Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Политики ограниченного использования программ.
В последние годы одной из наиболее серьезных угроз безопасности стал запуск пользователями неизвестных или непроверенных программ на компьютерах. Во многих случаях пользователи по невнимательности запускают потенциально опасное программное обеспечение. Практика показывает, что миллионы пользователей устанавливают на своих компьютерах вирусы и троянские кони, сами того не желая. Для предотвращения таких последствий предназначены политики ограниченного использования программ, запрещающие пользователям запускать опасное программное обеспечение. Они определяют приложения, которые разрешено или запрещено запускать на рабочих станциях.
При установке политик ограниченного использования программ можно определить политику, разрешающую запуск всего программного обеспечения за исключением блокированных приложений. Вы также можете определить политику, запрещающую запуск всего программного обеспечения кроме приложений с явно назначенным разрешением запуска. Хотя второй способ обеспечивает более высокий уровень безопасности, для определения всех приложений, которые разрешено запускать в среде предприятия, может потребоваться много времени.
Большинство компаний предпочитают менее защищенный способ, разрешая запускать все программное обеспечение и блокируя лишь некоторые приложения. Тем не менее если вы развертываете набор рабочих станций в среде, где требуется повышенная безопасность, имеет смысл применить второй, более защищенный способ.
В процессе создания политики ограниченного использования программ можно отконфигурировать пять типов правил для приложений, являющихся субъектами политики.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Основы сетевые технологий. Адресация компьютеров в локальных и глобальных сетях.
Потребность в соединении компьютеров, находящихся на различных расстояниях друг от друга, назрела давно. С появлением сложных глобальных сетей компьютеров, в которых можно было обмениваться данными в автоматическом режиме, были реализованы службы обмена файлами, синхронизации баз данных, электронной почты, распечатки документов на “чужом” принтере и другие, ставшие теперь традиционными, сетевые службы. Одним из главных показателей качества сетевых служб является их удобство (ее прозрачность). Для обеспечения прозрачности большое значение имеет способ адресации, или, как говорят, способ именования разделяемых сетевых ресурсов. Таким образом, одной из важнейших проблем , которую нужно решать при объединении трех и более компьютеров в сеть, является проблема их адресации. К адресу узла сети и схеме его назначения предъявляют следующие требования:
1) адрес должен уникально идентифицировать компьютер в любой сети (от локальной до глобального масштаба);
2) адрес должен быть удобен для построения больших сетей и иметь иерархическую структуру. Почтовые международные адреса хорошо иллюстрируют эту проблему. Почтовой службе, организующей доставку писем между странами, достаточно пользоваться только названием страны адресата и не учитывать название его города, а тем более улицы. В глобальных сетях, состоящих из многих тысяч узлов, отсутствие иерархии адреса может привести к большим издержкам;
3) адрес должен иметь символьное представление и должен быть удобен для пользователей сети, например, Servers1 или www.sura.com.
4) чтобы не перегружать память коммуникационной аппаратуры (сетевых адаптеров, маршрутизаторов, коммутаторов и т. п) адрес должен иметь по возможности компактное представление;
5) схема назначения адресов должна исключать вероятность дублирования адресов, сводить к минимуму ручной труд администратора;
К сожалению все эти требования достаточно противоречивы — например, адрес, имеющий иерархическую структуру, будет менее компактным, чем неиерархический ( «плоский», то есть не имеющим структуры). На символьный адрес потребуется больше памяти, чем на адрес-число. На практике обычно используется сразу несколько схем назначения адресов, поэтому компьютер одновременно имеет несколько адресов-имен. Каждый адрес используется в той ситуации, когда соответствующий вид адресации наиболее удобен. Чтобы не возникало путаницы и компьютер всегда однозначно определялся своим адресом, используются специальные вспомогательные протоколы, которые по адресу одного типа могут определить адреса других типов.
Основные схемы адресации узлов компьютерной сети.
В современных компьютерных сетях широко используются следующие схемы адресации узлов сети:
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Шифрование передаваемых по сетевым каналам данных и дополнительные меры информационной безопасности.
Взлом одного или нескольких узлов в корпоративной сети хранения данных может привести к катастрофическим последствиям для бизнеса. Если вы каждые пять месяцев сталкиваетесь с пропажей значительных объемов данных, то можете быть уверены: у вас периодически случаются и более мелкие кражи информации, которые остаются необнаруженными. Сетевые специалисты стараются взять реванш, но, признавая важность защиты хранящихся данных (в рамках более общего процесса обеспечения информационной безопасности предприятия), они не могут прийти к согласию насчет того, как это следует делать. Ясно одно: ущерб от потери данных и повреждения систем их хранения (помимо нанесения урона имиджу компании) может быть очень велик, поэтому для большинства фирм крайне важно иметь план мероприятий, которые помогли бы избежать подобных происшествий. Пропажа конфиденциальной информации чревата подачей исков против компании и ее закрытием. Большинство специалистов понимают это, руководство организаций признает необходимость использования средств защиты информационных хранилищ. Менее 10% опрошенных сказали, что вполне удовлетворены имеющимися системами и процессами обеспечения информационной безопасности. Опрос к тому же показал, что сохраняются проблемы в отношениях между разными группами ИТ-специалистов предприятия - главным препятствием для эффективной защиты хранящихся данных респонденты назвали отсутствие должного взаимодействия и взаимопонимания между специалистами по безопасности и персоналом, обслуживающим сеть.
Помимо обеспечения информационной безопасности на уровне устройств памяти, необходимо предпринимать и некоторые другие защитные меры. Шифрование передаваемых по сетевым каналам данных защищает их от перехвата злоумышленником, подключившимся к сети предприятия, но не обеспечивает их безопасности на хосте со свободным доступом к информации. Большинство продуктов шифрования баз данных дешифруют их перед отправкой по сети. Да, системы, которые шифруют хранящиеся данные, ничего не делают для защиты передаваемой информации.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Криптоаналитические атаки и криптостойкость.
На рис. 1 показан поток информации в криптосистеме в случае активных действий перехватчика. Активный перехватчик не только считывает все шифртексты, передаваемые по каналу, но может также пытаться изменять их по своему усмотрению. Любая попытка со стороны перехватчика расшифровать шифртекст С для получения открытого текста М или зашифровать свой собственный текст М' для получения правдоподобного шифртекста С', не имея подлинного ключа, называется криптоаналитической атакой.
Если предпринятые криптоаналитические атаки не достигают поставленной цели и криптоаналитик не может, не имея подлинного ключа, вывести М из С или С' из М', то полагают, что такая криптосистема является криптостойкой.
Криптоанализ - это наука о раскрытии исходного текста зашифрованного сообщения без доступа к ключу. Успешный анализ может раскрыть исходный текст или ключ. Он позволяет также обнаружить слабые места в криптосистеме, что, в конечном счете, ведет к тем же результатам.
Фундаментальное правило криптоанализа, впервые сформулированное голландцем А. Керкхоффом еще в XIX веке заключается в том, что стойкость шифра (криптосистемы) должна определяться только секретностью ключа. Иными словами, правило Керкхоффа состоит в том, что весь алгоритм шифрования, кроме значения секретного ключа, известен криптоаналитику противника. Это обусловлено тем, что криптосистема, реализующая семейство криптографических преобразований, обычно рассматривается как открытая система.
Такой подход отражает очень важный принцип технологии защиты информации: защищенность системы не должна зависеть от секретности чего-либо такого, что невозможно быстро изменить в случае утечки секретной информации. Обычно криптосистема представляет собой совокупность аппаратных и программных средств, которую можно изменить только при значительных затратах времени и средств, тогда как ключ является легко изменяемым объектом. Именно поэтому стойкость криптосистемы определяется только секретностью ключа.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Основные схемы адресации узлов
компьютерной сети.
К адресу узла сети и схеме его назначения предъявляют следующие требования:
1) адрес должен уникально идентифицировать компьютер в любой сети (от локальной до глобального масштаба);
2) адрес должен быть удобен для построения больших сетей и иметь иерархическую структуру.
Почтовые международные адреса хорошо иллюстрируют эту проблему. Почтовой службе, организующей доставку писем между странами, достаточно пользоваться только названием страны адресата и не учитывать название его города, а тем более улицы. В глобальных сетях, состоящих из многих тысяч узлов, отсутствие иерархии адреса может привести к большим издержкам;
3) адрес должен иметь символьное представление и должен быть удобен для пользователей сети, например, Servers1 или www.sura.com;
4) чтобы не перегружать память коммуникационной аппаратуры (сетевых адаптеров, маршрутизаторов, коммутаторов и т. п) адрес должен иметь по возможности компактное представление;
5) схема назначения адресов должна исключать вероятность дублирования адресов, сводить к минимуму ручной труд администратора.
К сожалению все эти требования достаточно противоречивы - например, адрес, имеющий иерархическую структуру, будет менее компактным, чем неиерархический ("плоский", то есть не имеющим структуры). На символьный адрес потребуется больше памяти, чем на адрес-число. На практике используется сразу несколько схем назначения адресов, поэтому компьютер одновременно имеет несколько адресов-имен. Каждый адрес используется в той ситуации, когда соответствующий вид адресации наиболее удобен. Чтобы не возникало путаницы и компьютер всегда однозначно определялся своим адресом, используются специальные вспомогательные протоколы, которые по адресу одного типа могут определить адреса других типов.
В современных компьютерных сетях широко используются следующие схемы адресации узлов сети:
1) аппаратные адреса - эти адреса не имеют иерархической структуры и предназначены для сети небольшого или среднего размера (например, адрес сетевого адаптера локальной сети). Аппаратный адрес обычно используется только аппаратурой, поэтому его стараются сделать по возможности компактным и записывают в виде двоичного или шестнадцатеричного значения, например 0061004е76а3. Уникальность адреса в пределах сети обеспечивает оборудование так как адрес либо встраиваются в аппаратуру компанией-изготовителем, либо генерируются автоматически при каждом новом запуске оборудования. При замене сетевого адаптера, изменяется и адрес компьютера, а при установке нескольких сетевых адаптеров у компьютера появляется несколько адресов, что не очень удобно для пользователей сети;
2) имена или символьные адреса - эти адреса несут смысловую нагрузку и предназначены для запоминания людьми. Символьные адреса используют как в небольших, так и глобальных сетях. Для работы в глобальных сетях символьное имя имеет сложную иерархическую структуру, например ftp-auto1.gtu.ai.ru (база данных автомобиль1, государственный технический университет, авторы изобретений, Россия). В пределах университета такое длинное символьное имя явно избыточно и вместо него удобно пользоваться кратким символьным именем, на роль которого хорошо подходит самая младшая составляющего полного имени, то есть имя ftp-auto1. Символьные имена удобны для восприятия людьми, но из-за переменного формата большой длины их передача по сети связана с большими затратами и не очень экономична.
3) числовые составные адреса - (IP- и IPX-адреса). Во многих случаях для работы в больших сетях в качестве адресов узлов сети используют числовые составные адреса фиксированного и компактного форматов. Типичным представителями адресов этого типа являются IP- и IPX-адреса, в которых поддерживается двухуровневая иерархия (адрес делится на старшую часть - номер сети и младшую - номер узла). Передача сообщения между сетями осуществляется на основании номера сети, а номер узла используется только после доставки сообщения в нужную сеть. В последнее время, чтобы сделать маршрутизацию в крупных сетях более эффективной, предлагаются более сложные варианты числовой адресации, в соответствии с которыми адрес имеет три и более составляющих (новая версия протокола IPv6, предназначенного для работы в сети Internet).
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Устранение неполадок групповой политики.
Групповая политика является мощным средством управления конфигурацией компьютеров в сети. Реализация групповой политики может представлять собой очень сложный процесс, и некорректная реализация может значительно повлиять на рабочее окружение всех пользователей в организации.
Например, в Windows Server 2008 R2 и Windows 7 были предусмотрены новые методы устранения неполадок применения параметров групповой политики. Одним из таких улучшений являлся журнал событий Group Policy Operational, который заменил функцию userenv, использовавшуюся в предыдущих версиях Windows.
Журнал групповой политики Operational можно просмотреть, например, в оснастке Event Viewer (Просмотр событий) в узле Applications and Services Logs\Microsoft\Windows\ GroupPolicy. На рис. 1 показана оснастка Event Viewer с выбранным журналом групповой политики Operational.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Комплексные решения защиты
хранилищ данных.
Вопросы безопасности в вычислительных системах уже достаточно давно ставятся на одно из первых мест на всех этапах работы ИТ-служб предприятий и организаций.
Устройства хранения информации поддерживают различные архитектуры корпоративных центров обработки и хранения данных, среди которых наиболее типичным решением на сегодняшний день является архитектура SAN (Storage Area Networks - выделенная сеть хранения), обеспечивающая совместный доступ к данным, независимый от локальной вычислительной сети. Разнообразные топологии сетей хранения данных замещают традиционные шинные соединения "сервер-устройство хранения" и предоставляют по сравнению с ними большую гибкость, производительность и надежность.
На инфраструктуру сети хранения частично ложится и решение вопроса безопасности в части разделения доступа (для защиты от случайной ошибки). Этот сервис позволяет изолировать группы пользователей либо один сервер от другого и выделять часть ресурсов системы хранения именно тому пользователю (серверу), которому это необходимо. Раньше изоляцию использовали для того, чтобы не распространять логические ошибки по всей сети: например, резервное копирование старались изолировать от доступа к данным. Сейчас это используется реже, но, тем не менее, рекомендуется.
В сложных корпоративных сетях стоит задача обеспечения возможности дифференцированно настраивать разнообразные аспекты безопасности сети - зонирование, аутентификацию, RBAC (Role Based Access Control - это новая модель разрешений в Microsoft Exchange Server 2010), шифрование трафика, VSAN. Безопасность сетей хранения данных относится к характеристикам процессов и решений, защищающих целостность и доступность данных, хранящихся в подобных сетях.
Существует четыре аспекта, относящихся к комплексному решению задачи обеспечения безопасности сети хранения данных:
- надежное ролевое управление с централизованной идентификацией, авторизацией и регистрацией всех изменений;
- централизованная идентификация подключенных к сети устройств для обеспечения возможности подключения к сети только устройств, прошедших авторизацию;
- средства управления изоляцией трафика и управления доступом, которые гарантируют, что устройство, подключенное к сети, может надежно отправлять/принимать свои данные, и что оно защищено от действий других сетевых устройств;
- шифрование всех данных, исходящих из сети хранения данных для обеспечения непрерывности функционирования бизнеса, передачи большого объема данных в удаленное хранилище и резервирования.
Сеть хранения данных по аналогии с локальными вычислительными сетями строится на основе коммутаторов и адаптеров, устанавливаемых в серверы. С точки зрения защиты информации, используемой в сетях SAN, значительную роль может сыграть организация безопасности с использованием таких устройств, как сетевые коммутаторы. Примером могут служить решения компании Cisco, разработанные для сетей SAN, крупных вычислительных комплексов, центров обработки данных (ЦОД).
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Результаты групповой политики.
Результаты групповой политики обеспечивают удобный метод, чтобы устранить неполадки применения параметров политики к конкретному пользователю или компьютеру. Например, если к пользователю постоянно применяются неправильные параметры политики, результаты групповой политики могут помочь определить применяемые политики и порядок их применения.
Результаты групповой политики можно запустить в оснастке Active Directory Users And Computers или консоли GPMC. В оснастке Active Directory Users And Computers щелкните правой кнопкой мыши объект компьютера или пользователя, выберите опцию All Tasks (Все задачи) и щелкните задачу Resultant Set of Policy (Logging) (Результирующая политика (Планирование)). В консоли GPMC для запуска мастера щелкните правой кнопкой мыши элемент Group Policy Results (Результаты групповой политики) и примените команду Group Policy Results Wizard (Мастер результатов групповой политики). При запуске этого мастера нужно указать компьютер (локальный или удаленный) для запроса. Затем откроется список учетных записей пользователей, кэшированных на этой машине, для которых можно получить параметры политики.
Отчет Group Policy Results содержит три вкладки с данными обработки GPO. Вкладка Summary предоставляет общие сведения об объектах GPO, примененных к тестируемому пользователю и компьютеру и отклоненных. На вкладке Settings имеется список всех примененных параметров групповой политики. Вкладка Policy Events содержит данные о событиях групповой политики на конечной машине. Для того чтобы получить хорошие результаты групповой политики, нужно выполнить следующие требования:
Статья добавлена: 06.12.2021
Категория: Статьи по сетям
Логическая структуризация сетей. Концентраторы. Мосты. Коммутаторы.
Маршрутизаторы. Шлюзы. Сетевые службы.
Физическая структуризация не решает проблему перераспределения передаваемого трафика между различными физическими сегментами сети и, для эффективной работы сети, необходимо учитывать неоднородность информационных потоков. В сетях большого и среднего размера, для обеспечения эффективной работы, невозможно обойтись без логической структуризации сети.
В большой сети информационные потоки неоднородны. Сеть обычно состоит из множества подсетей рабочих групп, отделов, филиалов предприятия. Наиболее интенсивный обмен данными наблюдается между компьютерами, принадлежащими к одной подсети, и только небольшая часть обращений происходит к ресурсам компьютеров, находящихся вне локальных рабочих групп. (эмпирический закон «80/20», в соответствии с которым в каждой подсети 80 % графика является внутренним и только 20 % — внешним.) В связи с широким внедрением технологии intranet характер нагрузки сетей изменился. Многие предприятия имеют централизованные хранилища корпоративных данных, активно используемые всеми сотрудниками, и теперь не редки случаи, когда интенсивность внешних обращений выше интенсивности обмена между компьютерами локальных рабочих групп. Логическая структуризация сети позволяет значительно повысить эффективность обмена особенно в сетях среднего и большого размера, но это связано с использованием дополнительных сетевых средств.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Политики ограниченного использования программ.
В последние годы одной из наиболее серьезных угроз безопасности стал запуск пользователями неизвестных или недоверенных программ на компьютерах. Во многих случаях пользователи по невнимательности запускают потенциально опасное программное обеспечение. Практика показывает, что миллионы пользователей устанавливают на своих компьютерах вирусы и троянские кони, сами того не желая. Для предотвращения таких последствий предназначены политики ограниченного использования программ, запрещающие пользователям запускать опасное программное обеспечение. Они определяют приложения, которые разрешено или запрещено запускать на рабочих станциях.
При установке политик ограниченного использования программ можно определить политику, разрешающую запуск всего программного обеспечения за исключением блокированных приложений. Вы также можете определить политику, запрещающую запуск всего программного обеспечения кроме приложений с явно назначенным разрешением запуска. Хотя второй способ обеспечивает более высокий уровень безопасности, для определения всех приложений, которые разрешено запускать в среде предприятия, может потребоваться много времени.
Большинство компаний предпочитают менее защищенный способ, разрешая запускать все программное обеспечение и блокируя лишь некоторые приложения. Тем не менее если вы развертываете набор рабочих станций в среде, где требуется повышенная безопасность, имеет смысл применить второй, более защищенный способ.
В процессе создания политики ограниченного использования программ можно отконфигурировать пять типов правил для приложений, являющихся субъектами политики.
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Основы сетевых технологий. Адресация компьютеров в локальных и глобальных сетях.
Потребность в соединении компьютеров, находящихся на различных расстояниях друг от друга, назрела давно. С появлением сложных глобальных сетей компьютеров, в которых можно было обмениваться данными в автоматическом режиме, были реализованы службы обмена файлами, синхронизации баз данных, электронной почты, распечатки документов на “чужом” принтере и другие, ставшие теперь традиционными, сетевые службы. Одним из главных показателей качества сетевых служб является их удобство (ее прозрачность). Для обеспечения прозрачности большое значение имеет способ адресации, или, как говорят, способ именования разделяемых сетевых ресурсов. Таким образом, одной из важнейших проблем , которую нужно решать при объединении трех и более компьютеров в сеть, является проблема их адресации. К адресу узла сети и схеме его назначения предъявляют следующие требования:
1) адрес должен уникально идентифицировать компьютер в любой сети (от локальной до глобального масштаба);
2) адрес должен быть удобен для построения больших сетей и иметь иерархическую структуру. Почтовые международные адреса хорошо иллюстрируют эту проблему. Почтовой службе, организующей доставку писем между странами, достаточно пользоваться только названием страны адресата и не учитывать название его города, а тем более улицы. В глобальных сетях, состоящих из многих тысяч узлов, отсутствие иерархии адреса может привести к большим издержкам;
3) адрес должен иметь символьное представление и должен быть удобен для пользователей сети, например, Servers1 или www.sura.com.
4) чтобы не перегружать память коммуникационной аппаратуры (сетевых адаптеров, маршрутизаторов, коммутаторов и т. п) адрес должен иметь по возможности компактное представление;
5) схема назначения адресов должна исключать вероятность дублирования адресов, сводить к минимуму ручной труд администратора;
К сожалению все эти требования достаточно противоречивы — например, адрес, имеющий иерархическую структуру, будет менее компактным, чем не иерархический ( «плоский», то есть не имеющим структуры). На символьный адрес потребуется больше памяти, чем на адрес-число. На практике обычно используется сразу несколько схем назначения адресов, поэтому компьютер одновременно имеет несколько адресов-имен. Каждый адрес используется в той ситуации, когда соответствующий вид адресации наиболее удобен. Чтобы не возникало путаницы и компьютер всегда однозначно определялся своим адресом, используются специальные вспомогательные протоколы, которые по адресу одного типа могут определить адреса других типов.
Основные схемы адресации узлов компьютерной сети
В современных компьютерных сетях широко используются следующие схемы адресации узлов сети:
Статья добавлена: 28.08.2017
Категория: Статьи по сетям
Планирование реализации групповой политики.
Групповая политика является мощным средством управления конфигурацией компьютеров в сети. Реализация групповой политики может представлять собой очень сложный процесс, и некорректная реализация может значительно повлиять на рабочее окружение всех пользователей в организации. При разработке стратегии групповой политики важно учесть количество реализуемых объектов GPO. Поскольку все параметры политики доступны в каждом объекте GPO (Group Policy Operational), теоретически все требуемые параметры можно отконфигурировать в одном GPO. Вы также можете развернуть отдельный GPO для каждого параметра, который нужно настроить. Практически в любом случае оптимальное количество объектов GPO находится между этими крайностями и не существует универсального решения на все случаи.
Версия сайта для слабовидящих
