Лекция: Информационн icon

Лекция: Информационн


Смотрите также:
Вводный семинар, вводная лекция, занятия по целе-полаганию, лекция-беседа...
Аналитические материалы к переговорному процессу по выработке нового соглашения «Копенгаген...
Лекция 20. 03. 12. Модели для исследования и оценки в pr лекция 27. 03. 12...
Лекция Фьючерсные контракты Лекция Фьючерсы на акции...
Об утверждении рекомендаций по проведению первоочередных мероприятий по интеграции деятельности...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...
Курс лекций Лекция Введение в земледелие. Лекция Научные основы земледелия...
Лекция Сионизм в оценке Торы Лекция Государство Израиль испытание на прочность...
Лекция Введение в социологию 6 Лекция Становление и основные этапы развития социологии. 20...
План лекционных занятий Лекция Развитие аудиальных средств информации. Лекция 2...
Курс лекций Москва 2008 Содержание Лекция Введение 4 Лекция Научные знания в средневековой Руси...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...



Загрузка...
страницы: 1   2   3   4   5   6   7   8   9   10
вернуться в начало
скачать
^

Особенности повышения безопасности Windows


Хотя это и не является основной темой книги, но при использовании систем Windows важно защитить их насколько возможно, чтобы можно было сформировать обсуждавшуюся выше надежную вычислительную базу. Известно, что в Windows обычно запускаются сетевые службы всех видов. Некоторые поставщики ПК с Windows даже загружают на них небольшие web-серверы, чтобы их персонал технической поддержки мог "войти" и интерактивно помочь вам, если вы к ним обратились. Излишне упоминать, что это в высшей степени небезопасно, и для множества таких "полезных мелочей" опубликованы способы вторжения. Многие и не подозревают обо всех этих программах, выполняющихся в фоновом режиме.

Если вы используете одну из современных версий Windows (NT, 2000 или XP), то одна вещь, которую вы можете сделать, - зайти в окно Services в разделе Administrative Tools меню Control Panel. Будет выведен список всех процессов, выполняющихся на компьютере (аналогично команде ps в UNIX). Можно просмотреть этот список и увидеть все небольшие программы, которые Windows любезно запускает для вас. Большинство из них - службы, требующиеся для нормальной работы Windows. Однако некоторые из них вам не нужны и просто отнимают процессорное время, замедляя компьютер и, возможно, создавая дыры в безопасности. Можно отключить их, щелкая на службе мышью и выбирая Stop. Не забудьте также задать тип запуска Manual или Disabled, иначе они будут снова запущены при перезагрузке системы.

^ Флэми Тех советует:

Убедитесь, что вы знаете, что отключаете!

Нужно быть очень осторожным при отключении подобных служб. Если вы не знаете точно, что делает служба, и не уверены, что она вам не нужна, то не трогайте ее. Многие процессы зависят от других, и если отключать их произвольным образом, это может нарушить нормальное функционирование системы.

Существует несколько прекрасных руководств, разработанных Агентством национальной безопасности США (http://www.nsa.gov), для безопасного конфигурирования операционных систем Windows. Их можно найти по адресу http://nsa1.www.conxion.com/index.html.

Центр Безопасности Интернета (http://www.cisecurity.org) также публикует средства измерения и оценки безопасности для Windows 2000 и NT. Они могут помочь безопасному конфигурированию машин Windows.

Во многих книгах и Интернет-ресурсах данная тема рассматривается более глубоко. Можно также использовать некоторые из описанных далее средств, например, сканеры портов и сканеры уязвимостей, для сканирования и повышения безопасности систем Windows. Как бы вы это ни сделали, убедитесь, что вы укрепили свою систему, прежде чем начинать на ней установку защитных средств.

Хотя в Windows присутствуют некоторые средства сетевой диагностики и опроса, аналогичные имеющимся в UNIX, такие как ping и traceroute, эта система не предоставляет в готовом к употреблению виде ряд других служб, таких как whois и dig. Существует, однако, дополнительное защитное средство, Sam Spade for Windows, которое добавляет эти функции в систему Windows и улучшает имеющиеся.

^ Sam Spade for Windows: средство опроса сети для Windows

Sam Spade for Windows

Автор/основной контакт: Steve Atkins

Web-сайт: http://www.samspade.org

Платформы: Windows 95, 98, ME, NT, 2000, XP

Рассмотренная версия: 1.14

Лицензия: GPL

Другие ресурсы:

См. справочный файл, включенный в комплект поставки

Этот прекрасный "швейцарский армейский нож" для машин Windows восполняет недостаток имеющихся в ОС Windows сетевых средств. Системные администраторы UNIX могут больше не злорадствовать над своими Windows-коллегами, у которых нет таких отточенных инструментов, как dig, whois и другие. На самом деле Sam Spade for Windows добавляет даже несколько таких средств, которых в UNIX нет. Это бесценный инструмент для получения информации о сети. Подобно одноименному персонажу-детективу, Sam Spade может узнать о сети почти все.
^

Установка и применение Sam Spade for Windows


Начните с посещения web-сайта Samspade.com и загрузки программы или возьмите ее с приложенного к книге компакт-диска. Затем просто дважды щелкните мышью на файле и позвольте программе установки позаботиться обо всем остальном. После установки Sam Spade запустите программу, и вы получите экран главной консоли (рис. 2.1).




Рис. 2.1.  Основной экран Sam Spade

Интерфейс Sam Spade несложен. В верхнем левом поле вы вводите IP-адрес или имя хоста, который хотите проверить, а затем щелкаете мышью на иконках, расположенных ниже, чтобы выполнить различные тесты для этой целевой системы. Каждый тест выполняется в собственном окне, а весь вывод запоминается в журнальном файле, который можно сохранить для дальнейшего использования и документирования. В меню Options следует задать подразумеваемый сервер имен, чтобы работали все тесты, использующие DNS. Можно также ввести этот адрес в панели меню с правого края.

^ Флэми Тех советует:

Будьте ответственным детективом!

Запуск Sam Spade в собственной сети, или в сети, за которую вы отвечаете, не вызывает никаких вопросов. Однако будьте очень осторожны при применении этих средств для сетей вне вашего контроля. Хотя большинство выполняемых тестов - мягкие, некоторые могут создать значительную нагрузку на сервер или пробудить мониторы вторжений. Поэтому не забудьте получить разрешение, прежде чем применять эти средства во внешних сетях. Это не только придаст вашим действиям видимость законности - это еще и просто признак хороших манер. Ведь вы не хотите, чтобы другие системные администраторы применяли Sam Spade в вашей сети без вашего разрешения?

В табл. 2.5 перечислены основные функции Sam Spade и дано их описание.

В табл. 2.6 перечислены другие полезные тесты, расположенные в меню Tools.

^ Таблица 2.5. Основные функции Sam Spade

Функция

Описание

Ping

То же самое, что и встроенная функция ping в Windows и UNIX, но позволяет легко задавать число повторений запроса ping и выводит несколько более подробную выдачу

Nslookup

Аналог одноименной команды UNIX

Whois

Аналог одноименной команды UNIX

IPBlock

Эта команда проверяет в базе данных ARIN IP-адрес или набор IP-адресов и выдает о них некоторую полезную информацию, включая организацию, которой принадлежат IP-адреса, где они были выделены поставщиком Интернет-услуг, и различную контактную информацию, в том числе контакты для сообщений о ненадлежащем поведении, если таковое регистрируется (см. пример вывода на рис. 2.2).

Trace

Аналог команды traceroute, однако генерируется дополнительная информация, такая как обратные DNS-записи и графическое отображение задержек между межсетевыми переходами.

Finger

Аналог команды finger в UNIX.

Time

Проверяет часы на удаленной системе. Полезно для синхронизации часов на серверах.

^ Таблица 2.6. Тесты меню Tools в Sam Spade

Тест

Описание

Blacklist

Проверяет, фигурирует ли ваш почтовый сервер в каком-либо из черных списков электронной почты (в базах данных, которые содержат адреса известных спамеров). Если ваш адрес каким-либо образом там оказался (например, сервер был открыт для пересылки почты), то некоторые адресаты могут не получать от вас почту

Abuse

Ищет официальный контакт для жалоб на ненадлежащее поведение для набора IP-адресов, чтобы вы могли подать жалобу, если у вас есть проблемы с одним из этих адресов

Scan Addresses

Выполняет базовое сканирование портов диапазона адресов. Этот очень простой сканер портов выявляет открытые сетевые порты. Если требуется просканировать адреса, то лучше использовать один из полнофункциональных сканеров портов, рассмотренных в лекции 4. Помните также, что сканирование портов может рассматриваться владельцами внешних сетей как враждебная деятельность

Crawl website

"Утюжит" Web-сайт, выявляя все ссылки, страницы и любые другие формы или файлы, до которых можно добраться. Это полезно при поиске всех страниц, на которые ссылается web-сайт, и для выявления файлов, о которых вы не знали




Рис. 2.2.  Выдача Sam Spade IPBlock

Имеется несколько других средств, которые не являются темой данной книги, например, ликвидаторы отмеченных сообщений USENET и декодировщики URL, которые могут оказаться полезными, если вы разрабатываете Web-сайт. Sam Spade дает средства для исследования сети, аналогичные имеющимся в UNIX. Следующий инструмент, PuTTY, предоставляет возможности SSH, другой UNIX-программы, для безопасного удаленного терминального доступа в Windows

^ PuTTY: Клиент SSH для Windows

PuTTY

Автор/основной контакт: Sam Tatham

Web-сайт: http://www.chiakr.greenend.org.uk/~sgtatham/putty

Платформы: Windows 95, 98, ME, NT, 2000, XP

Рассмотренная версия 54b

Лицензия: MIT (аналогична лицензии BSD)

Другие ресурсы:

Файл справок или web-сайт.

В ближайшее время Microsoft собирается заняться этой программой и начнет поставлять встроенный клиент SSH вместе с Windows. Пока же PuTTY является отличным клиентом SSH для Windows, он также включает усовершенствованный, поддерживающий шифрование клиент Telnet. PuTTY можно использовать для защищенных коммуникаций с любым сервером, поддерживающим протокол SSH
^

Установка и запуск PuTTY


Загрузите файл с Web-сайта или возьмите его с приложенного к книге компакт-диска и установите, сделав на нем двойной щелчок мышью. PuTTY имеет приятный, ясный интерфейс и способен эмулировать практически любой терминал. Можно задать номер порта для входа, если сервер SSH использует нестандартный номер порта. Можно также поэкспериментировать со всеми настройками, используя меню слева.




Рис. 2.3.  Основной экран PuTTY

Протоколы сеансов можно записывать в текстовые файлы, что может быть весьма полезно (я использовал PuTTY для сохранения листингов всех терминальных сеансов в этой книге). Можно также до бесконечности менять конфигурацию, в том числе, набор допустимых протоколов шифрования. Вас даже будут предупреждать при попытке соединиться с сервером SSH, использующим одну из слабых версий SSH, которая может быть уязвима для взлома.

При соединении с сервером в первый раз PuTTY предупредит, что он добавляет в базу данных идентификационную метку и ключ этого сервера. Это нормально - просто проверьте, выглядит ли сертификат подходящим, примите его, и он больше не будет появляться при последующих соединениях с этим сервером.

^ 3. Лекция: Межсетевые экраны

Теперь, когда у вас есть достаточно безопасная операционная система и вы освоили несколько основных приемов, перейдем к использованию некоторых более сложных защитных средств. В этой лекции описано, как настраивать и обслуживать безопасный межсетевой экран с открытыми исходными текстами. Если у вас уже есть межсетевые экраны, можно все равно прочитать данную лекцию, чтобы освежить в памяти или узнать, как они действуют. Это пригодится при изучении следующих лекций, где обсуждаются сканеры портов и уязвимостей.

Межсетевой экран - это устройство, являющееся первым рубежом передовой линии обороны против всех входящих атак или ненадлежащего использования вашей сети. Межсетевой экран может отразить или смягчить многие виды атак и экранировать (заслонить) внутренние серверы и рабочие станции от Интернета. Межсетевой экран способен также предотвратить доступ извне к машинам внутренних ЛВС. При растущем использовании случайных сканеров и автоматических червей и вирусов, экранирование внутренних машин от Интернета важно как никогда. Правильно сконфигурированный межсетевой экран существенно продвинет вас по пути защиты от внешних атак. (Защита от внутренних атак - совершенно другая проблема, которая рассматривается в лекциях с 4 по 7).

Обзор лекции

Изучаемые концепции:

  • Основные понятия сетей TCP/IP

  • Как работают межсетевые экраны

  • Философия конфигурирования межсетевых экранов

  • Бизнес-процессы для межсетевых экранов

  • Примеры конфигураций межсетевых экранов

Используемые средства:

Iptables, Turtle Firewall, SmoothWall

В наше время мало кто сомневается, что межсетевой экран является обязательным компонентом любой инфраструктуры безопасности. Доступно множество жизнеспособных коммерческих альтернатив: Cisco, NetScreen, SonicWALL, Checkpoint - это лишь небольшая часть поставщиков высококлассных коммерческих решений, ориентированных на большие корпоративные сети с интенсивными потоками данных.

Компании Linksys (принадлежащая теперь Cisco), D-Link, NETGEAR предлагают младшие модели межсетевых экранов потребительского уровня. Как правило, подобные устройства не обладают высокой конфигурируемостью и расширяемостью: обычно они действуют как пакетные фильтры, блокируя входящие соединения и осуществляя динамическую трансляцию сетевых адресов. Они предназначаются для кабельных и DSL-соединений и могут не выдержать более высокой нагрузки.

Старшие модели межсетевых экранов сделают практически все, что вы от них захотите, но это потребует денежных затрат - как минимум, нескольких тысяч долларов. Для их настройки зачастую требуется изучение нового синтаксиса или интерфейса. Некоторые из более новых моделей, такие как SonicWALL и NetScreen, поставляются с интерфейсом конфигурации на основе Web, но это обычно достигается за счет меньшей глубины конфигурационных опций.

Малоизвестный и редко афишируемый секрет некоторых коммерческих межсетевых экранов состоит в том, что в их основе лежит программное обеспечение с открытыми исходными текстами. На самом деле вы платите за высококачественную коробку и линию технической поддержки. Это может быть оправданным для организаций, которые нуждаются в дополнительной поддержке. Однако, если вы готовы изучать еще один интерфейс, и если в коммерческом продукте используются те же технологии, которые доступны бесплатно, почему бы не создать свой собственный межсетевой экран с помощью средств с открытыми исходными текстами, представленных в этой книге, и сохранить своей фирме тысячи долларов? Даже если вы не собираетесь выбрасывать свой коммерческий межсетевой экран, лучшее понимание его работы и того, что происходит за сценой, поможет сделать его конфигурацию более безопасной.

Прежде чем мы погрузимся в инструментарий, я хочу рассмотреть основы функционирования межсетевых экранов и обработку ими различных сетевых протоколов для ограничения доступа к сети. Даже если вы не планируете использовать программное обеспечение с открытыми исходными текстами для своего межсетевого экрана, полезно знать немного больше о том, что в действительности происходит внутри этого черного ящика.




оставить комментарий
страница8/10
Дата02.10.2011
Размер5,46 Mb.
ТипЛекция, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   10
отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх