Grupa robocza
to mała grupa komputerów, które pracują w sieci nie zapewniającej
centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną
przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik
musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas
pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego
logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz
domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie
komplikuje się zarządzanie nią.
Domena
, jest sposobem organizacji i zarządzania siecią, podobnie jak grupa robocza, jest
logiczną grupą komputerów, jednak w domenie występuje pojedyncza baza kont
przechowująca wszystkie domenowe konta użytkowników, grup oraz komputerów.
Wspomniana baza jest przechowywana na serwerach pełniących funkcję tzw. Kontrolerów
domeny
(DC — Domain Controller) usługi Active Directory. W jej skład może wchodzić od
kilku do kilku tysięcy komputerów. Podczas pracy w domenie użytkownik potrzebuje
wyłącznie jednego konta, aby logować się do dowolnych zasobów. To udogodnienie to tzw.
pojedyncze logowanie.
Różnice między grupą roboczą a domeną
W grupie roboczej lista kont użytkowników, uprawnienia, zabezpieczenia znajdują się na
lokalnych komputerach. Każdy komputer jest jednostką niejako autonomiczną. Aby
zalogować się na dowolnym z komputerów należących do grupy roboczej, należy znać nazwę
i hasło do lokalnego konta.
W przypadku domeny, komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która
znajduje się w jednym lub kilku kontrolerach domeny na systemie z rodziny Microsoft
Windows .Net Server, Windows 2000 Server albo Windows NT Server. Możliwe jest również
uruchomienie kontrolera domeny na systemie Linux, w którym zainstaluje się pakiet Samba -
jednakże tak powstała domena nie będzie obsługiwała w pełni poziomu funkcjonalnego
domeny Active Directory.
Kiedy logujesz się z konta domeny, Windows uwierzytelnia twoje dane i porównuje z bazą
danych zabezpieczeń na kontrolerze domeny. Łatwiej jest zarządzać w sieci komputerami
skonfigurowanymi jako domena, odtwarzać bazy danych dla kont, łatwiej jest też
skonfigurować profile użytkowników zdalnych, którzy maja dostęp do tego samego pulpitu,
dokumentów i aplikacji.
Domena z usługą Active Directory, funkcji systemów Windows 2000 Server oraz Windows
.NET Server (ale nie Windows NT Server) pozwala także korzystać z usług katalogowych -
udostępnione zasoby, kontakty, użytkownicy.
Do tego dochodzi jeszcze możliwość wykorzystania technologii IntelliMirror, które oferują
jeszcze parę innych przydatnych rzeczy np. instalację i konserwację oprogramowania, czy
zarządzanie danymi użytkownika.
Podłączenie do grupy roboczej:
Aby twój komputer zaistniał w otoczeniu sieciowym musi m.in. posiadać swoją nazwę,
przypisanie do grupy roboczej oraz ewentualny komentarz, który nie jest wymagany.
Nazwa komputera
- Musi być unikalna w sieci składać się może z liter, cyfr i symboli ~ ! @
# $ % ^ & * ( ) ' - . ale nie może zawierać samych kropek oraz może mieć maksymalnie
długość 15 znaków.
Grupa robocza
- Nazwa grupy roboczej to "Wariaci", jeśli chciałbyś wybrać inną nie może
mieć ona więcej niż 15 znaków.
Opis komputera
- Nieobowiązkowy wpis, a właściwie komentarz, który nie może mieć
więcej niż 48 znaków.
Sposób dołączenia do grupy roboczej oraz domeny
Standardowo mamy zainstalowanego "Klienta sieci MS Networks", Karte sieciowa ( W tym
przypadku Realtek ... ) oraz Protokól TCP/IP.
Klikamy "Dodaj..." i instalujemy dodatkowo Protokól zgodny z IPX/SPX. Nastepnie klikamy
na "Udostepnianie plików i drukarek..." i widzimy:
Nastepnie klikamy na "Protokól TCP/IP" i wybieramy przycisk "Wlasciwosci":
Zagrożenia bezpieczeństwa w sieci można ogólnie podzielić na następujące klasy:
•
uzyskanie dostępu do danych transmitowanych przez sieć lub przechowywanych na
dołączonych do sieci komputerach przez osoby niepowołane;
•
uzyskanie dostępu do innych zasobów (moc obliczeniowa komputerów itd.) przez
osoby niepowołane (włamanie);
•
utrata danych na skutek złośliwej ingerencji zewnętrznej;
•
fałszerstwo danych (dotyczy zwłaszcza poczty elektronicznej, gdzie zachodzi m.in.
możliwość podszywania się pod innego nadawcę);
•
uniemożliwienie korzystania z pewnych usług/zasobów przez legalnych
uzytkowników ("Denial of Service").
•
podszywanie - Stacja nieautoryzowana udaje inną stację autoryzowaną, w celu
zdobycia niejawnych informacji.
•
modyfikacja - Zmiana treści danych, np. podczas transmisji.
•
odmowa usługi - stacja nie spełnia swoich funkcji z powodu zniszczenia system lub
zajęcia całej dostępnej pamięci oraz gdy stacja uniemożliwia
•
właściwą pracę innych stacji przez likwidowanie komunikatów czy generowanie
sztucznego ruchu. Skuteczne uniemożliwienie
•
ś
wiadczenia usług w sieci nazywamy atakiem typu DoS (ang. Denial of Service).
Istnieje nowsza wersja ataku DoS jest to Dos ang. Distributed Denial of Service) –
czyli rozproszona odmowa usługi, polegający na tym, że atakujące pakiety przychodzą
z dziesiątek czy nawet setek różnych źródeł jednocześnie.
•
złośliwe oprogramowanie
•
luki i dziury w systemie.
Zabezpieczenia
Firewall
Zapora sieciowa
(ang. firewall – zapora przeciwogniowa, często mylnie tłumaczone jako
ś
ciana ognia
) - jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin
ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym
oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do
komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej
sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu. Często
jest to komputer wyposażony w system operacyjny (np.Linux, BSD) z odpowiednim
oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i
wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.
Najczęściej używanymi technikami obrony są:
-filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych
-stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty)
-zabezpieczanie programów obsługujących niektóre protokoły (np.FTP, TELNET)
Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i
zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi
wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien
odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować specjalna strefę DMZ -
podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na
zewnątrz.
Typy zapór sieciowych
• filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko
zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako
router).
• oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do
połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz
komputera wybranym usługom/programom. Często zintegrowane z ochroną
antywirusową (na przykład Norton Internet Security)
• zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu
użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego
serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest
połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez
proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi
rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa
w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu
widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie
wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze
słowami wulgarnymi, o treści pornograficznej itp.).
Inne sposoby zabezpieczeń:
• Odłączanie połączeń
• Kontrola dostępu do sieci
• Ograniczenia dla pustych haseł
• Instalacja poprawek i uaktualnien
•
10 zasad bezpiecznej domowej sieci Wi-Fi
• W miarę możliwości ogranicz zasięg sieci do niezbędnego minimum, tak aby sygnał
radiowy nie wychodził poza obszar biura lub mieszkania. Wyłączaj tymczasowo
nieużywane urządzenia.
• Po pierwszym zalogowaniu do Access Pointa zmień domyślne hasło administratora i
identyfikator sieci SSID, gdyż często pokazuje on informacje o używanym przez nas
sprzęcie. Przy wyborze identyfikatora nie używaj nazw własnych, nazw ulic i adresów
oraz nazw firm lub akronimów, lecz zastosuj unikatowy ciąg nic nieznaczących cyfr i
liter.
• Gdy dokonujesz zmian w konfiguracji punktu dostępowego, używaj tylko
bezpiecznego połączenia SSH.
• Regularnie uaktualniaj firmware kart sieciowych i punktów dostępowych za pomocą
najnowszych wersji oprogramowania sterującego.
• Stosuj kodowanie WEP z możliwie najdłuższym kluczem szyfrującym. Jeżeli Twój
sprzęt na to pozwala, przełącz się na szyfrowanie WPA.
• Regularnie zmieniaj klucze WEP.
• Wyłącz automatyczne rozgłaszanie SSID (SSID Broadcast).
• Włącz filtrowanie adresów MAC i ogranicz ich listę tylko do kilku zaufanych
komputerów.
• Jeżeli to możliwe, do autoryzacji połączeń wykorzystuj serwery RADIUS, zwłaszcza
jeśli mała sieć Wi-Fi jest zainstalowana w firmie.
• Jeśli przewidujesz przetwarzanie ważnych danych, wprowadź silniejsze mechanizmy
bezpieczeństwa, jak chociażby VPN.