30520

Технологии обеспечения безопасности корпоративной сети с использованием оборудования 3-го уровня модели OSI

Доклад

Математика и математический анализ

Метод анализа на лету заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Системы обнаружения атакIntrusion Detection Systems IDSs анализирует трафик поступающий на нее на соответствие сигнатурам в случае соответствия трафика сигнатуре оповещает администраторов по безопасности о наличии совпадения. Обычно на IDS поступает копия трафика который необходимо анализировать то есть IDS не ставят в разрез соединению это достигается...

Русский

2013-08-24

53.73 KB

11 чел.

54. Технологии обеспечения безопасности корпоративной сети с использованием оборудования 3-го уровня модели OSI.

На доске:

IPsec, IDS, VPN, экранирующие маршрутизаторы

Архитектура IPsec:

Выступление:

Для технологий безопасной передачи данных по общедоступной сети применяют обобщенное название – защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети вдоль некоторого вириального пути, проложенного в сети с коммутацией пакетов.

VPN сетевого уровня:

VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является протокол IPsec (IP security), предназначенный для аутентификации, туннелирования и шифрования IP-пакетов. С протоколом IPsec связан протокол IKE (Internet Key Exchange), решающий задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. Протокол IKE автоматизирует обмен ключами и устанавливает защищенное соединение, тогда как IPsec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.

Защита посредством применения протокола IPSec:

Основное назначение протоколов IPsec –обеспечение безопасной передачи данных по сетям IP. Применение IPsec гарантирует:

- целостность передаваемых данных (т.е. данные при передаче не искажены, не потеряны и не продублированы);

- аутентичность отправителя (т.е. данные переданы именно тем отправителем, который доказал, что это тот, за кого себя выдает);

-конфиденциальность передаваемых данных (т.е. данные передаются в форме, предотвращающей их несанкционированный просмотр).

 IPSec построен на базе стандартизированных криптографических технологий:

- обмена ключами согласно алгоритму Диффи-Хеллмана для распределения секретных ключей между пользователями в открытой сети;

- криптографии открытых ключей для подписывания обменов Диффи-Хеллмана, чтобы гарантировать подлинность двух сторон и избежать атак типа «человек по середине»;

- цифровых сертификатов для подтверждения подлинности открытых ключей;

- блочных симметричных алгоритмов шифрования данных;

- алгоритмов аутентификации сообщений на базе функций хэширования.

Большинство реализаций имеет следующий вид:

- основной протокол IPSec. Этот компонент реализует протоколы ESP и AH. Он обрабатывает заголовки, взаимодействует с БД SPD и SAD для определения политики безопасности, применяемой к пакету.

- протокол управления ключевой информации IKE.

- база данных политик безопасности SPD.Определяет политику безопасности, применяемую к пакету. SPD используется основными протоколами IPSec при обработке входящих и исходящих пакетов.

- база данных безопасных ассоциаций SAD. БД SAD хранит список безопасных ассоциаций SA для обработки входящей и исходящей информации. Исходящие SA используются для защиты исходящих пакетов, а входящие SA используются для обработки пакетов с заголовками IPSec.

- управление политикой безопасности и безопасными ассоциациями SD – это приложения, которые управляют политикой безопасности и SA.

На верхнем уровне архитектуры безопасности IPSec расположены 3 протокола

  1.  IKE протокол согласования параметров вирутального канала и управления ключами, определяющий способ инициализации защищенного канала, включая согласование используемых алгоритмов криптозащиты, а также процедуры обмена и управления секретными ключами в рамках защищенного соеднинения.
  2.  Протокол аутентифицирующего заголовка AH, обеспечивающий аутентификацию источника данных, проверку их целостности и подлинности после приема , а также защиту от навязывания повторных сообщений.
  3.  Протокол инкапсулирующей защиты содержимого ESP (P-payload), обеспечивающий криптографическое закрытие, аутентификацию и целостность передаваемых данных, а также защиту от навязывания повторных сообщений.

Средний уровень архитектуры образуют алгоритмы согласования параметров и управления ключами, применяемые в протоколе IKE, а также алгоритмы аутентификации и шифрования, используемые в протоколах аутентифицирующего заголовка и инкапсулирующей защиты содержимого.

Нижний уровень архитектуры образует так называемый домен интерпретации DOI, который необходим чтобы обеспечивать совместную работу всех применяемых и вновь подключаемых протоколов и алгоритмов.

Про сетевой уровень работы IDS:

IDS настроенные на обнаружение атак на уровне сети по классификации способов сбора информации об атаке работают по типу снифферов. «прослушивая» трафик в сети и определяя возможные действия злоумышленников. Такие системы , как правило, используют сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.

Межсетевые экраны:

Из классификации по функционированию для зщиты сетевого уровня следует рассматривать только «Пакетный фильтр», также называемый экранирующим маршрутизатором (screening router), который при анализе пакетов сообщений проверяет их заголовки сетевого уровня. Важнейшей функцией такого вида межсетевых экранов является транслация внутренних сетевых адресов, для сокрытия внутренних адресов от злоумышленников и всей топологии внутренней сети. Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю.Для этих пакетов выполняется автоматическое преобразование IP-адресов копьютеров отправителей в один «надежный» IP-адрес. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией внешней сети.

Дополнительно:

     Атака нулевого дня(zero-day attack) порой называют как уязвимость нулевого дня(zero-day threat) – атака использующую уязвимость, которая ни кому не известна или не раскрыта разработчиком ПО. Термин нулевое-час(zero-hour) описываем момент времени, когда уязвимость наедена. В течении времени пока разработчик ПО разрабатывает патчи, система уязвима атаке нулевого дня.

        Системы обнаружения атак(Intrusion Detection Systems (IDSs)) анализирует трафик, поступающий на нее, на соответствие сигнатурам, в случае соответствия трафика сигнатуре, оповещает администраторов по безопасности о наличии совпадения. Обычно на IDS поступает копия трафика, который необходимо анализировать, то есть IDS не ставят в разрез соединению, это достигается за счет технологий SPAN, RSPAN, ERSPAN.

        Системы предотвращения атак(Intrusion Prevention Systems (IPSs)) анализирует трафик, поступающий на нее, на соответствие сигнатурам, профилям, протоколам, в случае соответствия трафика сигнатуре, оповещает администраторов по безопасности о наличии совпадения и пытается предотвратить нападение путем изменения настроек прохождения трафика сквозь нее, и сквозь другие сетевые средства. Обычно на IPS поступает оригинал трафика, но можно отправлять и копию, который необходимо анализировать, то есть IPS ставят в разрез соединению обычно, но можно и поставить в параллель соединению.

        IDS и IPS работают с сенсорами. Сенсорами могу быть следующие устройства:
• Маршрутизатор с поднятыми настройками Cisco IOS IPS
• Специализированные устройства IDS или IPS
• Специальный модуль, устанавливаемый в коммутатор или маршрутизатор.
        Сигнатура это набор условий, данный набор условий отражает технологию атаки. IDS и IPS могут определять соответствие одной сигнатуре(atomic signature patterns (single-packet)) или множеству сигнатур(composite signature patterns (multipacket)).

IDS преимущества и недостатки
        Так как обычно IDS устанавливает в параллель трафику, то IDS не влияет на скорость передачи трафика, и его доступность. IDS не предотвращает атаки и распространение вредоносного ПО, а лишь оповещает о наличии таковых событий.
        IPS преимущества и недостатки:
IPS может предотвращать атаки, и распространение вредоносного ПО.
IPS привносит задержки в передачу трафика в случае его применения в разрыве трафика, что существенно влияет на приложения качество функционирования которых зависит от времени задержки(например передача голоса).

        IPS бывают двух видов:
• IPS
сетевого типа(Network-based IPS Implementations);
• IPS
хостового типа(Host-based IPS Implementations[HIPS]).
IPS сетевого типа- это IPS встроенные в сетевое оборудование, анализирующее трафик и состояние ИБ сетевого оборудования.
HIPS – IPS устанавливаемые на хосты(АРМ или сервера) для анализа состояния ИБ данного хоста и приходящего на него трафика. HIPS решение от cisco это Cisco Security Agent (CSA).

        CSA содержит две компоненты:
1) Центр управление(Management Center) –устанавливается на сервер и позволяет управлять настройками CSA из единого центра управления.
2) Security Agent – устанавливается на конечных хостах, отображается в виде маленькой красной иконки в панели справа(system tray).
CSA при обнаружении каких-либо подозрительных запросах к ресурсам оповещает пользователя о данных случаях, и спрашивает что необходимо осуществить с данными процессами запроса, а в частности предлагает:
1) Разрешить доступ к ресурсам процессу;
2) Заблокировать доступ ресурсов процессору;
3) Заблокировать доступ процессору и выключить сам процессор.
CSA оповещает пользователя о состоянии ИБ системы меня свою окрасу в system tray.

Идеальное решение это комбинировать хостовые и сетевые IPS.
IPS обнаруживает атаки используя сигнатуры. Сигнатура - характерные признаки атаки или вируса, используемые для их обнаружения. В случае совпадения признаков трафика сигнатурам применяются правила реагирования на трафик подпадающий под сигнатуру.
        Сигнатура содержит три атрибута:
• Тип(Type);
• «спусковой крючок»(Trigger (alarm) );
• Действия которые необходимо совершить в случае совпадения признаков события признакам, описанные в сигнатуре(Action).
Сигнатуры бывают двух типов:
1) элементарные(Atomic)- сигнатуры анализирующие малое количество пакетов для определения наличия атаки, не анализирующие состояние соединения;
2) составные(Composite)- сигнатуры анализирующие состояние соединения на всем протяжении осуществления атаки(event horizon).

Все сигнатуры используемые в Cisco IOS группированы на основании общих характеристик. Cisco IOS использует технологию signature micro-engines (SME), данная технология позволяет осуществить проверку трафика на соответствие общим характеристикам группы сигнатуры и после, в случае совпадения, глубоко проверить трафик на соответствие определенной сигнатуре.
При включении функционала IPS, IDS сетевое устройство классифицирует множество сигнатур и генерирует Regular Expression Engine (REE) средствами SME для каждой группы. 
Количество и разновидности REE зависит от версии операционной системы и аппаратной составляющей.
В частности, в релизе Cisco IOS 12.4(6)T определены пять REE:
• Atomic – анализирует простые пакеты, например, ICMP, UDP.
• Service – анализирует сервисы.
• String – сигнатуры использующие шаблоны для определения атак.
• Multi-string – обеспечивает гибкость совпадения шаблонов и сигнатур Trend Lab.
• Other – остальные сигнатуры.

 

Межсетевые экраны

      Межсетевые экраны на основе состояния связи(stateful firewall) используют таблицы для отслеживания текущего состояния сетевого соединения.
      На сегодняшний день существуют следующие
типы межсетевых экранов:

  1.  МЭ пакетной фильтрации(packet-filtering)
  2.  МЭ на основе состояния связи(stateful)
  3.  МЭ уровня приложения application gateway (proxy)
  4.  МЭ трансляции адресов(address-translation)
  5.   МЭ устанавливаемые на рабочие станции(host-based)
  6.   прозрачный МЭ(transparent)
  7.  гибридный МЭ(hybrid).

      Трафик типа Ethernet 0x8035 содержит информацию протокола определения сетевого адреса по местоположениюa (reverse address resolution protocol (RARP)). Для контроля такого типа трафика используются пронумерованные ACLs в диапазоне 200-299.
Так же обычно используются ACLs на основе MAC адресов(700-799).

Стандартные ACLs
ACL с нумерами 1-99 или 1300-1999 являются стандартными IPv4 и IPv6 ACL. Стандартные ACL сортируют пакеты исходя из IP адреса отправителя, содержащийся в заголовке IP пакета. Данный ACL фильтрует пакеты на основании информации 3го уровня модели OSI.
Расширенные ACL
Расширенные ACLs фильтруют пакеты на основании информации 3 и 4го уровня об отправителе и получателе пакета. Информация 4го уровня может содержать номера портов TCP и UDP протоколов. номер ACLs может принимать значения 100-199 или 2000-2699.

      Сетевое устройство при фильтрации трафика с помощью списков доступа просматривает списки доступа с самого начала и до конца, применяется первое правило к пакету, которое подошло, и если ни одно не подошло, то по умолчанию пакет отбрасывается.
После создания стандартного или расширенного ACL, необходимо его привязать к интерфейсу для фильтрации трафика именно через данный интерфейс

В отличие от пронумерованных ACL, в именованных ACL правила фильтрации можно вводить в середину таблицы правил.

При настройке ACL следует помнить следующее:
1) В конце любого списка правил фильтрации(ACL) стоит команда «deny all».
2) Стандартные списки доступа фильтруют только по IP адресу отправителя, расширенные списки доступа по большему количеству параметров.
3) Применяется первое совпавшее правило фильтрации в ACL
4) Фильтрация трафика исходя из направления - Cisco ACL позволяет регулировать фильтрацию исходя из направления движения пакета, а в частности пакет приходит на интерфейс(in) или отправляется с интерфейса(out).
5) Изменение ACL – при вводе нового правила фильтрации, новое правило фильтрации добавляется к самому концу списка доступа.
6) Специальные пакеты – некоторые пакеты генерируются самим сетевым устройством, как следствие, они не подвергаются правилу фильтрации входящих пакетов(in), а подвергаются правилу фильтрации исходящих пакетов(out).

Cisco рекомендует стандартные списки доступа настраивать на сетевом оборудовании наиболее близкое к получателю, а расширенные списки доступа наиболее близко к отправителю.

Reflexive ACL создает временные фильтры, которые удаляются после окончания сессии. 
Основным ограничением расширенных и стандартных ACL листов является то что они фильтруют однонаправленный трафик, а не двунаправленный. Reflexive ACL листы позволяют администратору осуществить фильтрацию любого трафика, путем анализирования состояния соединения в обе стороны. 
Reflexive ACLs работает путем использования временных access control entries(вставок) (ACEs)вводимых в расширенные ACL листы, которые применяются на внешнем интерфейсе. Когда сессия заканчивается, или время существования временной вставки истекает, вставка удаляется из расширенного ACL листа, применяемого на внешнем интерфейсе.
Расширенные ACL листы применяются на входящем трафике «inbound» внутреннего интерфейса или исходящем трафике внешнего интерфейса. ACE вставляются в данные ACL и обрабатывают пакеты используя временные параметры «reflect parameter». Следовательно ACE создаются динамически под каждую сессию. Без временных параметров «reflect statements», возвращаемые пакеты будут сбрасываться по умолчанию. 
«Reflexive ACE» это инвертированная запись, то есть информация об источнике и получателе меняется местами.

«Reflexive ACL» настраивается следующим образом:
1) Создаем внутренний список доступа которые просматривает все сессии направленные изнутри во вне и создает временные «reflexive ACE».
2) Создаем внешний ACLкоторый использует «reflexive ACL» для анализа возвращаемого трафика.
3) Активируем именованный список доступа на соответствующем интерфейсе.

Динамические списки доступа(dynamic ACL), известные так же под названием «lock-and-key ACL», доступны только для IP трафика.
Настройка «dynamic ACL» начинается с настройки расширенного списка доступа блокирующего весь трафик на сетевом устройстве. Пользователи не могут взаимодействоваться по сети пока не авторизуются на сетевом устройстве по протоколу telnet или ssh, используя локальную базу пользователей или сервис ААА. После авторизации telnet или ssh сессия сбрасывается и вводится запись в существующий расширенный динамический список доступа разрешающая трафик в случае удачной авторизации на ограниченный промежуток времени.
      Динамические списки доступа желательно применять в следующих случаях:
• Когда есть группа пользователей, которой необходимо предоставить удаленный доступ к сервису внутренней сети.
• Когда группе внутренних пользователей необходимо подключиться к удаленному сервису защищенному межсетевым экраном.

      Для настройки динамического списка доступа надо осуществить следующие действия: 
1) Создание Extended ACL. 
Первое правило в расширенном списке доступа(именованном или пронумерованном) должно быть разрешение прохождения Telnet или SSH трафика для подключения к сетевому устройству. 
2) Вводим информацию о базе данных пользователей. 
Динамические ACL поддерживаются следующие базы данных о пользователях: локальная база данных, внешний ААА сервер, и «line password». Обычно «line password» не используется, так как в таком случае все пользователи должны иметь одинаковый пароль.
3) Включаем(Enable) метод динамической аутентификации.
Происходит настройка vty линий. Когда настроено сетевое устройство создает динамические списки доступа на интерфейсе к которому привязан ACL.

Timed-based ACL позволяют фильтровать трафик на основе времени дня, дня недели или дня месяца. 
Time-based ACL являются расширением Extended ACL. Временной список доступа может применяться периодически или разово. Администратор создает записи о времени доступа и использует параметр «time-range» для определения промежутка когда ACL действует.

Когда создается временной диапазон(time range) с помощью команды «time-range», то задается уникальное имя, которое привязывается к ACL. После ввода команды «time-range» администратор переходит в режим конфигурирования временных диапазонов. В данном режиме можно определить два временных промежутка: one-time only (absolute) и recurring (periodic).


Межсетевой экран 

осуществляет фильтрацию трафика. Существуют следующего вида межсетевые экраны:
Packet-filtering firewall – межсетевой экран, с возможностью фильтрации трафика 3го и 4го уровня модели OSI.

Packet-filtering firewall анализирует следующие данные для фильтрации трафика:
1) IP адрес отправителя;
2) IP адрес получателя;
3) Протокол;
4) Номер порта отправителя;
5) Номер порта получателя;
6) Synchronize/start (SYN) флаг

Stateful firewall –межсетевой экран, фильтрующий трафик на основании информации о состоянии соединения.

Stateful firewall фиксирует начало и окончание процесса взаимодействия на основании информации содержащей флаги synchronize (SYN), reset (RST), acknowledgment (ACK), finish (FIN), и другие, так же номеров сегментов протокола TCP и UDP. На основании данной информации межсетевой экран пропускает трафик или нет. Также данный межсетевой экран может анализировать трафик 5го уровня модели OSI, например команды FTP трафика.

Application gateway firewall (proxy firewall) – межсетевой экран, анализирующий информацию 3го и выше уровней модели OSI.

Address-translation firewall –межсетевой экран, подменяющий IP адреса взаимодействующих сетей.

Host-based (server and personal) firewall – сервер с предустановленным программным обеспечением поверх ОС.
Transparent firewall –межсетевой экран, фильтрующий трафик между двумя «bridged» интерфейсами.
Hybrid firewall – межсетевой экран, отражающий в себе определенные, представленные выше типы межсетевых экранов.

Host-based (server and personal) firewall – сервер с предустановленным программным обеспечением поверх ОС.
Transparent firewall –межсетевой экран, фильтрующий трафик между двумя «bridged» интерфейсами.
Hybrid firewall – межсетевой экран, отражающий в себе определенные, представленные выше типы межсетевых экранов.

      Существуют следующие виды зон с точки зрения информационной безопасности:
• Внутренняя- зона у которой есть доступ ко все оставшимся зонам без ограничений;
• Внешняя- зона у которой отсутствует доступ к внутренней зоне, если только внутренняя зона не инициирует контакт и имеет частичный доступ к ДМЗ(к определенным сервисам) без инициации соединения со стороны ДМЗ и доступ к ресурсам ДМЗ в случае инициации соединения со стороны ДМЗ;
• Демилитаризированная(demilitarized zone (DMZ))- зона у которой есть частичный доступ к внутренней зоне(к определенным сервисам) и к внутренней зоне в случае если инициация соединения со стороны внутренней зоны произошла и не ограниченный доступ к внешней зоне.

      При проектировании защиты с помощью МЭ необходимо иметь ввиду следующее:
1) Межсетевые экраны должны быть установлены на ключевых позициях.
2) МЭ это первый эшелон защиты, но не последний.
3) Ввести политику запретить все что не разрешено.
4) Физический контроль к МЭ должен быть контролируем.
5) Следует просматривать сообщения о состоянии ИБ.
6) Меняйте настройки МЭ чтобы они соответствовали современным требованиям

      Context-based access control (CBAC) это МЭ встроенный в Cisco IOS и предоставляет сервис stateful Application Layer фильтрации. CBAC поддерживает NAT и PAT трансляции. 
CBAC осуществляет следующий функционал: фильтрация трафика, инспекция трафика, определение вторжений, аудит и оповещения.
CBAC осуществляет:
1) Фильтрацию трафика- анализ TCP и UDP заголовков, контроль сессий, анализ трафика уровня приложений;
2) Анализ трафика- на наличие подмены пакетов, на наличие DoS атак;
3) Определение взломов- определение SMTP атак, отправка отчетов на Syslog сервер;
4) Alert and Audit Generation- отправляет данные аудита в виде отчетов на Syslog сервер.
CBAC осуществляет:
1) Мониторинг TCP соединений;
2) Отслеживание номеров сегментов протокола TCP;
3) Отслеживает DNS запросы и ответы;
4) Отслеживает типичные ICMP пакеты;
5) Поддерживает протоколы уровня приложений, создающие множество соединений;
6) Анализирует внутренние адреса;
7) Анализирует информацию уровня приложений.
CBAC анализирует те протоколы, которые настроены на анализ. CBAC не может защитить от атак которые не походят сквозь него.

CBAC создает новые правила в списках доступа, если происходит инициализация соединения из внутренней сети, после чего происходит поддержка данного соединения, иные соединения получают отказ

Последовательность анализа пакетов при инициализации соединения из внутренней сети во внешнюю: 
1) Анализируется соответствие пакета списку доступа, в случае не соответствия- разрыв соединения, в случае соответствия- пакет передается CBAC на анализ. 
2) В соответствии с правилами анализа CBAC, ОС Cisco IOS отправляет на анализ трафик либо нет.
3) Информация о соединении сверяется с таблицей состояния соединений(«state table»). Если запись о данном соединении не существует, то вводится запись, если существует, то таймаут существования записи обнуляется..
4) Если новая запись создается в таблице, то динамическое правило списка доступа вводится в настройки внешнего интерфейса на прием(inbound). Данная динамическая запись не сохраняется в NVRAM и создается временно.
5) Когда сессия заканчивается, то динамическое правило в списке доступа удаляется и удаляется запись в таблице состояния соединений(«state table»).

      В IOS In 12.4(6)T и старше была внедрена функциональность zone-based policy firewall(ZPF или ZBF или ZFW). Данный вид межсетевых экранов делит сеть на зоны, и защищает трафик переходящий между зонами.
Межсетевой экран конфигурируется с помощью языка Cisco Common Classification Policy Language (C3PL).

В IOS In 12.4(6)T и старше была внедрена функциональность zone-based policy firewall(ZPF или ZBF или ZFW). Данный вид межсетевых экранов делит сеть на зоны, и защищает трафик переходящий между зонами.
Межсетевой экран конфигурируется с помощью языка Cisco Common Classification Policy Language (C3PL).

CBAC обладает следующими ограничениями:
1) Множественные правила инспектирования и ACL на интерфейсах осложняют коррелированние правил обработки трафика с различных интерфейсов.
2) Политика не может быть привязана к хостам или подсетям путем применения ACL. Весь трафик анализируется одними и теми же правилами инспектирования.
3) ACL интенсивно использует процессорное время.
Зоны определяют границы безопасности определенного типа сети(ДМЗ, внутренняя, внешняя). Политика по умолчанию зоны это «deny all», то есть, если ни какие политики не определены в пределах зоны, то трафик не проходит между зонами. Это одно из отличий от CBAC, который позволял передавать трафик пока он не будет запрещен ACL.

Преимущества ZPF следующие:
1) Не зависит от ACL.
2) По умолчанию блокируется все, что явно не разрешено
3) Политики легко читать и траблшутить с помощью C3PL.
4) Одна политика анализирует трафик, вместо настройки множества ACL и правил инспектирования.


 

А также другие работы, которые могут Вас заинтересовать

73998. Великая Отечественная война: крупнейшие военные операции 1941 – 1945 годов 21.99 KB
  Великой Отечественной войне первоначальный ход военных действий сложился крайне неблагоприятно для СССР. Суворовым идея неподготовленности СССР к войне оборонительной ввиду подготовки его к войне наступательной иными словами воскрешение еще Гитлером выдвинутой концепции превентивной вынужденной войны с целью обезопасить себя от нападения Красной Армии. Таким образом Советский Союз в упорной борьбе сумел одержать победу в Великой Отечественной и разделить успех с союзниками по антигитлеровской коалиции во II мировой войне. Полководческое...
73999. Деятельность тыла в Великой Отечественной войне. Партизанское движение в годы Великой Отечественной войны 17.77 KB
  Партизанское движение в годы Великой Отечественной войны. Благодаря высокому уровню централизации государственного хозяйства в первые же месяцы войны удалось обеспечить его перестройку на военномобилизационный лад. Успех во многом определялся удачной организацией управления страной в условиях войны: при всех своих издержках советская система как раз и была предназначена для действия в условиях чрезвычайных обстоятельств для быстрой и решительной мобилизации имеющихся ресурсов и их перераспределения в соответствии с первоочередными...
74000. СССР во 2-й половине 50 - 1-й половине 80-х гг. XX в. От попыток либерализации к всеобщему кризису 22.46 KB
  Первые послевоенные годы принесли мало изменений в функционирование политической системы СССР. Будучи отражением реальной потребности в мобилизации сил для быстрого завершения восстановительных работ централизация в то же время подошла к своему пределу за которым она теряла всякую эффективность что отчетливо проявилось в нарастании кризисных явлений во всех сферах жизни СССР в начале 50х гг. Все это подводило руководящие круги СССР к осознанию необходимости преобразований.
74001. Основные направления и этапы внешней политики СССР в годы «холодной войны» 19.09 KB
  Основные направления и этапы внешней политики СССР в годы холодной войны. Победа СССР в войне значительно изменило его международное положение. СССР принял участие в создании ООН где ему было определено место одного из постоянных членов Совета безопасности.президент США сформулировал доктрину Трумена меры против экспансии СССР.
74002. Перестройка 1985 – 1990 годов 22.31 KB
  Именно эти меры положили начало развалу политической системы СССР поскольку именно партийная вертикаль обеспечивала реальное функционирование политической системы; советские органы были властью сугубо номинальной а потому оказались не готовы к выполнению возложенных на них полномочий. когда оппозиции удалось добиться отмены 6й статьи Конституции СССР закрепляющей особую роль КПСС в государственной системе СССР и внушительного представительства в ряде...
74003. Становление новой российской государственности в 1990-е годах 18.55 KB
  Распавшийся Советский Союз оставил весьма сложное наследство России в виде экономического кризиса всеобщего социального недовольства и наконец отсутствия реальной российской государственности. В условиях краха умеренной и консервативной моделей периода перестройки вполне естественной была победа весьма радикальной для России концепции демократического либеральнорыночного государства с ориентацией на западные страны. В принципе основные направления реформ к моменту их осуществления в России были уже испытаны в ряде государств Восточной...
74004. Основные этапы развития исторической науки в России XVIII – начале XX веков 20.07 KB
  Главною заслугою Миллера было собирание материалов по русской истории; его рукописи так наз. И исследования Миллера имели значение он был одним из первых ученых заинтересовавшихся позднейшими эпохами нашей истории им посвящены его труды: Опыт новейшей истории России и Известие о дворянах Российских. видное место трудами по русской истории занял и М.
74005. Основные этапы развития советской исторической науки 23.2 KB
  Начало новому этапу в развитии марксистской исторической мысли положили труды В. И. Ленина. Особенно большое значение для И. имела разработка Лениным теоретико-методологических основ общественных наук (в том числе исторической науки)...
74006. Влияние колониальной эксплуатации на традиционное общество в Индии в XIX – начале ХХ веках 23.77 KB
  Влияние колониальной эксплуатации на традиционное общество в Индии в XIX – начале ХХ вв. Заключительным этапом средневековой истории Индии стало возвышение на ее севере в начале XVI в. Власть моголов в Индии укрепилась в годы полувекового правления Акбара 14521605 завоевавшего Бенгалию а вместе с ними и выход к морю. Таким образом в Индии XVIXVII вв.