рефераты конспекты курсовые дипломные лекции шпоры
- Раздел Компьютеры
- /
- Безопасность в сети
Реферат Курсовая Конспект
Безопасность в сети
Безопасность в сети - раздел Компьютеры, Глава 13 Безопасность В Се...
ГЛАВА 13
Безопасность в сети
Занятие 1. Пароли 364
Занятие 2. Модели защиты 374
Занятие 3. Брандмауэры 379
Занятие 4. Безопасные протоколы 386
В этой главе
Обеспечение безопасности в сети — рутинная работа сетевого администратора. Причем заботиться приходится о защите как конфиденциальных данных пользователей, так и файлов ОС и приложений. Для данных различных видов требуются разные виды защиты, поэтому для ее организации в сети предусмотрено несколько механизмов. Сетевая безопасность — объемная и сложная тема. В этой главе рассматриваются лишь основные инструменты и приемы защиты сети от случайного и преднамеренного ущерба.
Прежде всего
Для изучения этой главы необходимо общее знакомство с ОС Microsoft Windows и компьютерными сетями. Чтобы понять действие брандмауэров и безопасных протоколов, просмотрите описание протоколов TCP/IP в занятии 1 главы 6и в занятии 1 главы 8.
Занятие 1. Пароли
Практически в любых ОС и на любых компьютерах для управления доступом пользователей к сетевым ресурсам используются пароли. В сетях, требующих чрезвычайных мер защиты, место паролей занимают более изощренные средства идентификации пользователей, например, смарт-карты — устройства, внешне похожие на пластиковые банковские карты с магнитной полосой. Чтобы получить доступ к компьютеру, пользователь проводит картой через специальный считывающий прибор, подключенный к компьютеру. Имеются на рынке и биометрические устройства, идентифицирующие пользователей по уникальным физическим характеристикам, например, по отпечатку большого пальца или радужной оболочке глаза. Конечно, в большинстве сетей такой уровень контроля совершенно излишен, и их администраторы для ограничения доступа к дискам, приложениям и другим ресурсам целиком полагаются на пароли.
Изучив материал этого занятия, Вы сможете:
сказать, какого гипа пароли обеспечинакл
максимальную защиту;
описать основные правила использования паролей
в Microsoft Windows 2000 и других ОС.
Продолжительность занятия — 20 минут
Пароль может стать идеальной защитой сетевых ресурсов или оказаться совершенно бессмысленным. Все зависит от политики, проводимой сетевым администратором в отношении назначения паролей. Дайте пользователям полную свободу в этом вопросе, и они наприду-мывают коротеньких, легко запоминающихся паролей, причем менять их будут крайне редко, а то и вовсе никогда. Широко распространена практика использования в качестве пароля собственного имени, инициалов, дня рождения или вообще пустой строки. Конечно, в таком пароле нет никакого толка, поскольку потенциальный злоумышленник начнет его подбор именно с перечисленных вариантов.
Конечно, практику назначения паролей можно довести и до крайности. Некоторые администраторы назначают пароли сами, чтобы исключить использование простых и очевидных последовательностей символов, но небезопасными могут оказаться и сложные пароли. Представьте, что Вы для полной безопасности назначаете пароли, состоящие из случайных последовательностей букв и цифр. Будьте
уверены: пользователи, не наделенные феноменальной памятью, запишут пароли на бумажках и приклеят их на видное место, например, на монитор. Понятно, что такие сложные пароли ничуть не лучше простых (да и работы администратору прибавляется).
Разумеется, между двумя этими крайностями есть золотая середина. В большинстве ОС администратору предлагаются способы определения правил применения паролей («политики»), например, задание минимальной длины пароля или интервала, по прошествии которого пароль нужно сменить. Пользователи по-прежнему назначают пароли самостоятельно, но с ограничениями, указанными администратором. В итоге пользователь получает пароль, который ему относительно легко запомнить, а администратор спокоен за безопасность сети. Конечно, для верного выбора правил назначения паролей нужно обладать не только техническими, но и психологическими познаниями. Чрезмерно «закрутив гайки», Вы провоцируете пользователей на открытое неповиновение. В следующих разделах обсуждаются инструменты, с помощью которых задаются правила использования паролей.
Примечание Задать правила использования паролей, как правило, можно в сетевых ОС, использующих для распознавания пользователей и организации доступа к сетевым ресурсам службы каталога различного вида, например, на контроллерах доменов Windows 2000/NT или на серверах Novell NetWare. А вот в Windows 95/98/Ме это сделать невозможно.
Параметры пароля для данной учетной записи
* Потребовать смену пароля при следующем входе в систему (User must change password at next logon).Позволяет администратору назначать всем вновь… * Запретить смену пароля пользователем (User cannot change password).Запрещает…Минимальная длина пароля
Как и другие правила применения паролей, их минимальная длина задается различными способами. В Windows 2000 Вы устанавливаете длину пароля с… Примечание Каждой политике, указанной в окне Политика безопасности домена (Domain Security Policy), соответствует…Периодичность изменения пароля
Выше говорилось, что администратор может при создании учетной записи задать для нее временный пароль с тем, чтобы пользователь сменил его при… Случается, что пользователь привыкает к одному паролю и расстается с ним крайне неохотно, при малейшей возможности…Борьба с простыми паролями
Совет Помните, что пароль, в котором перемешаны прописные и строчные буквы, трудно также и набирать, поэтому не увлекайтесь. Обычно в пароли можно включать также цифры и некоторые спецсимволы, что делает… В отличие от описанных способов управления паролями, указание уровня их сложности не так распространено. Это можно…Управление шифрованием пароля
Блокировка учетной записи
• Блокировка учетной записи на (Account lockout duration).Время в минутах, в течение которого учетная запись остается блокированной после заданного… этой политики означает, что учетная запись заблокирована до тех пор, пока…Упражнение 13.1. Правила использования паролей
Для правила в левой колонке укажите наиболее подходящую политику в правой.
Правило Политика
попыток регистрации паролей (Enforce password history) (продолжение) Правило ПолитикаКраткое содержание занятия
• Чтобы пароль действительно защищал сетевые ресурсы, он должен отвечать определенным требованиям.
• В большинстве ОС администратор может задавать правила создания паролей.
• Хороший пароль состоит из сочетания не менее 5-6 букв верхнего и нижнего регистров, цифр и спецсимволов.
• Пользователи должны регулярно изменять пароли, избегая их повторного использования.
• После заданного числа неудачных попыток регистрации учетная запись должна автоматически блокироваться.
Закрепление материала
a. Пароль не должен полностью или частично включать имя пользователя учетной записи. b. Пароль должен меняться еженедельно. c. Пароль должен быть не короче 6 символов.Продолжительность занятия -10 минут
В клиент-серверной сети учетные записи хранятся централизованно. При регистрации пользователя в сети компьютер, за которым он работает, передает… В Windows и большинстве других ОС различают две основные модели защиты —…Защита на уровне пользователя
разрешается делать (рис. 13.7). В Windows NT/2000 всегда используется защита на уровне пользователя — как в клиент-серверном, так и в одноранговом… Допустим, у Марка Ли (Mark Lee) на его собственном компьютере есть учетная запись с именем пользователя mlee. Для…Защита на уровне ресурсов
(рис. 13.8). Пароли ресурсов хранятся на компьютерах, к которым они подключены. Защита на уровне ресурсов не обладает гибкостью защиты на уровне пользователя и не обеспечивает ту же степень…Упражнение 13.2. Уровни защиты
Укажите, какие из приведенных утверждений верны для защиты на уровне пользователя, ресурсов, для обеих моделей, ни для одной.
1. Обязательно наличие службы каталога.
2. Все пользователи используют один и тот же пароль.
3. Обеспечены разные уровни доступа к общим сетевым ресурсам.
4. Пароли хранятся на отдельных компьютерах.
5. Необходимо создавать несколько учетных записей для одного пользователя.
Краткое содержание занятия
• В клиент-серверных сетях регистрационные данные хранятся в централизованной БД. В одноранговой сети — на каждом компьютере отдельно.
• Защита на уровне пользователя основана на создании для каждого пользователя сети учетной записи. Доступ к сетевому ресурсу предоставляется конкретному пользователю.
• При использовании защиты на уровне ресурсов пароли присваиваются конкретным сетевым ресурсам. Для доступа к ресурсу один и тот же пароль используют все пользователи сети.
Закрепление материала
1. Где хранятся аутентификационные данные в одноранговой сети с защитой на уровне пользователя?
a. На контроллере домена.
b. В службе каталога.
c. Индивидуально на каждом компьютере.
d. На центральном сервере.
2. Почему с точки зрения безопасности защита на уровне пользователя предпочтительнее защиты на уровне ресурсов?
Занятие 3. Брандмауэры
Механизмы защиты, о которых мы говорили до сих пор, действуют в основном в пределах одной сети, т. е. ограничивают доступ пользователей одной ЛВС или интерсети только теми файлами и ресурсами, которые нужны им для работы. Защита такого рода очень важна, но, как правило, не связана с неожиданностями. Целый океан потенциальных опасностей плещется вне частной интерсети, а входят они в нее через главный канал связи с внешним миром — подключение к Интернету. Брандмауэром (firewall) называется устройство или программа, защищающая сеть от неавторизованного доступа извне. Если Ваша сеть подключена к Интернету, Вы просто обязаны оградить ее брандмауэром, чтобы враг не разрушил все то, что Вы с таким трудом и тщанием создавали.
Совет Обычно брандмауэры применяют для защиты частной сети или интерсети от неавторизованного доступа через Интернет. Однако ничто не мешает Вам использовать брандмауэры и для внутреннего употребления, чтобы защитить часть сети от неавторизованного доступа из других ее частей. Например, брандмауэром можно оградить ЛВС бухгалтерии.
изучив материал этого занятия, Вы сможете:
рассказать, как с помощью фильтрования пакетов защитить сеть от неавторизованного доступа;
понять, как компьютеры, включенные в сеть, с помощью NAT (Network Address Translation) могут выходить
в Интернет с незарегистрированными 1Р~адресами;
описать защиту компьютеров в сети ка прикладном уровне с помбшью прокси-серверов и их использование для ограничения доступа пользователей в Интернет.
Продолжительность занятия - 20 минут
щего трафика. В других случаях брандмауэр — это программа, работающая на обычном компьютере. Раньше брандмауэры отличались сложностью, чрезвычайной… Для проверки сетевого трафика и обнаружения потенциальных угроз разработано…Фильтрование пакетов
• Аппаратныеадреса. Передавать данные в другую сеть разрешается только определенным компьютерам. Для защиты сетей от неавторизованного доступа… • IP-адреса.Передавать данные в другую сеть разрешается только на заданные… • Идентификаторы протоколов.Через фильтр пропускаются только пакеты, IP-дейтаграммы в которых созданы заданными…NAT
Технология трансляции сетевых адресов (Network Address Translation, NAT) действует на сетевом уровне и защищает компьютеры от вторжения из Интернета, маскируя их IP-адреса. Если Ваша сеть подклю-
чена к Интернету, но не защищена брандмауэром, каждому компьютеру в ней должен быть назначен зарегистрированный IP-адрес, чтобы он мог обмениваться информацией с другими компьютерами. Зарегистрированный IP-адрес по определению из Интернета «виден», а это означает, что любой пользователь, проявив немного изобретательности, может получить доступ к компьютерам Вашей сети и ко всем их ресурсам. Результаты могут оказаться катастрофическими. Благодаря NAT у Вас появляется возможность назначать компьютерам незарегистрированные IP-адреса, после чего доступ к ним из Интернета получить уже не удастся. Под незарегистрированными адресами понимаются адреса из диапазона, специально выделенного для использования в частных сетях. Ни за одним пользователем Интернета эти адреса не закреплены.
ПримечаниеПодробнее о регистрации IP-адресов — в главе 8.
Есликомпьютерам в сети назначены незарегистрированные IP-адреса, внешним пользователям эти компьютеры не видны. Но это также означает, что в Вашу сеть не попадут пакеты, посылаемые серверами Интернета. Иными словами, пользователи смогут отправлять данные в Интернет, но не смогут получать их оттуда.
Чтобы сделать доступ в Интернет двусторонним, на маршрутизаторе, стоящем между сетью и Интернетом, нужно использовать NAT. Когда один из компьютеров в сети пытается выйти в Интернет, например, с помощью Web-браузера, пакет с HTTP-запросом, сгенерированный браузером, в поле IP-заголовка Source IP Address содержит частный IP-адрес компьютера. Пакет достигает маршрутизатора, там программа NAT заменяет частный адрес компьютера на свой собственный, зарегистрированный IP-адрес и отправляет пакет по назначению. Обработав запрос, сервер Интернета отправляет ответ по IP-адресу маршрутизатора NAT. Тот подставляет в поле Destination IP Address исходный частный адрес и отправляет пакет системе-клиенту. Таким образом обрабатываются все без исключения отправляемые и получаемые пакеты. Маршрутизатор NAT выступает в качестве посредника между сетью и Интернетом. Из Интернета виден только зарегистрированный IP-адрес маршрутизатора, поэтому риск нападения угрожает только ему.
NAT — очень популярное средство защиты, которое реализовано во многих брандмауэрах, начиная со сложных дорогостоящих систем до недорогих комплексов, обеспечивающих выход в Интернет с нескольких компьютеров в домашних и небольших коммерческих се-
тях. Именно на принципах NAT основана функция совместного доступа к Интернету ICS (Internet Connection Sharing), включенная в последние версии Windows.
Действие NAT демонстрируются в видеоролике NATиз пап ки Demos на прилагаемом к книге компакт-диске.
Прокси-сервер
Кроме того, прокси-серверы выполняют и другие функции. Как уже говорилось, они кэшируют информацию, поступающую из Интернета. Если другой клиент… Неудобство прокси-серверов в том, что их использование должно быть вручную… В общем, если Вы собираетесь регулировать доступ пользователей сети в Интернет, например, ограничив выбор доступных им…Краткое содержание занятия
• Брандмауэр защищает сеть от вмешательства извне, с помощью нескольких методов ограничивая трафик между нею и Интернетом.
• Фильтрование пакетов означает, что маршрутизатор решает, пропустить пакет в сеть или нет, опираясь на содержимое заголовков протоколов.
• NAT позволяет использовать для компьютеров в сети незарегистрированные IP-адреса и вместе с тем работать в Интернете. Для этого специальный маршрутизатор модифицирует содержимое IP-заголовков всех пакетов.
• Прокси-сервер действует на прикладном уровне как посредник между клиентами в сети и серверами в Интернете. На использование прокси-сервера приложение нужно настраивать. С помощью прокси-сервера администратор может ограничить доступ пользователей сети к определенным ресурсам Интернета.
Закрепление материала
a. Номера портов. b. IP-адреса. c. Аппаратные адреса.Продолжительность занятия — 20 минут
Протоколы IPSec
IPSec состоит из двух самостоятельных протоколов, обеспечивающих различные уровни защиты. Протокол АН (Authentication Header) выполняет проверку… Протокол АН добавляет в дейтаграмму, сгенерированную передающим компьютером,… отвечать на сообщение, и код проверки целостности (integrity check value, ICV), с помощью которого принимающий…Протокол L2TP
на. В действительности кадр РРР может даже содержать данные протоколов IPX или NetBEUI. Собственных возможностей для шифрования в протоколе L2TPнет. Создавать…Протокол SSL
Подобно IPSec, SSL выполняет проверку подлинности и шифрование. За проверку подлинности отвечает протокол SSLHP (SSL Handshake Protocol), он также…Протокол Kerberos
Регистрируясь в сети, в которой используется Kerberos, клиент посылает запрос серверу аутентификации, на котором хранятся имя его учетной записи и… Серверный билет временно открывает определенному клиенту доступ к…Упражнение 13.3. Безопасные протоколы
Для протокола в левой колонке найдите соответствующее описание в правой.
Протокол Описание
Handshake Protocol Обеспечивает шифрование для IPSec
ESP Инкапсулирует кадры РРР в дейтаграммы UDP
L2TP Выполняет проверку подлинности для Active
Directory
АН Выполняет проверку подлинности для SSL
Kerberos Выполняет проверку подлинности для IPsec
Краткое содержание занятия
• IPSec — это набор стандартов TCP/IP, обеспечивающих проверку подлинности и шифрование данных в сетевых коммуникациях.
• Протокол L2TP создает туннели в виртуальных частных сетях, данные в которых шифруются средствами IPSec.
• Безопасный протокол SSL используется для проверки подлинности и шифрования данных Web-серверами и браузерами.
• Протокол Kerberos используется службами каталога, чтобы предо ставить пользователю единую точку входа в сеть.
Закрепление материала
a. L2TP (самим собой). b. АН. c. ESP.– Конец работы –
Используемые теги: Безопасность, сети0.047
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Безопасность в сети
Что будем делать с полученным материалом:
Если этот материал оказался полезным для Вас, Вы можете сохранить его на свою страничку в социальных сетях:
| Твитнуть |
Хотите получать на электронную почту самые свежие новости?
Подпишитесь на Нашу рассылку
Реклама
Информация в виде рефератов, конспектов, лекций, курсовых и дипломных работ имеют своего автора, которому принадлежат права. Поэтому, прежде чем использовать какую либо информацию с этого сайта, убедитесь, что этим Вы не нарушаете чье либо право.
© copyright 1999 - 2024 allRefs.net. Все права защищены. Страница сгенерирована за: 0.107 сек.
Новости и инфо для студентов