воскресенье, 4 июля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 8

В этой части рассмотрены следующие вопросы:
  • Сетевые сервисы и Потоколы
  • Сетевые операционные системы
  • Служба доменных имен (DNS)
  • DNS в Интернет и домены
  • Угрозы DNS
  • NIS
  • Службы каталогов
  • LDAP
  • Трансляция сетевых адресов (NAT)
  • Интрасети и Экстрасети


В начале этого Домена мы касались протоколов, технологий, топологий и устройств, которые могут использоваться в среде LAN. Однако эти сервисы используются не только в среде LAN, они также применяются в инфраструктуре MAN и WAN. Описание LAN и WAN приводится в отдельных разделах для обеспечения ясного понимания разницы между этими сетевыми концепциями. Как было указано ранее, сеть создается для обеспечения возможности взаимодействия компьютеров друг с другом, обеспечения централизованного администрирования и совместного использования ресурсов. Ресурсами обычно являются сетевые службы. В следующих разделах описаны наиболее популярные службы среды LAN.


Сетевая операционная система (NOS – Network operating system, Сетевая ОС) – это специализированное программное обеспечение, созданное для управления доступом к сетевым ресурсам и предоставления необходимых сервисов, позволяющих компьютерам взаимодействовать с окружающей сетью. Сетевая ОС отличается от однопользовательской операционной системы. Сетевая ОС работает в рамках клиент/серверной модели, в которой ресурсы, файлы и приложения централизованы и все пользователи используют их непосредственно на сервере (и не имеют собственных копий этих ресурсов на каждой рабочей станции). Сетевая ОС управляет соединениями и связями между системами и компонентами.

Также, сетевая ОС имеет встроенные механизмы аутентификации, необходимые для работы в сетевом окружении и выполнения функций аудита. Однопользовательские операционные системы не обеспечивают строгой аутентификации. Любой, кто работал с Windows 95 или 98 знает, что достаточно было нажать кнопку ОК или Отмена, когда операционная система запрашивала имя и пароль, даже если вы не вводили эту информацию. Такие операционные системы не требуют аутентификации. Однако любой, кто работал с Windows NT или Windows 2000 знает, что эти операционные системы не дадут вам доступа к рабочему столу пользователя, если вы не знаете правильное имя пользователя и/или пароль.

Однопользовательские операционные системы могут работать в среде точка-точка (разновидность рабочей группы) и обеспечивать возможность совместного использования ресурсов и файлов. Однако среда точка-точка не обеспечивает достаточного уровня безопасности, не предоставляет возможностей централизованного управления (в том числе управления доступом), что необходимо в большинстве сетей. Кроме того, однопользовательские операционные системы не имеют полноценных служб каталогов, аналогичных имеющимся в сетевых ОС. А это важная часть большинства современных сетей.

Ниже представлен небольшой список сервисов сетевых ОС, которых нет в однопользовательских системах:
  • службы каталогов
  • поддержка межсетевого взаимодействия, маршрутизации, WAN
  • поддержка работы удаленных dial-up-пользователей
  • функциональность кластеризации
  • строгая аутентификация, авторизация, управление доступом и аудит
  • файловые сервисы и сервисы печати, включая резервное копирование и репликацию
  • инструменты управления и администрирования для удаленных клиентов
  • функциональность распространения программного обеспечения, инвентаризации аппаратного и программного обеспечения
  • возможности обеспечения отказоустойчивости
Если пользователю компьютера, использующему сетевую ОС, требуется доступ к ресурсу в сети, программное обеспечение сетевой ОС использует редиректор, направляющий компьютер на запрашиваемый ресурс. Во многих случаях этот редиректор работает на более низком уровне, чем высокоуровневое приложение, которое обращается к нему. Обычно приложение даже не знает, что ресурс не хранится на локальном компьютере. Это решает множество проблем и не требует от разработчиков приложений делать дополнительную работу, разрабатывая процесс отслеживания самих сетевых ресурсов.

Ссылки по теме:

Представьте, насколько сложно было бы использовать Интернет, если бы нам нужно было помнить реальные IP-адреса сайтов. Служба доменных имен (DNS – Domain Name Service) – это метод преобразования имен узлов (hostname) в IP-адреса, что позволяет использовать имена вместо IP-адресов при запросе конкретных узлов в Интернете. Не так давно, когда Интернет насчитывал всего около 100 компьютеров (против миллионов компьютеров сейчас), использовался специальный список для хранения информации о связи имени каждого компьютера с его IP-адресом. Этот список хранился на FTP-сервере и все имели доступ к нему. Задача поддержки актуальности этого списка постепенно становилась все более сложной и утомительной, поэтому компьютерное сообщество решило автоматизировать этот процесс.

Была разработана иерархическая система для доменных имен и в 1992 году NSF (National Science Foundation - Национальный научный фонд) заключил контракт с NSI (Network Solutions, Inc.)на управление и поддержку доменных имен, а также процесса регистрации этих имен. NSI выполняла регистрацию имен и вела каталог преобразования имен узлов на серверах DNS. Также она поддерживала официальную базу данных Интернета, которая являлась корневой для DNS-серверов. Официальный корневой DNS-сервер содержал 13 файлов, по одному на каждый сервер домена высшего уровня.

До 1999 года IANA (Internet Assigned Numbers Authority - Администрация адресного пространства Интернет) поддерживала и координировала распределение IP-адресов. Крупные интернет-провайдеры регистрировали большие блоки IP-адресов и затем распределяли их между более мелкими интернет-провайдерами или индивидуальными пользователями. Однако после 1999 ICANN (Internet Corporation for Assigned Names and Numbers) пересмотрела обязанности по распределению блоков IP-адресов, управлению DNS, управлению системой корневого сервера. NSI продолжила поддерживать официальные корневые базы данных.

Прекрасно. Закончим экскурс в историю. Но как работают DNS и какое место они занимают в сети?

Когда пользователь вводит URL (Uniform Resource Locator - Унифицированный указатель ресурса) в адресной строке своего веб-браузера, этот URL состоит из слов или букв, которые пользователю не сложно запомнить (например, www.logicalsecurity.com). Однако эти слова понятны только пользователю, а компьютер работает с IP-адресами. Поэтому после ввода пользователем URL и нажатия Enter, компьютер в действительности обращается к DNS-серверу, чтобы преобразовать этот URL или имя узла в IP-адрес, понятный компьютеру. После того как URL или имя узла распознано и преобразовано в IP-адрес, компьютер знает как обратиться к веб-серверу, который содержит запрашиваемую веб-страницу.

Многие компании имеют собственные DNS-серверы для преобразования имен своих внутренних узлов. Также эти компании обычно используют DNS-серверы своего интернет-провайдера для преобразования имен узлов в сети Интернет. Внутренний DNS-сервер может использоваться для преобразования имен узлов во всей сети, обычно используется больше одного DNS-сервера для разделения между ними нагрузки и обеспечения отказоустойчивости.

В DNS-серверах пространства имен DNS административно разделены на зоны. Например, одна зона может содержать все имена компьютеров департаментов маркетинга и бухгалтерии, другая зона может содержать имена всех компьютеров административного, исследовательского и юридического департаментов. DNS-сервер, который хранит файлы одной из таких зон, называют ответственным (authoritative) сервером имен для этой конкретной зоны. В зону может входить один или более доменов, при этом DNS-сервер, который хранит записи о соответствующих узлах, является ответственным сервером имен для этих доменов.

DNS-сервер содержит записи, которые связывают имена узлов с их IP-адресами. Эти записи называются записями ресурсов (resource record). Если компьютеру пользователя нужно преобразовать имя узла в IP-адрес, он смотрит свои настройки TCP/IP, чтобы найти в них адрес DNS-сервера. Затем компьютер отправляет запрос DNS-серверу, включая в него имя узла для преобразования. DNS-сервер просматривает свои записи ресурсов в посках записи с нужным именем узла и, найдя ее, возвращает компьютеру IP-адрес этого узла.

Рекомендуется в каждой зоне размещать первичный и вторичный DNS-сервер. Первичный DNS-сервер содержит актуальные записи ресурсов для зоны, а вторичный DNS-сервер содержит копии этих записей. При этом пользователи могут использовать вторичный DNS-сервер для преобразования имен, что позволит снизить нагрузку на первичный сервер. Если первичный сервер по какой-либо причине отключается или выходит из строя, пользователи могут продолжать использовать вторичный сервер для преобразования имен. Наличие первичного и вторичного DNS-серверов обеспечивает отказоустойчивость и избыточность, гарантируя непрерывную работу пользователей, что бы ни случилось с одним из этих серверов.

Первичный и вторичный DNS-сервера синхронизируют информацию между собой посредством передачи зоны (zone transfer). После того, как на первичном DNS-сервере произойдут изменения, эти изменения реплицируются на вторичный сервер. Важно настроить DNS-сервер таким образом, чтобы он разрешал передачу зон только между конкретными серверами. Многие годы атакующие выполняли с помощью подставных DNS-серверов передачу зоны для получения очень важной информации о сети. Несанкционированная передача зоны может произойти в том случае, если DNS-серверы неправильно настроены (или не настроены) для исключения такой атаки.

DNS в Интернет и домены

Сети в Интернет соединены в иерархическую структуру, там используются другие DNS-сервера, как показано на Рисунке 5-41. При выполнении маршрутизации, если маршрутизатор не знает правильный путь к получателю пакета, маршрутизатор передает этот пакет вышестоящему маршрутизатору. Вышестоящий маршрутизатор знает обо всех нижестоящих маршрутизаторах. Этот маршрутизатор имеет более широкий обзор маршрутизации в Интернете, у него хорошие шансы передать пакет по назначению. Это справедливо и для DNS-серверов. Если DNS-сервер не имеет записи о запрашиваемом ресурсе и не знает, какой DNS-сервер содержит такую запись, он передает запрос вышестоящему DNS-серверу.

Рисунок 5-41. Иерархия имен DNS похожа на иерархию маршрутизации в Интернете

Схема именования в Интернете похожа на перевернутое дерево с корневыми серверами на вершине. Нижние ветви этого дерева делятся на высокоуровневые домены, под которыми находятся домены второго уровня. Наиболее популярные высокоуровневые домены перечислены ниже:
  • COM - коммерческие
  • EDU - образовательные
  • MIL - американские военные организации
  • INT - международные организации
  • GOV - правительственные
  • ORG - организации
  • NET - сети
Но как работают вместе все эти DNS-серверы в Интернете? Например, если пользователь вводит URL веб-сайта, торгующего компьютерными книгами, его компьютер запрашивает корпоративный (первичный) DNS-сервер для преобразования адреса сайта в его IP-адрес. Поскольку запрашиваемый веб-сайт вероятно находится вне корпоративной сети компании, этот DNS-сервер не знает его адрес. Но он не просто отвергает запрос пользователя, а пересылает его другому DNS-серверу в Интернете. Запрос на преобразование имени веб-сайта проходит через различные DNS-серверы пока не дойдет до того, который знает IP-адрес нужного пользователю сайта. Эта информация отправляется обратно на компьютер пользователя, который, используя полученный адрес, пытается установить соединение с веб-сайтом, давая возможность пользователю купить компьютерную книгу.

DNS-серверы и преобразование имен узлов чрезвычайно важны при использовании корпоративных сетей и Интернета. Без них пользователи вынуждены были бы помнить и набирать IP-адреса для каждого веб-сайта и отдельной системы, вместо имени. Это привело бы к хаосу.

Угрозы DNS

Как было сказано ранее, ни один из DNS-серверов не знает адреса всех узлов, запрос на преобразование имен которых он может получить. Когда DNS-сервер (сервер А) получает запрос на преобразование имени узла в IP-адрес, сервер просматривает свои записи ресурсов в поисках информации, необходимой для ответа на запрос. Если у сервера нет соответствующей записи, он пересылает запрос на другой DNS-сервер (сервер B), который просматривает свои записи ресурсов и, в случае нахождения необходимой информации, отправляет ее обратно серверу А. Сервер А кэширует в своей памяти полученную информацю о связи между IP-адресом и именем узла (на случай, если другой клиент направит такой же запрос) и пересылает ее запросившему клиенту.

Запомним это и рассмотрим следующий сценарий. Например, Энди хочет сделать так, чтобы пользователи сети Интернет при попытке посетить веб-сайт компании конкурента попадали на веб-сайт компании Энди. Для этого Энди устанавливает средства для перехвата исходящих с сервера А запросов на другие DNS-сервера для преобразования имени сайта компании конкурента в IP-адрес. Когда Энди перехватит запрос сервера А на сервер В для получения IP-адреса сайта компании конкурента, Энди по-быстрому отправит серверу А в ответ на его запрос IP-адрес своего сайта. При этом, программное обеспечение сервера А принимает первый поступивший ему ответ, кэширует полученную информацию и пересылает ее запрашивающему клиенту. Теперь, когда клиент попытается зайти на веб-сайт конкурента компании Энди, он вместо этого попадет на веб-сайт компании Энди. То же самое произойдет с любым пользователем, который воспользуется сервером А для преобразования имени сайта компании конкурента в IP-адрес, т.к. на сервере А будет кэширована поддельная информация.
ПРИМЕЧАНИЕ. Посмотрите еще раз Домен 02, чтобы вспомнить, как происходит атака фарминга DNS.
Вышеуказанная уязвимость является следствием того, что сервер А при получении ответа на свой запрос не проводит аутентификацию его отправителя. Минимизация угроз DNS требует применения множества мер, самой важной из которых является использование строгого механизма аутентификации, такого как DNSSEC (DNS Security, являющегося частью многих современных реализаций программного обеспечения DNS-серверов). Если на сервере А включена функция DNSSEC, этот сервер будет проверять электронную цифровую подпись в ответном сообщении перед принятием полученной информации, чтобы убедиться, что она исходит от авторизованного DNS-сервера. Это звучит достаточно просто, однако для полноценного развертывания DNSSEC все DNS-серверы в Интернете должны стать частью PKI, чтобы иметь возможность проверять электронные цифровые подписи (электронные цифровые подписи и PKI будут рассмотрены в Домене 06).

Несмотря на то, что DNSSEC требует гораздо больше ресурсов, чем обычный DNS, все больше и больше организаций начинают применять DNSSEC. Например, американское правительство обеспечило использование DNSSEC для всех своих доменов верхнего уровня (.gov, .mil и т.п.). Такие страны, как Бразилия, Швеция и Болгария уже внедрили DNSSEC для своих доменов верхнего уровня. Кроме того, ICANN заключила соглашение с VeriSign на внедрение DNSSEC для всех своих доменов верхнего уровня (.com, .net, .org и т.п.) к 2011 году.

ПРИМЕЧАНИЕ. Компаниям следует разделять свои DNS-серверы на внутренние и внешние. DNS-сервер в DMZ должен обрабатывать внешние запросы на преобразование имен, а внутренний DNS-сервер – только внутренние запросы. Это создает дополнительный уровень защиты, обеспечивая «невидимость» из сети Интернет внутреннего DNS-сервера.
Теперь давайте обсудим другую сложность в защите DNS – изменение файла hosts. Этот метод часто используется вредоносными программами. Файл hosts используется операционной системой для хранения информации о связях между IP-адресами и именами узлов. Это простой текстовый файл, который хранится в папке %system root%\system32\drivers\etc в системах Windows или в /etc/hosts в Unix/Linux. Он содержит просто список IP-адресов и соответствующих им имен узлов.

В большинстве операционных систем настройки сделаны таким образом, что компьютер обращается к файлу hosts перед тем, как сформировать запрос на DNS-сервер. Операционные системы отдают предпочтение файлу hosts, поскольку обычно он находится под прямым контролем системного администратора.

Как уже было сказано ранее, в первое время существования Интернета, перед появлением концепции DNS, подобные файлы были основным источником информации для определения сетевых адресов узлов по их именам. С постепенным ростом количества подключенных к Интернету узлов, поддержка таких файлов стала почти невозможной, что и привело к созданию Службы доменных имен (DNS).

Файлы hosts часто становятся целью для атак вредоносного программного обеспечения, изменение файла hosts используется для упрощения процесса распространения этого вредоносного программного обеспечения по системам, подключенным к внутренней сети. Получив контроль над файлом hosts и внеся в него изменения, вредоносное программное обеспечение может, например, перенаправить трафик с нужных пользователям ресурсов на веб-сайты, на которых размещено вредоносное содержимое. Очень часто вредоносные программы вносят изменения в файл hosts с целью блокировки посещения пользователями сайтов антивирусных компаний, а также блокировки загрузки антивирусными программами обновлений вирусных сигнатур с сайтов обновлений. Обычно это делается путем «привязки» блокируемых адресов к виртуальному сетевому интерфейсу (loopback address) 127.0.0.1. Самым эффективным способом предотвращения внесения несанкционированных изменений в файл hosts является установка для него атрибута «только чтение» (read-only).

Атакующим не всегда нужно оказывать техническое воздействие на атакуемуе системы. Они могут также воспользоваться некоторыми очень простыми методиками, которые имеют выскую эффективность для маршрутизации запросов пользователей к некорректным системам. Самым часто используемым способом является скрытие URL. Документы HTML и сообщения электронной почты позволяют пользователям прикреплять или вставлять гиперссылки к любому тексту (например, такие ссылки, как «Нажмите здесь» или «Далее» есть на большинстве веб-страниц). Атакующий может воспользоваться этим способом, чтобы обмануть ничего не подозревающего пользователя и заставить его нажать на сформированную злоумышленником ссылку.

Например, рассмотрим следующую ситуацию. Атакующий указал не вызывающий подозрений текст www.good.site, но установил для этого текста ссылку на другой сайт – www.bad.site. У людей вызывает интерес сайт www.good.site и они нажимают на эту ссылку, не зная, что в действительности они переходят на www.bad.site. Кроме того, атакующие часто используют похожие символы или коды символов, чтобы минимизировать подозрения пользователя.

Теперь взглянем на некоторые правовые аспекты регистрации доменов. Хотя они не представляют прямого риска безопасности вашим серверам DNS или вашей ИТ-инфраструктуре, их игнорирование может поставить под угрозу владение вами вашим доменным именем в сети Интернет и ваше присутствие в Интернет. Осведомленность о проблемах, связанных с захватом доменов (domain grabbing) и кибер-сквоттингом (cyber squatting) позволят вам лучше спланировать ваше присутствие в сети Интернет и избежать подобных проблем.

ICANN продвигает модель управления, которая следует политике «первым пришел – первым обслужен» при регистрации доменных имен, не обращая при этом внимания на торговые марки. Это ведет к необходимости защиты привлекательных и известных доменов от кибер-сквоттеров – людей, которые регистрируют на себя домены с известными или авторитетными именами, надеясь продать их позже реальным компаниям, которым они необходимы для организации своего присутствия в сети Интернет.

Другой тактикой, применяемой кибер-сквоттерами, является отслеживание и регистрация на себя доменов, на которые закончился предыдущий период регистрации. При этом они рассчитывают, что предыдущие владельцы этих доменов забыли вовремя перерегистрировать их и будут вынуждены обратиться к кибер-сквоттеру для выкупа своего доменного имени. Также кибер-сквоттеры находят и регистрируют домены, которые в дальнейшем могут понадобиться реальным компаниям для проведения ребрендеринга.

Для защиты компании от этих угроз нужно позаботиться о том, чтобы регистрировать необходимое доменное имя сразу, как только компания решила запустить новый бренд или новую торговую марку. Также хорошей мерой является регистрация важных доменов на длительный период (5-10 лет) вместо ежегодной перерегистрации. Это снижает вероятность того, что домен успеют «увести» кибер-сквоттеры. Другой эффективной мерой является одновременная регистрация похожих имен. Напрмер, если вы владеете доменом logicalsecurity.com, неплохой идеей будет зарегистрировать заодно и домены logical-security.com и logicalsecurity.net – это предотвратит получение их кем-то другим в своих целях.


NIS (Network Information System - Информационная система сети) похожа на телефонную книгу («Желтые страницы»), она позволяет определить местонахождение сетевых ресурсов. Используя сервер NIS, пользователи и приложения могут находить и использовать файлы и программы в любом месте в сети. Обычно NIS используется для «отслеживания» парольных файлов, алиасов электронной почты и списков узлов.
ПРИМЕЧАНИЕ. Список узлов (host table) – это файл, в котором хранится информация о связях между именами узлов и их IP-адресами. Он используется подобно DNS, но это просто файл, который компьютер может использовать для определения связи между именем узла и соответствующим ему IP-адресом – это не технология или продукт. NIS обычно сравнивают с DNS, поскольку оба они предоставляют необходимые компьютерам механизмы для определения IP-адресов систем.
В среде Unix системы используют определенные конфигурационные файлы (пароли, сетевые настройки, учетные записи пользователей), обычно работу сети проще организовать, если все системы используют идентичные конфигурационные файлы. NIS позволяет реализовать централизованное хранение и поддержку всех этих конфигурационных файлов, а не хранить и поддерживать их отдельно на каждом компьютере. При этом, когда компьютер загружается, он не смотрит свои собственные конфигурационные файлы, он сразу обращается к серверу NIS, который предоставляет ему файлы с описанием групп, паролями, списком узлов, служб и номеров их портов, а также информацию о ресурсах домена.

NIS работает с использованием архитектуры клиент/сервер. На рабочих станциях запускается клиентский процесс (ypbind), который находит серверный процесс NIS (ypserv) посредством отправки широковещательного запроса. Это происходит при загрузке рабочей станции, либо когда приложению нужно найти определенную информацию, например, об адресе сетевого сервера печати. Это похоже на работу службы DHCP. Вместо того чтобы использовать локальные файлы или настройки (IP-адрес компьютера, сетевые настройки), компьютер в процессе загрузки запрашивает DHCP-сервер. DHCP-сервер отправляет компьютеру необходимые ему для работы в сети настройки, которые этот компьютер применяет. Это позволяет обеспечить идентичность настроек всех систем, что необходимо для эффективной передачи данных по сети.

Как и любой другой протокол или технология, разработанный в 70-х – 80-х годах, NIS был разработан только с учетом функциональности, но не безопасности. Например, при его использовании файлы с зашифрованными паролями доступны любому запрашивающему компьютеру. Хакеры могут использовать эту возможность для перехвата парольного файла и проведения брутфорс-атаки для получения возможности несанкционированного доступа. Вся информация передается сервером NIS в открытым виде, что позволяет атакующим перехватывать ее, а перед отправкой критичных файлов сервер NIS не проводит аутентификацию запрашивающей их системы.

В другой атаке используется маскарадинг для подмены сервера NIS. Например, Валери хотела бы получить доступ к компьютеру Марка, но она не имеет необходимой для этого учетной записи. Поэтому Валери сначала отсылает широковещательный запрос серверу NIS для получения существующих конфигурационных файлов, как это делает любой другой компьютер в сети. Затем, она изменяет эти файлы, добавляя в них свою учетную запись и пароль. После этого она прослушивает сеть, ожидая широковещательный запрос серверу NIS от компьютера Марка. Как только компьютер Марка делает такой запрос, Валери отправляет ему измененные файлы. Система Марка применяет эти файлы, которые создают учетную запись для Валери, и теперь она может получить доступ к компьютеру Марка, когда захочет.

Таким образом, эти недостатки могут дать существенные преимущества атакующему, поэтому возникла потребность в обновлении NIS. Умные люди исправили многие из этих проблем и добавили плюс в название, NIS+.

NIS+ имеет повышенную производительность и усиленную безопасность. Пространство имен NIS является плоским, оно прекрасно работает в маленьких сетях, где не требуется большая масштабируемость. NIS+ использует иерархическое пространство имен, аналогичное DNS. Использование такого типа структуры пространства имен позволяет адаптировать этот сервис к реальной сети компании и легко наращивать его при необходимости. NIS требует ручного обновления (с основного сервера NIS на все подчиненные серверы NIS), которое может занимать по нескольку часов в ежедневно, поскольку оно реализуется посредством пакетной обработки. NIS+ позволяет автоматизировать обновления, и производить их инкрементально. NIS хранит данные в таблицах с двумя столбцами, тогда как NIS+ хранит информацию в 16 предварительно созданных таблицах. Таблица 5-9 резюмирует различия между NIS и NIS+.

Таблица 5-9. Различия между NIS и NIS+


В действительности, для обеспечения безопасности разработчики просто добавили S-RPC (Secure Remote Procedure Call). Протокол RPC рассматривается в Домене 09, но сейчас нам просто нужно знать, что он позволяет взаимодействовать клиентским и серверным системам в рамках модели клиент/сервер. Если клиенту NIS нужно взаимодействовать с сервером NIS или наоборот, их взаимодействие происходит посредством протокола RPC на сеансовом уровне. Использование S-RPC дало NIS+ функциональность аутентификации, авторизации и шифрования. Например, когда пользователю или компьютеру нужен доступ к серверу NIS+, производится проверка его идентификационных данных и пароль S-RPC. Затем пользователь помещается в класс (owner, group, world, nobody), котрый определяет, что пользователь может и что не может делать с объектами NIS+. Все коммуникации между клиентом NIS+ и сервером – зашифрованы, что исключает возможность их перехвата.

NIS+ обратно совместим с NIS, что создает уязвимость, которой могут воспользоваться хакеры. Если на системе Валери установлено программное обеспечение клиента NIS, а сервер NIS+ настроен на обратную совместимость, клиент NIS может получить файлы без предварительной аутентификации и авториазации. Таким образом, Валери может получить парольный файл и приступить к его взлому. Эта уязвимость обычно остается доступной, если сетевой администратор не понимает разницы между этими двумя версиями сервиса и не думает о последствиях применения таких настроек.

Кроме того, сам NIS+ может быть также атакован. Если атакующий взломал Unix-систему, на которой установлено программное обеспечение сервера NIS+, он может изменить настройки, добавить себя в качестве пользователя во все системы, получить доступ к парольным файлам.

NIS+ может быть настроен для работы в одном из трех режимов безопасности:
  • Уровень 0. Средства безопасности отключены. Любая система или пользователь имеют полный доступ к объектам NIS+. Такой режим следует использовать только для работы в тестовом режиме.
  • Уровень 1. Обеспечивает низкий уровень безопасности, не требует аутентификации. Этот режим также следует использовать только в процессе тестирования.
  • Уровень 2. Режим по умолчанию, применяется аутентификация и авторизация. Если кто-то делает запрос без учетных данных, он помещается в класс nobody, который запрещает любые действия.

Служба каталогов (directory service) хранит иерархическую базу данных пользователей, компьютеров, принтеров, ресурсов и атрибутов каждого из них. Этот каталог используется в основном для поиска информации, позволяя пользователям легко находить нужные им ресурсы и других пользователей для получения доступа. Большинство баз данных служб каталогов построено на основе модели Х.500, для доступа к ним используется LDAP (Lightweight Directory Access Protocol), который мы рассмотрим далее в этом Домене.

Службы каталогов часто сравнивают с телефонными книгами, которые вы просматриваете в поисках нужной вам контактной информации. Хотя службы каталогов обычно содержат гораздо больше информации, чем просто телефонные номера. DNS в действительности является разновидностью службы каталогов.

Сам каталог использует классы и подклассы объектов для создания репозитория каталога, обычно представляющего из себя базу данных. Администратор может центролизованно применять политики к этим объектам. В этих объектах может содержаться информация о пользователях, их местонахождении, информация о периферийных устройствах, ресурсах, профилях, сетевых сервисах и т.п. С помощью этих объектов, администратор может разработать политики управления доступом, политики безопасности и аудита, в которых будет определено, кто и как может использовать объекты, какие действия должны журналироваться. Также, могут быть разработаны и применены политики для управления шириной полосы пропускания канала, фильтрацией межсетевого экрана, VPN-доступом, QoS.

Департамент ИТ создает и поддерживает множество различных каталогов. Эти каталоги могут быть основаны на потребностях бизнеса или безопасности, к ним могут применяться различные политики безопасности, управления доступом, а также различные профили. Если используется более одного каталога, им требуется способ взаимодействия друг с другом – это осуществляется посредством мета-каталогов (meta-directories). Метаданные (metadata) – это данные о данных. Мета-каталоги содержат высокоуровневую информацию о самом каталоге, что позволяет пользователю одного каталога быстро находить объект, проводя его поиск по всем каталогам одновременно.

Каждый каталог следует определенной схеме (schema), как обычная база данных. Схема обеспечивает структуру репозитория каталога и определяет, как должны быть представлены объекты и их взаимоотношения. Каждый производитель службы каталога имеет базовую схему, которая позволяет администраторам определять их собственные объекты и соответствующие им атрибуты. Однако, как и в продуктах других типов, могут возникнуть проблемы взаимодействия между схемами различных производителей, что усложнит организацию взаимодействия между ними. Если компания покупает другую компанию и возникает необходимость в объединении их сетей и слиянии их служб каталогов – это может оказаться очень сложным проектом.

Службы каталогов предлагают широкие возможности пользователям, администраторам и сетям в целом. Они позволяют администраторам поддерживать и управлять всеми ресурсами и пользователями сети. База данных каталога работает как место хранения почти всей важной информации сети и позволяет пользователям легко и быстро находить нужные им сервисы или ресурсы. Двумя примерами служб каталогов являются Microsoft Active Directory (AD) и Novell Directory Service (NDS). Хотя обе они основаны на модели Х.500, достаточно сложно организовать взаимодействие между ними.

Пользователям в сети доступно множество сервисов, что и было основной причиной ее создания. В этом разделе мы рассматриваем NOS, DNS, NIS и службы каталогов, но в действительности сети предоставляют гораздо больше сервисов – например, многие сети предоставляют сервисы печати, которые позволяют нескольким пользователям совместно использовать локальные или удаленные принтеры. Администраторам предоставляются сервисы для централизованного управления сетью, которые дают им возможность обзора сети в целом из одного приложения c графическим интерфейсом, позволяющего добавлять и удалять пользователей, решать возникающие в сети проблемы, проводить аудит действий пользователей и событий в сети, добавлять и удалять сервисы, управлять доступом удаленных пользователей и т.д. Некоторые сети предоставляют терминальные службы, позволяющие пользователям использовать маломощные рабочие станции, которые просто отображают удаленный рабочий стол, а операционная система сервера выполняет всю необходимую работу.

Сети интересны и очень востребованы в современном компьютерном мире. Однако сети достаточно сложны, что является причиной многих ошибок, дыр в безопасности, уязвимостей – всего того, на что рассчитывают атакующие. Чем лучше вы понимаете организацию работы сетей и их компонентов, тем более эффективные механизмы безопасности вы можете внедрить и обеспечить более высокий уровень защиты сети.


LDAP (Lightweight Directory Access Protocol – Упрощенный протокол доступа к каталогу) – это клиент-серверный протокол, используемый для доступа к сетевым каталогам, таким как Microsoft AD или NDS. Эти каталоги следуют стандарту Х.500. Первой версией этого протокола был протокол DAP (Directory Access Protocol), созданный для реализации клиентской части службы каталога X.500. Его идея заключалась в предоставлении интерфейса для каждого сервиса, предоставляемого каталогом стандарта Х.500. Однако стандарт Х.500 был слишком сложным для полноценной реализации, соответственно и протокол DAP был чрезвычайно сложен и ресурсоемок. Поэтому современные службы каталогов используют только часть стандарта Х.500, а мы используем урезанную (упрощенную) версию DAP.

Спецификация LDAP работает с каталогами, организованными в виде базы данных с иерархической древовидной структурой. Дерево имеет листья (сущности) с уникальными именами (DN). Эти имена следуют иерархии и описывают место сущности в дереве. Сущностями могут быть сетевые ресурсы, компьютеры, люди, беспроводные устройства и т.д. Каждый элемент имеет атрибут и значение. Атрибуты похожи на столбцы в реляционной базе данных, они содержат информацию об элементе. Например, если элемент является принтером, атрибутами могут быть его IP-адрес, сетевое имя, МАС-адрес и описание. Значения – это просто данные, которые заполняют соответствующие поля. Таким образом, атрибуты содержат поля и когда эти поля заполняются данными, они являются значениями атрибутов. Каждая компания определяет свою собственную структуру каталога, атрибуты и их значения, которые лучше всего подходят потребностям этой компании.
ПРИМЕЧАНИЕ. Новейшая версия LDAP, версия 3, имеет исчерпывающую встроенную модель безопасности, которая поддерживает стандарты безопасности интернета, такие как TLS (Transport Layer Security).
Ссылки по теме:

Если компьютерам нужно взаимодействовать друг с другом, они должны использовать одинаковый тип схемы адресации, которую понимает и может использовать каждый из них. Интернет использует схему с IP-адресами и любые компьютеры или сети для взаимодействия должны применять эту схему, иначе они будут находиться в «виртуальной комнате» и смогут взаимодействовать только сами с собой.

Однако IP-адресов становится недостаточно (до полного перехода на IPv6) и они дорожают. Поэтому умные люди придумали NAT (Network Address Translation - Трянсляция сетевых адресов), которая позволяет сетям не следовать схеме адресации Интернета, но при этом иметь возможность взаимодействия через Интернет.

Для использования во внутренних сетях LAN были зарезервированы частные IP-адреса, описанные в RFC 1918. Эти адреса могут использоваться внутри компании, но они не могут использоваться в Интернет, поскольку они не могут маршрутизироваться. NAT позволяет компании использовать эти частные адреса, имея при этом возможность для прозрачного взаимодействия с компьютерами в Интернете.

Приведенный ниже список показывает диапазоны частных IP-адресов:
  • 10.0.0.0 – 10.255.255.255 Сеть Класса A
  • 172.16.0.0 – 172.31.255.255 16 сетей Класса B
  • 192.168.0.0 – 192.168.255.255 256 сетей Класса C
NAT – это шлюз, расположенный между сетью и Интернетом (или другой сетью), который выполняет прозрачную маршрутизацию и трансляцию имен. Поскольку количество свободных IP-адресов быстро сокращалось, в 1999 году был разработан протокол IPv6, который должен был полностью решить проблему с количеством адресов. NAT позволяет решить проблему недостатка количества адресов только частично, позволив большему количеству компаний стать частью сети Интернет. Однако на сегодняшний день IPv6 принимается и внедряется достаточно медленными темпами, т.к. NAT временно решил проблему. Многие производители межсетевых экранов реализуют NAT в своих продуктах, что дополнительно позволяет получить существенные преимущества с точки зрения безопасности. Если атакующие хотят взломать сеть, они сначала должны узнать все о сети, ее топологию, сервисы и адреса. Однако, если в сети используется NAT, атакующим не просто узнать схему адресов компании и топологию ее сети, поскольку NAT работает как вышибала в ночном клубе, стоя на переднем крае обороны сети и скрывая реальную схему адресации IP.

NAT скрывает внутренние адреса, объединяя их на одном устройстве, в результате чего любые исходящие из сети кадры имеют в качестве адреса источника только адрес этого устройства, а не фактический адрес компьютера, отправившего сообщение. Например, если сообщение отправлено внутренним компьютером с адресом 10.10.10.2, это сообщение останавливается на устройстве, на котором запущено программное обеспечение NAT. Это устройство имеет IP-адрес 1.2.3.4. NAT изменяет заголовок кадра, устанавливая вместо внутреннего адреса 10.10.10.2 адрес устройства NAT 1.2.3.4. Когда компьютер в Интернете отвечает на это сообщение, он отправляет ответ на адрес 1.2.3.4. Устройство NAT меняет адрес получателя в заголовке ответного сообщения на 10.10.10.2 и отправляет его по внутренней сети соответствующему пользователю.

Может применяеться три основных типа реализации NAT:
  • Статическая трансляция (static mapping). Программное обеспечение NAT имеет настроенный пул внешних IP-адресов. Каждый частный адрес статически связывается с определенным внешним адресом. При этом компьютер А всегда получает внешний адрес X, компьютер В всегда получает внешний адрес Y и т.д. Обычно такая реализация NAT используется для серверов, которым нужно постоянно иметь один и тот же внешний адрес.
  • Динамическая трансляция (dynamic mapping). Программное обеспечение NAT также имеет пул внешних IP-адресов, но вместо статической привязки внешних адресов определенным внутренним адресам, динамическая трансляция работает по принципу «первый пришел, первым обслужен». Так, если Бобу нужно взаимодействовать через Интернет, его система делает запрос к серверу NAT. Сервер NAT привязывает первый внешний IP в своем списке к частному адресу Боба. При этом следует оценить, как много компьютеров обычно будет взаимодействовать с внешними сетями одновременно. Эта оценка позволит определить необходимое количество внешних адресов, которые нужно купить компании (вместо покупки по одному внешнему адресу на каждый внутренний компьютер).
  • Трансляция адресов портов (PAT – Port address translation). Компания имеет и использует только один внешний IP-адрес для всех систем, которым нужно взаимодействовать с внешними сетями. Но как во внешней сети все компьютеры могут использовать один и тот же IP-адрес? Хороший вопрос. Например, устройство NAT имеет внешний IP-адрес 127.50.41.3. Когда компьютеру А требуется взаимодействовать с системой в Интернете, устройство NAT фиксирует частный адрес этого компьютера и исходящий номер порта (10.10.44.3, порт 44887). Устройство NAT меняет IP-адрес в заголовке пакета с адреса этого компьютера на 127.50.41.3 с исходящим портом 40000. Когда компьютеру В также требуется взаимодействовать с системой в Интернете, устройство NAT фиксирует его частный адрес и исходящий номер порта (10.10.44.14, порт 23398) и изменяет информацию в заголовке на адрес 127.50.41.3 с исходящим портом 40001. Когда внешняя система отвечает компьютеру А, пакет сначала идет на устройство NAT, которое видит номер порта 40000 и делает вывод, что пакет предназначен для компьютера А. Поэтому устройство NAT меняет информацию в заголовке на адрес 10.10.44.3 и порт 43887 и отправляет его компьютеру А для обработки. Компания может существенно сэкономить, используя РАТ, поскольку нужно купить только несколько внешних IP-адресов, которые будут использоваться всеми системами внутренней сети.
Большинство реализаций NAT контролируют состояние (stateful), т.е. они отслеживают взаимодействие между внутренними и внешними узлами до окончания сеанса. Устройство NAT должно помнить внутренний IP-адрес и порт для обратной отправки сообщений. Эти характеристики контроля состояния похожи на межсетевые экраны с контролем состояния, но NAT не выполняют анализ входящих пакетов с целью выявления в них вредоносных компонентов. NAT является службой, обычно выполняющейся на маршрутизаторах или межсетевых экранах в рамках экранированной подсети компании.

Хотя NAT был разработан для временного и быстрого решения проблемы уменьшения числа свободных IP-адресов, в действительности он снизил важность этой проблемы на неопределенное время. Многие компании организовали работу по схемам с частными адресами, снизив свою потребность во внешних IP-адресах. NAT очень полезен, и производители внедряют эту технологию в свои продукты, но из-за нее снизились темпы внедрения IPv6.

Ссылки по теме:

Функциональность, возможности и популярности веб-технологий росли последнее время взрывными темпами. Компании создавали свои внутренние веб-сайты для централизации бизнес-информации, такой как номера телефонов сотрудников, нормативные документы, информация о событиях, новости, внутренние инструкции по работе и т.п. Многие компании внедрили веб-терминалы, которые сотрудники используют для выполнения своих повседневных задач, работы с централизованными базами данных, совершения операций, сотрудничества в рамках проектов, использования глобальных календарей, видеоконференций и досок объявлений, работы с техническими и маркетинговыми данными.

Веб-клиенты отличаются от рабочих станций, которые могут входить в сеть и имеют свой собственный «рабочий стол». Веб-клиенты ограничивают возможности получения пользователем доступа к файловой системе компьютера, ресурсам, пространству на жестком диске, доступа к серверным системам, а также выполнения других задач. Веб-клиенты могут быть настроены на предоставление графического интерфейса только с теми кнопками, полями и страницами, которые необходимы пользователям для выполнения своих задач. Это предоставляет всем пользователям стандартный универсальный интерфейс с одинаковыми возможностями.

Если компания в своей внутренней сети применяет интернет- и веб-технологии, она использует интрасеть (intranet - интранет) – "частную" сеть, в которой применяются Интернет-технологии, такие как TCP/IP. В этой компании есть веб-серверы и клиентские машины, используются веб-браузеры, применяется набор протоколов TCP/IP. Веб-страницы написаны на HTML или XML, а доступ к ним осуществляется через HTTP.

Использование веб-технологий дает множество плюсов. Они существуют на протяжении довольно длительного времени, они очень легко внедряются, не имеют серьезных проблем взаимодействия – пользователь просто щелкает по ссылке и сразу перемещается к запрашиваемому ресурсу. Веб-технологии не зависят от платформы, то есть, например, все веб-сайты и страницы могут храниться на Unix-сервере, а пользовательские рабочие станции под управлением Windows или MacOs могут использовать их, для чего им потребуется только веб-браузер.

Экстрасеть (extranet - экстранет) распространяется за пределы сети компании, позволяя двум или нескольким компаниям совместно использовать информацию, создавать общие ресурсы. Бизнес-партнеры обычно создают экстрасеть для обеспечения взаимодействия между своими компаниями. Экстрасеть позволяет бизнес-партнерам вместе работать над проектами, делиться маркетинговой информацией, общаться и сотрудничать в различных вопросах, отправлять почту, каталоги, информацию о предстоящих событиях и т.п. Торговые партнеры часто используют электронный обмен данными (EDI – Electroniс Data Interchange), позволяющий использовать электронный документооборот, в рамках которого передаются и совместно используются приказы, счета, заказы и другие данные. EDI использует веб-технологии для предоставления простого доступа и простых методов взаимодействия.

Однако экстрасеть может стать уязвимостью или «дырой» в безопасности компании, если она неправильно реализована или не поддерживается должным образом. Необходимо правильно настроить межсетевые экраны для управления доступом и использованием коммуникационных каналов экстрасети. Экстрасеть лучше реализовать на основе выделенных каналов связи, что значительно затруднит злоумышленникам проникновение в сети компаний. Однако сегодня многие экстрасети создаются посредством сети Интернет, что требует применения правильно настроенных VPN-каналов и политик безопасности.
Сети с дополнительными услугами.Множество различных компаний используют EDI для организации внутренних коммуникаций и связи с другими компаниями. Очень распространено использование такой связи между компанией и ее поставщиками. Например, некоторые поставщики поставляют оборудование в различные компании, такие как Target, Wal-Mart и Kmart. Многие такие поставки осуществляются из Китая, после чего оборудование направляется на склад в Соединенных Штатах. Когда Wal-Mart нужно заказать оборудование, она направляет свой заказ через сеть EDI, которая основана на электронных формах, а не бумажных документах. Сеть с дополнительными услугами (VAN – Value-Added Network) – это инфраструктура EDI, разработанная и поддерживаемая сервис-бюро (service bureau). Wal-Mart отслеживает свое оборудование, находящееся у работников, сканируя штрих-коды отдельных устройств. Когда какого-либо оборудования остается мало, работник Wal-Mart направляет заказ на следующую поставку конкретного оборудования. Этот заказ направляется в специальный почтовый ящик в VAN, а затем пересылается поставщику, который поставляет этот тип оборудования для Wal-Mart. Поскольку Wal-Mart (как и некоторые другие магазины) работает с тысячами поставщиков, применение VAN упрощает процесс оформления заказов – вместо того, чтобы работник искал нужного поставщика и направлял ему заказ, все это происходит в фоновом режиме через автоматизированную сеть EDI, которая управляется компанией, реализующей VAN (называемой сервис-бюро) для использования другими компаниями.

EDI переходят от собственных структур VAN EDI на стандартизированные коммуникационные структуры, чтобы использовать больше возможностей для взаимодействия, решить проблемы совместимости и упростить обслуживание. Для этого используются XML, SOAP и веб-службы.
Ссылки по теме:

Комментариев нет: