Microsoft Word - 11_12-domena,grupa robocza, zarzadzanie siecia.doc

Grupa robocza

to mała grupa komputerów, które pracują w sieci nie zapewniającej

centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną
przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik
musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas
pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego
logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz
domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie
komplikuje się zarządzanie nią.
Domena

, jest sposobem organizacji i zarządzania siecią, podobnie jak grupa robocza, jest

logiczną grupą komputerów, jednak w domenie występuje pojedyncza baza kont
przechowująca wszystkie domenowe konta użytkowników, grup oraz komputerów.
Wspomniana baza jest przechowywana na serwerach pełniących funkcję tzw. Kontrolerów
domeny

(DC — Domain Controller) usługi Active Directory. W jej skład może wchodzić od

kilku do kilku tysięcy komputerów. Podczas pracy w domenie użytkownik potrzebuje
wyłącznie jednego konta, aby logować się do dowolnych zasobów. To udogodnienie to tzw.
pojedyncze logowanie.
Różnice między grupą roboczą a domeną
W grupie roboczej lista kont użytkowników, uprawnienia, zabezpieczenia znajdują się na
lokalnych komputerach. Każdy komputer jest jednostką niejako autonomiczną. Aby
zalogować się na dowolnym z komputerów należących do grupy roboczej, należy znać nazwę
i hasło do lokalnego konta.
W przypadku domeny, komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która
znajduje się w jednym lub kilku kontrolerach domeny na systemie z rodziny Microsoft
Windows .Net Server, Windows 2000 Server albo Windows NT Server. Możliwe jest również
uruchomienie kontrolera domeny na systemie Linux, w którym zainstaluje się pakiet Samba -
jednakże tak powstała domena nie będzie obsługiwała w pełni poziomu funkcjonalnego
domeny Active Directory.
Kiedy logujesz się z konta domeny, Windows uwierzytelnia twoje dane i porównuje z bazą
danych zabezpieczeń na kontrolerze domeny. Łatwiej jest zarządzać w sieci komputerami
skonfigurowanymi jako domena, odtwarzać bazy danych dla kont, łatwiej jest też
skonfigurować profile użytkowników zdalnych, którzy maja dostęp do tego samego pulpitu,
dokumentów i aplikacji.
Domena z usługą Active Directory, funkcji systemów Windows 2000 Server oraz Windows
.NET Server (ale nie Windows NT Server) pozwala także korzystać z usług katalogowych -
udostępnione zasoby, kontakty, użytkownicy.
Do tego dochodzi jeszcze możliwość wykorzystania technologii IntelliMirror, które oferują
jeszcze parę innych przydatnych rzeczy np. instalację i konserwację oprogramowania, czy
zarządzanie danymi użytkownika.
Podłączenie do grupy roboczej:
Aby twój komputer zaistniał w otoczeniu sieciowym musi m.in. posiadać swoją nazwę,
przypisanie do grupy roboczej oraz ewentualny komentarz, który nie jest wymagany.
Nazwa komputera

- Musi być unikalna w sieci składać się może z liter, cyfr i symboli ~ ! @

# $ % ^ & * ( ) ' - . ale nie może zawierać samych kropek oraz może mieć maksymalnie
długość 15 znaków.
Grupa robocza

- Nazwa grupy roboczej to "Wariaci", jeśli chciałbyś wybrać inną nie może

mieć ona więcej niż 15 znaków.
Opis komputera

- Nieobowiązkowy wpis, a właściwie komentarz, który nie może mieć

więcej niż 48 znaków.
Sposób dołączenia do grupy roboczej oraz domeny

Standardowo mamy zainstalowanego "Klienta sieci MS Networks", Karte sieciowa ( W tym
przypadku Realtek ... ) oraz Protokól TCP/IP.
Klikamy "Dodaj..." i instalujemy dodatkowo Protokól zgodny z IPX/SPX. Nastepnie klikamy
na "Udostepnianie plików i drukarek..." i widzimy:
Nastepnie klikamy na "Protokól TCP/IP" i wybieramy przycisk "Wlasciwosci":

Zagrożenia bezpieczeństwa w sieci można ogólnie podzielić na następujące klasy:

•

uzyskanie dostępu do danych transmitowanych przez sieć lub przechowywanych na
dołączonych do sieci komputerach przez osoby niepowołane;

•

uzyskanie dostępu do innych zasobów (moc obliczeniowa komputerów itd.) przez
osoby niepowołane (włamanie);

•

utrata danych na skutek złośliwej ingerencji zewnętrznej;

•

fałszerstwo danych (dotyczy zwłaszcza poczty elektronicznej, gdzie zachodzi m.in.
możliwość podszywania się pod innego nadawcę);

•

uniemożliwienie korzystania z pewnych usług/zasobów przez legalnych
uzytkowników ("Denial of Service").

•

podszywanie - Stacja nieautoryzowana udaje inną stację autoryzowaną, w celu
zdobycia niejawnych informacji.

•

modyfikacja - Zmiana treści danych, np. podczas transmisji.

•

odmowa usługi - stacja nie spełnia swoich funkcji z powodu zniszczenia system lub
zajęcia całej dostępnej pamięci oraz gdy stacja uniemożliwia

•

właściwą pracę innych stacji przez likwidowanie komunikatów czy generowanie
sztucznego ruchu. Skuteczne uniemożliwienie

•

wiadczenia usług w sieci nazywamy atakiem typu DoS (ang. Denial of Service).

Istnieje nowsza wersja ataku DoS jest to Dos ang. Distributed Denial of Service) –
czyli rozproszona odmowa usługi, polegający na tym, że atakujące pakiety przychodzą
z dziesiątek czy nawet setek różnych źródeł jednocześnie.

•

złośliwe oprogramowanie

•

luki i dziury w systemie.

Zabezpieczenia

Firewall

Zapora sieciowa

(ang. firewall – zapora przeciwogniowa, często mylnie tłumaczone jako

ciana ognia

) - jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin

ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym
oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do
komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej
sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu. Często
jest to komputer wyposażony w system operacyjny (np.Linux, BSD) z odpowiednim
oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i
wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.
Najczęściej używanymi technikami obrony są:
-filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych
-stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty)
-zabezpieczanie programów obsługujących niektóre protokoły (np.FTP, TELNET)

Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i
zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi
wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien
odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować specjalna strefę DMZ -
podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na
zewnątrz.
Typy zapór sieciowych

• filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko

zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako
router).

• oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do

połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz
komputera wybranym usługom/programom. Często zintegrowane z ochroną
antywirusową (na przykład Norton Internet Security)

• zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu

użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego
serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest
połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez
proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi
rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa
w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu
widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie
wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze
słowami wulgarnymi, o treści pornograficznej itp.).

Inne sposoby zabezpieczeń:

•  Odłączanie połączeń
•  Kontrola dostępu do sieci
•  Ograniczenia dla pustych haseł
•  Instalacja poprawek i uaktualnien
•

10 zasad bezpiecznej domowej sieci Wi-Fi

• W miarę możliwości ogranicz zasięg sieci do niezbędnego minimum, tak aby sygnał

radiowy nie wychodził poza obszar biura lub mieszkania. Wyłączaj tymczasowo
nieużywane urządzenia.

• Po pierwszym zalogowaniu do Access Pointa zmień domyślne hasło administratora i

identyfikator sieci SSID, gdyż często pokazuje on informacje o używanym przez nas
sprzęcie. Przy wyborze identyfikatora nie używaj nazw własnych, nazw ulic i adresów
oraz nazw firm lub akronimów, lecz zastosuj unikatowy ciąg nic nieznaczących cyfr i
liter.

• Gdy dokonujesz zmian w konfiguracji punktu dostępowego, używaj tylko

bezpiecznego połączenia SSH.

• Regularnie uaktualniaj firmware kart sieciowych i punktów dostępowych za pomocą

najnowszych wersji oprogramowania sterującego.

• Stosuj kodowanie WEP z możliwie najdłuższym kluczem szyfrującym. Jeżeli Twój

sprzęt na to pozwala, przełącz się na szyfrowanie WPA.

•  Regularnie zmieniaj klucze WEP.
•  Wyłącz automatyczne rozgłaszanie SSID (SSID Broadcast).
•  Włącz filtrowanie adresów MAC i ogranicz ich listę tylko do kilku zaufanych

komputerów.