Server2000 (Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования), страница 10

^{Layer 2 Tunneling Protocol является расширением протокола Point-to-Point Protocol (протокол точка-точка, РРР) и позволяет разде­лить конечную точку канала передачи данных и точку доступа к сети. В традиционном РРР пользователь (обычно удаленный пользователь) устанавливает РРР-соединение с сервером удаленного доступа. Этот сервер отвечает на соединение канального уровня (звонок через модем) и также работает как точка доступа к сети, извлекая данные, инкап­сулированные в РРР-сообщение, и передавая их в сеть назначения. Инкапсулированные данные могут быть кадром AppleTalk, IP-пакетом, IPX-пакетом, пакетом NetBIOS или любым другим пакетом сетевого уровня.}

^{В Windows 2000 эта служба называется RRAS.}

^{L2TP отделяет ответы на звонки и маршрутизируемый доступ по сети При работе по протоколу L2TP звонящая сторона может дозвани­ваться к модемному пулу (или DSL Access Module, или чему-либо еще) и эти устройства могут просто инкапсулировать полученные пакеты L2TP в пакеты Frame Relay, ATM или TCP/IP для дальнейшей пере­дачи серверу удаленного доступа. По достижении сервера удаленного доступа содержимое пакетов L2TP извлекается и вложенные данные передаются в локальную сеть.}

^{L2TP предназначен для того, чтобы дать возможность поставщикам услуг Интернета использовать менее дорогостоящее оборудование, раз­деляя функции сервера удаленного доступа на аппаратную функцик (физический прием данных через соединение) и программную функцию (получение инкапсулированных данных РР-Р), что может быть реали­зовано на разных компьютерах. Это дает ряд важных преимуществ:}

^{• пользователи могут дозваниваться до локального модемного пула который будет передавать L2TP находящемуся на большом расстоянии серверу удаленного доступа, таким образом избегая затрат на звонки на большое расстояние при удаленном доступе с прямым дозвоном;}

^{• вложенные данные в L2TP могут быть зашифрованы при помощи IPSec для обеспечения удаленного доступа с защищенной аутентификацией;}

^{• многоканальные сеансы L2TP могут физически обрабатываться различными приемниками и корректно связываться с единствен­ным сервером удаленного доступа. В нынешней реализации многоканальных РРР-соединений все каналы должны быть соединены одним и тем же сервером удаленного доступа.}

^{L2TP может использовать IPSec для шифрования кадров РРР, такт образом предоставляя удаленным пользователям возможность без опасного РРР-сеанса. L2TP специально разрабатывался для предоставления удаленному пользователю возможностей аутентификации и подключения к удаленным сетям. Поскольку L2TP является расши­рением РРР, любой протокол сетевого уровня (например, IPX, NetBEUI или AppleTalk) может быть встроен внутрь L2TP. В противоположность этому, оба протокола РРТР и IPSec предназначены для использования в IP-сетях и не работают с другими протоколами. Применение РРР также обеспечивает поддержку всех стандартных протоколов аутенти­фикации пользователя, включая CHAP, MS-CHAP и ЕАР.}

^{L2TP использует в качестве своего транспорта UDP, а не TCP/IP, потому что встроенный протокол РРР может обеспечить необходи­мую гарантию надежности для потока L2TP работает через порт 1701 UDP.}

^{6.5.4. РРТР}

^{РРТР был первой попыткой Microsoft предоставить безопасный уда­ленный доступ пользователям сети. По существу, РРТР создает за­шифрованный сеанс РРР между хостами TCP/IP. В отличие от L2TP, РРТР действует только поверх TCP/IP; L2TP может работать поверх любого транспорта пакетов, включая Frame Relay и ATM. РРТР не использует IPSec для шифрования пакетов, вместо этого он использу­ет хэшированный пароль пользователя Windows 2000 для создания закрытого ключа между клиентом и удаленным сервером, который (в версии с 128-битным шифрованием) задействует случайное число для повышения устойчивости шифрования.}

7. Разработка программы определяющей имя компьютера и

его ip-адрес.

1. Постановка задачи и определение основных

целей программы.

Поставлена задача составить программу которая могла бы получать имя компьютера (рабочей станции), определять его ip-адрес в сети и выводить эти данные на экран. Программа должна работать в среде Win32, использовать минимум ресурсов, быть достаточно компактной и написанной на языке высшего уровня.

1. Принцип работы программы.

Для написания программы был использован язык программирования макро Ассемблер (MASM).

Использовались следующие библиотеки: wsock32.lib, user32.lib, kernel32.lib, gdi32.lib.

При запуске программы (exe файла) она обращается через АР-функции к динамическим библиотекам Windows и получает из них необходимые данные, далее через АР-функции выводит полученные данные (имя и ip-адрес рабочей станции) на экран в стандартном для Windows окне, окно фиксированного размера.

Программа скомпилирована с включением makefile (файла сборки). makefile считает что в директория masm32 находится на том же накопителе и – в стандартной instalation позиции. Так же имеется файл используемых программой ресурсов.

Рис. 7.2.1. Внешний вид окна программы

^Выводы

^{Безопасность — это комплекс мер, принимаемых для предотвращения потери или раскрытия информации в сети. Поскольку невозможно абсолютно устранить вероятность потери в пригодных к работе систе­мах, определенная степень риска неизбежна, и безопасность си­стемы должна основываться на фундаменте предоставления доступа только надежным принципалам безопасности (пользователям или компьютерам).}

^{Для управления безопасностью любая система должна:}

^{• контролировать доступ;}

^{• идентифицировать пользователей;}

^{• ограничивать или разрешать доступ;}

^{• записывать деятельность пользователей;}

^{• осуществлять закрытое взаимодействие между системами;}

^{• минимизировать риск неправильной конфигурации.}

^{Шифрование, процесс сокрытия сообщения при помощи математиче­ского алгоритма (шифра), и секретное значение (ключ), известное только легитимным сторонам, образуют основу всей современной компьютерной безопасности. Шифрование может быть использова­но для подтверждения идентификационных данных пользователя или компьютера, для проверки допустимости данных или для сокрытия со­держимого данных при хранении или в коммуникационном потоке.}

^{Безопасность Windows 2000 основывается на аутентификации пользователей. Входя в систему Windows 2000, пользователи подтверждают свою личность для того, чтобы получить доступ к файлам, программам и общим данным на серверах. Windows 2000 использует проникаю­щую модель безопасности, в которой идентификационные данные пользователя проверяются при всех действиях, выполняемых пользо­вателем на компьютере, вместо того чтобы предоставлять широкий доступ к компьютеру после того, как произошел успешный вход в систему.}

^{Для того чтобы операционная система была надежной, она должна быть способной гарантировать, что не подвергалась несанкциониро­ванным изменениям и что информация может храниться в безопасно­сти от пользователей. Windows 2000 использует разрешения файловой системы NTFS для управления доступом к файлам, включая файлы, обеспечивающие загрузку Windows 2000. Разрешения могут быть пре­доставлены пользователям и группам пользователей для каждой функ­ции файловой системы. Файлы также могут быть зашифрованы на диске для гарантии того, что к ним не будет получен доступ, даже когда компьютер выключен.}

^{Сетевая безопасность Windows 2000 управляется при помощи Active Directory, используемой в качестве репозитария хэшированных паро­лей Kerberos, групповых политик и политик IPSec. Active Directory определяет также взаимоотношения между принципалами безопас­ности.}

^{Windows 2000 использует Kerberos для проверки идентификационных данных пользователя по сети. Kerberos является надежной системой безопасности третьей фирмы. Поскольку обе конечные точки во вза­имодействии доверяют и доверяемы сервером Kerberos, они доверяют друг другу. Серверы Kerberos могут доверять другим серверам Kerberos, поэтому могут быть созданы транзитивные доверительные отношения, дающие возможность конечным точкам из разделенных большим рас­стоянием сетей устанавливать сеансы взаимодействия с проверкой подлинности. Kerberos интегрирован с Active Directory (все контрол­леры домена являются центрами Kerberos Key Distribution Center (центрами распределения ключей Kerberos)), и вхождение в одно дере­во домена автоматически создает транзитивные двусторонние довери­тельные отношения.}

^{Групповые политики применяются для установки требований безопас­ности и конфигурации компьютеров и учетных записей пользователей в домене, офисе или контейнере OU. Можно применять групповые политики для управления практически всеми элементами безопасно­сти компьютеров и пользователей. Групповые политики управляются из оснастки Active Directory Users and Computers (Пользователи и ком­пьютеры) или через оснастку Active Directory Sites and Services (Сайты И службы).}

^{IPSec является стандартом Интернета для обеспечения аутентично­сти IP-пакетов и для шифрования данных, вложенных в IP-пакеты. IPSec работает со многими различными алгоритмами безопасности и может работать в обычном транспортном режиме или туннельном режиме для эмуляции закрытого канала в открытой сети, такой как Интернет.}

^{Безопасность в эру Интернета означает активную блокировку сеансов от неизвестных компьютеров, авторизацию пользователей на основе сертификатов публичных ключей шифрования, аудита использования файлов и каталогов, шифрование передачи данных и предотвращение непреднамеренной активизации вирусов и троянских коней легитимными пользователями.}

^{Вынеся уроки из плохо подготовленной Windows NT4, Windows 2000 предоставляет сложный набор средств аутентификации пользовате­лей, шифрования данных, обеспечения безопасных соединений, бло­кировки несанкционированного доступа и целостного управления безопасностью. При помощи набора служб по умолчанию Windows 2000 можно сделать более безопасной, чем любую другую операционную систему для массового рынка — в том числе все версии UNIX или Linux, — и ею гораздо проще управлять и использовать в безопасном состоянии.}

^{Windows 2000 не может, тем не менее, предусмотреть все, потому что Microsoft и поставщики программного обеспечения третьих фирм пока еще во главу угла ставят простоту использования, а не безопасность в потребительских продуктах, таких как Internet Explorer, Outlook и Office. Во всех этих программах существуют серьезные изъяны в без­опасности из-за их встроенных сценарных процессоров, требующих от администраторов сетей неустанной бдительности. Windows 2000 так­же может помочь в исправлении этих проблем, но пока Microsoft в сво­их продуктах для конечных пользователей не станет уделять основное внимание безопасности, единственным способом предотвратить про­блемы безопасности в вашей сети, вызванные этими программами, —это вообще их не использовать.}

Список литературы:

1. В. Олифер Н. Олифер. Сетевые операционные системы – С. Петербург.: Питер., - 2003.

2. Марк Джозеф Эдвард, Дэвид Лебланк. Где NT хранит пароли. - Журнал "Windows 2000 Magazine", -02/1999

3. Мэтью Штребе. Windows 2000: проблемы и решения. Специальный справочник – С.Петербург.: Питер., -2002.

4. Андреев А. Г. и др. Microsoft Windows 2000: Server и Professional. Русские версии. – BHV, -2001.

5. Грег Тодд. Windows 2000 Datacenter Server //по материалам сайта http: www.citforum.ru

6. Криста Андерсон. Администрирование дисков в Windows 2000.-Журнал "Windows 2000 Magazine", -03/2000 //по материалам сайта http: www.citforum.ru

7. Джеффри Р. Шапиро. Windows 2000 Server. Библия пользователя – Вильямс, - 2001.

8. Гарри М. Брелсфорд. Секреты Windows 2000 Server – Вильямс, -2000.

9. Гусева. Сети и межсетевые коммуникации. Windows 2000 - Диалог Мифи, - 2002.

Приложение А