3.6. Организация безопасности сети
Вход и проверка подлинности. Доступ к сетевым ресурсам реализуется рядом функций, образующих службу входа в систему. Вход в сеть еще не означает, что клиенту одновременно разрешается доступ к ресурсам сети. При этом он как бы находится в некоторой пограничной зоне, предназначенной для проверки его подлинности.
Вход в сеть представляет собой двухфазный процесс, при котором пользователи или устройства должны предоставить два фактора проверки подлинности: идентификатор (учетную запись) и пароль. Но сама система не может определить, кто ввел пароль, - сам пользователь или человек, который украл пароль и выдает себя за пользователя. Помимо имени и пароля, в качестве средств двухфакторной проверки можно привести смарт- и магнитные карты. Однако они так же, как и пароли не обеспечивают 100 % защиты, так как карты могут быть украдены, а пароли взломаны. Большой уровень безопасности и удобства обеспечивает однофакторная проверка подлинности. Ее идея состоит в том, что для проверки подлинности используются не имя и пароль, а физические характеристики самого пользователя (отпечатки пальцев, снимок сетчатки глаза).
Доверительные отношения между доменами. Домены – это контейнеры сети, контролирующие доступ ко всем ресурсам, находящимся в ведении домена. Работой доменов управляют контроллеры доменов. Они отвечают за ведение баз данных, которые используются при проверке подлинности клиентов. В ряде случаев пользователю приходится иметь дело одновременно с несколькими доменами. При этом необходимо обеспечить доступ к ресурсам одного домена из другого. Для этого между доменами должны существовать доверительные отношения. Домен, которому доверяет другой, называют доверительным доменом, а домен, который доверяет другому домену, - доверяющим доменом. Если доверительные отношения односторонние, они называются доверительными однонаправленными отношениями. При таком отношении домен А доверяет домену Б, но Б не доверяет А. Когда доверие становится взаимным, доверительные отношения переходят в двунаправленные или двусторонние. Домен А доверяет Б, а Б доверяет А. Такие отношения позволяют пользователям или устройствам из одного домена обращаться к ресурсам другого. Существуют переходные и непереходные доверительные отношения между несколькими доменами. При переходных отношениях домен А доверяет доменам Б и В, Б доверяет А и В, В доверяет А и Б. Вход в любой из доменов разрешает пользователю доступ к ресурсам всех доменов. При непереходных отношениях доступ к ресурсам домена, с которым нет доверительных отношений, возможен только через домен, с которым имеются доверительные отношения.
- Федеральное агентство по образованию
- Редактор м.Е. Цветкова
- 390005, Рязань, ул. Гагарина, 59/1.
- Введение
- 1. Функции, процедуры и объекты администрирования ис
- 1.1. Элементы ис, подвергаемые администрированию
- 1.2. Функции администрирования в сетевых ис
- 1.3. Задачи, решаемые при администрировании ис
- 1.4. Планирование и реализация эффективной рабочей среды
- 1.5. Технические и организационные службы администрирования
- 1.6. Администрирование ис на основе сетевых ос
- 2. Сетевые и коммуникационные службы
- 2.1. Основы протокола tcp/ip
- 2.1.2. Маска подсети
- 2.2. Служба dhcp
- 2.2.1. Назначение службы dhcp
- 2.2.2. Выделение ip-адреса
- 2.2.3. Компоненты dhcp
- 2.2.4. Процесс выдачи ip-адреса
- 2.2.5. Алгоритм выбора адреса
- 2.2.6. Обнаружение конфликтов ip-адресации
- 2.2.7. Обновление ip-адреса
- 2.2.8. Отклонение обновления и негативное подтверждение
- 2.2.9. Установка и настройка dhcp-сервера
- 2.2.10. Авторизация серверов dhcp
- 2.2.11. Создание области действий dhcp
- 2.2.12. Настройка конфигурационных параметров службы dhcp
- 2.2.13. Активация и деактивация dhcp
- 2.2.14. Документирование информации в журнале
- 2.2.15. Проверка и обновление конфигурации клиентов dhcp
- 2.3. Домены и разрешение имен
- 2.3.1. Система доменных имен
- 2.3.2. Dns и разрешение имен
- 2.3.3. Зоны dns
- 2.3.4. Серверы dns
- 2.3.5. Отказоустойчивость и распределение нагрузки
- 2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- 2.3.7. Создание и трансферты зоны
- 2.3.8. Записи о ресурсах
- 3. Службы аудита и управления безопасностью
- 3.1. Необходимость защиты
- 3.2. Причины существования угроз
- 3.3. Каналы утечки информации
- 3.4. Способы защиты информации
- 3.5. Работа протокола Kerberos
- 3.6. Организация безопасности сети
- 4. Служба учета
- 4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- 4.2. Проверка отчетов, полученных при аудите
- 4.3. Управление аудитом
- 5. Службы контроля характеристик
- 5.1. Счетчики производительности
- 5.2. Мониторинг системы
- 5.3. Накладные расходы мониторинга
- 6. Архивирование и восстановление данных
- 6.1. Архивирование и его виды
- 6.2. Восстановление данных
- 6.3. Требования к архивированию и восстановлению
- Библиографический список
- Оглавление