logo search
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Обеспечение безопасности служб пользователя

Службы пользователя включают в себя конечные системы, приложения, рабочие станции, файловые серверы, серверы баз данных и другие службы. Файловые серверы и другие службы должны обладать функциями аутентификации и авторизации. Ко­нечные системы также могут использовать эти функции, если пользователей беспоко­ит использование их систем другими лицами. Следует рекомендовать пользователям отключаться от сети при уходе с рабочего места на длительный период и выключать компьютер при уходе с работы для защиты от того, что лица, не имеющие соответст­вующих полномочий, подойдут к системе и получат доступ к службам и приложениям. Также может быть установлен автоматический выход из сети, прекращающий сеанс связи если в нем отсутствует активность в течение заданного периода времени. Другим способом защиты рабочей станции является использование экранной заставки с па­рольной защитой. Некоторые экранные заставки позволяют пользователю вводить па­роль для удаления заставки и возвращения к работе в сети.

Политика в области безопасности и соответствующие процедуры должны отражать сложившуюся практику применения паролей: когда они должны использоваться, как форматироваться и при необходимости заменяться. Вообще говоря, пароли должны включать в себя как буквы, так и цифры, иметь не менее шести символов и не должны быть “типичными” словами. Пароли должны достаточно часто заменяться.

На серверах (или на эквивалентных устройствах, отличных от UNIX) пароль ад­министратора должны знать лишь несколько лиц. По возможности следует избегать гостевого входа. Следует с осторожностью использовать протоколы, поддерживаю­щие концепцию доверительного входа с других узлов. (В качестве примера можно привести протоколы rlogin и rsh в UNIX-системах). Узлы, допускающие использова­ние гостевого входа и поддерживающие доверительный доступ, должны быть по возможности изолированы от остальных узлов сети.

Kerberos представляет собой систему аутентификации, которая обеспечивает безопасность сеанса “пользователь-узел” для протоколов уровня приложений, таких как FTP и Telnet. Если приложение запрашивает это, то Kerberos может также вы­полнить шифрование. Работа Kerberos основана на базе данных симметричного ключа, использующей центр распределения ключей (key distribution center — KDC) на Kerberos-cepeepe. Последнюю информацию по Kerberos можно получить из доку­мента “Часто задаваемые вопросы по Kerberos” (с ним можно познакомиться на сайте www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html).

Политика безопасности должна также определять, какие приложения разрешено запускать на сетевых компьютерах и задавать ограничения при загрузке неизвестных приложений из Internet или с других сайтов. Процедуры безопасности должны также указывать, как пользователи могут устанавливать и обновлять антивирусные про­граммы; защита от вирусов является одним из наиболее важных аспектов безопасно­сти пользовательских служб.

В зависимости от топологии сети безопасность служб пользователя может вклю­чать в себя шифрование. Иногда шифрование осуществляется не внутри сети, а на серверах и конечных системах. Производители, такие как Microsoft, Netscape и Sun Microsystems предлагают шифрующее программное обеспечение для конечных сис­тем, рабочих станций и серверов.

Для того, чтобы гарантировать безопасность на уровне служб пользователя, необ­ходимо своевременно выявлять известные уязвимые места в приложениях и опера­ционных системах и устранять их. Администраторы должны быть в курсе последних хакерских изобретений и следить за появлением новых вирусов.

Резюме

Целью сетевого проектировщика является оказание помощи заказчикам в разра­ботке стратегий и процессов, обеспечивающих безопасность в сети. Он должен также помочь заказчику выбрать средства, аппаратное и программное обеспечение для реа­лизации этих стратегий и процессов. Безопасность является одной из главных забот для большинства потребителей ввиду возросшего количества Internet-соединений и Internet-приложений, а также по той причине что все большее количество пользовате­лей используют удаленный доступ к сети предприятия. В настоящей главе была пред­ставлена информация, помогающая выбрать эффективные процессы и средства для удовлетворения потребностей заказчика в обеспечении безопасности сети. Задачи, решаемые при проектировании системы безопасности в сети, аналогичны решаемым при общем проектировании сети: анализ требований и целей, поиск компромиссных решений, характеристика проходящих по сети потоков данных и разработка соответ­ствующей топологии сети.

Вопросы безопасности часто остаются без внимания при проектировании сети, поскольку они рассматриваются как вопросы функционирования сети, а не ее про­ектирования. Однако рассмотрение этих вопросов сразу вместо ожидания оконча­ния процесса проектирования или начала работы сети, сделает проект более мас­штабируемым и надежным.