11 клас · Урок 29

Системи, мережі і брандмауери

Проблеми забезпечення безпеки в комп'ютерних системах і мережах. Типова корпоративна мережа. Засоби захисту мереж. Міжмережеві екрани (брандмауери).

1. Виклики безпеки в системах і мережах

Людський фактор, уразливості ПЗ/ОС, помилки конфігурацій, тіньова ІТ.
Мережеві атаки: сканування, брутфорс, MITM (атака «людина посередині»), DDoS (розподілена відмова в обслуговуванні), фішинг.

Пояснення: більшість інцидентів спричиняють неправильні налаштування та процеси.
Приклад: відкритий RDP (протокол віддаленого робочого столу) в Інтернет без MFA (багатофакторної автентифікації) → брутфорс і компрометація.
Порада: проведіть інвентаризацію сервісів, закрийте непотрібні, увімкніть MFA.

2. Типова корпоративна мережа

Сегменти: користувацька мережа, серверний сегмент, DMZ (демілітаризована зона), інтернет‑шлюз.
Межі довіри, міжмережеві екрани між сегментами, контроль міжсегментного трафіку.

Пояснення: зонування полегшує контроль доступів і обмежує поширення інцидентів.
Приклад: доступ з користувацького сегмента до БД — лише через прикладний сервер.
Порада: документуйте схеми та політики міжзонних доступів.

3. Засоби захисту мереж

Брандмауери (packet filter, stateful, proxy), IDS/IPS, антиспам/антивірус шлюзів.
NAC (контроль доступу до мережі), VPN (віртуальна приватна мережа), веб‑фільтри, WAF (веб‑екран), DLP (захист від витоку даних).

Пояснення: комбінація засобів покриває різні етапи атаки. WAF аналізує HTTP/HTTPS на рівні застосунку (захищає веб‑додатки), тоді як міжмережевий екран (FW) працює на мережевих пакетах/сеансах.
Приклад: NAC блокує незареєстрований ноутбук; IDS попереджає про сканування портів.
Порада: мінімізуйте дублювання функцій і чітко визначайте зони відповідальності.

4. Брандмауери і правила

Принцип deny‑by‑default, мінімально необхідні дозволи (least privilege).
Розділення вхідних/вихідних правил, журналювання спроб доступу.

Пояснення: порядок правил важливий: «широкі» правила можуть затіняти «вузькі».
Приклад: правило any→any вище за конкретне блокує ефект останнього (shadowing).
Порада: періодично чистіть застарілі правила і групуйте їх за зонами/сервісами.

5. Зміцнення (hardening) і експлуатація

Оновлення ПЗ/прошивок, вимкнення зайвих сервісів, інвентаризація активів.
Резервування конфігурацій, контроль змін, тестування відновлення.

Пояснення: стандартні конфігурації (baseline) скорочують розбіжності та помилки.
Приклад: квартальний перегляд «мертвих» правил та усунення тіньових правил у FW (брандмауері).
Порада: запровадьте change‑advisory і тестові середовища для безпечних змін.

6. Логи брандмауера

Пояснення: події deny/allow допомагають виявляти аномалії та будувати правила.
Приклад: аномально багато deny з однієї IP — підстава для блокування.
Порада: надсилайте логи в SIEM (система збору та кореляції журналів безпеки), налаштуйте зберігання та часову синхронізацію.

7. Високодоступні кластери (HA)

Пояснення: кластери високої доступності (HA) active‑passive/active‑active зменшують простої при збоях.
Приклад: два фаєрволи з синхронізацією стану для безшовного фейловеру.
Порада: регулярно тестуйте фейловер і сумісність версій прошивок.

8. Гостьові мережі

Пояснення: ізоляція гостьового Wi‑Fi від внутрішніх ресурсів.
Приклад: доступ гостей лише до Інтернету через окремий VLAN (віртуальна локальна мережа) і профіль FW.
Порада: уникайте спільних паролів; використовуйте портал із короткостроковими доступами.

9. Управління правилами (lifecycle)

Пояснення: процес створення/затвердження/ревізії/видалення правил.
Приклад: тимчасові правила з автоматичним терміном дії; використання лічильника спрацювань (hit count) для виявлення «мертвих» правил.
Порада: маркуйте правила власником і ціллю, прибирайте дублікати; регулярно переглядайте правила з нульовим hit count і видаляйте/об’єднуйте після перевірки.

10. Site‑to‑Site VPN

Пояснення: захищений тунель між двома мережами для постійного обміну даними.
Приклад: з’єднання школи з віддаленим філіалом через IPsec (протокол захищеного тунелю).
Порада: застосовуйте маршрутизацію лише потрібних підмереж (policy‑based/route‑based) і моніторинг стану.

Тест (20 питань)

Яке основне призначення брандмауера?
- Фільтрація мережевого трафіку за правилами
- Редагування текстових файлів
- Дефрагментація диска
- Зміна шпалер
Що характеризує stateful‑фаєрвол?
- Веде таблицю станів з’єднань і застосовує правила з урахуванням контексту
- Фільтрує лише за MAC‑адресою
- Вмикає яскравість монітора
- Редагує документи
Що таке shadowing правил у FW?
- Коли загальне правило перекриває дію більш специфічного
- Коли правила змінюють колір
- Коли всі правила видалені
- Коли FW вимкнений
Яка дія покращує якість журналів FW?
- Синхронізація часу і передача логів у SIEM
- Видалення всіх логів
- Зміна шпалер
- Вимкнення оповіщень
Навіщо використовувати HA кластер FW?
- Зменшити простої у разі відмови вузла
- Щоб друк був швидший принтера
- Щоб змінити іконку програми
- Щоб вимкнути логування системи
Яке правило потенційно небезпечне?
- allow any→any трафік
- deny all трафік
- allow DNS до резольверів мережі
- allow NTP до тайм‑сервера часу
Яка мета NAC?
- Перевірити пристрій і дозволити доступ за політиками
- Друкувати документи Word
- Керувати моніторами дисплеями
- Архівувати фотографії
Що є доброю практикою для гостьової мережі?
- Ізоляція від внутрішніх сегментів і VLAN
- Повний доступ у внутрішню мережу LAN
- Спільний пароль для всіх сервісів сайтів
- Відкритий Wi‑Fi без пароля доступу
Яка перевага policy‑based маршрутизації для site‑to‑site VPN?
- Маршрутизація потрібних підмереж через тунель
- Збільшення яскравості монітора дисплея
- Оптимізація шрифтів тексту
- Вимкнення логів системи
Який вхідний трафік коректно дозволити для публічного веб‑сервісу?
- HTTP/HTTPS лише до reverse proxy
- Будь‑який протокол до всіх внутрішніх серверів
- SSH з Інтернету без обмежень до БД
- SMB з Інтернету до файлових серверів
Що робити з «мертвими» правилами (hit count = 0 тривалий час)?
- Перевірити вплив і видалити/об'єднати для спрощення
- Залишити назавжди правила
- Перемістити вище за всі інші правила
- Змінити колір інтерфейсу системи
Який підхід до правил є безпечнішим?
- Deny‑by‑default і явні дозволи
- Allow‑all трафік
- Випадкові правила фільтрації
- Без правил взагалі
Які метадані корисно фіксувати для кожного правила FW?
- Власник, опис цілі та термін дії
- Колір іконки програми
- Розмір шрифту в інтерфейсі системи
- Гучність системи Windows
Що таке hit count у правилах FW і для чого він?
- Лічильник спрацьовувань правила для аналізу
- Рівень гучності оповіщень системи
- Швидкість мережі Ethernet
- Колір інтерфейсу програми
Чим відрізняється WAF від міжмережевого екрана (FW)?
- WAF аналізує HTTP/HTTPS, FW — мережеві пакети
- WAF керує комутаторами, FW — лише DNS
- WAF — антивірус, FW — редактор тексту
- Жодної різниці між ними
Навіщо оновлювати прошивки мережевого обладнання?
- Щоб закрити уразливості та підвищити стабільність
- Щоб змінити шпалери робочого столу
- Щоб почистити корзину системи
- Щоб зменшити вагу зображень фото
Який приклад доброї практики вихідної (egress) фільтрації?
- Заборонити небажані протоколи назовні
- Дозволити все назовні трафік
- Відключити журналювання системи
- Відкрити всі порти TCP/UDP
Де зберігати резерви конфігурацій мережевих пристроїв?
- У захищеному репозиторії з контролем доступу
- На випадковій флешці без етикетки
- На робочому столі користувача Windows
- У публічній папці без пароля доступу
Навіщо в корпоративній мережі використовують DMZ?
- Розміщувати публічні сервіси окремо від мережі
- Збільшити швидкість друку принтера
- Зберігати особисті фото галереї
- Вимикати журналювання системи
Що таке IPsec у контексті site‑to‑site VPN?
- Набір протоколів для захищених тунелів між мережами
- Додаток для обробки фото Photoshop
- Тип Wi‑Fi мережі бездротової
- Формат текстових файлів TXT

Учень Вчитель

← Повернутися до переліку уроків