Смекни!
smekni.com

Комплексная защита типовой локальной вычислительной сети (стр. 4 из 12)

Экранированная витая пара довольно надежно защищена от помех, создаваемых внешними источниками, подобно витой паре категории 4. Однако для них актуальной является проблема перекрестных помех, поскольку степень скручивания в них проводов слабо контролируется в процессе производства. Из-за более высокой стоимости экранированная витая пара не очень широко используется в США, но пользуется большим спросом во многих европейских странах.

Политика применения кабелей типа «витая пара»

Рекомендуется все кабели типа «витая пара», находящиеся вне распределительных шкафов и не помещенные под фальшполами или подвесными потолками, протягивать внутри резиновых или пластиковых труб или пластиковых сетевых магистралей (кабельгонов). Стыки труб и магистралей целесообразно изолировать контровочной лентой или краской, нарушение которых должно указывать на попытки получения доступа к кабелям.

Закрашивайте швы между панелями подвесных потолков так, чтобы любое их несанкционированное вскрытие было заметно. После планового вскрытия нужно сразу же снова закрашивать их.

Рассмотрите возможность прокладки всех сетевых кабелей в потолочных кабельгонах, которые могут быть закрыты или опечатаны.

Все распределительные щиты и коробки должны быть заперты так же, как и помещения, в которых установлены компьютеры.

Сетевая топология типа «звезда»

Данные сети – самые распространенные на сегодняшний день. В сетях с топологией «звезда» каждый кабель подключается непосредственно к компьютеру и к концентратору. С этой точки зрения звезда представляет собой совокупность двухточечных соединений. По каждому из кабелей идет обмен только с одним компьютером (хотя иногда для разветвления сети в разрывы кабеля могут подключаться концентраторы).

Основные проблемы звездообразных сетей связаны с незащищенностью портов концентратора и возможностью скрытого подключения концентратора вместо компьютера. В обоих случаях к сети без ведома администратора может быть подключен полнофункциональный компьютер. Эту проблему можно частично решить, обезопасив распределительные устройства. Однако выявить несанкционированное подключение концентраторов можно либо с помощью программного обеспечения мониторинга, либо путем прекращения работы всех сетевых компьютеров и последующего мониторинга потерь в каналах связи. На рисунке 2 показан вариант скрытого подключения концентратора в том месте, где должен быть компьютер.



Рисунок 2

Политика применения сетей типа «звезда»

Надежно перекройте доступ к распределительным шкафам и устройствам.

Поскольку посторонний может просто подключиться к одному из неиспользуемых Ethernet-портов концентратора, необходимо защищать эти порты либо аппаратным путем, либо путем установки сигнальных систем, контролирующих изменение состояния порта SNMP.

Защита неиспользуемых портов необязательно должна быть реализована на самом концентраторе. При изменении конфигурации сети без присмотра обычно остаются сетевые коннекторы. Необходимо внимательно следить, чтобы к таким коммутационным устройствам в незапертых помещениях не подключился никто из посторонних.

Следует всегда отключать неиспользуемые порты коммутатора для физических устройств. При переносе компьютера следует убедиться, что соответствующая сетевая магистраль отключена от концентратора.

Безопасность сетей на основе Windows NT

Общие сведения о сетях на основе Windows NT

Для функционирования системы защиты информации от несанкционированного доступа требуется механизм идентификации каждого пользователя. Поэтому в операционной системе Windows NT и построенных на ее основе доменах обязателен процесс входа в систему (logon).

Пользователь, как правило, вводит информацию о себе только раз — при входе в систему, получая после этого доступ к ресурсам, расположенным как в том домене, где он зарегистрирован, так и в других доменах Windows NT. При этом может показаться, что после входа пользователя в систему проверка подлинности больше не производится. Это впечатление обманчиво, и за кажущейся простотой обращения к ресурсам сети Windows NT скрывается сложный механизм постоянной проверки регистрационной информации о пользователе, срабатывающий каждый раз, когда он пытается получить доступ к ресурсам любого Windows NT-компьютера (и даже компьютера с операционной системой Windows 95, если доступ к его ресурсам контролируется доменом).

Естественно, такая система проверки требует постоянной передачи по сети информации об именах и паролях пользователей. Поэтому для грамотного обеспечения защиты сетей на базе Windows NT необходимо четко представлять процессы, лежащие в основе механизма проверки подлинности пользователей, и то, какая, когда и в каком виде регистрационная информация передается по сети.

Интерактивный и удаленный вход

Пользователь начинает работу в сети с интерактивного входа: он должен ввести свое имя и пароль, зарегистрированные в базе данных домена. Пользователь, вошедший в домен с Windows NT-компьютера, по завершении проверки подлинности получает из соответствующей базы данных уникальный идентификатор безопасности (SID), однозначно определяющий этого пользователя при работе с ресурсами того компьютера с Windows NT, с которого он вошел в систему. При входе в домен с компьютера с другими операционными системами, такими как Windows 95, пользователю, подлинность которого проверена контроллером домена, разрешается войти в сеть с определенным уровнем полномочий.

Удаленный вход имеет место, когда пользователь уже вошел в систему интерактивно и пытается установить связь по сети с другим Windows NT-компьютером. Это случается, например, при подключения к общему ресурсу через диалоговое окно Map Network Drive или по команде net use, при открытии совместно используемой папки на удаленном компьютере с помощью программы Windows NT Explorer или через диалоговое окно Run. При этом сервер, к которому подключается пользователь, вновь проверяет подлинность, а затем создает для него маркер доступа к ресурсам данного сервера.

Служба Net Logon

На любом компьютере с Windows NT, входящем в домен, работает служба NetLogon, одна из задач которой — обеспечение проверки подлинности пользователей при входе в домен. На компьютере с Windows NT Workstation или отдельном сервере с Windows NT Server служба Net-Logon принимает запросы на вход с локального компьютера и передает их контроллеру домена. На контроллере домена служба NetLogon обрабатывает эти запросы и передает ответ компьютеру, с которого пользователь входит в домен.

Служба NetLogon отвечает за:

- установление безопасного канала между Windows NT-компьютером, входящим в домен, и контроллером домена, а также между контроллерами доменов, связанных доверительными отношениями;

- сквозную проверку подлинности, т.е. передачу регистрационной информации пользователя на тот контроллер домена, где хранится учетная запись пользователя.

Обнаружение

Проверка подлинности пользователей в домене — задача контроллеров домена (основного или дополнительных). Поэтому компьютер, с которого пользователь входит в домен, должен сначала найти в сети контроллер домена. Этот процесс называется обнаружением (discovery).

При запуске компьютер с Windows NT пытается обнаружить в сети контроллер своего домена. Если запускается резервный контроллер домена, он пытается обнаружить основной контроллер домена. Наконец, основной контроллер домена должен найти контроллеры всех доверяемых (trusted) доменов.

Клиенты других операционных систем Microsoft проводят обнаружение, только если нужна проверка подлинности пользователей домена.

Установление безопасного канала

Когда Windows NT-компьютер обнаружит контроллер домена, начинается установление безопасного канала (secure channel). Здесь безопасный канал — это соединение между Windows NT-компьютером и контроллером домена, устанавливаемое, только когда эти два компьютера «знают» друг друга и проверили подлинность каждого. По этому каналу затем передается регистрационная информация о пользователях домена.

Служба NetLogon пытается установить безопасный канал после запуска компьютера и завершения процесса обнаружения, если это не удается, попытки повторяются каждые 15 минут или если возникнет необходимость в проверке подлинности.

Учетные записи компьютеров и доменов

При установлении безопасного канала службы NetLogon компьютеров с Windows NT посылают друг другу «вызовы» и «ответы», чтобы произвести взаимную проверку подлинности. При этом используются учетные записи домена и зарегистрированных в домене Windows NT-компьютеров. Существует три типа таких записей:

- учетная запись доверия рабочей станции (WORKSTATION_TRUST_ ACCOUNT) — для проверки подлинности входящего в домен компьютера с Windows NT Workstation или отдельного сервера с Windows NT Server;

- учетная запись доверия серверу (SERVER_TRUST_ACCOUNT) — для проверки подлинности резервных контроллеров домена;

- учетная запись доверия между доменами (INTERDOMAIN_TRUST_ACCOUNT) — для проверки подлинности доверительных отношений между доменами Windows NT.

Эти учетные записи хранятся в базе данных SAM в разделе реестра HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users и в базе данных соответствующего Windows NT-компьютера (рабочей станции, резервного контроллера домена или контроллера доверяющего домена) — в разделе реестра HKEY_LOCAL_MACHINE\Security\Policy\Secrets.

Учетные записи компьютеров, как и пользователей, включают имя и пароль. Для компьютеров имя учетной записи — это всегда имя компьютера со знаком доллара ($) на конце. Первоначальные пароли учетных записей рабочей станции с операционной системой Windows NT или отдельного сервера в домене устанавливаются такими же, как и имена этих компьютеров (в нижнем регистре и, если нужно, усеченные до 14 символов). Первоначальный пароль для учетной записи доверия между доменами задается в диалоговом окне Add Trusting Domain программы User Manager for Domains при установлении доверительных отношений со стороны доверяемого домена. Эти пароли работают до момента активизации членства соответствующего компьютера с Windows NT в домене или активизации доверительных отношений между доменами, после чего меняются автоматически каждую неделю. Процедуру смены пароля можно отключить как со стороны контроллера домена, так и со стороны рабочей станции.