вычислительной сети. Приведемпример такого задания.Предложить техническое решение системы обнаружения и предотвращения вторженийна базе сигнатурного метода и метода обнаружения аномалий. Решение должнообеспечивать контроль информационных потоков на уровне сети предприятия, серверови рабочих станций пользователей. За основу решения должны быть взяты технологиикомпании IBM ISS. Техническое решение должно обеспечивать централизованныймониторинг возможных вторжений и два метода управления системой: локальноеи централизованное. Необходимой базой для интеграции решения служит сетеваяи системная инфраструктура среднего предприятия. Данное предприятие имееттри территориально разнесенных филиала и центральный офис. В центральномофисе предусмотрен корпоративный доступ по беспроводной сети и доступ по VPN.Основной технический персонал отделов ИТ и информационной безопасности находитсяв центральном офисе. В филиалах работает по одному сотруднику из отдела.Для выполнения данного задания необходимо описать: инфраструктуру предприятия,техническое решение, порядок интеграции технического решения в инфраструктуру,а также порядок управления и мониторинга техническим решением.На лабораторных работах решаются типовые задачи по обеспечению безопасностии настройке механизмов защиты сетевой инфраструктуры, основными из которыхявляются:1) Создание и настройка защищенных виртуальныхлокальных сетей.2) Настройка механизмов защиты сетевой инфраструктуры от несанкционированногодоступа.3) Настройка инфраструктуры защищенной коммутации.4) Настройка средств управления безопасностью информационных потоков.5) Настройка защищенной передачи данных через сеть Интернет.6) Настройка инфраструктуры защищенной маршрутизации ЛВС.7) Проектирование системы обнаружения и предотвращения вторжений.8) Проектирование системы межсетевого экранирования и виртуальных частныхсетей.9) Проектирование полностью маршрутизируемой ЛВС с повышенной доступностью.Описание каждой лабораторной работы данного перечня состоит из следующихчастей:цель - содержит краткое описание цели, на достижение которой направлена лабораторнаяработа;- постановка задачи - содержит описание условий лабораторной работы и используемыхэлементов сети;- схема сети - графическое изображение схемы сети, ее адресации, структуры идругих необходимых для решения задачи элементов;- краткие теоретические сведения - содержит минимально-необходимый теоретическийматериал, которым должен владеть обучаемый для успешного выполнениялабораторной работы;- последовательность действий обучаемого - содержит описание основных действий(шагов) обучаемого, а также команды, которые необходимо выполнить для корректнойнастройки сетевого оборудования;- дополнительное задание - содержит перечень необязательных задач, которые обучаемомупредлагается решить самостоятельно.Использование среды эмуляции Cisco Packet Tracer позволяет каждому студенту создавать,настраивать и исследовать собственную виртуальную вычислительную сеть,наблюдать основные процессы ее функционирования, а также наглядно изучать базовыесетевые протоколы.

Скачать электронную версию публикации