РОССИЙСКАЯ ФЕДЕРАЦИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» «УТВЕРЖДАЮ» Проректор по учебной работе /Л. М. Волосникова. «» 201_ г. . Функционирование и безопасность коммутируемых сетей. Учебно-методический комплекс Рабочая программа для студентов специальности 090105.65 «Комплексное обеспечение информационной безопасности автоматизированных систем» очная форма обучения «ПОДГОТОВЛЕНО К ИЗДАНИЮ»: Автор работы ___________________________________/ Е.Ф.Попов/ «__» ________ 201_ г. Рассмотрено на заседании кафедры информационной безопасности 09.12.13, протокол № 4. Соответствует требованиям к содержанию, структуре и оформлению. «РЕКОМЕНДОВАНО К ЭЛЕКТРОННОМУ ИЗДАНИЮ»: Объем __ стр. Зав. кафедрой __________________________________/ А.А. Захаров / «__» ________ 201_ г. Рассмотрено на заседании УМК Института математики и компьютерных наук 10.12.13, протокол № 4 Соответствует ГОС ВПО и учебному плану образовательной программы. «СОГЛАСОВАНО»: Председатель УМК ______________________________/ Н.М. Гаврилова/ «__»________ 201_ г. «СОГЛАСОВАНО» И.о. директора ИБЦ ТюмГУ _______________________ / Е.А. Ульянова / «__»_________201_ г. «СОГЛАСОВАНО» Зав. методическим отделом УМУ ______________ / И.Ю. Фарафонова / «__»_________201_ г. РОССИЙСКАЯ ФЕДЕРАЦИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Институт математики и компьютерных наук Кафедра информационной безопасности Попов Е.Ф. Функционирование и безопасность коммутируемых сетей Учебно-методическийкомплекс Рабочая программа для студентов специальности 090105.65 «Комплексное обеспечение информационной безопасности автоматизированных систем» очная форма обучения Тюменский государственный университет 2013 Е.Ф.Попов. Функционирование и безопасность коммутируемых сетей. Учебно-методический комплекс. Рабочая программа для студентов специальности 090105.65 «Комплексное обеспечение информационной безопасности автоматизированных систем». Тюмень, 2013, 13 стр. Рабочая программа составлена в соответствии с требованиями ГОС ВПО. Рабочая программа дисциплины опубликована на сайте ТюмГУ: Функционирование и безопасность коммутируемых сетей [электронный ресурс] / Режим доступа: http://www.umk.utmn.ru,свободный. Рекомендован к изданию кафедрой информационной безопасности. Утверждено проректором по учебной работе Тюменского государственного университета. Ответственный редактор: А.А.Захаров, зав. кафедрой информационной безопасности, д.т.н., проф. © Тюменский государственный университет, 2013 © Попов Е.Ф., 2013 1. Пояснительная записка Дисциплина изучается специальностью «Комплексное обеспечение информационной безопасности автоматизированных систем» в 9 семестре. Вид итогового контроля - контрольная работа, зачет. 1.1 Цели и задачи дисциплины Целью преподавания дисциплины "Функционирование и безопасность коммутируемых сетей" является изучение методов и средств построения и эксплуатации сетей передачи данных для обеспечения информационной безопасности на объекте, а также на изучение основных подходов к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию технологий защиты передачи информации. Приобретенные знания позволят студентам основывать свою профессиональную деятельность на построении, проектировании и эксплуатации программно-аппаратных технологий защиты передачи информации. Задачами дисциплины являются: обучение студентов систематизированным представлениям о принципах построения, функционирования и применения аппаратных средств современной вычислительной техники. изложение основных теоретических концепций, положенных в основу построения современных компьютеров, вычислительных систем, сетей и телекоммуникаций. Таким образом, дисциплина "Функционирование и безопасность коммутируемых сетей" является неотъемлемой составной частью профессиональной подготовки по направлению подготовки 090105.65 «Комплексное обеспечение информационной безопасности автоматизированных систем». Вместе с другими дисциплинами цикла профессиональных дисциплин изучение данной дисциплины призвано формировать специалиста, и в частности, вырабатывать у него такие качества, как: строгость в суждениях, организованность и работоспособность, дисциплинированность, самостоятельность и ответственность. 1.2 Требования к уровню освоения содержания дисциплины Процесс изучения дисциплины направлен на формирование следующих компетенций: В результате изучения дисциплины студенты должны: иметь представление: о технологиях защиты передачи данных; о технологиях беспроводной передачи данных об истории и направлениях развития технологий защиты передачи данных; о взаимосвязях между развитием аппаратного и программного обеспечения технологий защиты данных; знать: способы аппаратной защиты беспроводной передачи информации; способы программной защиты беспроводной передачи информации; назначение и функции элементов аппаратной технологии защиты; организацию и структуру программной технологии защиты протоколы передачи информации; возможные угрозы при беспроводной передачи информации; организацию системной магистрали, способы подключения дополнительных устройств; уметь: формализовать поставленную задачу; настраивать беспроводные средства передачи информации; разбираться в устройствах рабочих станций и серверов; разбираться в телекоммуникационных устройствах передачи данных осуществлять обоснованный выбор стандартного периферийного оборудования; применять полученные знания к различным предметным областям. 2. Объем дисциплины и виды учебной работы Вид занятий Всего часов Общая трудоемкость Аудиторные занятия Лекции 108 72 36 Семестр 7 108 72 36 Лабораторныезанятия Самостоятельная работа Контрольные работы Вид итогового контроля 36 36 36 36 + Зачет Самост. работа Итого количество баллов 1. 2. Модуль 1. 1 Безопасностькорпоративныхсетей 2 Спискиконтролядоступа Всего Модуль 2. 3 Обеспечение удаленных служб Поиск ошибок в корпоративных 4 сетях Современные угрозы сетевой 5 безопасности Всего Модуль 3. 6 Безопасность сетевых устройств Авторизация, аутентификация и 7 учет доступа Реализация технологий 8 брандмауера Всего Итого (часов, баллов) Лабораторн ые занятия Наименование темы Лекции, час. № п/п 3. Тематический план изучения дисциплины 3. 4. 5. 6. 5 5 5 5 5 5 15 15 30 5 5 5 10 5 5 5 10 3 3 3 10 30 5 5 5 15 5 5 5 15 3 3 3 10 36 40 100 36 4. Содержание разделов дисциплины Тема 1.Безопасность корпоративных сетей 36 Отключение неиспользуемых сетевых служб и интерфейсов на маршрутизаторе Cisco Управление устройствами с помощью Cisco IOS Тема 2. Списки контроля доступа (ACLs) ( Конфигурация обычногоACLs Конфигурация расширенногоACLs Конфигурация комплексногоACLs Тема3. Обеспечение удаленных служб Конфигурация технологии VPN Тема 4. Поиск ошибок в корпоративных сетях Обнаружение ошибок в сетях Тема 5. Современные угрозы сетевой безопасности Фундаментальные принципы безопасности сети; Эволюция сетевой безопасности; Движители сетевой безопасности; Организации по сетевойбезопасности; Домены сетевой безопасности; Политики сетевой безопасности; Вирусы, черви и троянские кони; Вирусы; Черви; Троянские кони. Уменьшение угроз от вирусов, червей и троянских коней; Методы атак; Разведывательная атака; Атака для получения доступа; DoS; Уменьшениеурона от сетевых атак. Тема 6. Безопасность Сетевых устройств OSI Безопасный доступ к устройствам; Безопасность граничного маршрутизатора; Конфигурация безопасного административного доступа; Конфигурация расширенной безопасности для виртуального входа; Конфигурация SSH; Назначение административных ролей; Конфигурация привилегированного доступа; Конфигурация доступа CLI основанная на ролях; Мониторинг и управление устройствами; Безопасность Cisco IOS и конфигурационных файлов; Безопасное управление и получение отчетов; Использование Syslog для безопасности сети; Использование SNMP для безопасности сети; Использование NTP; Использование функция автоматизированной безопасности; Выполнение аудита безопасности; Устранение уязвимости маршрутизатора с использованием AutoSecure; Устранение уязвимости маршрутизатора с использованием SDM; Тема 7. Авторизация, аутентификация и учет доступа (ААА) Свойства ААА; Обзор ААА; Характеристика ААА; Локальная ААА аутентификация; Конфигурация локальной ААА аутентификации с использованием CLI; Конфигурация локальной ААА аутентификации с использованием SDM; Разрешение проблем локальной ААА аутентификации; Server-based ААА; Характеристики Server-based ААА; Протоколсвязи Server-based ААА; Cisco Secure ACS; Конфигурация Cisco Secure ACS; Конфигурация Cisco Secure ACS группипользователей; Тема 8. Реализация технологий брендмауера ACL; Конфигурация стандартных и расширенных IP ACL с использованием CLI; Использование стандартных и расширенных ACL; Топология и потоки в ACL; Конфигурация cстандартных и расширенных IP ACL с использованием SDM; Конфигурация TCP established и reflexive ACL; Конфигурация Динамических ACL; Конфигурация Time-based ACL; Разрешение проблем Сложных ACL реализация; Уменьшение угроз атак с помощью ACL; Технология брендмауера; Безопасность сети с помощью брендмауера; Типы брендмауеров; Брендмауер в проекте сети; Контекстный контроль доступа (CBAC); Характеристики Контекстного контроля доступа; Функионирование Контекстного контроля доступа; Конфигурация Контекстного контроля доступа; Разрешение проблем Контекстного контроля доступа; Политики брендмауера основанные на зонах; Характеристики Политики брендмауера основанные на зонах; Функционирование Политики брендмауера основанные на зонах; Конфигурация Политики брендмауера основанные на зонах использованием CLI; Конфигурация Политики брендмауера основанные на зонах использованием SDM; Конфигурация Политики брендмауера основанные на зонах использованием SDM Wizard; Разрешение проблем Политики брендмауера основанные на зонах. с с c 5. Темы лабораторных работ. Лабораторные работы в PacketTracker: 1. NetworkSecurityPrinciples 2. PerimeterSecurity 3. Cisco IOS Firewalls 4. Site-to-SiteVPNs 5. Cisco IOS IPS 6. LAN, SAN, Voice, and Endpoint Security 6. Самостоятельная работа 1. Изучение дополнительного материала по теме. 2. Тесты Cisco сетевой академии. 7. Оценка работы студентов в рейтинговых баллах Распределение рейтинговых баллов по видам работ и нормам контроля Максимальное количество баллов Виды работ и контроля Модуль 1 Модуль 2 Модуль 3 Итого 5 семестр Лекции 5 5 5 15 Лабораторные 15 15 20 50 работы Самостоятельная работа Итого за работу в семестре 10 10 15 35 30 30 40 100 Итоговый контроль (зачёт) Итого 100 Виды контроля успеваемости, применяемые на аудиторных занятиях и их оценка в рейтинговых баллах № Максимальное Вид контроля успеваемости п/п количество баллов 1. Лабораторная работа 0-4 баллов За несвоевременно Контроль за своевременностью сданное практическое 2. выполнения лабораторных работ здание (-1) балл в неделю 3. Активная работа на лекции 0-1 балл 4. Контрольная работа 0-5 баллов Выполнение дополнительных 5. заданий в процессе самостоятельной 0-5 балла работы Балльная оценка текущей успеваемости студента. Формы текущего контроля Активная № Выполнение Контрольная работа Самостоятельная темы лабораторных Итого работа на работа работ лекции Модуль 1 1. 0-3 0-7 0-5 0-15 2. 0-2 0-8 0-5 0-15 Всего 0-30 Модуль 2 3. 0-3 0-4 0-3 0-10 4. 0-2 0-5 0-3 0-10 5. 0-6 0-4 0-10 Всего 0-30 Модуль 3 6. 0-3 0-7 0-5 0-15 7. 0-2 0-8 0-5 0-15 8. Всего Итого 0-5 0-5 0-10 0-40 0-100 8. Темы контрольных работ 1. NetworkSecurityPrinciples 2. PerimeterSecurity 3. Cisco IOS Firewalls 4. Site-to-SiteVPNs 5. Cisco IOS IPS 6. LAN, SAN, Voice, and Endpoint Security 9. Вопросы к зачету 1. Какое утверждение точно описывает Cisco IOS и зоны политики на основе брандмауэра? 2. При использовании Cisco IOS зоны политики на основе межсетевого экрана, какая политика применяется? 3. Какой тип пакета не может быть отфильтрован по исходящим ACL? 4. Какие зоны в основе политике брандмауэра определяется системой и распространяется на трафик, предназначенный для маршрутизатора или происходящих из роутера? 5. Какое утверждение брандмауэра? правильно описывает тип фильтрации 6. В дополнение к критериям, используемым расширенные ACL, какие условия используются CBAC для фильтрации трафика? 7. Какое утверждение описывает характеристики фильтрации пакетов и брандмауэры с отслеживанием состояния, как они относятся к модели OSI? 8. Какие три действия могут в основе Cisco IOS политики брандмауэра предпринять, если настроены с Cisco SDM? 9. Маршрутизатор имеет CBAC настроен и входящих ACL применяется к внешнему интерфейсу. Какие действия предпринимает маршрутизатор предпринять после входящего к исходящему трафику,и какая новая запись создается в таблице состояний? 10. Для брандмауэр с отслеживанием состояния, какая информация хранится в течение сессии динамическую таблицу? 11. При настройке зоны основе Cisco IOS политики брандмауэра, которые три действия могут быть применены к классу трафика? 12. Какие два параметры отслеживаются CBAC для трафика TCP, но не для трафика UDP? 13. Каков первый шаг в настройке зоны основе Cisco IOS политики брандмауэра с помощью интерфейса? 14. Какие две характеристики списка ACL? 15. Какой тип пакетов заблокирован ACL? выходе сети организации должна быть 16. Если включено ведение журнала для записи ACL, то как маршрутизатор пакетов фильтруется ACL? 17. Автоматическое получение IP-адреса. 18. Управляющие протоколы Интернета. 19. Тестирование TCP/IP. 20. Утилиты командной строки для работы с сетью. 21. Служба имен доменов. 22. Пространство имен домена. 23. Разрешение имени. 24. Прямой и обратный запросы. 10. Литература 10.1 Основная литература 1. Виснадул Б.Д., Лупин С.А., Сидоров С.В., Основы компьютерных сетей: Учебное пособие, НИЦ Инфра-М, 2012. - 272 с. - Режим доступа: http://znanium.com/bookread.php?book=364233 (дата обращения 19.01.2014) 2. Олифер В.Г., Олифер Н.А., Компьютерные сети. Принципы, технология, протоколы: учебник для ВУЗов, 3-е издание, СПб.: Питер, 2012.-944 с. 10.2 Дополнительная литература 1. Поляк-Брагинский А. В. Администрирование сети на примерах / А.В. 2. Сырецкий, Г. А. Информатика. Фундаментальный курс. Том II. Информационные технологии и системы /Г. А. Cырецкий. — СПб.: БХВПетербург, 2007. — 846 с. 3. Шарипов Ю.К., Кобляков В.К. Отечественные телекоммуникационные системы. Изд. 3-е, перераб. и доп. – М.: Логос, 2005. – 832 с. 4. Шахнович И., Современные технологии беспроводной связи, М.: Техносфера, 2004. – 168 с. 11. Программное обеспечение и Интернет-ресурсы. - вузовские электронно-библиотечные системы учебной литературы. - база научно-технической информации ВИНИТИ РАН - доступ к открытым базам цитирования, в т.ч. springer.com, scholar.google.com,math-net.ru - учебный центр cisco.netocad.com для проведения тестов и проверки знаний. Авторизованные курсы по защите информации: 1. CCNA SecurityTyumen State University. Режимдоступа: https://1404116.netacad.com/courses/98158 (дата обращения 19.01.2014) 12. Технические средства и программное обеспечение 1. Для организации самостоятельной работы студентов необходим компьютерный класс с пакетом прикладных программ, в том числе пакет CiscoPacketTracker, выходом в интернет и стандартное лабораторное и периферийное оборудование классом не ниже чем в приведенной ниже конфигурации. 1.1. ДвалабораторныхнабораСisco CCNA Standard Bundle (Rackmountable). 1.2. Лабораторный набор СiscoCCNPPremiumPOD. 1.3. Лабораторный набор Сisco FWL Standard Bundle (802.11g). 1.4. Лабораторный набор Сisco NS STANDARD BUNDLE A. 1.5. Лабораторный набор IPTStandardBundle . В составе: 6 маршрутизаторов типа Cisco 2801 с Base IP IOS, 128 Мбайт DRAM, 32 Мбайта флэш-памяти и модулями HWIC-2A/S; 3 коммутатора Cisco Catalyst 2960; 1 межсетевой экран типа CiscoASA 5510; Набор последовательных кабелей (входят в комплект поставки оборудования для Сетевой академии); 2 беспроводных маршрутизатора Linksys (предпочтительно Linksys WRT150N; допустимо использование моделей WRT54G, WRT300N и WRT350N) или аналогичные устройства SOHO; 2. Для проведения лекционных и практических занятий необходим проектор с разрешением не менее 800х1200 подключенный к компьютеру с выходом в Интернет.