Брандмауэры и специальное программное обеспечение 8 Часть 4
Вид материала | Реферат |
СодержаниеБезопасность при локальном использовании Samba Безопасность Samba при соединении подсетей через Интернет |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
- Программное обеспечение ЭВМ, 209.59kb.
- Программное обеспечение вычислительной системы, 824.71kb.
- Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
- Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
- Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
- Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
- Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
- Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.
Безопасность при локальном использовании Samba
Изучив материал данной главы, вы, должно быть, получили представление о том, что сервер Samba может стать причиной проблем в локальной сети Microsoft, так как он может нарушить нормальное взаимодействие между узлами Microsoft. В большинстве случаев под угрозой оказывается механизм обозрения сетевых ресурсов Windows. Целые группы компьютеров могут неожиданно исчезнуть из списков доступных систем. Подобные неполадки могут возникнуть на всех системах Windows, входящих в состав сети. Основным подозреваемым в подобных ситуациях следует считать сервер Samba, который инициировал процедуру выбора главного обозревателя и выиграл борьбу за роль главного обозревателя сети, в то время как он не должен был этого делать. Проблемы могут возникнуть также в случае, если сервер Samba самопроизвольно приступил к выполнению функций сервера WINS, в то время как эти функции должен выполнять сервер NT.
Если проблемы обозрения ресурсов возникли только лишь на сервере Samba, причиной этого может быть неправильная настройка разрешений или попытка использования нешифрованных паролей или отсутствие в конфигурации IP-адреса сервера WINS. В мире Windows лишь очень небольшие подсети могут обойтись без использования сервера WINS. Однако если в сети нет такого сервера, в процессе обозрения сетевых ресурсов Microsoft у Samba могут возникнуть проблемы. В крупных сетях без серверов WINS не обойтись, особенно если сеть состоит из нескольких широковещательно-изолированных подсетей. Всегда, когда это возможно, в изолированных подсетях в качестве резервных серверов WINS следует использовать серверы NT, хотя на самом деле с этой задачей может справиться и сервер Samba.
Огромное количество зачастую малопонятных и плохо документированных параметров может стать причиной того, что система Samba настраивается неправильно. Благодаря большому количеству параметров сервер Samba представляет собой чрезвычайно гибкую систему, однако у малоопытных администраторов могут возникнуть проблемы. Значения, присваиваемые параметрам в рамках конфигурации по умолчанию, в большинстве случаев считаются «безопасными» — они не нарушают работу других систем Microsoft, и при этом позволяют сетевому узлу Samba войти в состав сети Microsoft, будь это одноранговая сеть или домен NT. Однако вхождение в состав домена NT может быть опасным. Став частью домена NT, сервер Samba может отобрать право контроля над сетью у сервера PDC, поэтому, добавляя сервер Samba в домен NT, следует быть особенно внимательным.
Благодаря механизмам защиты, действующим в любом из доменов NT, сервер Samba, включенный в состав такого домена, вряд ли может стать причиной нарушения безопасности домена, однако он вполне может нарушить работу механизма обзора сетевых ресурсов. Значительно большую угрозу с точки зрения безопасности сервер Samba представляет для одноранговых сетей Windows 9x. Дело в том, что в сетях, состоящих только из узлов Windows 9х, сервер Samba может самопроизвольно взять на себя функции сервера NT.
Еще одним вопросом, подлежащим тщательному рассмотрению в случае, если вы имеете дело с сетью Microsoft, является вопрос о том, будет ли протокол TCP/ IP единственным протоколом в сети или в сети будут использоваться как TCP/ IP, так и NetBEUI. В использовании обоих протоколов нет необходимости. Если вы используете TCP/IP, вы можете полностью отказаться от NetBEUI.
Использование в сети каких-либо других протоколов помимо IP увеличивает передаваемый через сеть трафик. NetBIOS, как стандарт, основанный на широковещательной передаче данных, будет использовать оба доступных протокола как для широковещательных сообщений, так и при поиске узла в сети. Если вы сохраните в вашей сети только TCP/IP, вы добьетесь двух результатов: во-первых, вы ограничите широковещательный трафик рамками только одного протокола, во-вторых, вы сможете обеспечить передачу NetBEUI через IP за границами вашего брандмауэра.
Еще одной областью, требующей внимания, является уровень доступа, которым система Samba наделяет пользователей сервера Samba. Я не рекомендую наделять пользователей привилегиями администратора общей папки или привилегиями более широкими, чем те привилегии, которыми обладали бы эти пользователи, будь они обычными пользователями данной системы Linux. В крупных сетях с большим количеством департаментов и многочисленными пользователями рекомендуется использовать Samba в рабочей среде с измененным корнем, так как в этом случае вы сможете предоставить избранным пользователям более широкие полномочия, не опасаясь при этом нарушить безопасность всей системы Linux. Конечно, задачу запуска Samba в рабочей среде с измененным корнем нельзя назвать тривиальной, однако зачастую данный подход более чем оправдан с точки зрения безопасности.
Безопасность Samba при соединении подсетей через Интернет
Основная проблема подобных сетевых конфигураций состоит не в том, что Samba используется для обмена данными через публичные каналы связи Интернета, а в том, что механизмы VPN (Virtual Private Networking), предлагаемые компанией Microsoft, нельзя считать в полной мере безопасными. Последние исследования в этой области показывают, что, являясь виртуальной (virtual), сеть VPN, основанная на продуктах Microsoft, не является частной (private). Конечно, узлы Microsoft шифруют передаваемые через сеть пароли, однако базовая информация, передаваемая между подсетями через Интернет, не защищена достаточным образом.
Конечно, злоумышленники не смогут проникнуть в одну из ваших подсетей, выдавая себя за один из внутренних сетевых узлов, однако они обладают возможностью читать содержимое передаваемых между сетями пакетов. Таким образом, если вы передаете закрытую информацию, имейте в виду, что она может быть перехвачена и прочитана кем угодно. Чтобы создать действительно безопасную сеть VPN между узлами Microsoft, следует воспользоваться методом, описанным в главе 21, где рассматривается процедура создания шифрованного канала VPN между шлюзами Linux. Чтобы исключить просачивание каких-либо пакетов вне границ созданного вами тоннеля, в обеих сетях следует использовать только IP.
Формируя подсети, имейте в виду, что в каждой из них должен присутствовать локальный главный обозреватель, иначе системы не смогут получать информацию о сетевых ресурсах, расположенных в других подсетях. Если в вашем распоряжении три подсети с локальными обозревателями, осуществляющими обновление главного обозревателя, учтите, что между появлением в одной из удаленных подсетей нового сетевого узла и моментом появления этого узла в списке узлов, доступных для локальных систем, может пройти до 45 минут. По этой причине, прежде чем обвинять сервер Samba в том, что он отказывается показывать все узлы, присутствующие в домене NT, убедитесь в том, что все интересующие вас удаленные системы присутствуют в домене большую часть часа (более 45 минут).