8.1 Типы атак
- Сетевые: MITM (подмена ARP/DNS, прокси), DDoS (Volumetric/Protocol/Application), сканирование и эксплойты сервисов.
- Вектор приложений: инъекции, XSS/CSRF, уязвимости в аутентификации.
- Социальная инженерия: фишинг, spear phishing, vishing/SMShing.
Подходы к снижению рисков
- Сегментация: VLAN/VRF, правила доступа по принципу наименьших привилегий.
- Защита L2: DHCP Snooping, Dynamic ARP Inspection, Port Security.
- Наблюдаемость: логи, телеметрия, алерты, ответ на инциденты.
8.2 Шифрование и VPN/IPsec
TLS защищает приложения (HTTPS); IPsec — защита на сетевом уровне; VPN создаёт защищённый туннель поверх недоверенной сети.
TLS кратко
- Рукопожатие: согласование алгоритмов, проверка сертификата, обмен ключами.
- Современные практики: TLS 1.2/1.3, PFS (ECDHE), отказ от слабых шифров и протоколов.
IPsec кратко
- Режимы: транспортный/туннельный; протоколы AH/ESP.
- IKEv2: аутентификация и согласование параметров, построение SA.
VPN
- Site‑to‑Site/Remote Access: выбор технологий (IPsec, SSL‑VPN, WireGuard), маршрутизация/политики.
8.3 Межсетевые экраны
Современные межсетевые экраны сочетают stateful‑фильтрацию, идентификацию приложений (L7), IPS/IDS и функции прокси. Они применяются на периметре и внутри сегментов (микросегментация).
Практика firewall
- Stateful инспекция и таблицы состояний, таймауты.
- Правила: денай по умолчанию, минимизация экспонированных сервисов.
- Логи: критичны для расследований; централизованный сбор в SIEM.
8.4 Для профессионалов
PKI: инфраструктура открытых ключей, цепочки доверия, OCSP/CRL, HSM. Практики: HSTS, CSP, mTLS, TLS 1.3.
Управление ключами и политиками
- Выдача/отзыв сертификатов, автоматизация (ACME), сроки и ротация ключей.
- Политики: pinning (с осторожностью), минимизация доверенных CA, разделение ролей.
Поздравляем!
Теперь вы умеете распознавать основные угрозы, выбирать механизмы защиты (TLS/VPN/IPsec, firewall) и ориентироваться в принципах PKI.