8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 109 110 111 112 113 114 115 ... 136

Кроме "о, вашей организации иногда требуется более одного плана бе юпаспоетп. Количество планов зависит от размера организации. Например, международной органи-taimn нужен отдельный план для каждого подрл [деления, а локальной — сдкк план всего. Компаниям с разграниченными политиками длягрупп пользователей может

потребоваться отдельный план для каждой группы.

Тестирование плана безопасности

Необходимо проверять планыв лабораторных условиях,

вашу организацию. Кроме того, стоит выполнить пилотные программы для совершенствования плана безопасности.

Параметры подключения к Интернету

Сейчас большинство лранп;;шпп стремится подключиться к Интернету. Этот уникальный информационный канал позволит сотрудникам обшатьел с людьми из разных стран мира посредством электронной почты и получать информацию и файлы из многих источ-

того, клиенты вашейсмогут в любое время получать

тавляемуюфирмой информацию иперсонал — использовать ресурсы ком-

пании и отеле и т. д.. а партнеры — более эффективно сотрудничать с вашей компанией. Между тем, доступные через Интернет службы иногда применяются не по назначению, чтостратегиибезопасности.

Установка брандмауэра

Для обеспече шя безопасной работы вашей организации в Интернете необходимо установить брандмауэр (рис. 14-2). Он уменьшает риск подключения к Интернету, а также препятствует получению доступа к нашему компьютеру из Интернета, за исключением ком-ш.ютерои, имеющих право такого доступа.

Рис. 14-2. Брандмауэр

использует фильтрование пакетов для разрешения или запрещения потока определенных видов сетевого трафика. Фильтрование пакетов IP позволяет вам точно определить,может пересекать брандмауэр. Этаважна при под-

ключении частных сетей к общедоступным сетям, например к Интернету. Многие брандмауэрыраспознавать и отражать сложные атаки.

Брандмауэры часто выступают в роли прокси-серверов или маршрутизаторов, потому что они передают трафик между частной и общей сетями. Программное обеспечение брандмауэра или прокси-сервера проверяет всекаждого интерфейса и определяет адрес их места назначении. Если они соответствуют определенному заданному критерию, то пакеты передаются другого сетевого интерфейса. Брандмауэр может просто маршрутизировать пакеты или действовать как прокси-сервер и переводитьча-

стной сети.


Microsoft Proxy Server

Обеспечивает как функции прокси-сервера, так и некоторые функции брандмауэра. Proxy Server выполняется на компьютерах с Windows ."Что. и оба они должны быть настроим так, чтобы обеспечивать полную сетевую безопасность. Если у вас установлена более ранняя, чем 2.0, версия Proxy Server и Service Pack 1, необходимо обновить ее для совместимости с Windows 2000 — это делается в момент обновления сервера ло Windows 2000

Зачастую один прокси-сервер не способен справиться с объемом трафика между сетью организации и Интернетом. В этих случаях применяются несколько прокси-серверов. Трафик распределяется между ними автоматически. Пользователям Интернета и интрасе-ти кажется, что существует единешенный прокси-сервер.

Примечание За дополнительной информацией о Proxy Server и технологиях безопасности

обрашашесь по адресу Uup://windoжх.ткrxmfi.com/windows2000/tvskit/\fvhresaur:v.4.

После установки прокси-сервера, настройки параметров контроля и подготовки персонала пришло время подключать сеть к внешней сети. Вы должны убедиться, что доступны только службы, которые вы санкционировали, и рискпрактически отсут-

ствует. Эта среда требует тщательно! о контроля и поддержки, но вы также будете готовы к предоставлению других служб сетевой безопасности.

Резюме

планировать стратегии безопасности, чтобы только пользователи получали доступ к ресурсам и данным сети. Следует внедрять техно.) огни безопасности, подходящие для вашей opiamt «пшк, и всегда тестировать планы се сноп безопасности в лабораторных условиях, имитирующих условия вашей организации. Чтобы обезопасить доступ сети вашей организации в Интернет, можно использовать брандмауэр. Proxy Server на компьютере с Windows 2000 Server выполняет функции прокси-сервера и брандмауэра.


308

Яшотюш сети

"лава 14

Занятие 2 Настройка безопасности RAS

Удаленный доступ позволяет> подключаться к сет с удаленного компьютера с

помощью различных аппаратных устройств, включая карты сетевого интерфейса и модемы. Подучи:* соединение удаленного ноупа. клиенты могут использовать сетевые ресурсы, например, файлы, так же как они использовали бы клиентский компьюзсо, напрямую подключенный к ЛВС. Здесь рассказывается о конфигурировании безопасности для удаленного доступа к сети.

Изучив материал этоговы сможете:

создать политику удаленного доступа; ✓ сконфигурировать безопасность удаленного доступа, протоколы шифрования и

настроить безопасность сетевого протокола и устранить неполадки. Продолжительность занятия - около минут.

Знакомство с удаленным доступом

Routing and Remote Access (RRAS) — это служба, позволяющая удаленным пользователям подключиться к локальной сети по телефону. Удаленный доступ позволяет; несанкционированным пользователям проникнуть в сеть, поэтому Windows 2000 предлагает ряд мер безопасности для обеспечения защипы •• • При установке удаленного соединения с сервером клиент получает доступ к если:

•запрос соответствует одной из тки шик удаленного доступа, заданных для сервера;

•учетная запись пользователядля удаленного доступа;

•аутентификация клиент/сервер завершена успешно.

Доступ клиента к сети может быть ограничен для определенных серверов, подсетей и типов протоколов в зависимости от клиентского профиля удаленного доступа. В противном случае все службы, обычно доступные для подключенного ЛВС подыовл :\-дя (включая совместное использование фанао . и принтеров, доступ к Web-серверу и доставке сообщений), активизированы посредством соединения удаленного доступа.

Настройка протоколов безопасности

Предположим, некто может перехватить имя пользователя и пароль в момент подключения к серверу RRAS. используя технологии, аналогичные перехвату телефонных разговоров. Для предотвращения этой ситуации в RRAS предусмотрен безопасный метод аутентификации пользователя.

•Challenge Handshake Authentication Protocol (CHAP). Протокол CHAP разработан для управления передачей паролей в открытом тексте, CHAP — это наиболее популярный протокол аутентификации. Поскольку алгоритм вычисления откликов протокола CHAP хорошо известен, необходимо пшпеаьио подбирать и задавать достаточно длинные пароли.являющиеся обычными словами или именами, легко вычисляются с помощыо словаря путем сравнения откликов CHAP с каждым словом в словаре. Недостаточно длинные паролисравнениемс откликами пользователя операция выполняется до тех пор, пока не найдено совпадение).

•Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Протокол MS-CHAP представляет собой разновидность протокола CHAP, которой не требуется пароль в



0 ... 109 110 111 112 113 114 115 ... 136