- •Введение
- •1. Сети передачи данных
- •Средства и методы организации вычислительных сетей
- •Сетевые стандарты
- •1.3. Функции, принципы действия, алгоритм работы сетевого оборудования
- •Контрольные вопросы
- •2. Поддержка работы пользователей
- •2.1. Управление сетевыми учетными записями
- •Управление учетными записями пользователей
- •Создание учетных записей пользователей
- •Часы входа
- •Настройка прав пользователей
- •Управление учетными записями групп
- •Глобальные группы и локальные группы
- •Доверительные отношения
- •Изменение пользователей и групп
- •2.2. Управление сетевой производительностью Характеристики сетевой производительности
- •Чтение и запись данных
- •Команды в очереди
- •Количество коллизий в секунду
- •Ошибки защиты
- •Серверные сеансы
- •Мониторинг сетевой производительности
- •Общесистемное управление
- •Жесткий диск
- •Использование памяти
- •Сохранение сетевой истории
- •Контрольные вопросы
- •3. Протоколы Интернета
- •3.1. Протокол ip как основа построения глобальных сетей
- •Структура адреса
- •Статическая маршрутизация
- •Динамическая конфигурация ip-протокола
- •3.3. Proxy-серверы
- •3.4. Броузеры
- •3.5. Передача данных по ftp
- •3.6. Использование Telnet
- •Контрольные вопросы
- •4. Средства представления данных в Интернет Серверы, клиенты и ресурсы
- •Электронная почта (e-mail)
- •Url для электронной почты
- •Телеконференции Usenet
- •Url для телеконференций
- •Контрольные вопросы
- •5. Сетевые имена и безопасность
- •5.1. Схемы сетевого наименования
- •Учетные записи
- •Имена компьютеров
- •Компьютерные имена NetBios
- •Файлы lmhosts и hosts
- •Ресурсы
- •Планирование сетевой защиты
- •Выяснение требований
- •Установка стратегии защиты
- •Физическая и логическая защита
- •Серверы
- •Маршрутизаторы
- •5.2. Модели безопасности
- •Защита на уровне ресурсов
- •Управление учетными записями
- •5.3. Дополнительные соглашения по безопасности
- •Бездисковые рабочие станции
- •Шифрование
- •Защита от вирусов
- •5.4. Восстановление после сбоев
- •Резервное копирование на ленту
- •Оборудование резервного копирования
- •Расписание резервного копирования
- •Операторы резервного копирования
- •Устройство бесперебойного питания
- •Устойчивые к сбоям системы
- •Обеспечение запасных секторов
- •Контрольные вопросы
- •6. Протокол tcp/ip Модуль ip создает единую логическую сеть
- •Структура связей протокольных модулей
- •Кабель Ethernet
- •Терминология
- •Потоки данных
- •Работа с несколькими сетевыми интерфейсами
- •Прикладные процессы
- •Аналогия с разговором
- •Протокол arp
- •Порядок преобразования адресов
- •Запросы и ответы протокола arp
- •Продолжение преобразования адресов
- •Межсетевой протокол ip
- •Прямая маршрутизация
- •Косвенная маршрутизация
- •Правила маршрутизации в модуле ip
- •Выбор адреса
- •Подсети
- •Как назначать номера сетей и подсетей
- •Подробности прямой маршрутизации
- •Порядок прямой маршрутизации
- •Подробности косвенной маршрутизации
- •Порядок косвенной маршрутизации
- •Установка маршрутов
- •Фиксированные маршруты
- •Перенаправление маршрутов
- •Слежение за маршрутизацией
- •Протокол arp с представителем
- •Протокол udp
- •Контрольное суммирование
- •Протокол tcp
- •Протоколы прикладного уровня
- •Протокол telnet
- •Протокол ftp
- •Протокол smtp
- •Протокол snmp
- •Взаимозависимость протоколов семейства tcp/ip
- •Контрольные вопросы
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Серверы
Необходимо предотвратить несанкционированный доступ — как извне, так и изнутри сети. Хорошо подготовившийся пользователь может вызвать невосстановимую потерю данных, получив доступ к серверному шкафу. Нужно ограничить физический доступ к серверам, а также число пользователей и групп, имеющих право локальной регистрации на сервере.
Маршрутизаторы
К маршрутизаторам, как и к серверам, доступ должен быть ограничен. Пользователь может решить, что сеть работает странно, и выключить, а затем снова включить маршрутизатор, пытаясь решить проблему. В зависимости от изготовителя и модели маршрутизатора это может действительно помочь. Или он может удалить таблицы маршрутизации, тем самым, заставив маршрутизатор «забыть» их. Также, если организация достаточно велика, пользователь может добавить свой сетевой сегмент к маршрутизаторам. Это может оказаться первым шагом в крупном нарушении безопасности сети.
Кабели
Если данные достаточно чувствительны, может потребоваться ограничить количество электронных сигналов, которые излучают кабели. Также существует возможность, что кто-нибудь подключится непосредственно к медному кабелю и таким образом похитит данные. В середине семидесятых, в самый разгар «холодной войны», правительством США была разработана беспроводная технология, которая позволяла подслушивать электромагнитный сигнал, исходивший от компьютеров и сетевых кабелей.
Лучше ограничить доступ к кабелю, по которому проходят чувствительные данные. По возможности, можно использовать оптоволоконный кабель, который не излучает электрических сигналов и к которому значительно труднее подключиться, также можно проложить кабели внутри стен здания.
5.2. Модели безопасности
После того как сеть защищена физически, необходимо принять решение о программной защите сети. Существуют два основных типа безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).
Защита на уровне ресурсов
Защита на уровне ресурсов (share-level security) представляет собой такую технику защиты, при которой каждый владелец ресурса предоставляет ресурс в совместное пользование под своим контролем и создает пароль для управления доступом к этому ресурсу. Примером может послужить пользователь с присоединенным к его компьютеру цветным принтером. Он может предоставить принтер в совместное использование в сети и защитить его использование, установив пароль для использования принтера. Пользователи, знающие пароль, могут использовать этот принтер. Windows 3.11 и Windows 95 являются примерами операционных систем, использующих такую технику. Обе эти системы разрешают доступ к ресурсам Только для чтения (Read-Only), Полный доступ (Full) и В зависимости от пароля (Depends on Password), каждый из которых объяснен ниже:
1. Только для чтения (Read-Only). Пользователям разрешено только просматривать файлы в разделенном каталоге. Они не могут изменять, удалять или добавлять файлы в каталог. Они могут копировать файлы на свои компьютеры и печатать (или запускать) их.
2. Полный доступ (Full). Пользователи могут создавать, читать, записывать, удалять и изменять файлы в разделяемом каталоге.
3. В зависимости от пароля (Depends on Password). Разделенные ресурсы, использующие эту возможность, разрешают пользователям либо права Только для чтения (Read-Only), либо права Полный доступ (Full) в зависимости от введенного пользователем пароля.
Защита на уровне пользователей
Защита на уровне пользователей (user-level security) представляет собой такую технику защиты, при которой каждому пользователю присвоено уникальное имя и пароль. Когда пользователь пытается войти в сеть, ему предлагается ввести свое имя пользователя и пароль, которые сравниваются с базой данных защиты на удаленном сервере. Этот процесс называется идентификацией (authentication). Если имя и пароль верны, сервер регистрирует пользователя в сети. Права и привилегии присваиваются на основе идентификатора пользователя (User ID) и/или групп, к которым он может принадлежать.
В Microsoft Windows NT эта техника используется для присвоения разрешений. Хоть пользователи могут иметь доступ к частям сети, они могут иметь, а могут и не иметь разрешений на доступ к определенным ресурсам, или их тип разрешения может ограничивать их уровень взаимодействия с этими ресурсами. Вот эти типы разрешений:
1. Read (Чтение). Подобно разрешению Только для чтения (Read-Only) в Windows 3.11 или Windows 95, разрешение Read позволяет пользователям просматривать и запускать файлы в каталоге с совместным доступом. Они не могут изменять, удалять или добавлять файлы, однако они могут печатать и копировать файлы на свои компьютеры.
2. Execute (Выполнение). Разрешение Execute позволяет пользователям запускать файлы в каталоге с совместным доступом.
3. Write (Запись). Разрешение Write позволяет пользователям создавать, читать, записывать и изменять файлы в разделенном каталоге. Пользователи не могут запускать или удалять файлы.
4. Delete (Удаление). Разрешение Delete дает пользователям возможность удалять файлы из каталога с совместным доступом.
5. Full Control (Полный доступ). Доступ, Full Control позволяет пользователям читать, исполнять, создавать, записывать, изменять и удалять файлы в разделенном каталоге.
6. No Access (Нет доступа). Пользователи лишены права получать доступ к каталогу, если установлено разрешение No Access. В сочетании с другими разрешениями No Access имеет преимущество. Это означает, что если пользователь имеет к конкретному каталогу доступ Full Control и No Access, он имеет в результате доступ к каталогу No Access.