Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Заключение

В данной главе я рассказал о некоторых базовых приемах проектирования сетей. Первый из рассмотренных приемов хорошо подходит для организации работы простой домашней сети или сети небольшого предприятия. Второй подход является более приемлемым для разнопланового взаимодействия с Интернетом: он предусматривает размещение интернет-серверов в зоне DMZ, которая располагается вне границ внутренней сети, на внешней стороне относительно брандмауэра. Последний рассмотренный подход предусматривает размещение интернет-серверов во внутренней сети, на внутренней стороне относительно брандмауэра, в этом случае обмен данными с Интернетом осуществляется с использованием перенаправления портов.

После этого я рассказал вам о технологии маскировки IP. Я рассмотрел, зачем нужна эта технология и как ее использовать. После этого вы узнали, как при помощи механизма перенаправления портов можно обеспечить внешним пользователям Web доступ к серверам, расположенным на внутренней стороне вашего брандмауэра. Я рассказал вам о преимуществах и недостатках данного подхода.

В конце главы я дал вам представление о том, какие изменения будут внесены в ядра Linux серии 2.4.x.

19Безопасность Samba


В данной главе рассматриваются следующие вопросы:

- настройка swat;

- запуск swat с использованием inetd;

- запуск swat с использованием web-сервера;

- сетевая система Samba;

- что такое ресурсы общего доступа Samba;

- проблемы защиты Samba.

В наши дни большинство сетевых рабочих сред представляет собой смесь операционных систем. Как правило, в большинстве сетей небольших и средних компаний используют центральный сервер Microsoft Windows NT, рабочие станции Windows, а также, возможно, другие серверные или сетевые операционные системы, такие как Banyan VINES, Novell Netware или какую-либо разновидность Unix. Чтобы обеспечить взаимодействие с этими системами, программисты Linux были вынуждены преодолеть множество препятствий. Компания Microsoft избегает поддержки NFS (Network File System) — сетевой файловой системы, которая является общераспространенной в мире Unix (и которую поддерживает Linux). Вместо этого в мире Microsoft предпочтение отдается стандарту NetBEUI, который является расширением спецификации NetBIOS, основанной на протоколе LanManager компании IBM. Все же благодаря стремительному развитию Интернета компания Microsoft была вынуждена обеспечить поддержку передачи данных NetBIOS через каналы связи TCP/IP.

Samba

Разочарованные невозможностью обеспечить простой обмен данными через сеть с системами Microsoft, группа поклонников Linux решила разработать программное средство, которое позволило бы системе Linux обмениваться данными с сиcтемами Microsoft на языке Microsoft. Программисты Linux под предводительством Эндрю Тридгелла (Andrew Tridgell) из Австралии начали работу по расшифровке содержимого блоков SMB (Server Message Blocks) и воссозданию поддержки NetBEUI в среде Linux. Благодаря этому операционная система Linux получила возможность вести себя так, как ведет себя система Microsoft. В результате на свет появилось программное средство Samba.

Samba — это набор программ, которые позволяют операционным системам семейства Unix (включая Linux) обмениваться данными с узлами Microsoft. Компания Microsoft часто обозначает протокол NetBEUI сокращением CIFS, которое расшифровывается как Common Internet File System — общая файловая система Интернета. Этот термин не соответствует действительности, так как протокол NetBEUI широко поддерживается только системами Microsoft. NetBEUI является широковещательным протоколом. Он подразумевает, что каждая система, начинающая работу в сети, оповещает об этом все остальные системы при помощи широковещательного сообщения. Оповещение отправляется в сеть также в момент, когда система прекращает работу в сети. Также в процессе своего функционирования система, использующая NetBEUI, должна периодически напоминать остальным систем о своем присутствии.


ПРИМЕЧАНИЕ

В данном материале время от времени я буду использовать три термина: узел NT (это может быть любая рабочая станция NT, сервер-член домена NT, отдельный сервер NT, а также главный (РОС) или резервный (BDC) контроллер домена), на котором работает операционная система Windows NT, узел Win9x и узел Microsoft. Первые два термина (узел NT и узел Win9x) используются в ситуациях, когда важно подчеркнуть, какая именно операционная система Microsoft работает на том или ином сетевом узле. Третьим термином (узел Microsoft) я буду обозначать узлы, на которых работает любая операционная система Microsoft. Такое различие необходимо, так как узлы, оснащенные разными ОС, ведут себя по-разному. Более подробно об этом рассказывается в разделе «Сетевые рабочие среды Microsoft» чуть далее в данной главе.

Набор программ Samba включает в себя несколько различных программ. Две из них предназначены для того, чтобы имитировать работу узла Microsoft в сети. Одна предназначена для настройки Samba. Еще одна осуществляет тестирование конфигурации Samba. Также в пакет Samba входят несколько утилит. Набор программ Samba включает в себя:

- smbd — демон Samba, обеспечивающий обслуживание клиентов SMB;

- nmbd — демон сервера имен NetBIOS, который обеспечивает доступ к службам имен NetBIOS через IP, благодаря этому узел Unix появляется в разделе Network Neighborhood (Сетевое окружение) операционной системы Windows;

- smbclient — клиентская утилита, которая обеспечивает доступ к сетевым ресурсам SMB в стиле FTP;

- swat — средство администрирования Samba, основанное на Web, эта программа обеспечивает настройку файла smb.conf;

- testparm — средство проверки корректности конфигурационного файла smb.conf.

В данной главе я расскажу вам о некоторых из этих программ подробнее. Однако основное внимание будет уделено программе swat, так как должное конфигурирование swat не очевидно, а в результате неправильной настройки Samba может возникнуть масса проблем, начиная от неработоспособности сервера и заканчивая серьезным нарушением безопасности.


ВНИМАНИЕ

Вы должны обеспечить должную защиту файлу smb.conf (а также, очевидно, бинарному файлу swat). Файл smb.conf определяет, каким доступом обладают те, кто пользуется предлагаемыми вами службами Samba и обращается к вашему узлу OpenLinux. Демон smbd работает на уровне привилегий root, поэтому в результате неправильной настройки файла smb.conf подключающийся к Samba удаленный клиент может получить доступ к вашей системе от лица пользователя root. В этом случае программа smbd перекрывает любые параметры безопасности и разрешения, назначенные клиенту как стандартному пользователю Unix.