Доступ к сети

Процесс авторизации доступа к сети и уровни защиты данных. Анализ системных свойств файлов и каталогов, права пользователей на них. Аутентификация пользователей при подключении к сети и поиск объекта по идентификатору. Применения сигнатуры NCP-пакетов.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 30.01.2013
Размер файла 51,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Авторизация доступа к данным сети

2. Аутентификация пользователей при подключении к сети

3. Использование сигнатур для передачи NCP-пакетов

4. Определение эффективных прав пользователей по отношению к каталогам и файлам

5. Сетевой аудит в NetWare 4.x

Заключение

Список используемой литературы

Контрольное задание

Введение

Сеть должна обеспечивать удобство доступа к своим ресурсам - дисковым томам, разделяемым принтерам, устройствам архивации, модемам и другим устройствам коллективного использования - в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита - пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.

1. Авторизация доступа к данным сети

В NetWare реализованы три уровня защиты данных.

Здесь под аутентификацией понимается:

- процесс подтверждения подлинности клиента при его подключении к сети,

- процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.

Рис. 1 - Уровни защиты данных в NetWare:

Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (каталогом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или каталогу.

Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.

Например, чтобы записать данные в файл, клиент должен:

- знать свой идентификатор и пароль для подключения к сети,

- иметь право записи данных в этот файл,

- файл должен иметь атрибут, разрешающий запись данных.

Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отношению к этому файлу.

2. Аутентификация пользователей при подключении к сети

Подключение к сети выполняется с помощью утилиты LOGIN.EXE. Эта программа передаёт на сервер идентификатор, введённый пользователем.

Рис. 2 - Аутентификация клиента:

По этому идентификатору NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то NetWare посылает на рабочую станцию зашифрованный с помощью пароля открытый ключ (симметричное шифрование).

На рабочей станции этот ключ расшифровывается с помощью пароля, введённого пользователем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы.

Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифрование), проверяет её и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подписью, получаемой в результате кодирования открытом ключом контрольной суммы содержимого пакета и случайного числа Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь выполняет те же самые действия.

3. Использование сигнатур для передачи NCP-пакетов

Необходимость применения сигнатуры (подписи) NCP-пакетов связана со скандалом, разыгравшимся в 1992 году. Тогда голландский студент предложил простой способ "взламывания" файлового сервера NetWare. Этот способ основывается на параллельной работе хаккера и пользователя, имеющего требуемые права.

На рабочей станции хаккера (hacker) функционирует программа, которая перехватывает пакеты, передаваемые по шине сети. При формировании пакета программа хаккера выполняет следующие действия:

- переписывает в заголовок формируемого IPX-пакета заголовок перехваченного пакета,

- записывает в поле данных требуемую команду.

Далее пакет посылается на файловый сервер. Файловый сервер пересылает адрес станции hacker в поле ImmAddress блока ECB и использует данные заголовка пакета IPX, чтобы определить номер соединения и возможность выполнения команды. Но в заголовке пакета хаккера записан адрес пользователя (адрес Admin), который имеет требуемые права. Поэтому команда хаккера выполняется.

При формировании сетевым адаптером заголовка ответного кадра адрес станции, куда непосредственно передаётся кадр, выбирается из поля ImmAddress блока ECB. Т. е. станция hacker воспринимается файловым сервером как маршрутизатор или мост. Напомним, что адрес конечной станции-получателя хранится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для хаккера это не имеет значения). Таким образом, ответ посылается на станцию hacker, где и обрабатывается.

Подпись NCP-пакета (специальное поле в этом пакете) делает невозможным параллельную работу хаккера и пользователя. Подпись (сигнатура) пакета - это шифр, для формирования которого используется контрольная сумма содержимого пакета и случайное число Nonce. Шифр создаётся с помощью открытого ключа. Важно отметить, что сигнатура изменяется в каждом пакете. Спрогнозировать последовательность подписей практически невозможно.

4. Определение эффективных прав пользователей по отношению к каталогам и файлам

Права и фильтры (маски) наследуемых прав назначаются администратором сети с помощью утилит NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В NetWare предлагается механизм наследования прав. Прежде всего введём некоторые определения.

Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями. Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).

Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.

Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.

На рисунке 3 представлена схема формирования операционной системой NetWare эффективных прав пользователя к файлу или каталогу. Здесь предполагается, что пользователь является участником групп 1 и 2.

Рис. 3 - Схема определения операционной системой NetWare эффективных прав пользователя по отношению к файлу или каталогу:

5. Сетевой аудит в NetWare 4.x

Аудит в NetWare 4.x позволяет отслеживать действия пользователей по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей. Аудит NDS устанавливает наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.

Установка аудита относится только к указанному контейнеру и не распространяется на дочерние контейнеры, для которых при необходимости аудит включается явно.

Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).

События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.

События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.

Пользовательские события включают вход и выход из сети, изменение учетной информации.

При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.

Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.

Для обеспечения возможности одновременной работы нескольких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.

Аудиторы могут отключать аудит объектов, но для возможности его включения они должны обладать правом SUPERVISOR по отношению к данному объекту.

Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.

Заключение

файл сеть идентификатор

Безопасность хранения данных, - конфиденциальность и предотвращение несанкционированного изменения или уничтожения - обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.

Список используемой литературы

1. Пшенецкий С.П. Теория информационной безопасности и методология защиты информации./ Методические указания по выполнению практических работ. -АМСИТ, 2009.

2. С.П.Расторгуев. Основы информационной безопасности: Учебное пособие для вузов. - М.: Издательский центр «Академия», 2007. - 192с.

3. Е.Б.Белов, В.П.Лось, Р.В.Мещариков, А.А.Шелупанов. Основы информационной безопасности: Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2006. - 544с.

4. Семененко В.А. Информационная безопасность: Учебное пособие. 2-е изд., стереот. - М.: МГИУ, 2006. - 277с.

5. Сеть интернет.

Контрольное задание

Анализ реализации сервисов безопасности в локальной вычислительной сети предприятия (МУ «ЦБ Джубгского городского поселения Туапсинского района».

Таблица:

Наименование и общая характеристика сети (структура, характеристика применяемых СВТ и коммуникационного оборудования, тип ОС и применяемые программные средства, обеспечивающие выполнение функциональных задач)

№ п.п.

Сервисы безопасности, реализуемые в сети

Задачи, решаемые сервисом

Применяемые средства защиты

Основные характеристики средства защиты

1.

Идентификация и аутентификация

Установление пользователя и проверка доступа

Встроенные средства ОС windows 7

Определение пользователя в системе

2.

Управление доступом

Ограничение доступа пользователей в зависимости от уровня прав

Active directory

ОС windows 7

Обеспечивает защиту информации от вмешательства посторонних лиц

3.

Протоколирование и аудит

Слежение за событиями, анализ накопленной информации

Журнал событий windows 7

Отчет о всех произошедших действиях

4.

Криптографическая защита

Шифрование данных

CryptoPo CSP 3.6

Защита данных с помощью электронных цифровых подписей

5.

Контроль целостности

Обеспечение целостности системы и данных

Kaspersky Business Space Security

Защита от вирусов и несанкционированных действий

6.

Экранирование

Защита от несанкционированного внешнего воздействия

Встроенный firewall маршрутизаторовПО Kaspersky Business Space Security

Совокупность программных и аппаратных средств позволяет получить достаточную надежность системы безопасности от внешних воздействий

7.

Анализ защищенности

Анализ угроз безопасности и существующих «дыр» в системе безопасности

ПО SYSTEM SECURITY SCANNER

Большое число проводимых проверок. Централизованное управление

8.

Туннелирование

Создание защищенных соединения между сетями

СКЗИ Континент-АП

Шифрование данных, проверка подлинности с помощью электронных цифровых подписей

9.

Управление безопасностью

Совокупность функций управления направленных на обеспечение безопасности

Групповые политики безопасности windows. ПО ПО Kaspersky Business Space Security

Централизованное управление функциями обеспечения безопасности

Размещено на Allbest.ru

...

Подобные документы

  • Сетевое подключение к компьютеру, настройка общей папки. Создание рабочей группы для всех ПК в сети. Использование окна "Управление сетями и общим доступом". Подключение сетевого диска. Аутентификация пользователей. Поиск объекта в системной базе.

    реферат [2,2 M], добавлен 27.11.2014

  • Разработка предложений по внедрению биометрической аутентификации пользователей линейной вычислительной сети. Сущность и характеристика статических и динамических методов аутентификации пользователей. Методы устранения угроз, параметры службы защиты.

    курсовая работа [347,3 K], добавлен 25.04.2014

  • Виды и источники атак на информацию. Обзор распространенных методов "взлома". Атакуемые сетевые компоненты. Разработка технологии защиты банковской компьютерной сети. Разработка алгоритма программы контроля доступа пользователей к банковской сети.

    дипломная работа [542,3 K], добавлен 06.06.2010

  • Особенности применения средств криптографической защиты информации в сетях и системах защищенной связи. Уровни реализации, структура, классификация VPN. Процесс подключении удалённого пользователя, идентификация и аутентификация на сервере доступа.

    курсовая работа [434,0 K], добавлен 30.05.2016

  • Определение структуры и свойств незащищенной сети, анализ угроз безопасности данной системы. Описания противодействия сетевой разведке на уровне приложений, снижения угрозы сниффинга пакетов. Разработка защиты при подключении локальной сети к Интернет.

    курсовая работа [1,3 M], добавлен 23.06.2011

  • Анализ угроз информационной безопасности. Понятия и функции сети VPN. Способы создания защищенных виртуальных каналов. Построение защищенных сетей на сеансовом уровне. Туннелирование на канальном уровне. Идентификация и аутентификация пользователей.

    дипломная работа [3,6 M], добавлен 17.08.2014

  • Разработка проводной локальной сети и удаленного доступа к данной сети с использованием беспроводной сети (Wi-Fi), их соединение между собой. Расчет времени двойного оборота сигнала сети (PDV). Настройка рабочей станции, удаленного доступа, сервера.

    курсовая работа [2,0 M], добавлен 10.11.2010

  • Принцип деятельности ООО "МАГМА Компьютер". Особенности предметной области. Цели создания компьютерной сети. Разработка конфигурации сети. Выбор сетевых компонентов. Перечень функций пользователей сети. Планирование информационной безопасности сети.

    курсовая работа [2,3 M], добавлен 17.09.2010

  • Изучение распределения пользователей Интернета по регионам мира. Анализ российской и мировой статистики динамики проникновения сети в населенные пункты, самых посещаемых сайтов. Характеристика зависимости процентного количества пользователей от возраста.

    курсовая работа [1,4 M], добавлен 13.05.2011

  • Логическое проектирование сети. Размещение серверов DNS. Разработка структуры Active Directory. Организация беспроводного доступа к сети WLAN. Подключение филиалов и удаленных пользователей. Обеспечение возможности проведения аудио и видео конференций.

    курсовая работа [607,0 K], добавлен 22.02.2011

  • Доступ пользователей сети к электронным сообщениям, хранящимся на сервере. Описание программы, аутентификация простая, APOP и AUTH-аутентификация. Реализация функций, руководство пользователя, алгоритмы функционирования программы, графический интерфейс.

    курсовая работа [1,1 M], добавлен 13.11.2009

  • Современная локальная компьютерная сеть. Сжатие полосы пропускания сегмента компьютерной сети. Адресация в сети. Совместное использование файлов, принтеров, модемов. Сегментирование трафика для снижения нагрузки. Поддержка средств защиты доступа.

    реферат [153,5 K], добавлен 10.12.2012

  • Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.

    презентация [1,1 M], добавлен 25.05.2016

  • Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.

    курсовая работа [118,9 K], добавлен 22.06.2011

  • Разработка логической структуры сети и формирование групп пользователей сети виртуальных сетей. Разбиение сети на сегменты. Маршрутизация в сетях. Автоматизация настроек маршрутизации. Построение отказоустойчивой сети фармацевтической организации.

    дипломная работа [3,3 M], добавлен 07.02.2016

  • Топологии компьютерных сетей. Методы доступа к каналам связи. Среды передачи данных. Структурная модель и уровни OSI. Протоколы IP и TCP, принципы маршрутизации пакетов. Характеристика системы DNS. Создание и расчет компьютерной сети для предприятия.

    курсовая работа [2,3 M], добавлен 15.10.2010

  • Информационная безопасность локальной сети института; разработка проекта программного средства защиты. Постановка и анализ задачи; выбор стандарта передачи данных внутри сети; оборудование. Реализация алгоритмов кэширования, авторизации и шифрования.

    дипломная работа [5,8 M], добавлен 28.06.2011

  • Организация офисной сети, настройка шлюза для обеспечения выхода пользователей в "Интернет". Организация DNS+DHCP, файлового сервера FTP/SMB для хранения конфиденциальных и общедоступных данных, защита и информационное обеспечение пользователей.

    курсовая работа [5,6 M], добавлен 18.08.2009

  • Особенности построения сети доступа. Мониторинг и удаленное администрирование. Разработка структурной схемы сети NGN. Анализ условий труда операторов ПЭВМ. Топология и архитектура сети. Аппаратура сетей NGN и измерение основных параметров сети.

    дипломная работа [5,7 M], добавлен 19.06.2011

  • Соединение компьютеров в сеть. Разработка локальной вычислительной сети. Организация информационного обмена данными между рабочими станциями, организация доступа пользователей к ресурсам ЛВС. Имитационная и математическая модели модернизированной сети.

    дипломная работа [2,8 M], добавлен 27.11.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.