Лекция 13. Защита сетевых служб.

Защита сетевых служб

С точки зрения сетевых служб, Мае прекрасно защищен, поскольку по умолчанию на нем работают несколько ключевых служб, которые отвеча­ют на внешние запросы. Даже когда вы предоставляете отдельные служ­бы общего доступа, Мае отвечает на запросы только тех служб, которые в данный момент активированы. Кроме того, службы, способные вызвать проблемы при своей компрометации (такие как общий доступ к файлам или экрану), могут настраиваться таким образом, чтобы ими пользовался только ограниченный круг лиц (рассматривалось ранее в этом уроке). Тем не менее пользователи могут открывать сторонние приложения или фоно­вые службы, которые делают Мае уязвимым для сетевой атаки.

Совет. Чтобы поддерживать высокий уровень сетевой безопасности, сле­дует держать службы общего доступа отключенными, пока в них не воз­никнет абсолютной необходимости. Если вы включаете службы общего доступа, то по максимуму ограничьте круг лиц, которые будут иметь к ним доступ.

Персональный брандмауэр

Самый распространенный способ защитить сетевые службы - это на­строить брандмауэр, который будет блокировать неавторизованный до­ступ к сетевым службам. В большинстве сетей брандмауэр используется для ограничения входящего трафика из Интернета. В действительности большинство персональных маршрутизаторов, например базовые стан­ции AirPort, по своей структуре также являются сетевыми брандмауэра­ми. Хотя брандмауэры уровня сети будут блокировать неавторизованный трафик, поступающий из Интернета, они не смогут блокировать трафик, который идет из локальной сети к вашему Мае. Не исключено также, что если Мае является портативным и подключается к новым сетям, то каж­дая новая сеть, к которой выполняется подключение, будет иметь другие правила брандмауэра.

Таким образом, чтобы не разрешать неавторизованным сетевым службам принимать входящие подключения на конкретном Мае, можно включить встроенный персональный брандмауэр. Личный брандмауэр будет блокировать неавторизованные подключения к Мае независимо от их источника. Брандмауэр в Lion поддерживает возможность своей конфигурации с помощью одного щелчка кнопкой мыши, и такая конфи­гурация обеспечивает высокий уровень защиты сетевых служб и подходит для большинства пользователей.

Стандартный брандмауэр использует правила на основе номеров пор­тов служб. Как вы узнали ранее в этом уроке, каждой службе присвоен стандартный порт или набор портов. Однако некоторые сетевые службы, такие как iChat, используют широкий диапазон динамических портов. Если бы пришлось вручную настраивать традиционный брандмауэр, то нужно было бы создать десятки правил для каждого потенциального пор­та, который мог бы понадобиться пользователю.

Для решения этой проблемы брандмауэр в Lion использует адаптив­ную технологию, которая разрешает подключения на основе требуемых приложений и служб. Пользователю даже не нужно знать, какие конкрет­но порты используются. Например, можно разрешить процессу iChat при­нимать любое входящее подключение, не настраивая все отдельные TCP- и CJDP-порты, которые им используются.

Совет. В ОС Lion все еще присутствует более традиционный брандмауэр На основе портов, iplw. Он может настраиваться из командной строки или с Помощью конфигурационных файлов.

Брандмауэр в Lion использует также другую возможность - подпись кода, которая позволяет гарантировать, что разрешенные приложения и службы не будут изменены без вашего ведома. Кроме того, подпись кода по­зволяет Apple и сторонним разработчикам предоставлять гарантию того, Что их программное обеспечение не было изменено злоумышленниками. Такой уровень проверки доверия позволяет настраивать брандмауэр в Lion в стандартном режиме с помощью одного щелчка кнопкой мыши. В атом режиме подписанным приложениям и службам разрешается прини­мать входящие подключения.

Наконец, поскольку брандмауэр в Lion является полностью ди­намическим, он будет открывать только необходимые порты, когда при­ложение или служба работают. Используя в качестве примера приложение iChat, брандмауэр в Lion будет разрешать входящие подключения на тре­буемые порты, только если приложение iChat работает. Если приложение будет закрыто из-за того, что пользователь выходит из системы, брандма­уэр закроет и соответствующие порты. Если требуемые порты открыты, только когда работают использующие их приложения или службы, обе­спечивается дополнительный уровень защиты, который отсутствует в традиционных брандмауэрах.

 

Решение проблем сетевых служб

Чтобы эффективно решить сетевую проблему, необходимо определить, к какой из трех категорий она относится: локальная, сетевая или проблема службы. Большинство проблем с недоступностью сетевых служб, скорее всего, будут относиться к последней категории. Это означает, что следует направить максимум усилий на устранение неполадок с конкретной служ­бой, при работе с которой наблюдаются проблемы.

Однако прежде чем погружаться в решение проблемы службы, исклю­чите общие сетевые проблемы. Сначала убедитесь, что работают другие сетевые службы. Открытие браузера и посещение нескольких сайтов, раз­мещенных локально или в Интернете, является хорошим тестом наличия общей сетевой связи. Протестируйте также другие сетевые службы или проверьте их с другого компьютера в той же сети. Если вы испытываете трудности в соединении с файловым сервером, но можете соединиться с веб-серверами, то, вполне вероятно, что конфигурация TCP/IP работа­ет нормально и проблема - в файловом сервере. Если имеются пробле­мы только с определенной службой, то, вероятно, локальных или сетевых проблем нет, и вы должны сосредоточиться на решении проблем только этой службы.

Если другие сетевые службы не работают, то неисправность связана, вероятно, с локальными или сетевыми проблемами. Внимательно про­верьте локальные сетевые настройки, чтобы гарантировать правильную конфигурацию в настройках Сеть (Network) и Сетевая утилита (Network Utility). Если вы обнаружите, что и другие компьютеры не работают, то речь, возможно, идет о глобальной сетевой проблеме, что выходит за рам­ки решения проблем клиентских компьютеров. Более подробно общие во­просы устранения неполадок с сетью рассматривались в уроке 6.

Сканирование сетевых портов

Одним из наиболее важных диагностических инструментов является ути­лита сканирования сетевых портов. Она входит в приложение Сетевая утилита (Network Utility) и сканирует все открытые порты сетевых служб по указанному сетевому адресу. Как говорилось ранее в этом уроке, про­токолы сетевых служб связаны с определенными TCP- и UDP-портами. Предоставляющие службу сетевые устройства должны оставлять соот­ветствующие сетевые порты открытыми, чтобы принимать входящие со­единения от других сетевых клиентов. Сканирование портов обнаружит, открыты ли требуемые порты. Если порты не открыты, то устройство либо не предоставляет необходимой службы, либо сконфигурировано для ее предоставления нестандартным образом. В любом случае это означает, что проблема связана с устройством, предоставляющим службу, а не с ва­шим компьютером.

Примечание. Сетевые администраторы рассматривают повторяющиеся ping-запросы и широкое сканирование портов как потенциальную угрозу. Поэтому некоторые сетевые устройства настраиваются на запрет ответа, даже когда работают правильно. Таким образом, следует избегать чрез­мерного использования ping-запросов и сканирования широкого диапа­зона портов при тестировании других серверов.

 

 

Основная литература:1 [23-26], 2 [5-92], 3[801-815]

Дополнительная литература:6

Контрольные вопросы:

1. Какая угроза безопасности возникает при включении служб общего доступа к клиентам?

2. Как работает встроенный в Lion брандмауэр? Каковы доступные допол­нительные настройки брандмауэра?

3. Какие проблемы могут возникать при подключении к сетевым файловым службам?

4. Назовите три распространенных метода устранения неполадок, связанных с невозможностью подключиться к сетевым службам?

5. Что такое каталог, и как этот термин связан со службами каталогов?

6. Назовите шесть распространенных типов ресурсов из службы каталогов, к ко­торым может обращаться Lion.

7. Назовите основные различия между локальными, сетевыми и мобильными учетными записями.

8. Назовите четыре преимущества использования служб сетевых каталогов для хранения информации учетной записи.

9. Назовите четыре типа служб каталогов, которые могут использоваться в Lion.

10. Что такое аутентификация? Что такое авторизация?

11. Назовите три распространенных метода аутентификации.

12. Что такое билет Kerberos? Что такое Центр распространения ключей (KDC)?

13. В чем различие между Kerberos и связками ключей в управлении службами аутентификации?

 

 








Дата добавления: 2015-09-18; просмотров: 634;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.011 сек.