Download
1 / 45
450 likes | 666 Views
Lekc09. TCP/IP tīklu administrēšanas un pārvaldības pamati. Saturs. TCP/IP tīklu nodrošināšanas uzdevumu kopums: administrēšana (administration), pārvaldība (management) aizsardzība (security)- sk. iepr. lekcijā. Tīkla kontroles nepieciešamība.
E N D
Lekc09 TCP/IP tīklu administrēšanas un pārvaldības pamati
Saturs • TCP/IP tīklu nodrošināšanas uzdevumu kopums: • administrēšana (administration), • pārvaldība (management) • aizsardzība (security)- sk. iepr. lekcijā
Tīkla kontroles nepieciešamība • Jebkurš tīkla sastāvā esošs dators iekļaujas kaut kāda intertīkla administrēšanas domēna sastāvā • Katram domēnam nepieciešama: • Administrēšana • Pārvaldība • aizsardzība
Tīkla administrēšanas pārvaldības un aizsardzības attiecības
Tīkla administrēšanas pamati • Tīkla administratīvā vadība • Lietotāju uzskaites ierakstu radīšana • Grupu uzskaites ieraksti • Tīkla aizsardzības plānošana • Aizsardzības modeļi • Aizsardzības papildu līdzekļi
Tīkla administratīvāvadība Jebkuram tīklam administratīvā plāksnē ir daudz uzdevumu: • laiku pa laikam ir jāpieslēdz jauni lietotāji, bet esošo starpā dažus reizēm atslēgt. • Nākas uzstādīt jaunus resursus un • nodot tos koplietošanā, • piešķirt atbilstošas pieejas tiesības. Pieejas tiesības ir noteikumi, kas ir asociēti ar resursu, parasti ar katalogu, failu vai printeri. Tiesības regulē lietotāju pieeju resursiem. Tas viss nozīmē, ka pēc uzstādīšanas tīkls ir jāvada. Visas tīkla vadības utilītas atrodas programmu grupā Administrative Tools (Common) pogas Start izvēlnē
Administrēšanas apgabali Tīkla administrēšana izplatās uz 5 galvenajiem apgabaliem, ar kuriem tīkla administratoram ir jābūt labi pazīstamam: • lietotāju pārvaldība – lietotāju uzskaites ierakstu radīšana un uzturēšana, lietotāju pieejas resursiem pārvaldība; • resursu pārvaldība – tīkla resursu uzstādīšana un uzturēšana; • konfigurācijas pārvaldība – tīkla konfigurācijas plānošana, tās paplašināšana, kā arī nepieciešamās dokumentācijas vešana; • veiktspējas pārvaldība – pārraudzība (monitoring) un tīkla operāciju kontrole, lai uzturētu un uzlabotu tīkla veiktspēju; • uzturēšana – tīkla pašreizējo problēmu novēršana, atklāšana un atrisināšana.
Administratora pienākumi uzdevumu saraksts, par kuru izpildi atbild tīkla administrators: • lietotāju uzskaites ierakstu radīšana un to pārvaldība; • datu aizsardzība; • lietotāju apmācīšana un uzturēšana (ja ir nepieciešams); • esošās programmatūras modernizācija un jaunās programmatūras uzstādīšana; • arhivēšana; • datu nozaudēšanas novēršana; • pārraudzība un brīvās telpas datu glabāšanai serverī kontrole; • tīkla uzstādīšana uz maksimālo veiktspēju; • datu rezerves kopēšana; • tīkla aizsardzība no vīrusiem; • diagnostika; • tīkla komponentu modernizācija/nomaiņa (ja nepieciešams); • jaunu datoru pievienošana tīklam.
Lietotāju uzskaites ierakstu radīšana Katramlietotājam nepieciešams nozīmēt lietotāja uzskaites ierakstu (account). Tas sastāv no lietotāja vārda un tam piešķirto ieejas sistēmā parametriem. Šo informāciju ievada administrators, un saglabā tīkla OS. Lietotājam mēģinot ieiet tīklā, tā vārds kalpo uzskaites ieraksta pārbaudei. Visiem tīkliem ir utilītas, kuras palīdz administratoram pievienot tīkla aizsardzības datu bāzei jaunus uzskaites ierakstus. Microsoft Windows NT Server utilīta uzskaites ierakstu veidošanai tiek saukta par User Manager for Domains, tā atrodas programmu grupā Administrative Tools (Common). Pēc User Manager for Domains palaišanas, izvēlnē User izvēlieties komandu New User… Parādīsies logs ar tādu pašu nosaukumu, kurā var ievadīt informāciju, kas ir nepieciešama jaunā lietotāja uzskaites ieraksta radīšanai.
Lietotāja datu ievadīšana Uzskaites ieraksts satur informāciju, identificētu lietotāju: • lietotāja vārdu un paroli; • lietotāja tiesības uz pieeju sistēmas resursiem; • grupas, pie kurām pieder uzskaites ieraksts. Šie dati ir nepieciešami administratoram jauna uzskaites ieraksta radīšanai. Veidojot jaunu uzskaites ierakstu, logā New User tiek aizpildīti sekojošie lauki: • Username – identificē lietotāja uzskaites ierakstu. Lietotāja vārds nedrīkst sakrist ar cita lietotāja vārdu, administrējamā domēna vai datora grupas vārdu. Tas var ietvert līdz 20 jebkurus patvaļīga reģistra simbolus, izņemot sekojošos: “ / \ : ; | = , + * ? < > • Full Name – ietver pilnu lietotāja vārdu. • Description – satur tekstu, kurš apraksta uzskaites ierakstu vai lietotāju. • Password un Confirm Password – ietver paroli, kura maksimālais garums ir 14 simboli. Simbolu reģistrs šajā gadījumā ir svarīgs: ir jāievada vienādas paroles abos laukos.
Lietotāja datu ievadīšanas šabloni Windows NT Server realizē iespēju, kas ir raksturīga lielākai daļai lietotāju pārvaldības utilītu, – uzskaites ierakstu kopēšanu. Ar tās palīdzību administrators izveido lietotāja “šablonu”, kura atsevišķi parametri un raksturojumi var būt nepieciešami, veidojot citus uzskaites ierakstus. Lai izveidotu jaunu uzskaites ierakstu ar šiem raksturojumiem, administrators vienkārši kopē šablonu un piešķir tam jaunu vārdu.
Lietotāja parametru uzstādīšana Lielākā daļa tīklu ļauj administratoram piešķirt lietotājiem dažus papildus parametrus, to skaitā arī: • reģistrācijas laiku – lai ierobežotu laiku, kad lietotājs drīkst ieiet tīklā; • mājas katalogu – lai piešķirtu lietotājam vietu personīgo failu glabāšanai; • uzskaites ieraksta darbības ilgumu – lai ierobežotu dažu lietotāju “atrašanos” tīklā.
Profili Administrators savā darbā realizē arī citu iespēju – izveido dažiem lietotājiem tīkla vidi. Tas ir nepieciešams, lai uzturētu noteiktu aizsardzības līmeni vai lai uzturētu lietotājus, kuri nepārvalda datorus un tīklus tādā pakāpē, lai patstāvīgi darbotos ar šo tehnoloģiju. Administrators var izveidot profilus (profiles) lietotāju vides pārvaldībai, kurā tie nokļūst pēc ieejas sistēmā. Pie vides pieder tīkla pieslēgumi, pieejamas programmas, kā arī: • pieslēgšanas printeriem; • valodu un standartu uzstādījumi; • skaņu uzstādījumi; • peles uzstādījumi; • ekrāna uzstādījumi. Pie profilu parametriem dažreiz attiecās speciālie ieejas sistēmā noteikumi un informācija par to, kur lietotājs var glabāt savus failus.
Lietotāju atslēgas uzskaites ieraksti Tīkla operētājsistēmas sagatavotas ar iepriekš izveidotiem lietotāju uzskaites ierakstiem, kuri automātiski tiek aktivizēti, uzstādot sistēmu. Ir pazīstami vairāki šādu uzskaites ierakstu tipi. • Administrators – sākotnējs uzskaites ieraksts • Viesa uzskaites ieraksts
Administratora pienākumi un tiesības Uzstādot tīkla OS, automātiski tiek izveidots lietotāja, kuram ir pilna “vara” tīklā, uzskaites ieraksts. Tieši viņam tiek uzliktas sekojošas funkcijas: • tīkla formēšana; • sākotnējo aizsardzības parametru uzstādīšana; • citu lietotāju uzskaites ierakstu radīšana. Microsoft tīkla vidē šim lietotājam ir vārds Administrator (Administrators). Novell vidē tas ir pazīstams kā Supervisor. Parasti tas, kurš ir uzstādījis tīkla operētājsistēmu, pirmais ieiet tīklā. Tam, kas ir iegājis tīklā ar administratora uzskaites ierakstu, ir pilnīga kontrole pār visām tīkla funkcijām.
Viesa uzskaites ieraksts Cits standarta lietotājs, kuru izveido uzstādīšanas programma, tiek saukts Guest (Viesis). Šis uzskaites ieraksts ir domāts cilvēkiem, kuri nav pilntiesīgi tīkla lietotāji, taču tiem ir nepieciešama laicīga pieeja tam. Dažas tīkla operētājsistēmas, piemēram, Microsoft Windows NT Server, pēc uzstādīšanas atstāj viesa uzskaites ierakstu izslēgtu. Tīkla administrators var to aktivizēt.
Paroles Paroles (passwords) nodrošina tīkla vides aizsardzību. Tāpēc pirmais administratora uzdevums, uzstādot sava uzskaites ieraksta parametrus, ir nomainīt paroli. Ar to viņš novērsīs arī lietotāju ar administratora tiesībām nesankcionēto ieeju tīklā, kā arī viņi paši nevarēs radīt uzskaites ierakstus. Katram lietotājam ir jāizdomā sev unikālā parole un tā ir jātur noslēpumā. Īpaši svarīgos gadījumos jāpiespiež lietotāji periodiski mainīt savas paroles. Daudzas tīkla OS piedāvā līdzekļus, kas automātiski spiež lietotājus to darīt pēc administratora noteikta laika. Situācijās, kad aizsardzība nav tik svarīga vai kad pieejas tiesības ir ierobežotas (kā viesa uzskaites ierakstā), var modificēt uzskaites ierakstu tā, lai kāda konkrēta lietotāja ieejai tīklā parole netiktu pieprasīta.
Paroles aizsardzība Administratoram jārēķinās arī ar tādu variantu: sistēmā var mēģināt ieiet lietotājs, kurš vairs nestrādā kompānijā. Veids, kā to novērst, ir nekavējoties nobloķēt šī darbinieka uzskaites ierakstu. Šeit ir daži visvienkāršākie padomi: • neizmantot acīmredzamās paroles, tādas, kā savas dzimšanas datumu, laulātā(s) vai bērna vārdu, suņa iesauku u.tml.; • vislabākā vieta paroles glabāšanai ir Jūsu atmiņa, nevis monitoram pielīmētais papīrītis; • neaizmirstiet par paroles darbības termiņu (ja ir noteikts beigu datums), lai nomainītu paroli pirms tas pārstās darboties un sistēma tiks nobloķēta. Tiklīdz lietotāji, kuriem operācijās ar parolēm palīdzēja administrators, iegūs kaut kādu pieredzi, administrators ir tiesīgs noteikt tiem pieņemamu aizsardzības ar parolēm politiku.
Grupu uzskaites ieraksti Tīkli var uzturēt tūkstošiem uzskaites ierakstu. Ir situācijas, kad administratoram ir jāveic vienas un tās pašas darbības ar katru no šiem ierakstiem, vai ar ievērojamu to daļu. Dažreiz administrators ir spiests sūtīt vienu un to pašu ziņojumu lielam lietotāju skaitam (ziņojot par kādu notikumu) vai ļaut pieeju noteiktiem resursiem tikai zināmai lietotāju grupai. Šīm nolūkam administratoram ir nepieciešams modificēt katru konkrētā lietotāja uzskaites ierakstu, mainot tajā viņa pieejas tiesības. Ja 100 cilvēkiem ir nepieciešama atļauja kāda resursa izmantošanai, administratoram ir pēc kārtas jāpiešķir šī tiesība katram no 100. Lielākā daļa tīklu atrisina šo problēmu automātiski, piedāvājot apvienot atsevišķus lietotāju uzskaites ierakstus vienā speciālā tipa uzskaites ierakstā, kuru sauc par grupu. Grupa (group) ir uzskaites ieraksts, kurš satur citus uzskaites ierakstus. Galvenais grupu radīšanas mērķis ir atvieglot administrēšanu sūtot vienu ziņojumu visiem grupas locekļiem. Pateicoties grupām, administratoriem ir iespēja operēt ar lielu lietotāju skaitu tā, it kā viņi darbotos ar vienu tīkla lietotāju.
Grupu plānošana Tā kā grupas ir ļoti spēcīgs administrēšanas instruments, plānojot tīklu ir nepieciešams tām veltīt īpašu uzmanību. Pieredzējuši administratori zina, ka praktiski nav jābūt individuālo tīkla lietotāju. Katrs lietotājs dalīs ar pārējiem noteiktas privilēģijas un pienākumus. Privilēģijas (rights) ļauj lietotājam izpildīt sistēmā dažas darbības, piemēram, veikt tās rezerves kopēšanu. Privilēģijas attiecās uz sistēmu kopumā, un ar to atšķiras no tiesībām. Tiesībām (permissions) un privilēģijām ir jābūt piešķirtam grupām tā, lai administrators varētu apieties ar tiem, kā ar atsevišķiem lietotājiem. Grupas palīdz realizēt sekojošas darbības. • Piešķirt pieeju resursiem (tādiem, kā faili, katalogi un printeri). Tiesības, kas grupai, automātiski tiek piešķirtas tās locekļiem. • Piešķirt privilēģijas sistēmas uzdevumu veikšanai [tādu, kā rezerves kopēšana, failu atjaunošana (no rezerves kopijām), vai sistēmas laika maiņa]. Pēc noklusēšanas nevienam no lietotājiem neviena privilēģija netiek piešķirta. Lietotāji parasti iegūst privilēģijas caur esamību grupās. • Vienkāršot sakarus, uz sagatavojamo un pārraidāmo ziņojumu skaita samazināšanas rēķina.
Grupu izveidošana Grupu radīšana ir līdzīga lietotāja uzskaites ieraksta radīšanai. Lielākai daļai tīklu ir utilītas, ar kuru palīdzību administrators var veidot jaunas grupas. Microsoft Windows NT Server šī programma tiek saukta User Manager for Domains un atrodas programmu grupā Administrative Tools (Common). Pēc User Manager for Domains palaišanas, izvēlieties no User izvēlnes komandu New Local Group… Parādīsies dialoga logs ar tādu pašu nosaukumu, kurš paredzēts informācijas ievadīšanai par jaunu lokālo grupu. Veidojot jaunas grupas, šajā logā tiek aizpildīti sekojošie lauki: • Group Name – identificē lokālo grupu. Grupas vārds nedrīkst sakrist ar kādas citas grupas (vai lietotāja) vārdu administrējamajā domēnā vai datorā. Tas var saturēt jebkurus patvaļīga reģistra simbolus, izņemot sekojošus: ; \ = + * ? < > • Description – satur tekstu, kas apraksta grupu – tās lietotājus. Galvenā atšķirība starp grupas radīšanu un individuālā lietotāja radīšanu ir tāda, ka grupai ir “jāzin”, kādi lietotāji ir tās locekļi. Tāpēc administratora uzdevums ir izvēlēties atbilstošus lietotājus un iekļaut tos grupā.
Grupu tipi Microsoft Windows NT Server izmanto 4 tipu grupas. • Lokālās (local) grupas. Šī tipa grupas tiek realizētas atsevišķa datora uzskaites ierakstu datu bāzē. Tās sastāv no to lietotāju uzskaites ierakstiem, kuriem ir tiesības un privilēģijas lokālajā datorā, un no globālo grupu uzskaites ierakstiem. • Globālās (global) grupas. Šī tipa grupas izmantotas visa domēna robežās. Tās tiek reģistrētas galvenajā domēna kontrollerī (PDC) un drīkst ietvert tikai tos lietotājus, kuru uzskaites ieraksti atrodas šī domēna datu bāzē. • Sistēmas (system) grupas. Šī tipa grupas Windows NT Server parasti lieto sistēmas iekšējām vajadzībām. Administratoram nav jāiekļauj tajās lietotāji, jo tas tiek izdarīts automātiski. • Iebūvētās (built-in) grupas.
Iebūvētās (built-in) grupas Dažas šī tipa grupu funkcijas ir kopīgas visiem tīkliem. Pie tām pieder lielākā daļa administrēšanas un apkalpošanas uzdevumu. Lai izpildītu dažas standarta operācijas, administratoriem jāveido lietotāju uzskaites ieraksti un grupas ar atbilstošām privilēģijām, taču daudzi tīklu piegādātāji atbrīvo administratorus no šī darba, piedāvājot tiem iebūvētās lokālās vai globālās grupas. Iebūvētās grupas dalās 3 kategorijās: • administratori – šo grupu lietotājiem ir maksimāli iespējamas privilēģijas; • operatori – šo grupu lietotājiem ir ierobežotas administratīvas iespējas specifisku uzdevumu pildīšanai; • citi – šo grupu lietotāji pilda ierobežotu uzdevumu loku. Microsoft Windows NT Server, piemēram, piedāvā iebūvētās grupas, kuras ir uzskaitītas Tabulā 1.
Privilēģiju piešķiršana Vienkāršākais veids, kā piešķirt vienādas tiesības lielam skaitam lietotāju – piešķirt šīs tiesības grupai, un pēc tam pievienot grupai izvēlētos lietotājus. Analoģiski tiek pievienoti lietotāji iebūvētai grupai. Piemēram, ja administrators vēlās, lai kāds lietotājs pildītu tīklā administratīvos uzdevumus, viņš padarīs šo lietotāju par grupas Administrators locekli. Lietotāju uzskaites ierakstu bloķēšana un dzēšana Dažreiz administratoram nākas izslēgt kādu no uzskaites ierakstiem. Tādā gadījumā tiek izmantota šī uzskaites ieraksta bloķēšana vai dzēšana.
Bloķēšana Ja uzskaites ieraksts tiek bloķēts, tas joprojām atradīsies tīkla uzskaites ierakstu datu bāzē, taču neviens ar tā palīdzību nevarēs ieiet tīklā. Bloķētais uzskaites ieraksts it kā neeksistē. Administratoram ir jāatslēdz uzskaites ieraksts uzreiz pēc tam, kad lietotājs ir beidzis ar to strādāt. Ja kļūs skaidrs, ka uzskaites ieraksts vairs vispār nebūs vajadzīgs, to var izdzēst. Lietotāju uzskaites ierakstu bloķēšanai Windows NT Serverī kalpo programmas User Manager for Domains logs User Properties. Lai nobloķētu lietotāju, divreiz noklikšķiniet tā uzskaites ieraksta vārda, uzstādiet karodziņu Account Disabled un pēc tam nospiediet OK. Tagad uzskaites ieraksts ir bloķēts.
Dzēšana Uzskaites ierakstu dzēšana likvidē informāciju par lietotāju no tīkla uzskaites ierakstu DB; lietotājam vairs nav pieejas tīklam. Lietotāja uzskaites ieraksts ir jādzēš sekojošos gadījumos: • lietotājs ir aizgājis no organizācijas; • ir izbeidzies lietotāja nolīgšanas termiņš; • lietotājs ir mainījis darba vietu organizācijas iekšienē (tā pieeju dotajam tīklam ir nepieciešams aizslēgt). Lietotāja dzēšanas process parasti nav grūts: jāizvēlas uzskaites ieraksta vārds un nospiest pogu dialoga logā. Microsoft Windows NT Server, piemēram, lietotāju uzskaites ierakstu dzēšanai izmanto programmu User Manager for Domains. Izvēlieties uzskaites ierakstu, kurš ir jāizdzēš un pēc tam nospiediet taustiņu DELETE. Brīdinājuma logā noklikšķiniet OK. Operācijas apliecinājuma logā, kurš parādījās, noklikšķiniet Yes, ja Jūs tiešām vēlaties izdzēst uzskaites ierakstu.
Tīkla aizsardzības plānošana Strādājot tīkla vidē, jābūt pārliecinātam, ka slepeni dati tādi arī paliks, jo tikai tie lietotāji, kuriem ir atbilstošas pilnvaras, varēs iegūt pieeju tiem. Taču ir svarīgi nodrošināt ne tikai konfidenciālas informācijas, bet arī tīkla funkcionēšanas kopumā aizsardzību. Katram tīklam ir nepieciešama aizsardzība no tīša vai netīša bojājuma. Tajā pašā laikā labs administrators vienmēr atceras, ka, nodrošinot aizsardzību, ir jāzina mērs, ir jābūvē aizsardzība tā, lai cilvēki nejustu grūtības, pildot savu darbu. Īsāk runājot, lietotājiem nav jākrīt izmisumā, mēģinot iegūt pieeju pašu failiem.
Tīkla drošības draudi Neskatoties uz to, ka tīkli apstrādā gan delikāto, personīgo informāciju, gan arī lietišķo, dažreiz slepena rakstura informāciju, par tās aizsardzību bieži vien domā pēdējā kārtā. Vislielākie tīkla drošības draudi ir: • nesankcionēta pieeja; • elektroniska noklausīšanās; • zādzība; • tīšais vai netīšais bojājums. Administratora uzdevums ir garantēt, ka tīkls būs drošs un aizsargāts instruments biznesa veikšanai.
Aizsardzības līmenis Tīkla aizsardzības līmenis ir atkarīgs no tā uzdevuma. Piemēram, tīkls, kurš glabā lielas bankas datus, prasa spēcīgāku aizsardzību nekā lokālais tīkls, kurš savieno nelielas sabiedriskās organizācijas datorus. Aizsardzības politikas izstrādāšana Tīkla aizsardzībai ir nepieciešams veikt noteiktu politiku, t.i., sekot noteikumu un priekšrakstu kopai. Aizsardzības politikas (security policy) izstrādāšana ir pirmais solis, kas ir jāsper jebkurai organizācijai, nodrošinot savu datu aizsardzību. Politika uzstāda “ģenerālo līniju”, balstoties uz kuru, gan administrators, gan lietotāji ieviesīs izmaiņas, atradīs izeju no neštata situācijām, attīstot tīklu. Tātad, aizsardzības politikas izstrādāšana un pieņemšana ir svarīgākais noteikums efektīvai tīkla izmantošanai.
Brīdinoša aizsardzība Labākai datu aizsardzības politikai ir brīdinošs raksturs. Atturot nesankcionēto pieeju vai darbības, saglabāsiet datus. Taču sistēma, kas ir balstīta uz brīdināšanu, prasa, lai administrators perfekti pārvaldītu līdzekļus un metodes, kas palīdz saglabāt datus aizsargātus. Autentifikācija Pirms iegūt pieeju tīklam, Jums ir jāievada pareizi lietotāja vārds un parole. Tā kā paroles ir saistītas ar lietotāju uzskaites ierakstiem, paroļu identifikācijas sistēma ir Jūsu pirmā aizsardzības līnija pret nesankcionēto pieeju. Apmācība Maz iespējams, ka apmācīts tīkla lietotājs netīši sabojās datus. Administratoram ir jāapmāca tīkla lietotāji visām darba niansēm un aizsardzības metodēm. Priekš tā viņš var sastādīt īsu, skaidru rokasgrāmatu, bet nepieciešamības gadījumā organizēt apmācību, īpaši jauniem lietotājiem.
Iekārtu fiziskā aizsardzība Datu aizsardzība ir jāsāk ar tīkla iekārtu fizisko aizsardzību. Fiziskās aizsardzības pakāpi ietekmē: • kompānijas izmērs; • informācijas raksturs; • pieejamie resursi. Vienādranga sistēmās organizēta iekārtu aizsardzības politika bieži vien trūkst, jo lietotāji paši atbild par savu datoru un datu aizsardzību.
Serveru aizsardzība Lielās centralizētās sistēmās, kur individuālo lietotāju skaits ir pietiekami liels, bet kompānijas datiem ir svarīga nozīme, serveriem ir jābūt fiziski pasargātiem no tīšas vai netīšas iejaukšanās. Ja rodas problēmas ar serveriem, katrā nodaļā vienmēr atradīsies tie, kas grib nodemonstrēt savas tehniskās spējas. Vieni var zināt, ko dara, bet citiem tas tikai liekas. Tāpēc pats labākais ir taktiski nepielaist lietotājus pie patstāvīgas servera “labošanas”. Vienkāršākais veids, kā pasargāt serverus, ir aizslēgt tos speciālā telpā ar ierobežotu pieeju. Taču ne visām organizācijām ir tāda iespēja. Bet aizslēgt serverus kaut vai kabinetā vai lielā skapī var visi.
Kabeļa aizsardzība Vara kabelis, piemēram, koaksiālais, ir līdzīgs radiostacijai: tas izstaro elektromagnētiskos signālus, kuri satur informāciju par pa kabeli pārraidāmiem datiem. Šo informāciju ar speciālo iekārtu palīdzību ir viegli pārķert. Vara kabelim var pieslēgties un nozagt informāciju tieši no tīkla kabeļa. Tāpēc pieejai kabeļu trasēm, pa kurām tiek pārraidīti svarīgi dati, ir jābūt atļautai tikai šauram to personu lokam, kas ir pilnvarotas darbam ar kabeli, vai arī tas ir jāvelk būvkonstrukciju iekšpusē (pārsegumos un sienās).
Aizsardzības modeļi Blakus tīkla fizisko komponentu aizsardzībai, jāaizsargā arī tīkla resursi (no nesankcionētas pieejas un tīšas vai netīšas izdzēšanas). Privilēģiju un tīkla resursu pieejas tiesību piešķiršanas politika ir pamats tīkla pārvēršanai veiksmīgas biznesa veikšanas instrumentā. Tagad tiek plaši pielietoti 2 modeļi, kuri nodrošina informācijas un aparatūras resursu aizsardzību: • aizsardzība caur paroli; • aizsardzība caur pieejas tiesībām. Šos modeļus sauc arī par: • aizsardzību koplietojamo resursu līmenī (resource level) (aizsardzība caur paroli) un • par aizsardzību lietotāja līmenī (user level) (aizsardzība caur pieejas tiesībām).
Pieejas resursam parole Viena no koplietojamo resursu aizsardzības veidiem – piešķirt paroli katram resursam; pieeja resursam - lietotājs => paroli. Daudzās sistēmās resursi nodoti koplietošanai ar dažādiem pieejas tiesību tipiem. Windowsxx, piemēram, katalogiem var būt: • Pieeja tikai lasīšanai (read only). Ja koplietojamais katalogs ir piedāvāts tikai lasīšanai, darbinieki, kuri zina paroli, lasīs tajā visus failus. Viņi var caurskatīt dokumentus, kopēt tos savā mašīnā, drukāt, taču nevar mainīt izejas dokumentu. • Pilna pieeja (full access).Gadījumā, ja ir pilna pieeja failiem koplietojamajā katalogā, darbinieki, kuri zina paroli, var caurskatīt, modificēt un dzēst tajā visus failus. • Pieeja, atkarībā no paroles (depending on password). Pieeja, atkarībā no paroles izpaužas sekojoši. Koplietojamajam katalogam tiek piešķirta divu līmeņu parole: pieeja tikai lasīšanai un pilna pieeja. Darbinieki, kuri zina pieejas paroli lasīšanai, var tikai lasīt datus, bet tiem, kas zina pilnas pieejas paroli, ir attiecīgi pilna pieeja. Koplietojamo resursu aizsardzība ar paroli ir vienkāršākā aizsardzības metode, kas ļauj visiem, zinot paroli, iegūt pieeju
Pieejas tiesības Aizsardzība caur pieejas tiesībām izpaužas kā noteiktas tiesību kopas piešķiršana katram lietotājam. Ieejot tīklā, lietotājs ievada paroli. Serveris, pārbaudot lietotāja vārda un paroles kombināciju, t.i., pārbaudot lietotāja tiesības aizsardzības datu bāzē, dod vai aizliedz pieeju tīkla resursiem. Aizsardzība ar pieejas tiesību pielietošanu nodrošina augstāku pieejas koplietojamiem resursiem pārvaldības līmeni, kā arī stingrāku aizsardzības režīmu nekā aizsardzība ar paroli. Tas arī ir saprotams: jebkurš cilvēks var viegli nodot citam, piemēram, printera pieejas paroli, daudz mazāk iespējams, ka šis lietotājs paziņotu kādam savu personīgo paroli. Tā kā aizsardzība lietotāja līmenī ir efektīvāka, jo var noteikt dažādas drošības pakāpes, lielas organizācijas parasti dod priekšroku tieši šim modelim.
Resursu aizsardzība Pēc lietotāja vārda un paroles pārbaudes un apliecināšanas, tīkla aizsardzības sistēma dod tam pieeju pie attiecīgiem resursiem. Bet ar paroli vien nepietiek – pieejai resursiem ir vajadzīgas tiesības. Tēlaini runājot, apkārt katram resursam ir uzcelta aizsardzības siena. Šajā sienā ir paredzētas dažādas “ieejas” pie resursa. Ja lietotājs ies caur vienu ieeju (lai iegūtu pieeju resursam), viņam ir jāizpilda vairāk operāciju, nekā ja viņš ietu caur citu ieeju. Tātad dažas ieejas piedāvā vairāk tiesību uz resursu. Viens no administratora pienākumiem ir noteikt, kam kādas ieejas pie resursa ir jāpielieto. Viena ieeja piedāvā lietotājam pilnu pieeju, vai pilnu kontroli pār resursu. Citas ieejas piedāvā lietotājam pieeju tikai lasīšanai. Katrs koplietojamais resurss vai fails tiek glabāts kopā ar lietotāju vai grupu sarakstu, kur ir ietvertas arī to tiesības (ieejas).
Sekojoša tabula atspoguļo standarta pieejas tiesības, kuras ir piešķiramas koplietojamajiem katalogiem un failiem.
Grupas tiesības Administratoram jāpiešķir katram lietotājam attiecīgas pieejas tiesības katram resursam.Efektīvākais veids, kā atrisināt šo uzdevumu, ir piešķirt tiesības caur grupām, īpaši tīklos ar lielu lietotāju un resursu skaitu. Windows NT Server sistēmā katalogu un failu pieejas tiesību piešķiršanai izmanto Windows NT Explorer. • Izvēlas vajadzīgo failu vai mapi un • noklikšķiniet izvēlnē File komandu Properties. • Logā, kas parādījās, ir izvietoti 3 ieliktņi: • General, • Sharing un • Security (ir pieejams tikai NTFS nodalījumiem). Pirmais satur kopīgo informāciju par failu vai mapi, otrais – koplietošanas parametrus, trešais ļauj uzdot aizsardzības uzstādījumus.
Vairāki tiesību piešķiršanas veidi Pastāv vairāki tiesību piešķiršanas veidi. Vienkāršākais no tiem, taču pats darbietilpīgākais, ir secīgi piešķirt tiesības katram atsevišķam lietotājam. Daudz ērtāks ir cits veids. • No sākuma administrators novērtē, kādas tiesības ir nepieciešamas katram lietotājam, un • pēc tam formē atbilstošas grupas. Grupu tiesības tiek realizētas tieši tāpat, kā individuālo lietotāju tiesības.
Aizsardzības papildus līdzekļi Pastāv dažādas metodes, ar kuru palīdzību tīkla administrators var paaugstināt tīkla aizsardzības pakāpi. Dažas no šīm iespējām tiks izskatītas tālāk. Audits Audits (auditing) ir noteiktu notikumu ierakstīšana servera drošības žurnālā (security log). Šis process izseko lietotāju darbības tīklā. Tas uzstājas kā tīkla aizsardzības daļa, jo drošības žurnālā ir atspoguļoti visu to lietotāju vārdi, kas strādāja ar konkrētiem resursiem vai mēģināja iegūt pieeju tiem. Turklāt, tas dod informāciju tām apakšnodaļām, kuras grib noteikt (un apmaksāt) izdevumus dažu resursu izmantošanai.
Darbības, ko fiksē audits Audits fiksē tādas darbības, kā: • mēģinājumi ieiet tīklā; • pieslēgšanās norādītiem resursiem un atslēgšanās no tiem; • savienojuma pārtraukšana; • uzskaites ierakstu bloķēšana; • failu atvēršana un aizvēršana; • failu modifikācija; • katalogu izveidošana un dzēšana; • katalogu modifikācija; • notikumi serverī un tā modifikācija; • paroļu maiņa; • reģistrācijas parametru maiņa. Audits parāda, kā strādā tīkls. Administrators izmanto drošības žurnālu pārskatu gatavošanai, kur atspoguļos visas uzdotās darbības, to veikšanas datumu Piemēram, atkārtoti neveiksmīgi mēģinājumi ieiet tīklā var liecināt par to, ka nesankcionētais lietotājs mēģina pieslēgties.
Datu šifrēšana Datu šifrēšanas utilīta (encryption) kodē informāciju pirms tās pārraides caur tīklu. Šis fakts ievērojami apgrūtinās pa tīklu pārraidāmo datu lasīšanu, ja kāds negaidīti pieslēgsies kabelim. Kad dati nokļūs atbilstošajā datorā, tie tiks dekodēti saprotamā formā ar atslēgas – šifra kodētas informācijas dekodēšanai – palīdzību. Pilnveidotas šifrēšanas shēmas automatizē gan šifrēšanu gan dešifrēšanu. Labākās šifrēšanas sistēmas ir balstītas uz speciālo aparatūru, kuru cena ir ļoti augsta. Tradicionālais šifrēšanas standarts – Data Encryption Standard (DES). Tas apraksta atslēgas specifikācijas un šifrēšanas veidu. Pašlaik standartu DES izmanto ASV valdība. Kā nosūtītājam, tā arī saņēmējam ir nepieciešama pieeja atslēgai. Pastāv tikai viens veids, kā nodot atslēgu no vienas vietas uz otru – paziņot to. Šeit uzreiz rodas problēmas, kuras padara DES par ievainojamu.
Aizsardzība no vīrusiem Izstrādājot tīkla aizsardzības sistēmu, ir nepieciešams ņemt vērā arī vīrusus. Bet neviena antivīrusu programma nespēj pilnīgi novērst to iekļūšanas draudus; pamatā šīs programmas cīnās ar vīrusu “uzbrukuma” sekām: • novērš vīrusu aktivāciju; • likvidē vīrusus; • daļēji likvidē bojājumus; • aiztur vīrusus pēc to aktivācijas. Labākā metode cīņā ar vīrusiem ir izslēgt nesankcionētas pieejas iespēju. Administratoram ir jāsper piesardzības soļi, kas būtu: • ieviest paroles (lai samazinātu nesankcionētas pieejas iespējas); • noteikt atbilstošas tiesības un privilēģijas (visiem lietotājiem bez izņēmuma); • izveidot profilus lietotāju darba vides uzstādīšanai (ieskaitot tīkla pieslēgumus un programmas elementus, kas parādās, lietotājam ieiejot tīklā); • noteikt, kāda programmatūra var tikt izpildīta; • uzstādīt tīklā antivīrusu programmatūru.
