ИНЖЕНЕР
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СЕТИ

курс для будущих экспертов

Раздел 1. Основы коммутации и архитектура Ethernet

Коммутация на втором уровне модели OSI (канальный уровень) обеспечивает передачу кадров данных между устройствами внутри одной локальной сети. В центре процесса — коммутаторы (switches), которые анализируют MAC-адреса в заголовках Ethernet-кадров и принимают решения о перенаправлении данных на нужный порт. Коммутаторы используют таблицы MAC-адресов, автоматически заполняемые в процессе работы.

Различают типы интерфейсов коммутаторов по скорости (10/100/1000 Мбит/с, 10/40/100 Гбит/с), типу среды (медь, оптика) и форм-фактору (RJ-45, SFP и др.). Стек технологий Ethernet включает функции автоопределения скорости, дуплексного режима, VLAN, STP и других протоколов второго уровня.

Архитектура современных коммутаторов включает высокопроизводительную коммутационную матрицу, процессоры управления, буферы памяти и интерфейсные модули. Производительность зависит от пропускной способности матрицы, скорости обработки пакетов, архитектуры буферизации и поддержки аппаратного ускорения.

10 ак. часов (включая практикумы)

Раздел 2. Настройка и администрирование коммутаторов

В этом разделе изучаются базовые навыки подключения и первичной настройки сетевых коммутаторов. Подключение обычно осуществляется через консольный порт (RS-232 или USB-to-Serial) с использованием терминальных программ (например, PuTTY или Tera Term). После установления соединения можно выполнить начальную конфигурацию, включая установку имени устройства, паролей и IP-адреса для управления.

Важной частью администрирования является обновление прошивки (firmware) — оно выполняется через TFTP/FTP-сервер или Web-интерфейс. Также необходимо регулярно создавать резервные копии конфигурации и сохранять их локально или на удалённый сервер.

Для удалённого управления безопасным способом используется SSH-доступ, который требует настройки ключей или паролей, а также активации соответствующего интерфейса. Современные коммутаторы также поддерживают Web-интерфейсы, через которые можно выполнять большинство операций по настройке и мониторингу без необходимости командной строки.

10 ак. часов (включая практикумы)

Раздел 3. Виртуальные локальные сети (VLAN)

В этом разделе рассматривается технология VLAN (Virtual Local Area Network), позволяющая разделять одну физическую сеть на несколько логически изолированных сегментов. Это обеспечивает безопасность, управляемость и оптимизацию сетевого трафика. Устройства в разных VLAN не могут напрямую обмениваться данными без участия маршрутизатора или L3-коммутатора.

Изучаются типы VLAN: по портам (port-based), по метке (tagged VLAN), по протоколу и др. Основным стандартом является IEEE 802.1Q, определяющий способ добавления тегов VLAN в кадры Ethernet. Рассматривается также GVRP (GARP VLAN Registration Protocol) для автоматического распространения информации о VLAN в сети и Q-in-Q (802.1ad) — технология вложенных VLAN, применяемая в операторских сетях.

Рассматривается создание VLAN, назначение портов (access/trunk), настройка тегирования, межвлановой маршрутизации и тестирование доступности между хостами в различных VLAN. Выполняется диагностика ошибок и проверка конфигурации средствами CLI и Web-интерфейса.

12 ак. часов (включая практикумы)

Раздел 4. Протоколы отказоустойчивости (STP, RSTP, MSTP, ERPS)

Данный раздел посвящён обеспечению отказоустойчивости и предотвращению петель в коммутируемых сетях, которые могут привести к вещательным штормам и отказу сети. Ключевым механизмом защиты является протокол STP (Spanning Tree Protocol), создающий логическую безпетельную топологию, временно блокируя избыточные пути.

Рассматриваются улучшенные версии:

• RSTP (Rapid STP) — ускоренная сходимость сети, актуальна для большинства современных сетей
• MSTP (Multiple STP) — позволяет создавать несколько деревьев связности для разных VLAN, повышая гибкость и масштабируемость
• ERPS (Ethernet Ring Protection Switching) — протокол кольцевой защиты, обеспечивающий быстрое восстановление связи в кольцевых топологиях за 50 мс и менее.

Изучаем настройку корневого коммутатора, приоритетов, ролей портов и тестирование поведения сети при отказах линков. Анализируются типичные ошибки конфигурации и рекомендации по проектированию отказоустойчивых L2-сетей.

10 ак. часов (включая практикумы)

Раздел 5. Технологии QoS (качество обслуживания)

В этом разделе изучаются технологии Quality of Service (QoS), обеспечивающие управление сетевым трафиком с целью приоритизации наиболее важных потоков данных. QoS особенно актуален в случаях, когда в сети одновременно передаются голосовые вызовы, видеоконференции и обычный служебный трафик — в таких условиях необходимо избегать задержек, потерь и колебаний задержки (джиттера).

Ключевым элементом QoS является классификация и маркировка пакетов, позволяющая различать типы трафика на основе IP-заголовков, MAC-адресов, номеров портов или других признаков. Это даёт возможность задать для каждого класса трафика разные правила обработки.

После классификации данные помещаются в очереди, где используется диспетчеризация — механизм распределения ресурсов между потоками. Очереди могут обслуживаться по разным алгоритмам, включая приоритетную обработку, справедливое распределение или гарантию минимальной пропускной способности.

Ещё одним важным механизмом является контроль полосы пропускания, который позволяет ограничивать или резервировать пропускную способность для отдельных типов трафика, предотвращая перегрузку каналов и обеспечивая стабильную работу критичных приложений.

10 ак. часов (включая практикумы)

Раздел 6. Безопасность и контроль доступа

Этот раздел посвящён вопросам обеспечения безопасности в коммутируемых сетях и защите сетевого оборудования от несанкционированного доступа и атак. Современные коммутаторы предоставляют широкий набор инструментов, позволяющих ограничивать подключения, контролировать пользователей и блокировать вредоносную активность на уровне второго уровня модели OSI.

Особое внимание уделяется настройке списков контроля доступа (ACL), с помощью которых можно фильтровать трафик по IP-адресам, портам и протоколам, ограничивая прохождение данных на основе заданных правил. Важной функцией является Port Security, позволяющая привязать определённые MAC-адреса к портам коммутатора и блокировать все остальные подключения. Это предотвращает подключение посторонних устройств и защиту от атак типа MAC-флуда.

Технология 802.1X обеспечивает сетевую аутентификацию пользователей и устройств, разрешая доступ только после успешной проверки учётных данных через RADIUS-сервер. Дополнительно используется IP-MAC-Port Binding — механизм сопоставления IP-адреса, MAC-адреса и физического порта, что позволяет выявлять подмену устройств или попытки вмешательства в сетевую конфигурацию.

Также рассматриваются подходы к ограничению доступа к административному интерфейсу коммутатора, защите от ARP-спуфинга и других видов атак на втором уровне.

12 ак. часов (включая практикумы)

Раздел 7. Управление многоадресной рассылкой

В этом разделе рассматриваются принципы и технологии управления многоадресной рассылкой (multicast) в Ethernet-сетях. Multicast используется для эффективной передачи данных сразу нескольким получателям, не создавая отдельные копии трафика для каждого из них. Это особенно важно для приложений, таких как IP-телевидение, видеоконференции и распределённые системы мониторинга.

Ключевым элементом является настройка протоколов управления группами, таких как IGMP Snooping, которые позволяют коммутатору отслеживать запросы подписки и покидания multicast-групп со стороны конечных устройств. Это обеспечивает передачу многоадресного трафика только тем портам, где действительно находятся участники группы, снижая ненужную нагрузку на сеть.

Рассматривается использование Multicast VLAN — специализированных виртуальных сетей, которые позволяют централизованно распределять многоадресный трафик сразу в несколько VLAN без дублирования потоков. Также изучаются методы фильтрации multicast-трафика на втором уровне, что позволяет ещё более точно управлять распространением информации в пределах сети и защищать сегменты от перегрузки нежелательным трафиком.

Отдельное внимание уделяется совместимости с L3-инфраструктурой и корректной работе мультикаст-протоколов в смешанных средах.

8 ак. часов (включая практикумы)

Раздел 8. Сетевой мониторинг и управление

В этом разделе изучаются технологии и инструменты, позволяющие контролировать состояние сети, выявлять сбои, отслеживать нагрузку и обеспечивать стабильную работу инфраструктуры на базе коммутаторов. Современные коммутаторы поддерживают широкий набор протоколов и функций для мониторинга и администрирования.

Центральным механизмом управления является SNMP (Simple Network Management Protocol), с помощью которого можно собирать статистику, управлять параметрами оборудования и получать оповещения о событиях. Расширением возможностей SNMP служит RMON (Remote Monitoring), позволяющий анализировать трафик и поведение сети на уровне портов и протоколов.

Для обнаружения и автоматического описания подключённых устройств используется LLDP (Link Layer Discovery Protocol) — протокол, который даёт представление о топологии сети и упрощает диагностику. Коммутаторы обмениваются информацией о своих параметрах, что помогает централизованным системам управления поддерживать актуальную карту сети.

Одним из ключевых инструментов локального анализа является Port Mirroring — функция зеркалирования трафика с одного порта на другой. Это позволяет направлять копии пакетов на анализатор или систему IDS/IPS без нарушения основного трафика.

Такие средства мониторинга позволяют администратору своевременно выявлять перегрузки, несанкционированные подключения, нестандартную активность и быстро реагировать на возникающие инциденты.

10 ак. часов (включая практикумы)

Раздел 9. Обзор оборудования D-Link

В этом разделе даётся общее представление об ассортименте сетевого оборудования D-Link, его классификации и возможностях применения в сетях различного масштаба — от домашних и офисных решений до оборудования уровня провайдера и корпоративных ЦОД. Рассматриваются основные линейки коммутаторов, включая неуправляемые, веб-управляемые, L2 и L3-коммутаторы, а также специализированные модели для PoE-сетей, агрегации и опорного уровня.

Даются рекомендации по выбору моделей в зависимости от задач: построение магистрального сегмента, подключение IP-камер, развертывание Wi-Fi-инфраструктуры, организация отказоустойчивых решений или сегментирование доступа по VLAN. Уделяется внимание совместимости оборудования, удобству конфигурирования, резервированию и доступности сервисов поддержки от производителя.

Такой обзор позволяет сформировать представление о возможностях применения решений D-Link в конкретных проектах с учётом бюджета, требований к масштабируемости и функциональности.

2 ак. часа

Экзамен 2 ак.часа

1. Изучение команд настройки коммутатора через CLI.
   Знакомство с командной строкой: базовые команды, режимы работы, навигация, справочная система.
2. Обновление прошивки и резервное копирование конфигурации.
   Работа с файлами: загрузка нового ПО, сохранение/восстановление конфигурации через CLI и Web-интерфейс.
3. Управление таблицей коммутации и ARP-таблицей.
   Анализ MAC-таблицы и ARP-записей, очистка, статическая привязка, проверка маршрутизации внутри L2-сети.
4. Настройка VLAN (802.1Q).
   Создание и назначение VLAN по портам, тегирование трафика, взаимодействие с trunk-портами.
5. Настройка протокола GVRP.
   Автоматическое распространение информации о VLAN. Обнаружение VLAN через протокол GARP.
6. Настройка Q-in-Q (Double VLAN).
   Инкапсуляция VLAN в другую VLAN. Используется в провайдерских и корпоративных сетях.
7. Сегментация трафика без использования VLAN.
   Изоляция портов с помощью Traffic Segmentation. Применение для гостевых зон и камер видеонаблюдения.
8. Создание сети с VLAN.
   Мини-проект: проектирование схемы сети, реализация на оборудовании с применением VLAN и trunk-портов.
9. Настройка STP, RSTP, MSTP.
   Конфигурация протоколов связующего дерева, устранение петель, проверка срабатывания резервных путей.
10. Настройка Ethernet Ring Protection Switching (ERPS).
    Создание резервного кольца, проверка реакции сети на обрыв канала.
11. Настройка защиты от петель: Loopback Detection.
    Включение и проверка механизмов, реагирующих на замыкание порта.
12. Агрегирование каналов (LAG).
    Настройка объединения нескольких физических линков в один логический. Повышение пропускной способности и отказоустойчивости.
13. Настройка QoS.
    Приоритизация трафика. Создание политик QoS: классификация, маркировка, очереди, полисинг.
14. Списки управления доступом (ACL).
    Фильтрация трафика на портах: разрешающие/запрещающие правила на основе MAC/IP/протокола.
15. Port Security.
    Ограничение числа MAC-адресов на порт, фиксация MAC, реакция на попытку подключения нового устройства.
16. IP-MAC-Port Binding.
    Привязка устройства к IP/MAC и конкретному порту. Повышение контроля за доступом в сеть.
17. Удалённый доступ по SSH.
    Организация защищённого управления коммутатором. Создание ключей, настройка SSH-сервера на устройстве.
18. Аутентификация пользователей по стандарту 802.1X.
    Настройка коммутатора в режиме контроля доступа с использованием внешнего RADIUS-сервера.
19. Настройка протокола SNMP.
    Организация мониторинга оборудования. Создание community, просмотр OID, взаимодействие с NMS.
20. Анализ сетевого трафика.
    Использование Port Mirroring. Настройка дублирования трафика для анализа в Wireshark.
21. Настройка LLDP.
    Протокол автоматического обнаружения соседних устройств. Просмотр полученной информации, работа с TLV.

Раздел 1. Основные принципы создания надёжной и безопасной ИТ-инфраструктуры

Этот раздел формирует прочную теоретическую основу. Знакомимся с классификацией угроз и сетевых атак, включая активные и пассивные формы. Подробно рассматриваем триаду информационной безопасности — конфиденциальность, целостность и доступность, как фундамент концепции защищённой инфраструктуры. Осваиваем принципы управления доступом, инцидентами и конфигурацией, а также криптографические механизмы, аутентификация пользователей, контроль идентификаций и ведение отчётности. Особое внимание уделяем анализу рисков и построению доверенных систем с участием третьих сторон.
16 ак. часов (включая практикумы)

Раздел 2. Сегментирование сетей на канальном уровне (VLAN)

Оваиваем практику разделения сети на подсети с использованием VLAN — одного из важнейших механизмов внутренней сетевой безопасности. Изучаем стандарт IEEE 802.1Q, типовые топологии корпоративных сетей, подходы к изоляции и разграничению трафика. Участники курса учатся создавать логически обособленные сегменты на основе портов коммутатора, что позволяет минимизировать внутренние угрозы и упростить администрирование.
10 ак. часов (включая практикумы)

Раздел 3. Межсетевые экраны и топология защищённых сетей (включая NAT)

Самый насыщенный модуль курса. Здесь подробно рассматриваются принципы работы межсетевых экранов (firewalls): от базового понимания их роли в архитектуре безопасности до практики настройки сложных политик доступа. Изучаем классы межсетевых экранов (брандмауэров), методы Stateful Inspection, анализ протоколов, правила маршрутизации. Отдельный блок посвящён технологии NAT. На основе этого разбирается организация DMZ-сетей, конфигурация VPN-точек, построение сетей с несколькими уровнями защиты. Завершается модуль планированием, внедрением и администрированием межсетевых экранов с учётом топологии и размещения серверов.
30 ак. часов (включая практикумы)

Раздел 4. Системы обнаружения и предотвращения атак (IDPS)

В этом блоке изучаются системы IDPS, их классификация, архитектура и принципы работы. Узнаем какие типы атак может распознать и предотвратить система IDPS, как она взаимодействует с другими элементами безопасности, включая межсетевые экраны. Изучаем способы развёртывания сетевых и хостовых IDPS, методы анализа и реагирования, а также организация оповещений, выбор стратегий и оценка эффективности. Также рассматриваются инструменты оценки уязвимостей и перспективы развития таких систем.
16 ак. часов (включая практикумы)

Раздел 5. Приоритизация трафика и создание резервных маршрутов

Финальный блок посвящён темам отказоустойчивости и управления трафиком. Учимся создавать резервные маршруты для повышения надёжности сетевого взаимодействия, работать с альтернативными таблицами маршрутизации и настраивать правила выбора маршрута. Также изучаем подходы к приоритизации и ограничению пропускной способности трафика (т.н. шейпинг), а также методы гарантирования необходимой полосы пропускания. Завершается тема практикой использования IDP для выявления и фильтрации нежелательного трафика, включая P2P-протоколы.
10 ак. часов (включая практикумы)

Экзамен 2 ак.часа

Раздел 1. Криптографические основы сетевой безопасности

Симметричное шифрование и хэш-функции

В этом разделе изучаются фундаментальные криптографические методы, применяемые для защиты сетевых данных. Основное внимание уделяется алгоритмам симметричного шифрования, где один и тот же ключ используется как для шифрования, так и для дешифровки сообщений. Рассматриваются алгоритмы DES, 3DES, AES и ГОСТ 28147, их внутренняя структура, включая сети Фейштеля, блоки подстановки и перестановки, а также принципы формирования ключей.

Подробно анализируются режимы работы симметричных шифров — ECB, CBC, CTR и их влияние на безопасность и устойчивость алгоритма к различным типам атак. Обсуждаются требования к генерации случайных чисел, обеспечению энтропии и надёжности ключей как одного из важнейших условий криптографической стойкости.

Вторая часть раздела посвящена хэш-функциям, которые позволяют контролировать целостность данных путём генерации уникального цифрового отпечатка. Рассматриваются алгоритмы MD5, SHA-1, SHA-2 и ГОСТ 3411, их структура, размеры выходных значений и криптографические свойства — детерминированность, устойчивость к коллизиям и необратимость.

Особое внимание уделяется типовым атакам на хэш-функции, включая парадокс дней рождения, поиск коллизий и предобразов. Рассматривается практическое применение хэшей в аутентификации, цифровой подписи, хранении паролей и формировании MAC-кодов.

Формируется целостное представление о том, как симметричное шифрование и хэш-функции взаимодействуют друг с другом в системе сетевой безопасности и служат основой для построения устойчивых к угрозам защитных механизмов.

Асимметричное шифрование и цифровая подпись

В этом разделе рассматриваются принципы асимметричного шифрования, при котором используются две пары ключей — открытый и закрытый, — и которое лежит в основе многих современных протоколов безопасности. Изучаются ключевые алгоритмы: RSA, основанный на сложности факторизации больших чисел; Диффи-Хеллман, позволяющий безопасно обмениваться ключами по незащищённому каналу; DSS (Digital Signature Standard), применяемый для создания цифровых подписей; а также криптография на эллиптических кривых (ECC), обеспечивающая высокий уровень безопасности при меньших размерах ключей.

Подробно объясняется устройство и назначение инфраструктуры открытых ключей (PKI), обеспечивающей управление ключами и доверие между сторонами. Рассматриваются компоненты PKI — центры сертификации (CA), регистрационные центры (RA), цифровые сертификаты, а также процессы их выдачи, валидации и отзыва. Особое внимание уделяется механизмам распределения ключей и обеспечению их актуальности и подлинности.

Отдельный акцент сделан на роли цифровой подписи — одного из важнейших инструментов, обеспечивающих подлинность, целостность и неотказуемость. Рассматриваются этапы создания и проверки подписи, способы интеграции в протоколы защиты электронной почты, документов, веб-сайтов и приложений.

Формируется понимание, как асимметричные методы шифрования и цифровая подпись взаимосвязаны с другими криптографическими механизмами и применяются в реальных сценариях обеспечения сетевой и информационной безопасности.

24 акад. часа (включая практикумы)

Основы туннелирования и GRE

В этом разделе изучаются принципы туннелирования — технологии, позволяющей передавать один сетевой протокол внутри другого, создавая логически изолированные каналы поверх существующей инфраструктуры. Туннелирование широко используется для организации VPN-сетей, объединения удалённых офисов и защиты данных при передаче по открытым сетям.

Основное внимание уделяется протоколу GRE (Generic Routing Encapsulation), как универсальному решению для инкапсуляции различных типов трафика, включая нестандартные или не-IP-протоколы. Рассматриваются структура GRE-заголовка, особенности инкапсуляции, механизмы настройки туннелей и влияние двойной маршрутизации на производительность сети.

Дополнительно изучаются протоколы PPTP (Point-to-Point Tunneling Protocol) и PPPoE (Point-to-Point Protocol over Ethernet), их архитектура, слабые места, области применения и совместимость с современными ИТ-средами. Отдельно анализируется, как туннелирование влияет на маршрутизацию, MTU, таблицы маршрутов и использование NAT.

Даётся обзор построения VPN-сетей с использованием перечисленных протоколов, рассматриваются реальные сценарии — от простых точка-точка до многосегментных корпоративных решений. Формируется общее понимание роли туннелей в структуре защищённых сетей и критериев выбора протокола в зависимости от требований к безопасности, совместимости и скорости.

Протокол IPSec: архитектура и реализация

В этом разделе подробно разбирается архитектура IPSec (Internet Protocol Security) — набора протоколов, предназначенных для обеспечения конфиденциальности, целостности и аутентичности IP-трафика. IPSec играет ключевую роль в построении защищённых VPN-сетей и реализуется на сетевом уровне, что делает его универсальным решением для защиты как IPv4, так и IPv6-сред.

Изучается внутренняя структура IPSec, включая такие компоненты, как ESP (Encapsulating Security Payload), обеспечивающий шифрование и аутентификацию пакетов, а также SA (Security Association), задающая параметры безопасности между сторонами. Рассматриваются базы SPD (Security Policy Database) и SAD (Security Association Database), определяющие, какой трафик защищать и каким образом.

Особое внимание уделяется режимам работы IPSec — туннельному, при котором инкапсулируется весь IP-пакет, и транспортному, где защищается только полезная нагрузка. Описываются сценарии их применения, влияние на маршрутизацию, прозрачность для приложений и совместимость с различными архитектурами сети.

Рассматриваются различные топологии IPSec-соединений, включая точка-точка, сетевая маршрутизация через защищённые шлюзы, мобильные подключения и удалённый доступ. Объясняется, как происходит управление трафиком, его фильтрация и применение NAT-T (NAT Traversal) для корректной работы через устройства трансляции адресов.

Отдельный блок посвящён механизмам обмена ключами — протоколам IKE (Internet Key Exchange) и IKEv2, обеспечивающим безопасное и автоматическое согласование параметров шифрования, а также протоколу DPD (Dead Peer Detection), который отвечает за контроль доступности удалённого узла и автоматическое восстановление соединения в случае сбоя.

Формируется комплексное представление о реализации IPSec на практике, его интеграции в существующую сетевую инфраструктуру и выборе параметров безопасности в зависимости от задач и рисков.

Комбинированные VPN-решения и SSL/TLS

В этом разделе рассматриваются комбинированные VPN-решения, основанные на совмещении различных протоколов, таких как IPSec и L2TP. Такой подход позволяет объединить преимущества туннелирования и мощной криптографической защиты, обеспечивая совместимость с различными платформами и дополнительную фильтрацию трафика. Разбирается, как организована передача данных в таких схемах, какие механизмы безопасности применяются на каждом уровне, и как настроить их для предотвращения атак типа MITM или подмены туннеля. Также анализируются известные уязвимости и ограничения подобных решений, включая сложности с NAT и проблемами маршрутизации.

Вторая часть раздела посвящена протоколу SSL/TLS, который используется для защиты данных на прикладном уровне, прежде всего в веб-приложениях, почтовых клиентах и некоторых VPN-решениях. Изучается структура TLS-сессии, включая процесс handshake, в ходе которого согласовываются параметры соединения, происходит аутентификация и обмен ключами. Рассматриваются используемые криптографические алгоритмы, включая симметричное шифрование, хэширование, цифровую подпись и генерацию сессионных ключей. Отдельное внимание уделяется расширениям TLS, таким как SNI, ALPN, и механизмам повышения безопасности, например, PFS (Perfect Forward Secrecy).

Даётся сравнительный анализ TLS и IPSec по ключевым параметрам: уровень модели OSI, прозрачность для приложений, сценарии применения, скорость установки соединения, гибкость настройки и стойкость к различным видам атак. Таким образом, формируется представление о том, в каких случаях целесообразнее использовать IPSec, а в каких — SSL/TLS, и как можно сочетать эти протоколы для повышения защищённости корпоративной сети.

36 акад. часов (включая практикумы)

Протокол RADIUS и централизованная аутентификация

В этом разделе подробно рассматривается протокол RADIUS (Remote Authentication Dial-In User Service), широко применяемый для централизованной аутентификации, авторизации и учёта пользователей в корпоративных сетях, VPN, Wi-Fi-средах и при доступе к сетевому оборудованию.

Изучается структура протокола, включая типы сообщений (Access-Request, Access-Accept, Access-Reject и др.), формат аутентификационного трафика и роль атрибутов, передаваемых в теле пакетов, таких как идентификаторы пользователей, IP-адреса, параметры доступа и политики безопасности. Объясняется, как работает процесс взаимодействия между клиентом (NAS) и сервером RADIUS, и как на основе ответа принимается решение о предоставлении доступа.

Особое внимание уделяется особенностям передачи данных через UDP, включая отсутствие надёжной доставки, необходимость в повторной передаче сообщений и контроль таймаутов. Также рассматриваются прокси-серверы RADIUS, позволяющие масштабировать инфраструктуру и централизовать обработку запросов в распределённых системах.

Важным аспектом раздела является анализ вопросов безопасности, включая защиту передаваемых данных, использование секретов между клиентом и сервером, уязвимости к перехвату и модификации трафика, а также способы повышения надёжности RADIUS-инфраструктуры за счёт резервирования и шифрования (например, переход на более защищённые альтернативы — RADSEC или использование IPSec-туннелей).

Формируется понимание, как RADIUS интегрируется в ИТ-инфраструктуру, обеспечивает контроль доступа и служит основой для построения гибкой и управляемой системы идентификации пользователей.

Учёт и аудит с помощью RADIUS

В этом разделе рассматривается функциональность учёта и аудита пользователей на базе протокола RADIUS, известная как RADIUS accounting. Эта система позволяет отслеживать действия пользователей в сети, фиксировать параметры подключений и накапливать данные для анализа, отчётности или биллинга.

Изучается структура учётных пакетов, включая ключевые типы сообщений — Accounting-Start, Accounting-Stop и Accounting-Interim-Update, которые сообщают о начале, завершении и промежуточных этапах пользовательской сессии. Рассматриваются основные атрибуты, передаваемые в этих сообщениях: имя пользователя, IP-адрес, MAC-адрес, идентификатор сессии, длительность подключения, объём переданных и полученных данных.

Особое внимание уделяется типам записей, которые создаются на RADIUS-сервере и могут быть сохранены в локальные логи, базы данных или переданы в централизованные системы мониторинга и биллинга. Разбираются принципы отслеживания сессий в реальном времени, а также форматы логирования, совместимые с внешними SIEM-системами.

Описывается интеграция RADIUS-accounting с внешними сервисами, включая биллинговые платформы, системы учёта рабочего времени, сетевую аналитику и средства контроля трафика. Анализируются требования к надёжности передачи учётных данных, устойчивости к потере пакетов и синхронизации отчётности с реальными событиями в сети.

Таким образом, формируется понимание, как с помощью RADIUS можно организовать прозрачный и масштабируемый учёт сетевой активности пользователей, необходимый для информационной безопасности, коммерческих расчётов и нормативного соответствия.

Протокол LDAP и хранение учётных записей

В этом разделе подробно изучается протокол LDAP (Lightweight Directory Access Protocol), предназначенный для организации централизованного хранилища учётных записей, конфигурационной информации и других объектов в корпоративной ИТ-инфраструктуре. LDAP применяется для управления пользователями, группами, правами доступа и взаимодействия с различными сервисами, включая VPN, почтовые системы, веб-приложения и платформы единого входа (SSO).

Изучается структура каталогов LDAP, основанная на иерархии узлов в виде древовидной модели — от корневого домена до отдельных записей пользователей. Объясняются основные элементы: DN (Distinguished Name), атрибуты, схемы и объекты. Рассматривается, как данные обрабатываются в формате LDIF и как с ними взаимодействуют клиенты с помощью запросов поиска, добавления, модификации и удаления записей.

Отдельное внимание уделяется механизмам хранения и доступа к учётным данным, включая методы аутентификации пользователей через LDAP Bind, использование групп и политик доступа. Поясняется, как LDAP взаимодействует с другими системами, и какие данные можно централизованно хранить — логины, пароли, адреса, роли, политики.

Изучается интеграция LDAP с Microsoft Active Directory, как наиболее распространённой системой каталогов в корпоративной среде. Разбирается, как синхронизировать данные, использовать LDAP-запросы к AD, и какие инструменты позволяют объединять информацию между разными платформами.

Рассматриваются принципы построения отказоустойчивой LDAP-архитектуры, включая репликацию каталогов, балансировку нагрузки и резервирование. Особое внимание уделяется вопросам безопасности, включая шифрование соединений (LDAPS), контроль доступа, аудит и защита от несанкционированного чтения или модификации информации.

В результате формируется понимание роли LDAP как основы для централизованного управления учётными записями и построения единой инфраструктуры аутентификации в организации.

24 акад. часа (включая практикумы)

1. Построение туннеля GRE между двумя локальными сетями.
   Создание GRE-туннеля между двумя маршрутизаторами. Конфигурация виртуальных интерфейсов, маршрутизация трафика внутри туннеля, тестирование связности.
2. Построение туннеля IPSec в туннельном режиме с использованием общего секрета.
   Настройка туннеля IPSec между двумя узлами. Определение политик безопасности, SA (Security Associations), установка фильтров трафика и защита с помощью PSK.
3. Построение туннеля IPSec в транспортном режиме с использованием общего секрета.
   Реализация защищённого туннеля между двумя межсетевыми экранами. Сценарий peer-to-peer соединения. Особенности транспортного режима и шифрование трафика.
4. Использование XAuth в IPSec-туннеле.
   Добавление многофакторной аутентификации пользователей к туннелю IPSec. Настройка XAuth, проверка логина и пароля при установлении соединения.
5. Использование DPD (Dead Peer Detection). 
   Включение механизма контроля доступности удалённого туннельного узла. Автоматическое определение разрыва соединения и попытки восстановления туннеля.
6. Использование NAT-T (NAT-Traversal) в IPSec.
   Настройка IPSec поверх NAT. Тестирование сценариев, когда один из участников туннеля находится за маршрутизатором с трансляцией адресов.
7. Построение туннеля L2TP с использованием общего секрета.
   Настройка L2TP-соединения между двумя сетями. Работа протокола в режиме передачи PPP-кадров и проверка стабильности соединения.
8. Построение туннеля GRE/IPSec в транспортном режиме.
   Инкапсуляция GRE в IPSec. Обеспечение защиты маршрутизированного трафика внутри GRE, настройка двойного шифрования, контроль SA и политик.
9. Построение туннеля L2TP/IPSec в транспортном режиме.
   Интеграция L2TP с IPSec. Использование транспортного режима для защиты соединения, настройка SA и совместное шифрование канала.
10. Построение туннеля L2TP/IPSec с NAT у одного из участников.
    Комбинация L2TP и IPSec в условиях NAT. Проверка работы туннеля при наличии трансляции адресов на стороне клиента или офиса.
11. Аутентификация через локальную базу данных.
    Создание и управление локальными учётными записями на устройстве. Привязка пользователей к политике доступа, логирование попыток подключения.
12. Аутентификация через RADIUS-сервер.
    Подключение устройства к серверу RADIUS. Настройка аутентификации по логину и паролю, взаимодействие с RADIUS-сообщениями, анализ атрибутов.
13. Аутентификация через LDAP или MS Active Directory.
    Интеграция с централизованной системой управления учётными записями. Настройка подключения к LDAP-серверу, проверка структуры записей, фильтрация доступа.
14. Доступ к защищённым ресурсам через браузер с проверкой учётных данных.
    Организация доступа пользователей к ресурсам через web-интерфейс с обязательной проверкой логина/пароля. Активация SSL, настройка страниц аутентификации.