Защита информации в инфокоммуникационных системах и сетях
..pdfISA Server позволит обезопасить внутреннюю сеть организации от атак из сети Интернет, организовать удаленный доступ к сети компании с помощью технологии VPN, проводить ограничение доступа к сети Интернет для отдельных групп пользователей и вести статистику использования сети Интернет сотрудниками компании.
Другой сервер будет хранить централизованную базу учетных записей пользователей, политики безопасности, а также предоставлять сервисы назначения IP-адресов клиентским компьютерам (DHCP) и разрешения имен
(DNS). Также этот сервер будет выполнять функции файлового сервера, сервера печати и почтового сервера (MS Exchange Server).
Третий сервер (IIS) находится в ДМЗ и используется для размещения содержимого Интернет-сайта организации. Также на нем будет размещена служба SMPT Relay для повышения безопасности электронной почты и установлена программа блокирования спама и проверки почты на вирусы. Это позволит затруднить атаки, явно направленные против MS Exchange Server. Вся входящая почта будет приходить сначала на SMTP Relay, где будет проверяться на вирусы и спам, а затем уже будет пересылаться на MS Exchange Server.
Политики именования объектов сети
Политики представлены в таблице 2.
|
Таблица 2. |
Шаблоны имен сетевых объектов |
||
|
|
|
|
|
Сетевые объекты |
|
Шаблон имени |
|
|
|
|
|
|
|
Рабочие станции |
|
отдел-номер_станции |
|
|
|
|
Пример: razrabotki-07, buhgalterija-01 |
||
|
|
|
||
Печатающие устройства |
|
отдел-количество_цветов_печати |
||
|
|
Пример: |
reklamnyj-color, |
planovyj- |
|
|
monochrome |
|
|
|
|
|
|
|
331
Логическая организация сетевой инфраструктуры.
Схема Active Directory
В качестве централизованного средства администрирования и управления сетевой средой используется служба каталогов Active Directory. Для организаций, внедряющих Microsoft Windows Server 2003, модель домена Active Directory является наиболее предпочтительной и рекомендованной компанией
Microsoft. База данных службы каталогов устанавливается на один или несколько компьютеров – контроллеров домена.
В данном проекте в сети организации используется один домен - develsoft.local. В качестве DNS-суффикса домена используется ".local", что является рекомендованным к применению в частных сетях. Для работы Active Directory требуется служба DNS, поэтому контроллер домена DomainController
является также севером DNS, который, в свою очередь, является основным методом разрешения имен хостов в сети.
Для назначения IP-конфигурации рабочим станциям внутренней сети и беспроводным клиентам применяется служба DHCP. При этом компьютер
ISAServer самостоятельно обслуживает область адресов, которые выдаются беспроводным клиентам, а область адресов, соответствующая внутренней сети,
обслуживается компьютерами DomainController и ISAServer одновременно, в
соответствие с правилом 80/20. Таким образом, в случае отказа одного из серверов, второй сервер примет на себя его функции по предоставлению IP-
конфигурации клиентам внутренней сети и обеспечит бесперебойную работу.
332
Схема Active Directory приведена на рисунке 3.
Develsoft.local
Servers
DC’s
DomainController
Firewall
ISAServer
Workstations
Client-0x
Users
Direction
Personnel_department
Accounts_department
Planning_department
Development_department
Sales_department
Department_on_work_with_clients
Law_department
Advertising_department
IT_department
Рис. 3. Схема Active Directory
333
Структура каталогов для хранения данных
Предлагается использовать следующую структуру каталогов для
организации файлового архива компании (рис. 4)
Shared
Direction
Personnel_department
Accounts_department
Planning_department
Development_department
Sales_department
Department_on_work_with_clients
Law_department
Advertising_department
IT_department
Рис. 4. Структура каталогов для хранения данных
334
3. Порядок выполнения работы
Установка и настройка Windows Server 2003
Характерные этапы установки Windows Server 2003 описаны в задании №1.
После установки и активации Windows можно настроить сервер, используя хорошо продуманную страницу Управление данным сервером (Manage Your
Server) (рис. 5), которая автоматически открывается при входе в систему. Эта страница упрощает установку некоторых служб, инструментов и конфигураций в зависимости от роли сервера. Щелкните кнопку Добавить или удалить роль
(Add Or Remove A Role), появится окно Мастера настройки сервера (Configure Your Server Wizard).
Рис. 5. Страница Управление данным сервером
335
Если установить переключатель Типовая настройка для первого сервера
(Typical Configuration For A First Server), мастер сделает сервер контроллером нового домена, установит службы Active Directory и при необходимости службы
DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol) и RRAS (Routing And Remote Access).
Если установить переключатель Особая конфигурация ( Custom
Configuration ), мастер может настроить следующие роли.
Файловый сервер (File Server). Обеспечивает централизованный доступ
к файлам и
каталогам для пользователей, отделов и организации в целом. Выбор этого варианта позволяет управлять пользовательским дисковым пространством путем
включения и
настройки средств управления дисковыми квотами и ускорить поиск в файловой
системе за счет активизации Службы индексирования (Indexing Service).
Сервер печати (Print Server). Обеспечивает централизованное управление печатающими устройствами, предоставляя клиентским компьютерам доступ к общим принтерам и их драйверам. Если выбрать этот вариант, запустится Мастер установки принтеров (Add Printer),
позволяющий установить принтеры и соответствующие драйверы. Кроме того, мастер устанавливает службы IIS 6.0 (Internet Information Services),
настраивает протокол печати IPP (Internet Printing Protocol) и Web -
средства управления принтерами.
Application Server IIS, ASP.NET (Сервер приложений IIS, ASP.NET).
Предоставляет компоненты инфраструктуры, которые требуются для поддержки размещения Web - приложений. Эта роль устанавливает и настраивает I IS 6.0, ASP.NET и СОМ+.
336
Mail Server РОРЗ, SMTP (Почтовый сервер РОРЗ, SMTP ).
Устанавливает РОРЗ и SMTP , чтобы сервер мог выступать в роли почтового сервера для клиентов РОРЗ.
Сервер терминалов (Terminal Server). Позволяет множеству пользователей с помощью клиенского ПО Службы терминалов (Terminal
Services) или Дистанционное управление рабочим столом (Remote
Desktop) подключаться к приложениям и ресурсам сервера, например принтерам или дисковому пространству, как если бы эти ресурсы были установлены на их компьютерах. В отличие от Windows 2000, Windows Server 2003 предоставляет Дистанционное управление рабочим столом
автоматически. Роли сервера терминалов требуются, только когда нужно размещать приложения для пользователей на сервере терминалов.
Сервер удаленного доступа или VPN-сервер (Remote Access/VPN
Server). Обеспечивает маршрутизацию по нескольким протоколам и службы удаленного доступа для коммутируемых, локальных (LAN) и
глобальных (WAN) вычислительных сетей. Виртуальная частная сеть
(virtual private network, VPN) обеспечивает безопасное соединение пользователя с удаленными узлами через стандартные интернет-
соединения.
Контроллер домена Active Directory (Domain Controller Active Directory). Предоставляет службы каталогов клиентам сети. Этот вариант позволяет создать контроллер нового или существующего домена и установить DNS . Если выбрать эту роль, запускается Мастер установки
Active Directory (Active Directory Installation Wizard).
DNS Server (DNS -сервер). Обеспечивает разрешение имен узлов: DNS -
имена преобразуются в IP-адреса (прямой поиск) и обратно (обратный поиск). Если выбрать этот вариант, устанавливается служба DNS и
запускается Мастер настройки DNS-cepвepa (Configure A DNS Server Wizard).
337
DHCP-сервер (DHCP Server). Предоставляет службы автоматического выделения IP-адресов клиентам, настроенным на динамическое получение
IP-адресов. Если выбрать этот вариант, устанавливаются службы DHCP и
запускается Мастер создания области (New Scope Wizard), позволяющий определить один или несколько диапазонов IP-адресов в сети.
Сервер потоков мультимедиа (Streaming Media Server). Предоставляет службы WMS (Windows Media Services), которые позволяют серверу передавать потоки мультимедийных данных в интрасети или через Интернет. Содержимое может храниться и предоставляться по запросу или в реальном времени. Если выбрать этот вариант, устанавливается сервер WMS.
WlNS-сервер (WINS Server). Обеспечивает разрешение имен компьютеров путем преобразования имен NetBIOS в IP-адреса.
Устанавливать службу WINS (Windows Internet Name Service) не требуется, если вы не поддерживаете старые ОС, например Windows 95
или NT. Такие ОС, как Windows 2000 и ХР не требуют WINS, хотя старым приложениям, работающим на этих платформах, может понадобиться
разрешать имена NetBIOS. Если выбрать этот вариант, устанавливается сервер WINS.
Сети Microsoft Windows поддерживают две модели служб каталогов:
рабочую группу (workgroup) и домен (domain). Для огранизаций, внедряющих
Windows Server 2003, модель домена наиболее предпочтительна. Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, —
которому доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного хранилища и сообщает «кто есть кто» в этом домене.
Впрочем, Active Directory — не просто база данных. Это коллекция файлов,
338
включая журналы транзакций и системный том ( Sysvol ), содержащий сценарии входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД, включая протокол LDAP (Lightweight
Directory Access Protocol), протокол безопасности Kerberos, процессы репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который можно запустить с помощью Мастера настройки сервера (как показано в лабораторной работе № 1, упражнение 2). После того как сервер становится контроллером домена, на нем хранится копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные контроллеры домена.
Active Directory не может существовать без домена и наоборот. Домен — это основная административная единица службы каталогов. Однако предприятие может включить в свой каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют непрерывное пространство имен DNS, они образуют логические структуры, называемые
деревьями (tree).
Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются в самую большую структуру Active
Directory — лес (forest). Лес Active Directory содержит все домены в рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый глобальным каталогом
(global catalog): он предоставляет информацию об объектах, расположенных в других доменах леса.
339
Служба DNS
Сервер каталогов Active Directory тесно связан со службой DNS.
Собственно говоря, без нее он работать не будет. Он использует эту службу для поиска информации в сети точно так же, как и клиентские компьютеры. Сервер
DNS — еще один важный компонент для правильного функционирования домена Active Directory.
В нашей сети мы уже установили сервер DNS и создали зону DNS под именем, соответствующим задуманному имени домена Active Directory develsoft.local. Исходя из того, что служба DNS — неотделимая составная часть домена Active Directory, мастер установки домена производит ее поиск и, если она еще не установлен, предлагает ее автоматическую установку и настройку.
Зона DNS — это непрерывная часть пространства имен, обслуживаемая полномочным сервером. Сервер может выполнять роль полномочным в одной или нескольких зонах, а зона может содержать один или несколько смежных доменов. Сервер DNS является полномочным для зоны, если он обслуживает ее в качестве основного или дополнительного DNS-сервера. Зона DNS хранит записи ресурсов, необходимые для ответов на запросы в пределах своей части пространства имен DNS.
DNS-серверы являются полномочными для зон, которые на них размещаются. Зоны прямого просмотра отвечают на запросы об IP-адресах, а
зоны обратного просмотра — на запросы о полных доменных именах.
DNS-сервер, на котором размещается основная зона, называется основным
DNS-сервером. Основные DNS-серверы хранят исходную зонную информацию.
В Windows Server 2003 можно использовать зоны двух типов: стандартные основные зоны или зоны, интегрированные с Active Directory. В последнем случае данные зоны хранятся в Active Directory.
DNS-сервер, на котором размещается дополнительная зона, называется дополнительным DNS-сервером. Дополнительные DNS-серверы являются полномочными резервными серверами для основного сервера. Серверы, от
340