КОНТРОЛЬНАЯ РАБОТА по дисциплине: «Инфокоммуникационные системы и сети». Черновик ИСИС. Контрольная работа по дисциплине инфокоммуникационные системы и сети для заочного отделения
Скачать 148.39 Kb.
|
Контрольная работа по дисциплине инфокоммуникационные системы и сети для заочного отделения. Вариант 9. Понятие и принципы резервного копирования и восстановления баз данных · Основные понятия резервного копирования. · Журнальное протоколирование в SQL Server. · Контрольные точки. · Методы резервного копирования. Операции резервного копирования (backup) и восстановления (restore) связаны друг с другом и предполагают сохранение информации базы данных для использования в будущем – аналогично операциям резервного копирования и восстановления, которые могут выполняться операционной системой. При резервном копировании данные копируются из базы данных и сохраняются в другом месте. Резервное копирование операционной системы и резервное копирование базы данных отличаются в том, что в первом случае происходит сохранение отдельных файлов, а во втором – сохранение всей базы данных. Обычно база данных совместно используется многими пользователями, в то время как многие файлы операционной системы принадлежат отдельным пользователям. Тем самым при резервном копировании базы данных создается резервная копия данных сразу всех пользователей. Поскольку SQL Server предназначен для максимально возможной непрерывной эксплуатации, процесс резервного копирования может выполняться во время работы базы данных и даже в то время, как пользователи осуществляют доступ к базе данных. При восстановлении данных из резервной копии они копируются назад в базу данных. Не путайте восстановление (restore) с воспроизведением (регенерацией) (recovery): это две различные операции. Под восстановлением здесь понимается возврат к состоянию базы данных на момент создания резервной копии, а под воспроизведением (регенерацией) – возврат к состоянию базы данных на момент аварии за счет воспроизведения транзакций, что будет подробно описано ниже. В отличие от процесса резервного копирования процесс восстановления не может выполняться во время работы SQL Server. Кроме того, таблицу нельзя восстановить отдельно. Если один пользователь теряет часть данных в базе данных, потерянные данные восстановить непросто, поскольку операция восстановления восстанавливает всю базу данных или какую-то ее часть. Выделение данных отдельного пользователя из всех данных базы данных может оказаться затруднительным. Воспроизведение (регенерация) (recovery) – это способность системы управления реляционной базой данных (СУРБД – RDBMS) уцелеть после аварии системы и воспроизвести выполненные транзакции. SQL Server не выполняет запись на диск после каждого изменения, вносимого в базу данных. Если бы это было так, то большая система (например, банковская) работала бы намного медленнее, поскольку в каждой транзакции приходилось бы ждать, пока не закончится очередная запись, создающая задержку в системе. Именно задержки при записи изменений на диск приводят к тому, что база данных после отказа системы может остаться в запорченном состоянии из-за того, что некоторые изменения, внесенные в базу данных, могли быть не записаны на диск, а изменения, записанные на диск, могли быть не зафиксированы. Для поддержки целостности базы данных SQL Server протоколирует все изменения в журнале транзакций. (Журнал транзакций подробно описывается в разделе "Журнал транзакций" ниже в этой лекции.) При запуске SQL Server после отказа системы журнал транзакций используется для повторного исполнения (воспроизведения) транзакций, которые были фиксированы, но не записаны на диск, и отката (отмены результатов) транзакций, которые не были фиксированы на момент аварии системы. Такой подход гарантирует точность данных. SQL Server должен быть подготовлен к обработке нескольких типов транзакций в процессе воспроизведения, включая следующие транзакции. · Транзакции, содержащие только запросы. Никакого воспроизведения не требуется. · Транзакции, которые внесли изменения в данные базы данных и были фиксированы, но не были записаны на диск. Во время воспроизведения SQL Server читает страницы данных с диска, снова вносит изменения и затем перезаписывает эти страницы на диск. · Транзакции, которые внесли изменения в данные базы данных, были фиксированы и записаны на диск. Во время воспроизведения SQL Server определяет, что изменения были действительно записаны на диск. Никакого вмешательства не требуется. · Транзакции, которые внесли изменения в данные базы данных, но не были фиксированы. Во время воспроизведения SQL Server использует журнал транзакций для отката (отмены) всех изменений, внесенных в страницы данных, и восстанавливает базу данных к состоянию, в котором она была до запуска этих транзакций. При запуске SQL Server после аварии системы происходит автоматический запуск механизма воспроизведения. В этом механизме воспроизведения используется журнал транзакций, позволяющий определить, для каких транзакций требуется воспроизведение и для каких не нужно. Многие транзакции не требуют воспроизведения, но SQL Server должен прочитать журнал транзакций, чтобы определить, каким транзакциям это все же требуется. SQL Server начинает чтение журнала транзакций с момента создания последней контрольной точки. В случае отказа системы, после которого требуется восстановление базы данных из файлов резервной копии (например, в случае потери диска), используются журнал транзакций и резервные копии журнала транзакций – для восстановления базы данных к состоянию, в котором она находилась на момент отказа. Таким образом, операции восстановления и воспроизведения обычно используются совместно друг с другом. В случае отказа источника питания, возможно, потребуется только воспроизведение. Транзакция, откат которой выполняет SQL Server, идентична транзакции, которая заканчивается командой ROLLBACK. Эта транзакция аннулируется, и все соответствующие данные восстанавливаются к их исходному состоянию. При повторном исполнении транзакции происходит воспроизведение изменений, внесенных в базу данных, но не записанных на диск, чтобы вернуть файлы данных к состоянию, в котором они находились на момент отказа. Иными словами, повторное исполнение фиксированных транзакций приводит базу данных к состоянию, в котором она находилась на момент отказа (за вычетом всех нефиксированных транзакций). У вас могут возникнуть сомнения в необходимости резервного копирования, если вы используете такие технологии, как службы кластеризации Microsoft Cluster Services и отказоустойчивые дисковые подсистемы RAID. Тем не менее резервное копирование необходимо. Возможны различные случаи отказов вашей системы, а упомянутые системы поддержки отказоустойчивости и восстановления в случае отказов позволяют продолжить нормальную работу вашей системы не для всех случаев отказов. В этом разделе мы рассмотрим некоторые из потенциальных причин отказов и способы восстановления после этих отказов. Некоторые из отказов могут носить умеренный характер; некоторые могут оказаться разрушительными. Чтобы понять важность резервного копирования, вы должны знать о трех основных категориях отказов: отказы оборудования, отказы программного обеспечения и человеческие ошибки. Отказы оборудования – это, видимо, наиболее распространенный тип отказов, с которыми вы будете сталкиваться. Хотя эти отказы возникают менее часто по мере роста надежности компьютерного оборудования, но компоненты компьютеров все равно со временем становятся подвержены износу. Вот следующие типичные отказы оборудования. · Отказ ЦП (CPU), памяти или шины (магистрали) данных. Эти отказы обычно приводят к аварийному отказу системы. После замены неисправного компонента и перезапуска системы SQL Server автоматически выполняет воспроизведение базы данных. Собственно база данных не затрагивается таким отказом, поэтому ее восстановление (с резервной копии) не требуется; SQL Server просто должен воспроизвести потерянные транзакции · Отказ диска. Если вы используете отказоустойчивые матрицы RAID, то отказ этого типа, возможно, вообще не повлияет на состояние базы данных. Вы должны просто отремонтировать матрицу RAID. Но при отказе всей матрицы RAID единственной альтернативой является восстановление базы данных из резервной копии и использование резервных копий журнала транзакций для воспроизведения базы данных. · Катастрофический отказ системы или полная потеря сервера. При разрушении всей системы из-за пожара или другой катастрофы, возможно, потребуется восстановление "с нуля". Потребуется новое оборудование, восстановление базы данных с резервной копии и воспроизведение базы данных с помощью резервных копий данных и журнала транзакций. Отказы программного обеспечения происходят редко, и вашу систему, возможно, никогда не затронет такой тип отказов. Однако отказы программного обеспечения обычно более разрушительны, чем отказы оборудования, поскольку программное обеспечение содержит встроенные средства, которые сводят к минимуму отказы оборудования, а без этих защитных средств система подвержена аварийным отказам в случае отказов оборудования. Примером программного средства является журнал транзакций, предназначенный для восстановления систем после отказов оборудования. Существуют следующие типичные отказы программного обеспечения. · Отказы операционной системы. Если отказ этого типа происходит в подсистеме ввода-вывода, то могут быть запорчены данные на диске. Если отказ не затрагивает базу данных, требуется только воспроизведение. Если запорчена информация в базе данных, то остается только восстановление базы данных с резервной копии. · Отказ СУРБД (RDBMS). Возможен отказ самого SQL Server. Если отказ этого типа привел к порче данных, то должно быть выполнено восстановление базы данных с резервной копии и последующее воспроизведение. Если данные не запорчены, то для возврата системы к состоянию, в котором она находилась на момент отказа, требуется только автоматическое воспроизведение. · Отказ приложения. Возможен отказ приложений, что может приводить к порче данных. Если отказ этого типа привел к порче данных, то должно быть выполнено восстановление базы данных с резервной копии (как и в случае отказа СУРБД). Если данные не запорчены, то восстановление не нужно; автоматическое воспроизведение вернет систему к состоянию, в котором она находилась на момент отказа. Возможно, вам потребуется получить исправление от поставщика этого приложения, чтобы не допустить повторения отказа этого типа. Третьей основной категорией отказа является человеческая ошибка. Человеческие ошибки могут возникать в любой момент и без предупреждения. Они могут быть умеренными и серьезными. К сожалению ошибки этого типа могут оставаться незамеченными в течение дней или даже недель, что затрудняет процесс восстановления. Поддерживая хорошие взаимоотношения с вашими пользователями (включая средства связи), вы можете быстрее и проще выполнять восстановление после ошибок пользователей. Пользователи не должны опасаться вашей реакции и сразу сообщать вам об ошибке. Чем раньше вы узнаете об ошибке, тем лучше. Следующие отказы могут быть вызваны человеческой ошибкой: · Потеря сервера с базой данных. К потере сервера могут приводить такие человеческие ошибки, как внезапное отключение питания или отключение сервера без закрытия SQL Server. Воспроизведение происходит автоматически при перезапуске SQL Server, но может потребовать определенного времени. Если отказ не затронул базу данных на диске, то восстановление не требуется. · Потеря данных. Этот тип потери данных может быть вызван, например, случайным удалением файла данных, что привело к потере базы данных. Для возврата базы данных к ее состоянию до отказа должны быть выполнены операции восстановления и воспроизведения. · Потеря таблицы или порча данных. Если таблица удалена по ошибке или ее данные изменены некорректным образом, то для возврата таблицы к ее исходному состоянию вы можете использовать восстановление и воспроизведение. Это может оказаться очень сложным делом, поскольку отдельную таблицу или небольшой набор данных нельзя просто восстановить из резервной копии. Дать понятие и описать принцип работы протокола IPv4. IP-адреса (Internet Protocol version 4, интернет протокол версии 4) – представляют собой основной тип адресов, используемый на сетевом уровне модели OSI, для осуществления передачи пакетов между сетями. IP-адреса состоят из четырех байт, к примеру 192.168.100.111. Присвоение IP-адресов хостам осуществляется: вручную, настраивается системным администратором во время настройки вычислительной сети; автоматически, с использование специальных протоколов (в частности, с помощью протокола DHCP - Dynamic Host Configuration Protocol, протокол динамической настройки хостов). Протокол IPv4 разработан в сентябре 1981 года. Протокол IPv4 работает на межсетевом (сетевом) уровне стека протокола TCP/IP. Основной задачей протокола является осуществление передачи блоков данных (дейтаграмм) от хоста-отправителя, до хоста-назначения, где отправителями и получателями выступают вычислительные машины, однозначно идентифицируемые адресами фиксированной длины (IP-адресами). Также интернет протокол IP осуществляет, в случае необходимости, фрагментацию и сбору отправляемых дейтаграмм для передачи данных через другие сети с меньшим размером пакетов. Недостатком протокола IP является ненадежность протокола, то есть перед началом передачи не устанавливается соединение, это говорит о том, что не подтверждается доставка пакетов, не осуществляется контроль корректности полученных данных (с помощью контрольной суммы) и не выполняется операция квитирования (обмен служебными сообщения с узлом-назначения и его готовностью приема пакетов). Протокол IP отправляет и обрабатывает каждую дейтаграмму как независимую порцию данных, то есть не имея никаких других связей с другими дейтаграммами в глобальной сети интернет. После отправки дейтаграммы протоколом IP в сеть, дальнейшие действия с этой дейтаграммой никак не контролируются отправителем. Получается, что если дейтаграмма, по каким-либо причинам, не может быть передана дальше по сети, она уничтожается. Хотя узел, уничтоживший дейтаграмму, имеет возможность сообщить о причине сбоя отправителю, по обратному адресу (в частности с помощью протокола ICMP). Гарантию доставки данных возложены на протоколы вышестоящего уровня (транспортный уровень), которые наделены для этого специальными механизмами (протокол TCP). Как известно, на сетевом уровне модели OSI работают маршрутизаторы. Поэтому, одной из самых основных задач протокола IP – это осуществление маршрутизации дейтаграмм, другими словами, определение оптимального пути следования дейтаграмм (с помощью алгоритмов маршрутизации) от узла-отправителя сети к любому другому узлу сети на основании IP адреса. Алгоритм работы протокола ip на каком-либо узле сети принимающего дейтаграмму из сети выглядит следующим образом: Уже более 30 лет IPv4 обеспечивает коммуникацию в сети. Основной его атрибут – IP-адрес. Он состоит из тридцати двух бит, то есть четырех байт и для простоты, обычно, записывается четырьмя десятичными числами от 0 до 255, которые разделены точками. Есть специфические устройства и программы, где используется иное представления, но они встречаются редко. Изначально все адреса делились на классы. Принадлежность к классу определялась по начальным битам адреса, затем в соответствии с классом, адрес делилась на части, первая из которых определяла адрес сети, а вторая – компьютера (или другого устройства) в этой сети. Были определены пять классов: A (16777216 узлов), B (65536 узлов), C (256 узлов), D (групповые адреса), E (зарезервирован), но так, как два последних имели служебное назначение, то фактически конечным пользователям предоставлялась диапазон минимум с 256 адресов. В результате у провайдеров очень быстро заканчивались свободные адреса, а мелкие фирмы вынуждены были оплачивать избыточные (де-факто не нужны им) адреса. Поэтому была придумана бесклассовая адресация. Бесклассовая адресация кроме самого IP-адреса содержит также маску. Маска также имеет тридцать два бита. Сначала в ней идет определенное количество чисел, а затем все остальные – нули. Часть заполоненная числами означает, что соответствующие биты адреса являются адресом сети, а часть с нулями – отвечает битам адреса узла. Таким образом у провайдеров появилась возможность выдавать меньший диапазон, а пользователям, если и переплачивать, то значительно меньше. Форм записи маски две: полная – IP-адрес – четыре числа 0-255 и сокращенная – число от 0 до 32 и количество единиц в маске. Описать за счет чего осуществляется безопасность при передачи информации по сети. План лекции: 1. Разработка политики защиты; 2. Модели защиты; 3. Мониторинг передачи данных и перехват данных, передаваемых по сети. Каждая сеть нуждается в защите от преднамеренного или случайного повреждения. В то же время хороший администратор сети всегда помнит, что при обеспечении безопасности надо знать меру, надо строить защиту таким образом чтобы люди не испытывали трудности при выполнении своей работы. Наибольшую угрозу для безопасности сети представляют: · несанкционированный доступ; · электронное подслушивание: · кража: · преднамеренное или неумышленное повреждение. Уровень защиты сети зависит от ее назначения. Например, сеть, которая хранит данные крупного банка, требует более мощной защиты, чем локальная сеть, соединяющая компьютеры небольшой общественной организации. Разработка политики защиты. Для защиты сети необходимо проводить определенную политику, т.е. следовать набору правил и предписаний. Выработка политики безопасности (security policy) - первый шаг, который должна сделать любая организация, обеспечивая защиту своих данных. Политика устанавливает "генеральную линию", опираясь на которую и администратор, и пользователи будут вносить изменения, находить выход из нештатных ситуаций при развитии сети. Упреждающая защита. Лучшая политика защиты данных имеет предупредительный характер. Предотвращая несанкционированный доступ или действия, Вы сохраните информацию. Однако система, основанная на упреждении, требует, чтобы администратор в совершенстве владел средствами и методами, которые помогают сохранить данные в безопасности. Аутентификация. Перед тем как получить доступ к сети, Вы должны ввести правильные имя пользователя и пароль. Поскольку пароли связаны с учетными записями пользователей, система идентификации паролей является первой линией обороны против несанкционированного доступа. Обучение. Маловероятно, что хорошо обученный пользователь сети непреднамеренно повредит данные. Администратор должен научить пользователей сети всем тонкостям работы и методам безопасности. Для этого он может составить короткое, ясное руководство, а в случае необходимости - организовать обучение, особенно новых пользователей. Физическая защита оборудования. Обеспечение безопасности данных надо начинать с физической защиты оборудования. На степень физической защиты влияют: · размер компании; · характер информации; · доступные ресурсы; В одноранговых системах организованная политика защиты оборудования часто отсутствует, так как пользователи сами отвечают за безопасность своих компьютеров и данных. Защита серверов. В больших централизованных системах, где число индивидуальных пользователей достаточно велико, а данные компании имеют важное значение, серверы должны быть физически защищены от случайного или преднамеренного вмешательства. Простейшее решение - запереть серверы в специальном помещении с ограниченным доступом. Но не все организации имеют такую возможность. А вот закрыть серверы хотя бы в кабинете или в большом шкафу смогут все. Модели защиты Защитив физические компоненты сети, администратор должен гарантировать, что сетевые ресурсы находятся в безопасности от несанкционированного доступа и от случайного или преднамеренного уничтожения. Политика назначения привилегий и прав на доступ к сетевым ресурсам - основа для превращения сети в инструмент успешного ведения бизнеса. Сейчас широко применяются две модели, которые обеспечивают безопасность информационных и аппаратных ресурсов: · защита через пароль: · защита через права доступа. Эти модели называют также защитой на уровне совместно используемых ресурсов (resource level) (защита через пароль) и защитой на уровне пользователя (user level) (защита через права доступа). Пароль доступа к ресурсам. Один из методов защиты совместно используемых ресурсов - присвоить пароль каждому общедоступному ресурсу. Таким образом, доступ к ресурсу осуществляется только в том случае, когда пользователь вводит правильный пароль. Во многих системах ресурсы могут быть предоставлены в совместное использование с разными типами прав доступа. В Windows 95, 98, например, к каталогам может быть доступ только для чтения, полный доступ и доступ в зависимости от пароля. - Доступ только для чтения (read only). - Полный доступ (full access). - Доступ в зависимости от пароля (depending on password). Доступ в зависимости от пароля заключается в следующем. Совместно используемому каталогу присваивается пароль двух уровней: доступ только для чтения и полный доступ. Сотрудники, знающие пароль доступа для чтения, могут лишь читать данные, а те, кто знает пароль полного доступа, имеют соответственно полный доступ. Защита совместно используемых ресурсов паролем - самый простой метод зашиты, который позволяет любому, кто знает пароль, получить доступ к нужному ресурсу. Права доступа. Защита через права доступа заключается в присвоении каждому пользователю определенного набора прав. При входе в сеть пользователь вводит пароль. Сервер, проверяя комбинацию имени пользователя и пароля, т.е. проверяя права пользователя в базе данных безопасности, предоставляет или запрещает доступ к сетевым ресурсам. Защита с применением прав доступа обеспечивает более высокий уровень управления доступом к совместно используемым ресурсам, а также более строгий режим безопасности, чем защита паролем. Так как защита на уровне пользователя более эффективна и может определять различные уровни безопасности, большие организации обычно отдают предпочтение именно этой модели. Защита ресурсов. Проверив и подтвердив имя и пароль пользователя, система безопасности сети предоставляет ему доступ к соответствующим ресурсам. Однако иметь пароль еще недостаточно - для доступа к ресурсам нужны права. Следующая таблица отражает стандартные права доступа, присваиваемые совместно используемым каталогом или файлам. Право Значение Read Чтение и копирование файлов из совместно используемого каталога Execute Запуск (выполнение) программ из каталога Write Создание новых файлов в каталоге Delete Удаление файлов в каталоге No Access Запрещение на доступ к каталогу, файлу, ресурсу Права группы. Обязанность администратора - присвоить каждому пользователю соответствующие права доступа к каждому ресурсу. Наиболее эффективный способ решить эту задачу - через группы, особенно в крупных организациях с большим количеством пользователей и ресурсов. Windows NT Server для установки групповых прав доступа к каталогам и файлам использует File Manager. Сначала администратор оценивает, какие права необходимы каждому пользователю, а затем включает пользователей в соответствующие группы. Этот метод назначения прав намного удобнее, чем присвоение отдельных прав каждому пользователю. Аудит. Аудит (auditing) - это запись определенных событий в журнал безопасности (security log) сервера. Этот процесс отслеживает действия пользователей в сети. Он выступает как часть защиты сети, поскольку в журнале безопасности отражены имена всех пользователей, которые работали с конкретными ресурсами или пытались получить к ним доступ. Кроме того, он предоставляет информацию для тех подразделений, которые хотят определить (и оплатить) затраты на использование некоторых ресурсов. Аудит фиксирует такие действия, как: · попытки входа в сеть: · подключение к указанным ресурсам и отключение от них; · разрыв соединения; · блокировка учетных записей; · открытие и закрытие файлов; · модификация файлов: · создание и удаление каталогов; · модификация каталогов; · события на сервере и его модификация; · изменение паролей; · изменение параметров регистрации; Аудит показывает, как работает сеть. Администратор может использовать журнал безопасности для подготовки отчетов, где отразит любые заданные действия, а также дату и время их совершения, Например, повторяющиеся неудачные попытки входа в сеть (особенно в необычное время) могут указывать на то, что несанкционированный пользователь добивается доступа к сети. Мониторинг передачи данных и перехват данных, передаваемых по сети Одна из основных обязанностей сетевого администратора - знать, что происходит в его сети. Обычно необходима информация: · о загрузке сети и том, какие приложения генерируют нагрузку; · нет ли в сети постороннего трафика, которого быть не должно (игры, вирусная активность, повторы передачи данных и "проблемные пакеты" - например, не работает DHCP или испорченные пакеты передает сетевая карта); · о том, какие данные и пароли передаются открытым текстом - для решения проблем с безопасностью; · если возникают сетевые проблемы (например, не работает сетевая служба), то - информация для диагностики; · о том, не осуществляется ли прослушивание сети с какого-либо из компьютеров (по инициативе пользователя или троянской программы). Мониторинг сети и перехват пакетов можно производить при помощи аппаратных и программных средств. Такие средства традиционно называются снифферами (от sniff - нюхать). Аппаратные работают с большой производительностью в сетях с большой нагрузкой. Однако стоимость их начинается от 1000 долларов и поэтому они используются только в специализированных компаниях. В большинстве случаев используются программные снифферы. По умолчанию сетевые карты отбрасывают все пакеты, которые отправлены не на их MAC-адрес. Для того чтобы карта принимала все, необходимо перевести ее в "беспорядочный режим". Все современные карты поддерживают этот режим, однако некоторые - нет, и перехват пакетов с ними производить в принципе невозможно. Для перевода сетевой карты в этот режим необходим специальный драйвер. Чаще всего используются: · "родной" драйвер от Microsoft. · Network Monitor - стандартный сниффер от Microsoft. У Network Monitor есть большие преимущества: o в нем реализован самый полный набор разборщиков (parsers) для прикладных протоколов Microsoft и имеется возможность добавлениях своих; o Network Monitor - программа стандартная, и нет необходимости ни решать вопрос с лицензионными ограничениями, ни проверять эту программу на соответствие стандартам безопасности предприятия. Незащищенный и защищенный траффик в сетях. Перехват парольных хэшей Что обычно ходит открытым в сети (или передается в Интернет) и может быть перехвачено? К совсем открытому трафику относятся в основном стандартные протоколы TCP/ IP (Интернета): · ARP - протокол разрешения IP-адресов в MAC-адреса. Незащищенность этого протокола дает возможность выполнять DoS-атаки в локальной сети практически кому угодно. Кроме того, слабости этого протокола могут использоваться и для других атак, например, обхода свитчей (ARP poisoning). Существует защищенная реализация протокола ARP - SARP, но эта реализация обычно применяется только в локальных сетях; · DHCP - выдача IP-адресов в локальных сетях. Протокол также не защищен. Существуют варианты реализации DHCP с защитой, основанной на MAC-адресах , но они не очень эффективны. · DNS - разрешение имен хостов в IP-адреса и обратно, а также поиск важных сетевых служб - например, контроллеров домена. Существует проект SDNS (Secure DNS, подробнее - http://www.research.ibm.com/intsec/secure-dns.html), но его широкое внедрение в ближайшее время не планируется; · WINS - разрешение имен NETBIOS в IP-адреса в сетях Windows/LANManager и поиск сетевых служб (контроллеров домена, просмотрщиков сети и т.п.); · LDAP - обращение к серверу каталогов. Обычно проблемы с безопасностью возникают при обращении по LDAP клиентов третьих фирм; · Telnet - существует бесчисленное множество реализаций защищенного Telnet, однако Telnet-сервер, который идет в стандартной поставке Windows Server 2003, шифрование трафика не поддерживает (только защищенную аутентификацию, по умолчанию - NTLM). · FTP - трафик (включая передаваемые имя пользователя и пароль) изначально никак не защищен; · HTTP изначально незащищен. · SMTP/POP3/IMAP4/NNTP - пожалуй, одна из главных целей для злоумышленников. Помимо перехвата текста электронной почты, часто можно также перехватить пароли, передаваемые открытым текстом (в POP3 и IMAP4). · SNMP - этот Интернет-протокол обычно используется не для обращения к компьютерам Windows, а для мониторинга и управления сетевыми устройствами. Тем не менее он также незащищен. · трафик IM-систем (ICQ, Microsoft Instant Messenger, AOL Messenger и т .п .). Большинство этих систем передают открытым текстом не только текст сообщений, но и пароли. Вся безопасность Windows зависит от паролей Windows. Если знать пароль администратора, то в этом случае в сети можно делать практически все, что угодно. После того, как пользователь ввел пароль (например, при его смене), пароль не сохраняется в Windows - вместо этого сохраняется его хэш (значение фиксированной длины, получаемое путем преобразования данных произвольной длины. При этом в теории по хэшу восстановить исходное значение невозможно. При аутентификации то, что ввел пользователь, передается такой же хэш-функции и полученное значение хэша сравнивается с сохраненным. Если они совпадают, то аутентификация проходит успешно, если нет - происходит отказ. В теории такая схема выглядит очень надежно. Однако на практике из-за слабости алгоритмов хэширования и некоторых особенностей реализации их от Microsoft становится вполне возможно перехватить парольные хэши, передаваемые по сети, и подобрать пароли, которые при преобразовании дают то же значение хэша. В сетях Windows используются три типа парольных хэшей: · хэши LANManager. Самые старые и уязвимые. Используются по умолчанию линейкой DOS/Win3.11/Win95/98/ME, не различают регистр, вскрываются очень быстро. Windows NT/2000/ XP/2003 при каждом создании/изменении пароля пользователя генерируют такие пароли (хотя по сети их и не передают) - для целей совместимости со старыми системами. Поэтому при получении локального доступа к компьютеру обычно подобрать пароль удается очень быстро; · хэши NTLanManager - NTLM. Намного лучше защищены и различают регистр символов. Использовались по умолчанию в Windows NT. Тем не менее, хотя подбор паролей по хэшам NTLM и требует значительно большего времени, большой защиты NTLM не обеспечивает; · наиболее современный и защищенный вариант - NTLMv2. Возможность его использования появилась начиная с NTSP3, однако в Windows NT использование этого варианта аутентификации нужно было включать руками через реестр (в соответствии со статьей в Technet). В Windows 2000/XP/2003 NTLMv2 используется по умолчанию (его можно использовать даже в 95/98/ ME, если установить Directory Service Client). Надо сказать, что с точки зрения реализации хэширования во всех трех вариантах Microsoft реализован уникальный (и удивительный) алгоритм: пароль бьется на блоки из 7 символов и каждый блок хэшируется отдельно. Таким образом, пароль из 14 символов - это на самом деле два пароля из семи символов, что, конечно, сильно облегчает задачу по их подбору. Если же пароль состоит из 8 или 9 символов, то программы переборы паролей подбирают вторую часть пароля (последние 1 или два символа) практически мгновенно, что иногда помогает догадаться и о первой части. Теперь о программах, которые могут использовать слабости парольных хэшей Windows, перехваченных при передаче по сети, на практике. Программ, которые умеют производить подбор по хэшам NTLM и LanMan, очень много. На практике многие зарубежные программы не понимают пароли на русском языке и не умеют подбирать пароли, которые содержат такие символы, поэтому обычно используются русские варианты таких программ (например, L0phtCrack+ или набор PacketCatch/PacketInside). Перехват данных с целью анализа нагрузки на сеть Помимо перехвата сетевого трафика, например, для оценки уровня защищенности, администраторам часто бывает необходимо производить мониторинг загруженности сети - например, для выявления несанкционированной активности (например, вирусной) или просто выявления перегружающих сеть приложений. Для этой цели можно использовать специализированные программы Observer Suite и Iris. В обоих программах имеются графические средства представления сетевого трафика. В самых простых ситуациях можно использовать просто вкладку Networking в Task Manager в Windows 2003. Из-за чего сеть может быть перегружена: · самый распространенный вариант - использование настольных приложений (на основе Access, FoxPro, Clipper, Paradox и т.п.) по сети. Обычно это - важные для предприятия унаследованные задачи, в которых изначально не планировалось помещать много данных и подключать много пользователей. · возможно, барахлит сетевое оборудование - сетевой адаптер или хаб, рассылая испорченные пакеты. Часто случается, когда сетевой адаптер не полностью вставлен в разъем; · возможно, в вашей сети эпидемия червей Обычно такая ситуация определяется сразу (например, большое количество ICMP-пакетов, направленных по всем адресам вашей сети); · возможно, пользователи играют по сети или копируют файлы большого размера (фильмы и т.п.). Мониторинг локальных и удаленных сетевых соединений Иногда есть необходимость без анализа сетевого трафика просто увидеть, кто подключился к данному сетевому каталогу/порту и т.п. и чем он занимается. Это может потребоваться для целей аудита, для того, чтобы освободить какой-то занятый пользователем файл . Самое простое средство для этой цели - консоль ComputerManagement. При помощи нее можно просматривать соединения как локального, так и удаленных компьютеров и при необходимости отключать пользователей. Другая утилита от Microsoft, которая позволяет просматривать подключения к локальному или удаленному компьютеру - NetWatch. Просмотреть, какие приложения установили сетевые соединения на вашем компьютере (а также какие соединения прослушивают те или иные порты) можно при помощи утилиты TCPView. Утилита может быть очень полезной, когда неизвестно, какое приложение посылает или принимает пакеты на вашем компьютере (в снифферах обычно виден только порт). Полностью просмотреть и запротоколировать трафик TCP/IP, который принимает/отправляет ваш компьютер с использованием определенного порта, можно при помощи утилиты TCPViewer. Эта утилита очень удобна тогда, когда снифферы бессильны - трафик идет между сетевыми службами вашего компьютера. Пассивная защита от перехвата данных, передаваемых по сети Применение свитчей и маршрутизаторов для защиты от перехваты данных Один из самых простых способов, который могут использовать сетевые администраторы для защиты данных, передаваемых по сети - построить сеть на свитчах вместо хабов. В теории свитчи обеспечивают надежную защиту от перехвата большинства данных, передаваемых в сети, поскольку свитч организует виртуальный канал между парами компьютеров в сети. Однако эта защита достаточно легко обходится за счет недостатков протокола ARP и реализаций самих свитчей. Существует множество способов получить доступ к трафику сети на свитчах: § самый старый и ненадежный способ - это так называемое "глушение свитчей" - switch jamming (другое название - MAC flooding). Он основан на том, что ресурсы свитча небеспредельны и после переполнения таблиц ARP-адресов он переходит в режим обычного хаба. Однако в последнее время с увеличением мощности свитчей применение этого способам все более проблематично; § второй способ - манипуляции с кэшем протокола ARP на свитче. Существует несколько реализаций этого метода - с ретрансляцией трафика и без и т.п. Общее название таких методов - ARP-отравление (ARP poisoning). Существует множество утилит, которые позволяют достаточно надежно реализовать такой метод борьбы со свитчами. § третий способ - самый простой - использование возможностей самого свитча. Большинство современных свитчей позволяют выполнять удаленное администрирование при помощи протокола SNMP или Telnet. При этом во многих организациях администраторы не меняют пароль свитча по умолчанию. Таким образом, открывается возможность перенастроить свитч, переведя его в режим хаба или организовать зеркалирование всего трафика на определенный порт (большинство свитчей имеют такую возможность). § Если есть средства нападения, то существуют и средства активной защиты. Таким образом, применение свитчей хотя и обеспечивает повышение уровня безопасности в сети (и производительности), но тем не менее средства для перехвата трафика в сети на свитчах вполне доступны и даже встроены в некоторые снифферы, поэтому полагаться только на свитчи не следует. Намного надежнее применение маршрутизаторов, которые вообще не пропускают "лишний" трафик из одного сегмента в другой. Поэтому если есть необходимость основательно защитить трафик какой-то группы компьютеров, эту группу можно перевести в отдельный физический сегмент и поставить роутер. Однако на практике использование маршрутизаторов и физического сегментирования в небольших организациях не всегда оправданно, кроме того, часто к серверу необходимо обращаться клиентам из многих сегментов. Способ полной защиты сети от прослушивания - использование оптоволоконных каналов (например, Ethernet 1 и 10 Гбит), поскольку такая сеть работает на других принципах и для перехвата трафика в ней обычно необходимы дополнительные аппаратные устройства. Шифрование трафика на уровне операционной системы Более надежный способ - шифрование трафика, который передается по сети. Это можно делать на двух уровнях: · уровне приложения - когда данные шифруются самим приложением, например, почтовым клиентом, Web-сервером, сервером баз данных и т.п. Некоторые такие типы шифрования будут рассмотрены в соответствующих модулях; · шифрование трафика на уровне операционной системы. Часто бывает так, что на уровне приложения шифрование не применить (например, если это не было предусмотрено разработчиками). В этой ситуации наилучший выход - применить шифрование средствами операционной системы. Обычно такой способ шифрования полностью прозрачен для приложений и не мешает их нормальной работе. Два наиболее распространенных средства шифрования трафика на уровне операционной системы - IPSec и OpenVPN. Оба средства являются реализациями открытых стандартов и могут использоваться как в Windows, так и в *nix. Очень удобно то, что средства работы с IPSec встроены в Windows (только 2000/XP/2003) и для их использования ничего устанавливать не надо (только настроить). Активная защита от перехвата трафика: выявление снифферов в локальной сети Часто бывает так, что лучшая защита - это нападение. Помимо того, что можно просто защищать данные при передаче по сети, можно также обнаруживать в сети работающие снифферы, и если прослушивание сети производится несанкционированно (сниффер установлен пользователем или работает троянская программа), можно принять необходимые меры. При выявлении снифферов в сети обычно используются тесты трех разновидностей: · тесты операционной системы. Это - обычный ICMP Ping, в пакете которого указан "левый" MAC-адрес и реальный MAC-адрес проверяемого компьютера. Компьютеры, которые работают в promiscuous mode, примут такие пакеты и отзовутся на них (обычные компьютеры отбросят их еще на уровне сетевого адаптера); · тесты сетевой задержки. Основаны на том, что обработка пакетов в системе, работающей в promiscuous mode, занимает больше времени (поскольку аппаратные фильтры на сетевом адаптере отключены). Это - наиболее ресурсоемкие и продолжительные тесты; · тесты просмотров DNS. Многие снифферы, обнаружив новый IP-адрес в сети, выполняют обратный DNS-запрос, чтобы выяснить его имя. Можно сымитировать появление новых компьютеров в сети и перехватить трафик обратных запросов DNS, который идет с определенных компьютеров в сети. Существует множество утилит, которые позволяют выявлять снифферы в сети (некоторые снифферы в ответ научились обходить тесты операционной системы). В большинство антиснифферов (в том числе AntiSniff и ProDetect) встроена возможность выполнения проверок по расписанию и оповещения администратора, например, по электронной почте.т |