Реферат: Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

Безопасность уровня общих папок аналогична безопасности файловой системы, но далеко не так разнообразна (или безопасна), потому что записи управ­ления доступом общих папок могут применяться только к общей пап­ке как к единому целому. Безопасность нельзя настроить внутри общей папки.

У безопасности уровня общих папок есть одно существенное преиму­щество: она работает с любым общим каталогом, находится ли он на томе NTFS или FAT. Безопасность уровня общих папок — единствен­ный способ обеспечить безопасность каталогов FAT. Однако установ­ленные разрешения для общей папки влияют только на удаленных пользователей. Пользователи, локально вошедшие в систему компью­тера, имеют доступ ко всем папкам на томе FAT, независимо от того, общие они или нет. Безопасность уровня общих папок также не приме­нима к пользователям, вошедшим в систему локально, или клиентам Terminal Services (службы терминала).

Разрешения общих папок. Для общих папок возможны следующие разрешения, каждое из которых может быть разрешено или запрещено:

•   Read (Чтение) — позволяет пользователям просматривать со­держимое каталога, открывать и читать файлы и запускать про­граммы;

•   Change (Изменение) — разрешает все, что и разрешение Read (Чтение). Плюс к этому пользователи могут создавать, удалять и изменять файлы;

•   Full Control (Полный доступ) — разрешает все, что и разрешения Read (Чтение) и Change (Изменение). Плюс к этому пользователи могут изменять разрешения и менять владельца файлов.

6.5. Шифрование сетевого уровня

Виртуальные частные сети (virtual private network, VPN) это высокозатратный способ расширить локальную сеть через Интернет до удаленных сетей и удаленных клиентских компьютеров. Сети VPN используют Интернет для передачи трафика локальной сети из одной частной сети в другую, инкапсулируя трафик локальной сети в IP-па­кеты. Зашифрованные пакеты не могут быть прочитаны промежуточ­ными компьютерами Интернета и могут содержать любой вид вза­имодействий локальной сети, включая доступ к файлам и принтерам, электронную почту локальной сети, вызовы удаленных процедур и клиент-серверный доступ к базам данных.

Виртуальные частные сети между локальными сетями можно уста­навливать при помощи компьютеров-серверов, брандмауэров или маршрутизаторов. Доступ клиентов к VPN может осуществляться при помощи программного обеспечения VPN на клиентских компьюте­рах или путем удаленного телефонного подключения к поставщикам услуг Интернета (ISP), поддерживающим протокол VPN. При втором методе, однако, ISP становится вашим партнером в безопасности сети.

Одни только системы VPN не обеспечивают достаточной защиты сети также потребуется брандмауэр и другие службы безопасности Интернета для обеспечения безопасности сети. Проблемы с безопасностью в особенности свойственны протоколу РРТР

Использование Интернета для связи локальных сетей и предостав­ления удаленным компьютерам доступа к локальной сети влечет за собой проблемы безопасности, производительности, надежности и управляемости. Клиенты и серверы локальной сети должны быть защищены от Интернета при помощи трансляции сетевых адресов, осуществляемой брандмауэром, и/или прокси-серверами так, чтобы (в идеале) злоумышленники в сети не могли даже узнать об их существовании, что сильно снижает их подверженность индивидуальным атакам. Для того чтобы затруднить хакерам возможность захвата закрытой информации фирмы, большинство брандмауэров конфигурируются так, чтобы не пропускать типичные служебные протоколы локальной сети, такие как SMB, NetBIOS, NetWare Core Protocol или NFS.

SMB работает особенно хорошо в чистом виде через Интернет. Имея высокоскоростной канал, можно просто использовать совместное использование файлов через Интернет без брандмауэров или сконфигу­рировать ваш брандмауэр для передачи трафика 8MB и Kerberos или NetBIOS и разрешить удаленный доступ к службам файлов и печати. Это позволит хакерам предпринять попытку получить доступ к вашим данным, просто предоставив допустимое имя учетной записи и пароль или проведя атаку на протокол и воспользо­вавшись его ошибкой.

6.5.1. Технологии VPN

Виртуальные частные сети (VPN) решают проблему прямого доступа к серверам через Интернет при помощи объединения следующих фун­даментальных компонентов безопасности:

•        IP-инкапсуляция;

•        защищенная аутентификация;

•        шифрование вложенных данных.

Протокол Secure Socket Layer осуществляет шифрование вложенных данных без защищенной аутентификации удаленного пользователя, a Kerberos осуществляет защищенную аутентификацию без шифрования вложенных данных.

IP-инкапсуляция. В идеале, компьюте­ры в каждой локальной сети не должны ничего подозревать о том, что во взаимодействии с компьютерами из других локальных сетей есть что-то особенное. Компьютеры, не входящие в вашу виртуальную сеть, не должны иметь возможность подслушивать трафик между локаль­ными сетями или вставлять в коммуникационный поток свои собствен­ные данные.

IP-пакет может содержать любой вид информации: файлы программ, данные электронных таблиц, звуковые данные или даже другие IP-пакеты. Когда IP-пакет содержит другой IP-пакет, это называется IP-инкапсуляцией (IP encapsulation), IP поверх IP (IP on IP) или IP/IP. Можно инкапсулировать один IP-пакет в другой несколькими спосо­бами; Microsoft делает это двумя различными, но связанными спосо­бами, определенными в протоколах Point-to-Point Tunneling Protocol (РРТР) и Layer 2 Tunneling Protocol (L2TP). Microsoft также поддер­живает IPSec, которому не обязательно использовать инкапсуляцию.

IP-инкапсуля­ция может заставить две удаленные друг от друга сети выглядеть для компьютеров сети соседними, отделенными друг от друга только одним маршрутизатором, хотя на самом деле они будут разделены многими шлюзами и маршрутизаторами Интернета, которые могут даже не ис­пользовать одного адресного пространства, потому что обе внутренние сети применяют трансляцию адресов.

Конечная точка туннеля, будь это маршрутизатор, устройство VPN, или сервер, на котором работает протокол туннелирования, извлечет внутренний пакет, расшифрует его и затем отправит вложенный пакет по его пути назначения во внутренней сети в соответствии со своими правилами маршрутизации.

Передача данных в соединенных по протоколу РРТР локальных сетях начинается и заканчивается точно так же, как это происходит в локаль­ных сетях, соединенных через маршрутизатор. IP-пакетам, однако, при­ходится проходить более дальний путь, поэтому в середине проделы­вается большая работа. С точки зрения двух клиентских компь­ютеров в сети не имеет значения, каким образом пакет был получен одной IP-подсетью от другой. Для вовлеченных в соединение сетевых клиентских компьютеров маршрутизатор означает то же самое, что и два RRAS-сервера и РРТР-соединение.

Защищенная аутентификация. Защищенная аутентификация (cryptographic authentication) используется для безопасного подтверждения личности удаленного пользователя, для того чтобы система смогла опре­делить соответствующий этому пользователю уровень безопасности. Сети VPN применяют защищенную аутентификацию для того, чтобы определить, может ли пользователь участвовать в зашифрованном тун­неле или нет, а также могут применять ее для обмена секретными или от­крытыми ключами, используемыми для шифрования вложенных данных.

Существует много различных видов защищенной аутентификации в двух общих категориях.

•   Шифрование с секретным ключом. Также называется шифрованием с общим секретным ключом (shared secret encryption) или симмет­ричным шифрованием (symmetric encryption), полагается на секрет­ное значение, известное обеим сторонам.

•   Шифрование с открытым ключом. Полагается на обмен однона­правленными ключами (unidirectional keys) - ключами, при помощи которых можно только зашифровать данные. Оконечные системы туннеля могут обмениваться парами открытых ключей для образования двунаправленного канала, или получатель при передаче с открытым ключом может зашифро­вать общий секретный ключ и переслать его отправителю для исполь­зования в будущих коммуникациях (потому что шифрование с се­кретным ключом быстрее, чем шифрование с открытым ключом).

Если хакер перехватит открытый ключ (или ключ для зашифровки), он сможет только зашифровать данные и передать их получателю, но не сможет расшифровать содержание перехваченных данных.

Шифрование вложенных данных. Шифрование вложенных данных (data payload encryption) используется для сокрытия содержания инкапсу­лированных данных при шифровании инкапсулированных IP-пакетов и данных, и внутренняя структура частных сетей сохраняется в секрете. Шифрование вложенных данных может осуществляться при помощи одного из криптографических методов обеспечения безопасности, кото­рые различаются в зависимости от вашего решения VPN.

6.5.2. IPSec

IPSec (Internet Protocol Security) это система стандартов IETF для без­опасных IP-коммуникаций, полагающаяся на шифрование для обеспе­чения подлинности и закрытости IP-коммуникаций. IPSec обеспечи­вает механизм, посредством которого можно реализовать следующее:

•   проверять подлинность отдельных IP-пакетов и гарантировать, что они не были изменены;

•  шифровать вложенные данные отдельных IP-пакетов между дву­мя оконечными системами;

•   инкапсулировать TCP или UDP сокет между двумя оконечными системами (хостами) внутри защищенного IP-канала (туннеля), уста­новленного между промежуточными системами (маршрутизатора­ми) для обеспечения функционирования виртуальной частной сети.

IPSec реализует эти три функции при помощи двух независимых ме­ханизмов: протокол Authentication Headers '(АН) для аутентификации и протокол Encapsulation Security Payload (ESP) для шифрования час­ти данных IP-пакета. Эти два механизма могут применяться вместе или по отдельности.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12