- •Федеральное агентство связи
- •Колледж связи
- •Конспект лекций
- •Оглавление
- •Раздел 1. Программно-аппаратный комплекс аис
- •Назначение ос NetWare
- •Тема 1.2. Системы хранения данных. Резервные центры.
- •«Полусинхронная»
- •Иерархическое хранение (hsm)
- •Виртуализация систем хранения
- •Multipathing
- •Раздел 2. Сетевые операционные системы Тема 2.1. Задачи и цели сетевого администрирования.
- •Тема 2.2. Понятие о сетевых протоколах и службах.
- •Раздел 3. Серверная операционная система с закрытым кодом
- •Тема 3.1. Протокол tcp/ip. Служба dns.
- •Тема 3.2. Правила адресации узлов ip-сетей и алгоритмы взаимодействия узлов.
- •Типы адресов: физический (mac-адрес), сетевой (ip-адрес) и символьный (dns-имя)
- •Три основных класса ip-адресов
- •Соглашения о специальных адресах: broadcast, multicast, loopback
- •Тема 3.3. Служба каталогов Active Directory. Управление системой безопасности сети.
- •Классификация вторжений
- •Физическая безопасность
- •Утилизация старых компьютеров
- •Программный доступ
- •Идентификация пользователей
- •Системные демоны и службы
- •Службы tcp/ip, которые иногда можно отключить
- •Образец политики корпоративной безопасности
- •Тема 3.4. Механизм групповых политик.
- •Тема 3.5. Задачи сетевого администратора при управлении инфраструктурой службы каталогов.
- •Тема 3.6. Служба файлов и печати. Общие ресурсы. Общие принтеры.
- •Тема 3.7.Сетевые протоколы. Основные инфраструктурные сетевые службы — dhcp, wins, rras.
- •Тема 3.8. Служба резервного копирования. Архивирование и восстановление системы.
- •Раздел 4. Технология построения web-серверов Тема 4.1. Технология построения web-серверов.
- •Тема 4.2. Web-сервер Apache. Стандартные и дополнительные модули.
- •Тема 4.3. Конфигурирование web-сервера Apache.
- •Раздел 5. Специализированные программные пакеты и системные утилиты
- •Раздел 6. Установка и сопровождение клиентского по.
Утилизация старых компьютеров
При обновлении сети и установке новых рабочих станций и серверов старое, ненужное оборудование часто передают сотрудникам компании или другим организациям, например школам. В политике обеспечения безопасности должно быть правило, согласно которому со всех жестких дисков, подлежащих списанию, должны быть удалены данные, а при необходимости - заново установлена легальная копия операционной системы. Там же должна быть описана процедура утилизации использованных дискет, компакт-дисков и картриджей с резервными копиями. При малейшем подозрении, что на них могла сохраниться важная информация, которую можно восстановить, лучше сначала разбить эти носители и только потом выбросить. Хорошим средством уничтожения информации с таких носителей является магнитное устройство "тотального" стирания.
Программный доступ
Кроме физического, следует ограничить и программный доступ к сети. И все равно, независимо от того насколько хорошо налажен контроль доступа, всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть и насколько это удалось.
Существует несколько типовых механизмов управления доступом к сети:
пользовательские учетные записи и пароли;
физические идентификаторы;
защита ресурсов.
Во многих операционных системах важной частью этой схемы является концепция владения ресурсами. Например, в OpenVMS и Windows 2000/Server 2003 отслеживаются пользователи, создающие ресурсы (такие как файлы). Владельцы таких ресурсов имеют право изменять режим защиты файла и предоставлять другим пользователям полномочия, необходимые для работы с этим файлом. То же самое, хотя и в меньшей степени, можно сказать об операционных системах Unix/Linux.7
Идентификация пользователей
Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. Управление такими системами обычно не представляет сложностей. В Windows 2000/XP и Server 2003 можно создавать обособленные защищенные зоны управления - домены. Сетевой администратор может предоставить пользователям домена права доступа к ресурсам любого компьютера, будь то сервер или рабочая станция. Кроме того, при сотрудничестве администраторов между доменами могут быть установлены доверительные отношения, в результате чего пользователи получат доступ к сетевым ресурсам другого домена по той же учетной записи и паролю. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам могут применяться групповые политики.
В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.
В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера.
В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов, или регистрация на удаленной системе, используются утилиты удаленной работы, обычно называемые r-командами (их имена начинаются буквой r). Такие утилиты очень полезны в сетевой среде, где один пользователь работает на нескольких компьютерах, но часто вызывают проблемы с безопасностью: ведь для выполнения команды на удаленном хосте пользователю достаточно иметь действительную для этого хоста учетную запись.
Вместо пароля право доступа определяется записью в файле /etc/hosts.equiv или.rhosts. Удаленный компьютер доверяет компьютеру, на котором пользователь выполняет r-команду, если находит в одном из этих файлов соответствующую запись. Каждая запись файла /etc/hosts.equiv содержит имя хоста и имя пользователя и позволяет идентифицировать пользователей и хосты, которым разрешено выполнять соответствующие команды. Поэтому ввода пароля не требуется. Считается, если пользователь зарегистрировался на удаленном хосте, то он уже прошел аутентификацию. Файл.rhosts работает подобным образом, но находится в домашнем каталоге пользователя. Удаленные пользователи, указанные в этом файле, могут выполнять действия на основании своих учетных записей.
Несмотря на то, что в большинстве операционных систем Unix и Linux сохранились базовые r-команды, теперь у них появилась альтернатива - утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием. Более подробные сведения о SSH можно получить по адресу, а бесплатные версии SSH-утилит - на веб-сайте.
Все это очень напоминает механизм доверительных отношений Windows NT/2000/Server 2003/XP - но все же это разные механизмы. Злоумышленник легко может выдать себя за удаленный узел и получить доступ к системе Unix/Linux посредством r-команд.