Доменний підхід

Домен — це основна одиниця адміністрування і забезпечення безпеки Windows NT. Для домену існує загальна база даних облікової інформації користувачів (user accounts), унаслідок чого, увійшовши у домен, користувач одержує доступ відразу до всіх дозволених ресурсів усіх серверів домену.

Довірчі відносини (trust relationships) забезпечують транзитну аутентифікацію, за якої користувач має тільки один обліковий запис в одному домені, але може одержати доступ до ресурсів усіх доменів мережі. (рис. 13.6).

Рис. 13.6. Довірчі відносини між доменами

Користувачі можуть входити до мережі не тільки з робочих станцій того домену, де зберігається їхня облікова інформація, але й з робочих станцій доменів, що довіряють цьому доменові. Домен, який зберігає облікову інформацію, часто називають обліковим, а домен, що довіряє, — ресурсним.

Довірчі відносини не є транзитивними. Наприклад, якщо домен А довіряє домену В, а В довіряє С, то це не означає, що А автоматично довірятиме С.

У домені міститься сервер, який є основним контролером домену (primary domain controller). Цей контролер зберігає первинну копію бази даних облікової інформації користувачів домену. Всі зміни, зроблені в обліковій інформації, спочатку вносяться саме у цю копію. Основний контролер домену завжди існує в одному примірнику. Користувач, що адмініструє домен, не повинен задавати ім’я комп’ютера, який відіграє роль основного контролера. Крім основного контролера, у домені можуть існувати кілька резервних контролерів (backup domain controllers). Вони зберігають копії бази облікових даних. Всі резервні контролери, на додаток до основного, можуть обробляти запити користувачів на логічний вхід у домен.

Резервний контролер домену розв’язує дві задачі:

• він стає головним контролером, коли відмовляє основний;

• зменшує навантаження на основний контролер під час опрацювання логічних входів користувачів.

Якщо мережа складається з кількох підмереж, то у кожній підмережі має бути принаймні один резервний контролер домену.

Лекція 14. Основи безпеки комп’ютерних мереж.

14.1. Проблеми безпеки мереж

Останнім часом повідомлення про атаки на інформацію, про хакерів і комп'ютерні зломи наповнили всі засоби масової інформації. Хакером (Hacker) називається людина, що займається незаконною діяльністю і намагається проникнути до захищеної комп'ютерної мережі з метою отримання цінної інформації, розкрадання грошей або хуліганських спонукань.

Злом або кракінг (Cracking) є навмисним порушенням захисту комп'ютерних мереж. Відповідно, людина, що здійснює навмисне порушення прав доступу до інформації, називається зломщиком або кракером. Аналогічно, програмне забезпечення, за допомогою якого здійснюється злом, прийнято називати програмою-зломщиком або кракером.

Існують різні мотивації злому мережі, а саме: від простої цікавості, пов'язаної з читанням чужих листів, до спроби отримати яку-небудь користь для себе або заподіяти шкоду іншим. Процес злому називається атакою на інформацію, під якою розуміють навмисну дію з порушення прав доступу, спрямовану на одержання несанкціонованого доступу до інформації.

Захист від атак у комп'ютерних мережах здійснюється за допомогою служби безпеки. У найпростішому вигляді служби безпеки гарантують, що сторонні особи не зможуть читати або змінювати повідомлення, які призначаються іншим одержувачам. Служби безпеки припиняють спроби одержання неавторизованими користувачами доступу до віддалених служб. Система безпеки дозволяє визначити, чи повідомлення надіслано дійсно тим відправником, чиїм ім'ям воно підписано. Системи безпеки також вирішують питання, пов'язані з перехопленням і повторним відтворенням повідомлень, а також з людьми, які заперечують, що вони відсилали такі повідомлення.

Проблеми безпеки мереж можна розділити на чотири пересічні області: таємність, аутентифікація, забезпечення строгого виконання зобов'язань і забезпечення цілісності.

Таємність означає запобігання вилученню інформації неавторизованими користувачами. Аутентификація дозволяє визначити, з ким ви розмовляєте, перш ніж надати співрозмовникові доступ до секретної інформації або вступити з ним у ділові відносини. Проблема забезпечення строгого виконання зобов'язань має справу із цифровими підписами. І нарешті, як можна бути впевненим, що прийняте вами повідомлення не підроблене й не модифіковане зловмисником?