Каталог Рефератов - Комплексная защита типовой локальной вычислительной сети

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Комплексная защита типовой локальной вычислительной сети

nternet Mail Connector позволяет пользователям обмениваться сообщениями с пользователями Internet. Internet Mail Connector поддерживает протоколы SMTP, POP3, IMAP4. Newsfeed - служба, поддерживающая протокол обмена новостями с сетью USENET по протоколу NNTP.

Internet Mail Connector также поддерживает стандарт Internet, известный как MIME (Multipurpose Internet Mail Extension), для передачи мультимедийных объектов, включая текстовые документы, PostScript* и бинарные файлы, графику, видео, голосовые сообщения и др. Кроме того, Internet Mail Connector поддерживает стандарты для передачи бинарных файлов вложений (Аttachments), использующих UUENCODE.

Internet Mail Connector можно настроить как SMTP клиент, как SMTP сервер или как и клиент, и сервер одновременно. Как сервер, он ожидает соединения с хостом SMTP для принятия сообщений. А как клиент, он инициирует связь с хостом SMTP для отправки исходящих сообщений.

Internet Mail Connector может функционировать как SMTP хост, выполняя маршрутизацию передачи сообщений. Он обращается к серверу имен домена (Domain Name Server) или локальному хосту для того, чтобы определить, куда сообщение должно быть доставлено. Если получатель находится в другой SMTP системе, то Internet Mail Connector или доставит сообщение на искомый SMTP хост, или перешлет на другой SMTP хост для дальнейшей маршрутизации.

Настройка MS Exchange Server 5.5

Установка MS Exchange Server 5.5

Инсталляция MS Exchange Server 5.5 достаточно проста и понятна.

В рассматриваемой нами организации в качестве Web-сервера и Mail-сервера физически используется один и тот же компьютер, поскольку при небольшом количестве пользователей (менее 300) ресурсов одного компьютера (Celeron 300, 128 Мб ОЗУ) вполне хватит.

Следует заметить, что службы MS Exchange Server запускаются под одним определенным аккаунтом. Рекомендуется создать специальную учетную запись (например, “ExchAdmin”), которую следует включить в группу “Users of Email”, а из остальных групп исключить. Обязательно нужно убрать у данной учетной записи право Log on locally и установить галочки в полях User cannot change password и Password never expired. Кроме того, этому пользователю следует дать право (Permission) Change на директорию, куда был проинсталлирован Exchange Server. Инсталлировать нужно MS Exchange Server под администраторским аккаунтом, а в качестве аккаунта, под которым будут запускаться службы MS Exchange Server, следует указать вновь созданный (“ExchAdmin”).

Конфигурирование MS Exchange Server для работы с MS Proxy Server

Как видно из рисунка 1, MS Exchange Server находится в локальной сети и взаимодействует с сетью Интернет через прокси-сервер. Такая схема рекомендуется для повышения уровня защищенности, так как злоумышленнику в данном случае непосредственно почтовый сервер недоступен.

Для работы MS Exchange Server через MS Proxy Server, необходимо, чтобы на компьютере, на котором инсталлирован MS Exchange Server, был также инсталлирован WinSock Proxy Client.

Чтобы привязать порты почтового сервера к внешнему интерфейсу прокси-сервера, необходимо в директории, где расположен файл Msexcimc.exe (это служба, обслуживающая протокол SMTP), создать текстовый файл Wspcfg.ini, содержимое которого приведено ниже:

[Msexcimc]

ServerBindTcpPorts=25

Persistent=1

KillOldSession=1

Также в директории, где расположен файл Store.exe (служба, обслуживающая протоколы POP3, NNTP, IMAP4), необходимо создать второй файл Wspcfg.ini:

[Store]

ServerBindTcpPorts=110,119,143

Persistent=1

KillOldSession=1

В сетевых настройках компьютера, на котором работает Exchange Server, должны быть обязательно прописаны DNS-сервер и домен.

Обычно компании такого масштаба не содержат DNS-сервера для своей зоны. Поэтому в дальнейшем мы учитываем, что за зону компании отвечает провайдер.

Следует обратить особое внимание, что в DNS-сервере, который отвечает за зону нашей типовой организации, в качестве почтового сервера домена должны быть указаны имя и IP-адрес внешнего интерфейса прокси-сервера. Ниже приведены примеры для двух записей, которые обязательно должны быть в DNS-сервере зоны mycompany.com, чтобы можно было использовать почтовые Интернет-адреса типа user@mycompany.com:

@ IN MX 10 proxy

proxy IN A 195.195.195.195

Общие настройки Exchange Server'а

Предполагается, что организация использует только один Exchange Server и нет необходимости организовывать обмен информацией между несколькими почтовыми серверами. Также предполагается, что в сети используются только протоколы Интернет (SMTP, POP3, IMAP4, NNTP).

Так как при первоначальной установке Internet Mail Connector и Newsfeed не устанавливаются, их необходимо установить вручную. Делается это пунктами меню File -> New Other -> Internet Mail Service… и File -> New Other -> Newsfeed…

Рекомендуется удалить все неиспользуемые коннекторы, оставив только Internet Mail Connector и Newsfeed (если предполагается предоставлять клиентам возможность работы с новостями USENET).

Крайне рекомендуется установить Service Pack 3 для MS Exchange Server 5.5 (http://www.microsoft.com/exchange/DeployAdmin/sp3.htm). К сожалению, он не распространяется свободно (во всяком случае, на 10.04.2000), поэтому следует установить хотя бы Service Pack 2 (ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng/Exchg5.5/SP2).

Для редактирования списка администраторов почтового сервера организации, необходимо установить выделить самый старший элемент дерева (это и есть организация) и нажать кнопку «Properties» (см. рис).

В появившемся окне следует выбрать вкладку Permissions:

Как и для остальных продуктов, не следует давать администраторские права без необходимости. В рассматриваемой нами организации с администраторскими обязанностями вполне справятся 1-2 человека.

Не рекомендуется заводить почтовые ящики, ассоциированные с администраторскими учетными записями, особенно если к почтовому серверу разрешен доступ по протоколу POP3. Дело в том, что пароль при использовании этого протокола передается по сети в открытом виде, и злоумышленник может перехватить его. Кроме того, он может попытать подобрать его. Как рассматривалось выше, администратор должен работать под учетной записью с правами обычного пользователя, а под администраторским аккаунтом - только в случае необходимости.

В том случае, если администратор по необходимости работает в основном с правами администратора, рекомендуется завести для него учетную запись, которая будет включена только в группу “Users of Email” и завести почтовый ящик, ассоциированный с этой учетной записью. Теперь администратор в качестве почтового ящика может использовать этот почтовый ящик.

Настройки Internet Mail Connector (Internet Mail Service)

Ниже будут рассмотрены вкладки, играющие роль с точки зрения защиты.

Connections

В поле Accept Connections можно задать условия, при которых сервер будет SMTP-устанавливать соединение с клиентом. From any host - от любого хоста; Only from hosts using Authentication / Encryption / Auth and Encrypt - устанавливать соединение только с хостами, использующими аутентификацию / шифрование / аутентификацию и шифрование. Здесь имеется в виду, что при отправке письма пользователь должен быть авторизован или (и) использовать шифрование. Кнопка Specify by host позволяет указать конкретные компьютеры, от которых ожидается аутентификация / шифрование.

Расположенные ниже поля Clients can only submit if homed on this server и Clients can only submit if authentication account matches submission address позволяет усилить защиту, принимая соединения соответственно только от клиентов, которые имеют на сервере почтовый ящик и от клиентов, параметры аутентификации которых совпадают с параметрами аутентификации пользователя, указанного в поле From (т.е. клиент должен отправлять письмо только от своего имени).

К сожалению, в MS Exchange Server невозможно реализовать обычную схему запрета релеинга (relaying) почты, в соответствии с которой сервер принимает и отправляет почту только в том случае, если пользователь, указанные в поле From или To имеет на нем почтовый ящик. При использовании такой схемы от клиента не требуется аутентификация, а использование почтового сервера для посторонних организаций - рассыльщиков спама становится невозможным.

Поэтому рекомендуется по возможности использовать почтовый шлюз провайдера (с ним придется договориться) и всю почту принимать и отправлять только через него (естественно, шлюз провайдера должен поддерживать описанную выше схему). В этом случае не требуется аутентификация (вообще, не рекомендуется использовать аутентификацию там, где можно обойтись без нее). Но для этого MX запись в DNS-сервере зоны организации должна указывать на почтовый сервер провайдера, который, в свою очередь должен быть настроен на пересылку почты для ваших пользователей на ваш почтовый сервер.

Чтобы настроить использование почтового шлюза провайдера, необходимо отметить поле Forward all messages to host и указать имя или IP-адрес шлюза. Кроме того, администратор должен настроить прием соединений только от шлюза и хостов внутренней сети. Сотрудники организации, работающие за ее пределами, в качестве SMTP-сервера должны указывать шлюз провайдера.

Если невозможно использовать шлюз пройвайдера, рекомендуется использовать аутентификацию для всех хостов из внешней сети (Интернета).

Если и это невозможно, то администратор должен включить отслеживание всех попыток соединения и если он заметит признаки использования своего почтового сервера в качестве шлюза для рассылки спама, он должен сразу включить хост, с которого производилась рассылка, в список отвергаемых хостов (с помощью кнопки Specify by host) и принять меры для наказания рассыльщика (например, отправить письмо его провайдеру).

Security

Кнопка Add позволяет указать почтовые домены, при соединении с которыми сервер должен использовать SASL / SSL соединение (с аутентификацией или шифрованием), либо аутентификацию и шифрование Windows NT.

Для нашей организации рекомендуется оставить настройки без изменений.

Diagnostics Logging

В случае если используется схема без шлюза и аутентификации, рекомендуется поставить уровень протоколирования событий Message Transfer и SMTP protocol Log на Medium и каждый день проверять журнал событий Windows NT. В остальных случаях настройки оставляются на усмотрение администратора.

Delivery Restrictions

Здесь можно указать, от каких пользователей принимать сообщения (Accept messages from) и отвергать (Reject messages from). Рекомендуется оставить прием сообщений от всех пользователей, хотя в соответствии с политикой безопасности организации некоторые пользователи могут быть ограничены в правах.

Безопасность сервера IIS

Интернет-сервер (Internet Information Server, US) обеспечивает доступ по сети к файловым и вычислительным ресурсам компьютера с операционной системой Windows NT по протоколам HTTP, FTP, Gopher.

При подключении к Интернету информационные ресурсы становятся доступны огромному неконтролируемому сообществу, поэтому здесь администратор должен найти способ жестко ограничить спектр допустимых для пользователя действий.

Введение в IIS

Рассмотрим вкратце назначение каждого из трех протоколов Интернет-сервера.
Проще всего передать информацию с одного компьютера на другой в виде файла данных, т.е. по протоколу передачи файлов (File Transfer Protocol, FTP). В этом протоколе используются обычные категории файловых систем: в каталогах, образующих древовидную структуру, находятся файлы данных.

Протокол Gopher предназначен для распределенных систем поиска и извлечения документов. Система Gopher использует концепцию каталога, содержащего отдельные документы. Каталоги Gopher можно расположить на разных компьютерах, при этом связав их в единую сетевую структуру. В последнее время протокол Gopher практически полностью вытеснен протоколом HTTP, поэтому в дальнейшем мы его рассматривать не будем.

Протокол передачи гипертекста (Hypertext Transfer Protocol, HTTP) служит для передачи информации вместе с признаком, указывающим тип данных. Изначальная цель его разработки -- создание распределенных информационной систем, построенных по принципу гипертекста. Свидетельство успеха этого проекта -- «Всемирная паутина» WWW (World Wide Web), основой которой как раз и является HTTP.

Анонимный и авторизованный доступ

Анонимный доступ

Проще всего при помощи IIS публиковать общедоступную информацию. При этом клиенты используют средства анонимного доступа, предусмотренные в каждом из протоколов IIS, и их подлинность не проверяется. В операционной системе Windows NT для работы таких вот «гостей из Интернета» выделяется специальная учетная запись пользователя. Программа установки IIS автоматически создает новую учетную запись с именем IUSR_имя_сервера, присваивает ей случайный пароль, и именно она используется в дальнейшем для обозначения гостей из Интернета. Администратор может указать и любую другую учетную запись. Потребность в смене учетной записи может возникнуть, например, если на нескольких серверах крупного Web-узла анонимный доступ к ресурсам должен осуществляться от одного и того же имени.

Таким образом, чтобы позволить обращаться к тому или иному ресурсу системы при анонимном доступе через IIS, администратор системы должен установить разрешения для данной учетной записи. Например, если папки, к которым возможен анонимный доступ, находятся на файловой системе NTFS, администратор может контролировать доступность отдельных файлов, регулируя права этой учетной записи, обозначенные в связанных с файлами списках разрешений.

Авторизованный доступ

Организация авторизованного доступа к информации через IIS связана с целым рядом проблем. Прежде всего это вопрос производительности. Дело в том, что клиент HTTP сначала будет пытаться выполнить каждый запрос анонимно и только в том случае, если это не удастся, произведет повторный запрос с указанием имени и пароля пользователя. Дублирование запроса приводит к увеличению накладных расходов, а отсюда следует первое правило администратора: устанавливать авторизованный доступ только на ресурсы, действительно содержащие конфиденциальную информацию. Например, на файлы с текстом можно установить разрешения только для определенной группы пользователей, а доступ к файлам с графическими изображениями, которые вложены в текст и служат только для оформительских целей, разрешить и для учетной записи гостя из Интернета.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.