«Межсетевое экранирование». Ольга Лапонина

Книга Ольги Лапониной, научного сотрудника факультета вычислительной математики и кибернетики МГУ, вышла в рамках многотомной серии «Основы информационных технологий». Под этим общим названием Интернет-Университет Информационных технологий выпускает учебники, где даются основы знаний по компьютерным дисциплинам. В курсе «Межсетевое экранирование» рассматриваются вопросы безопасности при подключении корпоративной сети к Internet, причем основное внимание уделяется классификации межсетевых экранов, систем обнаружения вторжений, обеспечению безопасности сервисов DNS и Web.

Фактически книга представляет собой курс лекций — 12 глав, посвященных межсетевым экранам и системам обнаружения вторжений, а также безопасному функционированию сервисов DNS. В первой приводится классификация межсетевых экранов, рассматриваются существующие технологии (пакетные фильтры, SPI, NAT, посредники прикладного уровня) и даются примеры использования решений различного типа, с перечислением их преимуществ и недостатков. Во второй главе, продолжающей первую, описываются различные типы окружения, где работает межсетевой экран, исследуются топологии DMZ с применением межсетевых экранов разных типов, разбираются принципы создания правил для межсетевого экрана. Тему администрирования завершает третья глава, в которой изложены синтаксис правил для пакетных фильтров в ОС FreeBSD и порядок прохождения пакетов через фильтр, а также функции трансляции сетевых адресов.

Следующая глава посвящена IDS, и автор начинает ее с определения системы обнаружения вторжений. Далее рассматриваются причины ее использования, приводятся подходы к классификации IDS, сравниваются возможности различных типов таких систем, их преимущества и недостатки, а также описываются дополнительные инструментальные средства. В пятой главе-лекции рассказывается о смежной технологии — «ловушках» для хакеров (Honey Pod и Padded Cell).

В ней приводятся возможные комбинации IDS разных типов, перечисляются типы выявляемых IDS атак, анализируется выбор подходящей IDS.

В шестой главе описываются принципы безопасного развертывания сервисов DNS, их основное назначение и свойства инфраструктуры DNS. Наряду с компонентами этой инфраструктуры разбираются различные типы транзакций DNS, возможные угрозы сервисам и компонентам DNS. Тему продолжает седьмая глава, посвященная созданию безопасного окружения для сервисов DNS, где приводятся подходы к обеспечению защиты на основе сертификации TSIG. В завершение, в восьмой главе, рассматривается способ защиты транзакций DNS Query/Response в DNSSEC с помощью аутентификации источника, проверки целостности данных и отказа при отсутствии запрошенных данных. В ней же представлены операции DNSSEC и механизмы их реализации, а также принципы безопасного развертывания DNSSEC.

В отдельную главу вынесены вопросы безопасности серверов Web. Читатели узнают о проблемах безопасности, связанных с базовой ОС сервера, причинах уязвимости, планировании развертывания сервера Web и настройке его конфигурации. А продолжает эту тему лекция по безопасности содержимого серверов Web и уязвимости технологий создания страниц. В завершающих 11-й и 12-й главах исследуются различные методы аутентификации и шифрования, в том числе их слабые места, а также способы реализации безопасной сетевой инфраструктуры серверов Web, включая топологию сети, преимущества и недостатки «демилитаризованной зоны», сетевые элементы.

Как подчеркивает автор, работа с Internet требует создания эшелонированной обороны, поскольку не существует единственного универсального средства или технологии, с помощью которой можно было бы решить все проблемы информационной безопасности. Межсетевые же экраны составляют лишь первую линию.

Книга «Межсетевое экранирование» будет полезна не только студентам, обучающимся по специальности «Информационные технологии», но и всем, кто интересуется вопросами защиты компьютерных сетей. Это уже второй учебник автора на тему информационной безопасности, вышедший в издательстве «ИНТУИТ». Он, как и предыдущий, построен на основе курсов лекций, которые Ольга Лапонина читает на факультете ВМиК МГУ. В новом учебнике сделана попытка достичь оптимального баланса между глубиной изложения материала и широтой охвата темы безопасности сетей при рассмотрении вопросов, с которыми приходится сталкиваться при защите корпоративной сети от нежелательного внешнего воздействия.

Книгу (Ольга Лапонина, «Межсетевое экранирование». — Изд-во «ИНТУИТ/Бином. Лаборатория знаний», 2007 г. — 343 стр.) можно приобрести в магазинах. Ориентировочная цена — 258 руб.