8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 17 18 19 20 21 22 23 ... 125

базе Security Accounts Manager (SAM, Диспетчер учетных записей) используется концепция домена. При входе в систему Windows NT на компьютере, включенном в домен, аутентификация пользователя происходит в диалоге между рабочей станцией пользователя и контроллером домена. Ранние версии Novell NetWare требовали ввода имени пользователя и пароля при входе на каждый сервер. Сейчас Novell Directory Services (NDS, Служба каталогов Novell) обеспечивает ведение централизованной базы данных пользователей.

Синхронизация файлов паролей

Хотя система UNIX и обладает множеством сетевых компонентов, ей не хватает метода синхронизации файла паролей между системами в сети. В доменах Windows NT один или несколько серверов выполняют функции контроллеров домена и идентифицируют пользователей при входе в сеть. В UNIX каждый сервер имеет собственный файл паролей. Пользователям, которым бывает нужно попадать в систему на нескольких компьютерах в сети, приходится иметь учетную запись на каждом из них. Чтобы устранить этот недостаток, компания Sun разработала приложение Yellow Pages, позволяющее синхронизировать важные системные файлы. Из-за спора о зарегистрированном названии эта программа была переименована в Network Information Service (NIS, Служба информации сети)

При подключении к Internet проблема аутентификации пользователей становится еще более сложной. Должен ли сотрудник, находящийся вне офиса, обязательно подключаться с помощью модема или он может сделать это через Internet? Если используется Internet, то как обеспечить безопасность удаленного сеанса работы? Существует множество решений данной задачи, в том числе технологии Kerberos и криптографии с открытым ключом для создания закрытых частных сетей (Virtual Private Networks, VPN).

Шифрование и защита Internet-соединений - это важная тема. Более подробную информацию по этому вопросу вы найдете в главах 9, 10 и 11.

Защита ресурсов

При обсуждении компьютерной безопасности большинство из нас в первую очередь думает об аутентификации пользователей. Следующий механизм, который вступает в действие после авторизации пользователя, - защита ресурсов. UNIX, Windows NT, Novell NetWare и множество других операционных систем обеспечивают какую-либо форму защиты ресурсов, позволяющую определять, какие из файлов, директорий, принтеров и т.д. будут доступны пользователям. Защита ресурсов имеет целью ограничение доступа пользователей к ресурсам, а для контроля их использования могут применяться различные методы аудита.


Физическая защита

Обеспечить надежную физическую защиту компьютеров в локальной сети не слишком сложно. Обычно для этого достаточно всего лишь запереть серверы в каком-либо помещении. Даже в сети, распределенной по нескольким зданиям, например локальной сети студенческого городка, за физическую безопасность компьютеров отвечает кто-либо из местного персонала.

После подключения к Internet сеть становится частью сети намного большего масштаба, гарантировать физическую защиту которой невозможно. В некоторых случаях удается заключить соответствующий договор с провайдером и управлять настройкой установленных у него маршрутизаторов, но нельзя контролировать миллионы других компьютеров, маршрутизаторов, коммутаторов и других устройств в Internet. Межсетевой экран - это способ создания укрепленной «входной двери», которая, возможно, позволит вам остановить тех, кто пытается нарушить работу вашей сети.

Безопасность в глобальных сетях

Подключение к Internet открывает локальную сеть для бесчисленных проблем безопасности и потенциальных нарушителей. Проблемы, возникавшие с пользователями локальной сети, ничтожны по сравнению с теми, с которыми вы, возможно, столкнетесь, если атакующий владеет современными методами взлома. Присоединение к Internet является еще одним доводом в пользу дополнительного усиления защиты локальных компьютеров. Для поддержки такой защиты необходим хороший межсетевой экран, который будет служить единственной точкой управления Internet-соединением. Ниже мы рассмотрим некоторые типы возможных проблем, чтобы вы лучше поняли, зачем нужен межсетевой экран и почему Internet-соединение нельзя оставлять без защиты.

Так же, как и в случае баз данных с учетными записями пользователей, ресурсы подключенных к сети систем находятся под управлением администратора сети. Но это управление основано на предположениях о надежности методов аутентификации пользователей и правильности настройки защиты ресурсов.

Простые методы аутентификации легко взломать - это вопрос только времени. Методы, которые годились в небольшой локальной сети, не обеспечивают надежную защиту при подключении к Internet. Если методы аутентификации недостаточно надежны, защита ресурсов не спасет, поскольку атакующему будет относительно просто получить права любого пользователя.

Защита ресурсов не гарантирует полной безопасности в случае нападения извне. При подключении к Internet ваша сеть оказывается открытой для гораздо большего числа возможных нарушителей, чем вы можете себе представить. Вам придется принять дополнительные меры для ее защиты. И следующий важный шаг - установка межсетевого экрана, тема, которой посвящена данная книга.


Слабости сетевых протоколов

TCP/IP и другие связанные с ним протоколы разработаны достаточно давно, когда проблемы безопасности в Internet были минимальными по сравнению с сегодняшними. Поэтому при написании большей части из этих протоколов и утилит безопасности не уделялось особого внимания. Они в первую очередь разрабатывались как функциональные и легко переносимые. Это помогло TCP/IP распространиться на множество компьютерных платформ, и сегодня данный набор протоколов используется в Internet.

Более подробную информацию о наборе TCP/IP и входящих в него протоколах и сервисах вы сможете найти в главе 2.

Оказалось, что некоторые из созданных утилит содержат существенные изъяны, которыми может воспользоваться злоумышленник. Например, ошибки в программе sendmail доставляют головную боль сетевым администраторам уже в течение многих лет. Иногда программа неправильно обрабатывает какие-то ситуации, например переполнение буферов памяти, и аварийно завершает работу или демонстрирует некорректное поведение. Подобные недочеты в программе становятся проблемами безопасности, если обнаруживается, что с их помощью удается получить привилегированный доступ к системе.

К сожалению, пройдет еще немало времени, пока будут созданы компьютеры, способные перехватывать все человеческие ошибки, поэтому обычно через несколько месяцев после выхода новой программы появляются сообщения о замеченных в ней недоработках. Иногда целесообразно ненадолго отложить внедрение передовых технологий до получения сообщений о результатах их функционирования в реальных условиях.

На иеобтащимо постоянно сдедать за исправлениями и рекомендациями производителя по обеспечению безопасности для всех применяемых вами операционных систем и приложений.

Быть в курсе новых рекомендаций по безопасности не так сложно, как может показаться на первый взгляд. Существует несколько хороших Web-сайтов, посвященных новым проблемам безопасности и содержащих описание множества процедур, исправлений и других решений, которые помогут вам устранить эти проблемы. Список Web-сайтов и почтовых рассылок, посвященных вопросам безопасности, имеется в приложении 3.

Уязвимость маршрутизации от источника

Протокол IP не создает соединения и не обеспечивает проверку доставки пакетов. Все, что ему известно, - это адреса отправителя и получателя в IP-заголовке пакета. Выбор маршрута передачи пакета реализован в других протоколах.



0 ... 17 18 19 20 21 22 23 ... 125