ГЛАВА 13
Безопасность в сети
Занятие 1. Пароли 364
Занятие 2. Модели защиты 374
Занятие 3. Брандмауэры 379
Занятие 4. Безопасные протоколы 386
В этой главе
Обеспечение безопасности в сети — рутинная работа сетевого администратора. Причем заботиться приходится о защите как конфиденциальных данных пользователей, так и файлов ОС и приложений. Для данных различных видов требуются разные виды защиты, поэтому для ее организации в сети предусмотрено несколько механизмов. Сетевая безопасность — объемная и сложная тема. В этой главе рассматриваются лишь основные инструменты и приемы защиты сети от случайного и преднамеренного ущерба.
Прежде всего
Для изучения этой главы необходимо общее знакомство с ОС Microsoft Windows и компьютерными сетями. Чтобы понять действие брандмауэров и безопасных протоколов, просмотрите описание протоколов TCP/IP в занятии 1 главы 6и в занятии 1 главы 8.
Занятие 1. Пароли
Практически в любых ОС и на любых компьютерах для управления доступом пользователей к сетевым ресурсам используются пароли. В сетях, требующих чрезвычайных мер защиты, место паролей занимают более изощренные средства идентификации пользователей, например, смарт-карты — устройства, внешне похожие на пластиковые банковские карты с магнитной полосой. Чтобы получить доступ к компьютеру, пользователь проводит картой через специальный считывающий прибор, подключенный к компьютеру. Имеются на рынке и биометрические устройства, идентифицирующие пользователей по уникальным физическим характеристикам, например, по отпечатку большого пальца или радужной оболочке глаза. Конечно, в большинстве сетей такой уровень контроля совершенно излишен, и их администраторы для ограничения доступа к дискам, приложениям и другим ресурсам целиком полагаются на пароли.
Изучив материал этого занятия, Вы сможете:
сказать, какого гипа пароли обеспечинакл
максимальную защиту;
описать основные правила использования паролей
в Microsoft Windows 2000 и других ОС.
Продолжительность занятия — 20 минут
Пароль может стать идеальной защитой сетевых ресурсов или оказаться совершенно бессмысленным. Все зависит от политики, проводимой сетевым администратором в отношении назначения паролей. Дайте пользователям полную свободу в этом вопросе, и они наприду-мывают коротеньких, легко запоминающихся паролей, причем менять их будут крайне редко, а то и вовсе никогда. Широко распространена практика использования в качестве пароля собственного имени, инициалов, дня рождения или вообще пустой строки. Конечно, в таком пароле нет никакого толка, поскольку потенциальный злоумышленник начнет его подбор именно с перечисленных вариантов.
Конечно, практику назначения паролей можно довести и до крайности. Некоторые администраторы назначают пароли сами, чтобы исключить использование простых и очевидных последовательностей символов, но небезопасными могут оказаться и сложные пароли. Представьте, что Вы для полной безопасности назначаете пароли, состоящие из случайных последовательностей букв и цифр. Будьте
уверены: пользователи, не наделенные феноменальной памятью, запишут пароли на бумажках и приклеят их на видное место, например, на монитор. Понятно, что такие сложные пароли ничуть не лучше простых (да и работы администратору прибавляется).
Разумеется, между двумя этими крайностями есть золотая середина. В большинстве ОС администратору предлагаются способы определения правил применения паролей («политики»), например, задание минимальной длины пароля или интервала, по прошествии которого пароль нужно сменить. Пользователи по-прежнему назначают пароли самостоятельно, но с ограничениями, указанными администратором. В итоге пользователь получает пароль, который ему относительно легко запомнить, а администратор спокоен за безопасность сети. Конечно, для верного выбора правил назначения паролей нужно обладать не только техническими, но и психологическими познаниями. Чрезмерно «закрутив гайки», Вы провоцируете пользователей на открытое неповиновение. В следующих разделах обсуждаются инструменты, с помощью которых задаются правила использования паролей.
Примечание Задать правила использования паролей, как правило, можно в сетевых ОС, использующих для распознавания пользователей и организации доступа к сетевым ресурсам службы каталога различного вида, например, на контроллерах доменов Windows 2000/NT или на серверах Novell NetWare. А вот в Windows 95/98/Ме это сделать невозможно.
Упражнение 13.1. Правила использования паролей
Для правила в левой колонке укажите наиболее подходящую политику в правой.
Краткое содержание занятия
• Чтобы пароль действительно защищал сетевые ресурсы, он должен отвечать определенным требованиям.
• В большинстве ОС администратор может задавать правила создания паролей.
• Хороший пароль состоит из сочетания не менее 5-6 букв верхнего и нижнего регистров, цифр и спецсимволов.
• Пользователи должны регулярно изменять пароли, избегая их повторного использования.
• После заданного числа неудачных попыток регистрации учетная запись должна автоматически блокироваться.
Упражнение 13.2. Уровни защиты
Укажите, какие из приведенных утверждений верны для защиты на уровне пользователя, ресурсов, для обеих моделей, ни для одной.
1. Обязательно наличие службы каталога.
2. Все пользователи используют один и тот же пароль.
3. Обеспечены разные уровни доступа к общим сетевым ресурсам.
4. Пароли хранятся на отдельных компьютерах.
5. Необходимо создавать несколько учетных записей для одного пользователя.
Краткое содержание занятия
• В клиент-серверных сетях регистрационные данные хранятся в централизованной БД. В одноранговой сети — на каждом компьютере отдельно.
• Защита на уровне пользователя основана на создании для каждого пользователя сети учетной записи. Доступ к сетевому ресурсу предоставляется конкретному пользователю.
• При использовании защиты на уровне ресурсов пароли присваиваются конкретным сетевым ресурсам. Для доступа к ресурсу один и тот же пароль используют все пользователи сети.
Закрепление материала
1. Где хранятся аутентификационные данные в одноранговой сети с защитой на уровне пользователя?
a. На контроллере домена.
b. В службе каталога.
c. Индивидуально на каждом компьютере.
d. На центральном сервере.
2. Почему с точки зрения безопасности защита на уровне пользователя предпочтительнее защиты на уровне ресурсов?
Занятие 3. Брандмауэры
Механизмы защиты, о которых мы говорили до сих пор, действуют в основном в пределах одной сети, т. е. ограничивают доступ пользователей одной ЛВС или интерсети только теми файлами и ресурсами, которые нужны им для работы. Защита такого рода очень важна, но, как правило, не связана с неожиданностями. Целый океан потенциальных опасностей плещется вне частной интерсети, а входят они в нее через главный канал связи с внешним миром — подключение к Интернету. Брандмауэром (firewall) называется устройство или программа, защищающая сеть от неавторизованного доступа извне. Если Ваша сеть подключена к Интернету, Вы просто обязаны оградить ее брандмауэром, чтобы враг не разрушил все то, что Вы с таким трудом и тщанием создавали.
Совет Обычно брандмауэры применяют для защиты частной сети или интерсети от неавторизованного доступа через Интернет. Однако ничто не мешает Вам использовать брандмауэры и для внутреннего употребления, чтобы защитить часть сети от неавторизованного доступа из других ее частей. Например, брандмауэром можно оградить ЛВС бухгалтерии.
изучив материал этого занятия, Вы сможете:
рассказать, как с помощью фильтрования пакетов защитить сеть от неавторизованного доступа;
понять, как компьютеры, включенные в сеть, с помощью NAT (Network Address Translation) могут выходить
в Интернет с незарегистрированными 1Р~адресами;
описать защиту компьютеров в сети ка прикладном уровне с помбшью прокси-серверов и их использование для ограничения доступа пользователей в Интернет.
NAT
Технология трансляции сетевых адресов (Network Address Translation, NAT) действует на сетевом уровне и защищает компьютеры от вторжения из Интернета, маскируя их IP-адреса. Если Ваша сеть подклю-
чена к Интернету, но не защищена брандмауэром, каждому компьютеру в ней должен быть назначен зарегистрированный IP-адрес, чтобы он мог обмениваться информацией с другими компьютерами. Зарегистрированный IP-адрес по определению из Интернета «виден», а это означает, что любой пользователь, проявив немного изобретательности, может получить доступ к компьютерам Вашей сети и ко всем их ресурсам. Результаты могут оказаться катастрофическими. Благодаря NAT у Вас появляется возможность назначать компьютерам незарегистрированные IP-адреса, после чего доступ к ним из Интернета получить уже не удастся. Под незарегистрированными адресами понимаются адреса из диапазона, специально выделенного для использования в частных сетях. Ни за одним пользователем Интернета эти адреса не закреплены.
ПримечаниеПодробнее о регистрации IP-адресов — в главе 8.
Есликомпьютерам в сети назначены незарегистрированные IP-адреса, внешним пользователям эти компьютеры не видны. Но это также означает, что в Вашу сеть не попадут пакеты, посылаемые серверами Интернета. Иными словами, пользователи смогут отправлять данные в Интернет, но не смогут получать их оттуда.
Чтобы сделать доступ в Интернет двусторонним, на маршрутизаторе, стоящем между сетью и Интернетом, нужно использовать NAT. Когда один из компьютеров в сети пытается выйти в Интернет, например, с помощью Web-браузера, пакет с HTTP-запросом, сгенерированный браузером, в поле IP-заголовка Source IP Address содержит частный IP-адрес компьютера. Пакет достигает маршрутизатора, там программа NAT заменяет частный адрес компьютера на свой собственный, зарегистрированный IP-адрес и отправляет пакет по назначению. Обработав запрос, сервер Интернета отправляет ответ по IP-адресу маршрутизатора NAT. Тот подставляет в поле Destination IP Address исходный частный адрес и отправляет пакет системе-клиенту. Таким образом обрабатываются все без исключения отправляемые и получаемые пакеты. Маршрутизатор NAT выступает в качестве посредника между сетью и Интернетом. Из Интернета виден только зарегистрированный IP-адрес маршрутизатора, поэтому риск нападения угрожает только ему.
NAT — очень популярное средство защиты, которое реализовано во многих брандмауэрах, начиная со сложных дорогостоящих систем до недорогих комплексов, обеспечивающих выход в Интернет с нескольких компьютеров в домашних и небольших коммерческих се-
тях. Именно на принципах NAT основана функция совместного доступа к Интернету ICS (Internet Connection Sharing), включенная в последние версии Windows.
Действие NAT демонстрируются в видеоролике NATиз пап ки Demos на прилагаемом к книге компакт-диске.
Краткое содержание занятия
• Брандмауэр защищает сеть от вмешательства извне, с помощью нескольких методов ограничивая трафик между нею и Интернетом.
• Фильтрование пакетов означает, что маршрутизатор решает, пропустить пакет в сеть или нет, опираясь на содержимое заголовков протоколов.
• NAT позволяет использовать для компьютеров в сети незарегистрированные IP-адреса и вместе с тем работать в Интернете. Для этого специальный маршрутизатор модифицирует содержимое IP-заголовков всех пакетов.
• Прокси-сервер действует на прикладном уровне как посредник между клиентами в сети и серверами в Интернете. На использование прокси-сервера приложение нужно настраивать. С помощью прокси-сервера администратор может ограничить доступ пользователей сети к определенным ресурсам Интернета.
Продолжительность занятия — 20 минут
Упражнение 13.3. Безопасные протоколы
Для протокола в левой колонке найдите соответствующее описание в правой.
Протокол Описание
Handshake Protocol Обеспечивает шифрование для IPSec
ESP Инкапсулирует кадры РРР в дейтаграммы UDP
L2TP Выполняет проверку подлинности для Active
Directory
АН Выполняет проверку подлинности для SSL
Kerberos Выполняет проверку подлинности для IPsec
Краткое содержание занятия
• IPSec — это набор стандартов TCP/IP, обеспечивающих проверку подлинности и шифрование данных в сетевых коммуникациях.
• Протокол L2TP создает туннели в виртуальных частных сетях, данные в которых шифруются средствами IPSec.
• Безопасный протокол SSL используется для проверки подлинности и шифрования данных Web-серверами и браузерами.
• Протокол Kerberos используется службами каталога, чтобы предо ставить пользователю единую точку входа в сеть.