Домен. Основной и резервный контроллеры
Домен - это основная единица администрирования и обеспечения безопасности в локальной сети передачи данных. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена - компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена.
Рисунок - Структура домена
Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер и хранит собственную базу учетных данных пользователей - SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе - имя, пароль (в зашифрованном виде) и так называемый SID - Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы - файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется.
Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя.
В домене обязательно есть сервер, например, с операционной системой Windows Server, выполняющий роль первичного контроллера домена - Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена - SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре.
Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров - Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD.
Резервный контроллер домена решает две задачи:
1. Он становится основным контроллером при отказе последнего.
2. Уменьшает нагрузку на основной контроллер по обработке запросов на логический вход пользователей.
Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена.
Членами домена могут быть также компьютеры, на которых установлены, например, операционные системы Windows Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами - членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принт-сервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция.
Рабочая станция и сервер, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC - только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену.
Кроме доменной структуры, локальная сеть может быть организована как рабочая группа. Рабочая группа - это логическое объединение компьютеров, обычно не более 10, которые могут разделять свои ресурсы. Однако при этом каждый компьютер рабочей группы имеет собственную базу учетных данных, содержащую информацию только о его локальных пользователях. На компьютерах рабочей группы могут быть установлены операционные системы типа сервер или рабочая станция. И пользователи, и ресурсы каждого члена рабочей группы администрируются средствами данного компьютера. Таким образом, рабочая группа не дает всех тех возможностей, которые несет в себе централизованная доменная справочная служба.
Когда пользователь выполняет логический вход в компьютер, то после аутентификации по имени и паролю для него создается токен доступа, куда помещается его личный SID, а также SID'ы всех групп, в которые пользователь входит. SID однозначно определяет пользователя, так как создается при занесении данных на пользователя уникальным образом - после удаления пользователя из базы SAM его SID больше повторно никогда не используется в системе.
Если пользователь выполняет логический вход в компьютер, то его аутентификация выполняется в базе SAM 1 этого компьютера, и SID пользователю присваивается из нее.
Если же этот компьютер является членом домена, то тогда у него появляется возможность выполнить вход в домен (возможность входа в компьютер у него остается по-прежнему за счет выбора имени входа в панели диалога аутентификации).
Межсетевые экраны
Межсетевой экран (firewall, брандмауэр, сетевой экран)- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Основной задачей межсетевых экранов является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
· обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
· происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
· отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
· традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
· персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
· сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
· сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
· уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
· stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
· stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.