Лекция 13. Защита сетевых служб.
Защита сетевых служб
С точки зрения сетевых служб, Мае прекрасно защищен, поскольку по умолчанию на нем работают несколько ключевых служб, которые отвечают на внешние запросы. Даже когда вы предоставляете отдельные службы общего доступа, Мае отвечает на запросы только тех служб, которые в данный момент активированы. Кроме того, службы, способные вызвать проблемы при своей компрометации (такие как общий доступ к файлам или экрану), могут настраиваться таким образом, чтобы ими пользовался только ограниченный круг лиц (рассматривалось ранее в этом уроке). Тем не менее пользователи могут открывать сторонние приложения или фоновые службы, которые делают Мае уязвимым для сетевой атаки.
Совет. Чтобы поддерживать высокий уровень сетевой безопасности, следует держать службы общего доступа отключенными, пока в них не возникнет абсолютной необходимости. Если вы включаете службы общего доступа, то по максимуму ограничьте круг лиц, которые будут иметь к ним доступ.
Персональный брандмауэр
Самый распространенный способ защитить сетевые службы - это настроить брандмауэр, который будет блокировать неавторизованный доступ к сетевым службам. В большинстве сетей брандмауэр используется для ограничения входящего трафика из Интернета. В действительности большинство персональных маршрутизаторов, например базовые станции AirPort, по своей структуре также являются сетевыми брандмауэрами. Хотя брандмауэры уровня сети будут блокировать неавторизованный трафик, поступающий из Интернета, они не смогут блокировать трафик, который идет из локальной сети к вашему Мае. Не исключено также, что если Мае является портативным и подключается к новым сетям, то каждая новая сеть, к которой выполняется подключение, будет иметь другие правила брандмауэра.
Таким образом, чтобы не разрешать неавторизованным сетевым службам принимать входящие подключения на конкретном Мае, можно включить встроенный персональный брандмауэр. Личный брандмауэр будет блокировать неавторизованные подключения к Мае независимо от их источника. Брандмауэр в Lion поддерживает возможность своей конфигурации с помощью одного щелчка кнопкой мыши, и такая конфигурация обеспечивает высокий уровень защиты сетевых служб и подходит для большинства пользователей.
Стандартный брандмауэр использует правила на основе номеров портов служб. Как вы узнали ранее в этом уроке, каждой службе присвоен стандартный порт или набор портов. Однако некоторые сетевые службы, такие как iChat, используют широкий диапазон динамических портов. Если бы пришлось вручную настраивать традиционный брандмауэр, то нужно было бы создать десятки правил для каждого потенциального порта, который мог бы понадобиться пользователю.
Для решения этой проблемы брандмауэр в Lion использует адаптивную технологию, которая разрешает подключения на основе требуемых приложений и служб. Пользователю даже не нужно знать, какие конкретно порты используются. Например, можно разрешить процессу iChat принимать любое входящее подключение, не настраивая все отдельные TCP- и CJDP-порты, которые им используются.
Совет. В ОС Lion все еще присутствует более традиционный брандмауэр На основе портов, iplw. Он может настраиваться из командной строки или с Помощью конфигурационных файлов.
Брандмауэр в Lion использует также другую возможность - подпись кода, которая позволяет гарантировать, что разрешенные приложения и службы не будут изменены без вашего ведома. Кроме того, подпись кода позволяет Apple и сторонним разработчикам предоставлять гарантию того, Что их программное обеспечение не было изменено злоумышленниками. Такой уровень проверки доверия позволяет настраивать брандмауэр в Lion в стандартном режиме с помощью одного щелчка кнопкой мыши. В атом режиме подписанным приложениям и службам разрешается принимать входящие подключения.
Наконец, поскольку брандмауэр в Lion является полностью динамическим, он будет открывать только необходимые порты, когда приложение или служба работают. Используя в качестве примера приложение iChat, брандмауэр в Lion будет разрешать входящие подключения на требуемые порты, только если приложение iChat работает. Если приложение будет закрыто из-за того, что пользователь выходит из системы, брандмауэр закроет и соответствующие порты. Если требуемые порты открыты, только когда работают использующие их приложения или службы, обеспечивается дополнительный уровень защиты, который отсутствует в традиционных брандмауэрах.
Решение проблем сетевых служб
Чтобы эффективно решить сетевую проблему, необходимо определить, к какой из трех категорий она относится: локальная, сетевая или проблема службы. Большинство проблем с недоступностью сетевых служб, скорее всего, будут относиться к последней категории. Это означает, что следует направить максимум усилий на устранение неполадок с конкретной службой, при работе с которой наблюдаются проблемы.
Однако прежде чем погружаться в решение проблемы службы, исключите общие сетевые проблемы. Сначала убедитесь, что работают другие сетевые службы. Открытие браузера и посещение нескольких сайтов, размещенных локально или в Интернете, является хорошим тестом наличия общей сетевой связи. Протестируйте также другие сетевые службы или проверьте их с другого компьютера в той же сети. Если вы испытываете трудности в соединении с файловым сервером, но можете соединиться с веб-серверами, то, вполне вероятно, что конфигурация TCP/IP работает нормально и проблема - в файловом сервере. Если имеются проблемы только с определенной службой, то, вероятно, локальных или сетевых проблем нет, и вы должны сосредоточиться на решении проблем только этой службы.
Если другие сетевые службы не работают, то неисправность связана, вероятно, с локальными или сетевыми проблемами. Внимательно проверьте локальные сетевые настройки, чтобы гарантировать правильную конфигурацию в настройках Сеть (Network) и Сетевая утилита (Network Utility). Если вы обнаружите, что и другие компьютеры не работают, то речь, возможно, идет о глобальной сетевой проблеме, что выходит за рамки решения проблем клиентских компьютеров. Более подробно общие вопросы устранения неполадок с сетью рассматривались в уроке 6.
Сканирование сетевых портов
Одним из наиболее важных диагностических инструментов является утилита сканирования сетевых портов. Она входит в приложение Сетевая утилита (Network Utility) и сканирует все открытые порты сетевых служб по указанному сетевому адресу. Как говорилось ранее в этом уроке, протоколы сетевых служб связаны с определенными TCP- и UDP-портами. Предоставляющие службу сетевые устройства должны оставлять соответствующие сетевые порты открытыми, чтобы принимать входящие соединения от других сетевых клиентов. Сканирование портов обнаружит, открыты ли требуемые порты. Если порты не открыты, то устройство либо не предоставляет необходимой службы, либо сконфигурировано для ее предоставления нестандартным образом. В любом случае это означает, что проблема связана с устройством, предоставляющим службу, а не с вашим компьютером.
Примечание. Сетевые администраторы рассматривают повторяющиеся ping-запросы и широкое сканирование портов как потенциальную угрозу. Поэтому некоторые сетевые устройства настраиваются на запрет ответа, даже когда работают правильно. Таким образом, следует избегать чрезмерного использования ping-запросов и сканирования широкого диапазона портов при тестировании других серверов.
Основная литература:1 [23-26], 2 [5-92], 3[801-815]
Дополнительная литература:6
Контрольные вопросы:
1. Какая угроза безопасности возникает при включении служб общего доступа к клиентам?
2. Как работает встроенный в Lion брандмауэр? Каковы доступные дополнительные настройки брандмауэра?
3. Какие проблемы могут возникать при подключении к сетевым файловым службам?
4. Назовите три распространенных метода устранения неполадок, связанных с невозможностью подключиться к сетевым службам?
5. Что такое каталог, и как этот термин связан со службами каталогов?
6. Назовите шесть распространенных типов ресурсов из службы каталогов, к которым может обращаться Lion.
7. Назовите основные различия между локальными, сетевыми и мобильными учетными записями.
8. Назовите четыре преимущества использования служб сетевых каталогов для хранения информации учетной записи.
9. Назовите четыре типа служб каталогов, которые могут использоваться в Lion.
10. Что такое аутентификация? Что такое авторизация?
11. Назовите три распространенных метода аутентификации.
12. Что такое билет Kerberos? Что такое Центр распространения ключей (KDC)?
13. В чем различие между Kerberos и связками ключей в управлении службами аутентификации?
Дата добавления: 2015-09-18; просмотров: 634;