І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory
Вид материала | Документы |
- На правах рукописи, 1970.76kb.
- Телефон: +7-902-991-3258 (сотовый), 18.27kb.
- 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
- Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
- Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
- План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
- Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
- Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
- Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
- Безпека, 3519.8kb.
І. Б. Трегубенко
О. В. Коваль
БЕЗПЕКА КОРПОРАТИВНИХ МЕРЕЖ.
СЛУЖБА КАТАЛОГу ACTIVE DIRECTORY
Розглянуто питання організації корпоративних мереж на основі розгортання служби каталогу Active Directory, детально розкриті методичні основи проектування, адміністрування та експлуатації служби каталогу у великих організаціях, описані засоби гарантування безпеки служби каталогу і механізми їх використання. Практичні завдання сприяють виробленню навичок з побудови безпечних корпоративних мереж.
Для студентів вищих навчальних закладів галузі знань “Інформаційна безпека”, а також фахівців у галузі інформаційних технологій.
Зміст
Передмова .....................................................................................................5
Розділ 1. Корпоративна мережа. Основні поняття ........7
- Корпоративна мережа. Поняття. Визначення. Особливості ............7
- Класифікація корпоративних мереж...................................................8
- Структура корпоративної мережі......................................................11
- Ефективність функціонування мережі. Структура управління......14
- Стратегічне планування корпоративної мережі..............................16
Контрольні питання.....................................................................................23
Список використаної літератури ...............................................................24
Розділ 2. Організація корпоративних мереж.
Служба каталогу ............................................................25
- Поняття служби каталогу ..................................................................25
- Еволюція служби каталогу від Microsoft .........................................26
- Активний каталог Active Directory. Характеристики Active Directory ..............................................................................................30
- Поняття об'єкту Active Directory. Схема Active Directory .............32
- Структура Active Directory ................................................................34
- Планування структури корпоративної мережі ................................43
- Ролі хазяїнів операцій ........................................................................57
- Довірчі відносини ..............................................................................61
- Реплікація ...........................................................................................66
- Огляд існуючих об’єктів Active Directory .......................................73
- Облікові записи користувачів ...........................................................74
- Профілі користувачів .........................................................................79
- Групи користувачів ............................................................................84
- Об'єкт Комп'ютер ...............................................................................98
- Об'єкт Принтер ...................................................................................99
- Організаційні підрозділи ...................................................................99
- Іменування об'єктів Active Directory ..............................................104
- Організація пошуку об'єктів Active Directory ...............................106
- Групові політики ..............................................................................108
Контрольні питання ...................................................................................123
Список використаної літератури ..............................................................125
Розділ 3. Введення в безпеку корпоративних мереж .126
- Механізм організації захисту служби каталогу Active Directory ..126
- Керування доступом ........................................................................127
- Делегування адміністративних повноважень ...............................137
- Мережева автентифікація. Основні поняття .................................139
- Технологія мережевої автентифікації в Active Directory .............141
- Настроювання безпеки за допомогою групових політик .............152
- Шаблони безпеки .............................................................................176
- Аналіз системи безпеки ...................................................................183
- Безпека дискових масивів корпоративної мережі. Оптимізація керування дисковими масивами .....................................................186
- Управління файловими масивами в корпоративній мережі ........200
Контрольні питання ...................................................................................207
Список використаної літератури ..............................................................209
Розділ 4. Практикум ..........................................................................210
- Встановлення Active Directory. Ознайомлення із схемою
Active Directory. Видалення активного каталога ..........................215
- Створення різних моделей організації доменної
структури корпоративної мережі ....................................................224
- Управління ролями хазяїнів операцій ............................................230
- Адміністрування режимів роботи домена та лісу.
Переіменування контролера домена ..............................................234
- Управління довірчими відносинами ..............................................238
- Конфігурування сайтів ....................................................................246
- Дослідження топології реплікації. Конфігурування
міжсайтових реплікацій ...................................................................250
- Адміністрування облікових записів користувачів.
Управління профілями .....................................................................256
- Планування груп безпеки для надання доступу
до ресурсів мережі ...........................................................................266
- Організація пошуку об’єктів Active Directory в рамках
ієрархічної структури каталога. Делегування
адміністративних повноважень ......................................................274
- Настроювання та застосування групових політик. Робота
з об`єктами групової політики. Наслідування групових
політик. Механізми зміни застосування правил групових
політик ..............................................................................................282
- Реалізація безпеки автентифікації та аудиту за
допомогою групових політик. Проектування політики
паролей та облікових записів, аудиту ............................................290
- Оптимізація дискової системи мережі. Організація
безпечного зберігання даних на дисках .........................................301
- Інструменти діагностики та усунення несправностей
Active Directory .................................................................................308
Література .................................................................................................316
Покажчик ключових термінів і понять ..............................................318
Передмова
Корпоративна мережа – закрита структура з досить високим ступенем захисту, доступ до якої ззовні заборонений взагалі або строго обмежений, а доступ до інформації всередині її розмежований. Тому проблематика побудови захищених корпоративних систем не втрачає своєї актуальності.
Посібник призначений для засвоєння студентами актуальних питань побудови захищених корпоративних мереж, сучасних поглядів і підходів до розв’язання проблеми безпеки інформації в інформаційно-комунікаційних системах.
Навчальний посібник може використовуватись студентами вищих навчальних закладів, що навчаються у галузі знань 1701 “Інформаційна безпека” за напрямами підготовки “Безпека інформаційних і комунікаційних систем” та спеціальності “Захист інформації в комп’ютерних системах та мережах”, а також у галузі знань 0501 “Інформатика та обчислювальна техніка” за напрямами підготовки “Комп’ютерні науки”, “Комп’ютерна інженерія”, “Програмна інженерія”, та відповідних програм магістерської підготовки.
Крім того, посібник стане в нагоді фахівцям галузі інформаційних технологій: розробникам інформаційно-комунікаційних систем, системним адміністраторам, користувачам захищених комп’ютерних систем.
Основу книги складає матеріал, який присвячений розгляду питань організації корпоративних мереж на основі розгортання служби каталогу Active Directory. Детально розкриваються методичні основи проектування, адміністрування та експлуатації служби каталогу у великих організаціях, описуються засоби забезпечення безпеки служби каталогу і механізми їх використання з метою досягнення належного ступеня безпеки корпоративної мережі. Окремо наведені практичні завдання, виконання яких сприяє набуттю практичних навичок з реалізації розгортання служби каталогу Active Directory на основі Windows Server для побудови безпечних корпоративних мереж.
Навчальний посібник складається із чотирьох розділів. Перші три розділи викладено у вигляді теоретичного матеріалу.
Так, перший розділ розкриває поняття корпоративної мережі, її характерні особливості. Представлено сутність стратегічного планування корпоративної мережі та управління ефективністю її функціонування.
В другому розділі досить детально розкривається поняття служби каталогу, її складових, принципів функціонування, питань адміністрування. Приводяться порівняльні характеристики та рекомендації щодо застосування тих чи інших елементів при розгортанні служби каталогу в процесі побудови корпоративної мережі організації.
Третій розділ посібника присвячений опису механізму організації безпеки служби каталогу Active Directory, який лежить в основі побудови захищеної корпоративної мережі, а також існуючих інструментів забезпечення безпеки в мережах, побудованих на основі доменних моделей.
Кожен із вказаних розділів посібника завершується переліком контрольних питань для кращого засвоєння матеріалу та списком використаної літератури.
Теоретичне викладення матеріалу, наведене в описаних розділах посібника вимагає закріплення шляхом виконання певних практичних завдань по розглянутій тематиці. Четвертий розділ представлено у вигляді практикуму, який присвячений набуттю практичних навиків по реалізації розгортання служби каталогу Active Directory та застосуванню описаних інструментів захисту, що має на меті забезпечення найбільш повного та глибокого засвоєння основ побудови захищених корпоративних мереж. До кожного практичного завдання приведено детальний опис методики його виконання.
РОЗДІЛ 1
КОРПОРАТИВНА МЕРЕЖА. ОСНОВНІ ПОНЯТТЯ
1.1. Корпоративна мережа. Поняття. Визначення. Особливості.
Корпоративна мережа (КМ) - взаємозалежна сукупність мереж, служб передачі даних і телеслужб, призначена для надання єдиного захищеного мережевого простору обмеженому рамками корпорації колу користувачів.
Основними особливостями корпоративних мереж є:
1. Використання такого ж інструментарію, який використовується при роботі з мережею передачі даних загального користування.
2. Доступ до інформації надається тільки обмеженій групі клієнтів у внутрішній мережі організації. Внутрішня мережа представляє із себе локальну мережу, відділену від глобальних мереж міжмережевими екранами (МЕ).
3. Циркулює інформація трьох типів:
- офіційна (поширення якої офіційно санкціонується та заохочується на рівні організації);
- проектна або групова (призначена для використання окремою групою співробітників, як правило, підлягає захисту);
- неофіційна (особиста папка або каталог на сервері, що служать сховищем статей, заміток і ідей, якими можна поділитися з іншими співробітниками підприємства.
4. Наявність централізованої системи керування корпоративною мережею.
Існуючим корпоративним автоматизованим системам властиво:
1. Використання корпораціями розподіленої моделі обчислень.
2. Невіддільність корпоративних додатків від функціональних підрозділів корпорації, оскільки частина прикладного коду розташовується на станції-клієнті.
3. Необхідність одночасного контролю декількох локальних обчислювальних мереж, необхідність обміну центральної консолі повідомленнями із платформами адміністрування.
4. Широкий спектр використовуваних способів подання, зберігання та передачі інформації.
5. Інтеграція даних різного призначення, що належать різним суб'єктам, у рамках єдиних баз даних. І, навпаки, розміщення необхідних деяким суб'єктам даних у віддалених вузлах мережі (приклад, текстові звіти, збережені на робочих станціях).
6. Абстрагування власників даних від фізичних структур і місця розміщення даних.
7. Участь у процесі автоматизованої обробки інформації великої кількості користувачів і персоналу різних категорій. Безпосередній і одночасний доступ до ресурсів (у тому числі й інформаційним) великої кількості користувачів (суб'єктів доступу) різних категорій.
8. Високий ступінь різнорідності засобів обчислювальної техніки та зв'язку, а також програмного забезпечення.
9. Відсутність спеціальної програмно-апаратної підтримки засобів захисту у функціональних технічних засобах, використовуваних у системі.
1.2. Класифікація корпоративних мереж
Відповідно до введеного визначення корпоративної мережі її склад в загальному випадку утворюють наступні функціональні елементи:
Рис. 1.1 - Функціональні компоненти корпоративних мереж
Робочі місця (абоненти) корпорації, які можуть бути:
- зосередженими, тобто розташовуватися в рамках одного будинку;
- розподіленими, тобто розосередженими на деякій в загальному випадку необмежено великій території.
Інформаційні сервери корпорації, призначені для зберігання та обробки інформаційних масивів (баз даних) різного функціонального призначення. Вони також можуть бути зосередженими або розподіленими на великій території корпорації.
Засоби телекомунікації, що забезпечують взаємодію між собою робочих станцій і свою взаємодію з інформаційним серверами. Засоби телекомунікації в рамках корпорації можуть бути:
- виділеними (або орендованими), що є приналежністю корпорації;
- загального призначення (це існуючі поза корпорацією мережеві зв'язки, засоби яких використовуються корпорацією). Це, як правило, засоби існуючих мереж загального користування.
Телеслужби. В межах корпорації інформаційний вплив може бути реалізований в рамках однієї (телефонія, телетекст, відеотекст, телефакс) або декількох служб (інтеграція служб), що повинне забезпечуватися відповідними засобами телекомунікації.
Система керування ефективністю функціонування корпоративної мережі. Залежно від реалізованого набору служб в корпоративній мережі повинні використовуватися свої засоби керування мережею, зокрема, засоби маршрутизації і комутації; засоби адміністрування, реалізовані з метою ефективного використання мережевих ресурсів. По можливості керування елементами корпоративної мережі можна виділити:
- керовані в межах корпорації функціональні елементи (це власні, або, що вводяться додатково в рамках корпоративної мережеві засоби);
- не керовані в рамках корпорації функціональні елементи, (зокрема, маршрутизатори та комутатори), що є приналежністю використовуваних корпорацією підмереж загального призначення.
Система керування безпекою функціонування корпоративної мережі. У корпоративній мережі повинні бути реалізовані необхідні мережеві служби безпеки, та повинні використовуватися відповідні засоби безпеки.
Система забезпечення надійності корпоративної мережі. Повинні бути передбачені засоби забезпечення працездатності всієї мережі, або її фрагментів при відмовах елементів мережі.
Система діагностики та контролю. У рамках корпоративної мережі повинні бути передбачені засоби контролю працездатності окремих функціональних елементів, система збору інформації про відмови та збої і надання її системам забезпечення живучості; керування ефективністю функціонування; керування безпекою. Для корпоративної мережі повинні бути розроблені засоби діагностики, реалізовані як у процесі функціонування мережі, так і профілактично.
Система експлуатації. Крім перерахованих функціональних елементів, корпоративні мережі зв'язку повинні мати план (гіпотезу) процесу розвитку, який визначає функціональні можливості, що закладаються в неї, зокрема на рівні протоколів взаємодії мережевих компонентів і можливості їхньої інтеграції.
Узагальнюючи введені ознаки корпоративних мереж, отримаємо можливу їхню класифікацію:
- по набору функціональних елементів, рисунок 1.1;
- по ієрархії керування, рисунок 1.2. Тут під локальною підсистемою розуміється деяка функціональна підсистема, класифікація якої для системи керування безпекою наведена на рисунку 1.3, а сама функціональна підсистема наведена на рисунку 1.4;
- по набору (типу та кількості) поєднуваних в рамках корпоративної мережі підмереж загального користування;
- по набору (типу та кількості) реалізованих в рамках корпоративної мережі телеслужб.
Рис. 1.2 - Класифікація компонентів КМ по ієрархії керування
Рис. 1.3 - Класифікація функціональних підсистем управління безпекою
Рис. 1.4 - Елементи функціональної підсистеми
1.3. Структура корпоративної мережі
Враховуючи введені класифікаційні ознаки можна одержати деяку узагальнену структуру корпоративної мережі, що наведена на рисунку 1.5. Практично будь-яка корпоративна мережа буде містити фрагменти наведеної узагальненої структури.
У рамках даної мережі повинна бути реалізована вторинна мережа зв'язку - система керування, представлена на рисунку 1.6. Тут також можуть використовуватися виділені канали.
В основі системи керування корпоративної мережі повинні лежати наступні принципи:
- суміщення адміністрування окремих функціональних підсистем (питання ефективності не може вирішуватися без розгляду питання живучості мережі, а питання безпеки без врахування ефективності та живучості, інакше кажучи, при зміні рівня безпеки, наприклад, змінюється і ефективність, що повинно бути враховано);
- централізоване/розподілене адміністрування, яке припускає, що основні завдання адміністрування повинні вирішуватися із центра (основний фрагмент мережі); вторинні завдання (наприклад, у рамках вилучених фрагментів) засобами керування окремих підсистем;
- в рамках керуючої системи повинні бути реалізовані функції системи автоматичного керування. З метою підвищення оперативності реакції системи керування на особливо важливі події, в системі повинна реалізуватися автоматична обробка особливо важливих впливів;
- в рамках системи безпеки повинен бути реалізований принцип адаптивного керування безпекою адекватно зміні відповідних подій (наприклад, система виявлення атак може блокувати локальний порт у випадку атаки типу «відмова в обслуговуванні»).
- для підвищення ефективності і надійності системи керування необхідно передбачити експертну систему – систему «підказок» для вироблення керуючих впливів на різні події.
На рисунку 1.5 проілюстрований загальний випадок, який відрізняється тим, що структури основного та віддаленого фрагментів співпадають (по функціям вони різні – в основному фрагменті реалізується централізоване керування мережею зв'язку). Як правило, дані фрагменти мають різну складність.
Рис. 1.5 - Узагальнена структура корпоративної мережі
При цьому слід зазначити, що спрощення структури мережі реалізується шляхом зменшення складності віддалених фрагментів, з переносом відповідних функцій на елементи основного фрагмента, (відповідно з підвищенням його складності), що, насамперед, має місце для наступних елементів:
- інформаційні сервери (з погляду забезпечення безпеки мережі має сенс сконцентрувати всі інформаційні сервери, забезпечуючи для них необхідний захист організаційними та технічними заходами);
- адміністрування всіма функціональними підсистемами для корпоративних мереж, що використовують обмежене число додаткових засобів реалізації функціональних підсистем (наприклад, маршрутизаторів) може бути сконцентроване в основному фрагменті;
- підключення до загальнодоступних сервісів (мережа Інтернет) здійснюється з виділених робочих місць основного фрагмента (тут використовуються відповідні засоби захисту, підключення до глобальних мереж у загальному випадку відмінні від інших).
Враховуючи сказане та рисунок 1.5 маємо спрощену структуру корпоративної мережі, яка наведена на рисунку 1.7.
Саме структура корпоративної мережі, наведена на рисунку 1.7, може бути рекомендована як типова для більшості малих і середніх корпорацій (структура мережі, наведена на рисунку 1.5 припускає реалізацію мережі для дуже розгалуженої інфраструктури корпорації).
Отже, у даному розділі наведені два граничних варіанти структур корпоративної мережі, граничних у тому розумінні, що відрізняються максимальною та мінімальною складністю структури.
На практиці більшість корпоративних мереж по складності організації займають деяке проміжне місце, відповідно в більшій мірі тяжіючи до одного із розглянутих варіантів.
Рис. 1.6 - Система керування корпоративною мережею
Рис. 1.7 - Спрощена структура корпоративної мережі
1.4. Ефективність функціонування мережі.
Структура управління.
Розглянемо структуру управління ефективністю функціонування мережі в рамках наведених структур мережі та перерахованих раніше основних принципів адміністрування.
В рамках корпоративної мережі повинні бути реалізовані всі основні функції мережевих протоколів корпоративних мереж:
- маршрутизація;
- комутація;
- керування потоками (забезпечення ефективності функціонування при високому завантаженні);
- контроль часу життя пакета.
Як у будь-якій іншій мережі завдання управління ефективністю вирішуються в рамках вторинної (накладеної) мережі зв'язку.
Ефективне управління функціонуванням корпоративної мережі може бути забезпечено тільки при динамічній маршрутизації, де маршрути повинні вибиратися адаптивно до топології та навантаження в мережі.
Зміна маршрутів адаптивна до зміни топології реалізується разом із системою керування живучістю мережі.
Ієрархічна структура системи управління ефективністю наведена на рисунку 1.8, де маршрутизатор може розглядатися як вузол комутації корпоративної мережі.