11 12-domena,grupa roboczaid 12338

Grupa robocza to mała grupa komputerów, które pracują w sieci nie zapewniającej centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną

przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik

musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas

pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego

logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz

domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie

komplikuje się zarządzanie nią.

Domena, jest sposobem organizacji i zarządzania siecią, podobnie jak grupa robocza, jest

logiczną grupą komputerów, jednak w domenie występuje pojedyncza baza kont

przechowująca wszystkie domenowe konta użytkowników, grup oraz komputerów.

Wspomniana baza jest przechowywana na serwerach pełniących funkcję tzw. Kontrolerów

domeny (DC — Domain Controller) usługi Active Directory. W jej skład może wchodzić od

kilku do kilku tysięcy komputerów. Podczas pracy w domenie użytkownik potrzebuje

wyłącznie jednego konta, aby logować się do dowolnych zasobów. To udogodnienie to tzw.

pojedyncze logowanie.

Różnice między grupą roboczą a domeną

W grupie roboczej lista kont użytkowników, uprawnienia, zabezpieczenia znajdują się na

lokalnych komputerach. Każdy komputer jest jednostką niejako autonomiczną. Aby

zalogować się na dowolnym z komputerów należących do grupy roboczej, należy znać nazwę

i hasło do lokalnego konta.

W przypadku domeny, komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która

znajduje się w jednym lub kilku kontrolerach domeny na systemie z rodziny Microsoft

Windows .Net Server, Windows 2000 Server albo Windows NT Server. Możliwe jest również

uruchomienie kontrolera domeny na systemie Linux, w którym zainstaluje się pakiet Samba -

jednakże tak powstała domena nie będzie obsługiwała w pełni poziomu funkcjonalnego

domeny Active Directory.

Kiedy logujesz się z konta domeny, Windows uwierzytelnia twoje dane i porównuje z bazą

danych zabezpieczeń na kontrolerze domeny. Łatwiej jest zarządzać w sieci komputerami

skonfigurowanymi jako domena, odtwarzać bazy danych dla kont, łatwiej jest też

skonfigurować profile użytkowników zdalnych, którzy maja dostęp do tego samego pulpitu,

dokumentów i aplikacji.

Domena z usługą Active Directory, funkcji systemów Windows 2000 Server oraz Windows

.NET Server (ale nie Windows NT Server) pozwala także korzystać z usług katalogowych -

udostępnione zasoby, kontakty, użytkownicy.

Do tego dochodzi jeszcze możliwość wykorzystania technologii IntelliMirror, które oferują

jeszcze parę innych przydatnych rzeczy np. instalację i konserwację oprogramowania, czy

zarządzanie danymi użytkownika.

Podłączenie do grupy roboczej:

Aby twój komputer zaistniał w otoczeniu sieciowym musi m.in. posiadać swoją nazwę,

przypisanie do grupy roboczej oraz ewentualny komentarz, który nie jest wymagany.

Nazwa komputera - Musi być unikalna w sieci składać się może z liter, cyfr i symboli ~ ! @

# $ % ^ & * ( ) ' - . ale nie może zawierać samych kropek oraz może mieć maksymalnie

długość 15 znaków.

Grupa robocza - Nazwa grupy roboczej to "Wariaci", jeśli chciałbyś wybrać inną nie może mieć ona więcej niż 15 znaków.

Opis komputera - Nieobowiązkowy wpis, a właściwie komentarz, który nie może mieć

więcej niż 48 znaków.

Sposób dołączenia do grupy roboczej oraz domeny

Standardowo mamy zainstalowanego "Klienta sieci MS Networks", Karte sieciowa ( W tym przypadku Realtek ... ) oraz Protokól TCP/IP.

Klikamy "Dodaj..." i instalujemy dodatkowo Protokól zgodny z IPX/SPX. Nastepnie klikamy

na "Udostepnianie plików i drukarek..." i widzimy:

Nastepnie klikamy na "Protokól TCP/IP" i wybieramy przycisk "Wlasciwosci":

Zagrożenia bezpieczeństwa w sieci można ogólnie podzielić na następujące klasy:

•

uzyskanie dostępu do danych transmitowanych przez sieć lub przechowywanych na

dołączonych do sieci komputerach przez osoby niepowołane;

•

uzyskanie dostępu do innych zasobów (moc obliczeniowa komputerów itd.) przez

osoby niepowołane (włamanie);

•

utrata danych na skutek złośliwej ingerencji zewnętrznej;

•

fałszerstwo danych (dotyczy zwłaszcza poczty elektronicznej, gdzie zachodzi m.in.

możliwość podszywania się pod innego nadawcę);

•

uniemożliwienie korzystania z pewnych usług/zasobów przez legalnych

uzytkowników ("Denial of Service").

•

podszywanie - Stacja nieautoryzowana udaje inną stację autoryzowaną, w celu

zdobycia niejawnych informacji.

•

modyfikacja - Zmiana treści danych, np. podczas transmisji.

•

odmowa usługi - stacja nie spełnia swoich funkcji z powodu zniszczenia system lub

zajęcia całej dostępnej pamięci oraz gdy stacja uniemożliwia

•

właściwą pracę innych stacji przez likwidowanie komunikatów czy generowanie

sztucznego ruchu. Skuteczne uniemożliwienie

•

świadczenia usług w sieci nazywamy atakiem typu DoS ( ang. Denial of Service).

Istnieje nowsza wersja ataku DoS jest to Dos ang. Distributed Denial of Service) –

czyli rozproszona odmowa usługi, polegający na tym, że atakujące pakiety przychodzą

z dziesiątek czy nawet setek różnych źródeł jednocześnie.

•

złośliwe oprogramowanie

•

luki i dziury w systemie.

Zabezpieczenia

Firewall

Zapora sieciowa (ang. firewall – zapora przeciwogniowa, często mylnie tłumaczone jako ś ciana ognia) - jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin

ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym

oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do

komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej

sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu. Często

jest to komputer wyposażony w system operacyjny (np.Linux, BSD) z odpowiednim

oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i

wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są:

-filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych

-stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty)

-zabezpieczanie programów obsługujących niektóre protokoły (np.FTP, TELNET)

Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i

zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi

wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien

odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować specjalna strefę DMZ -

podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na

zewnątrz.

Typy zapór sieciowych

• filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako

router).

• oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do

połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz

komputera wybranym usługom/programom. Często zintegrowane z ochroną

antywirusową (na przykład Norton Internet Security)

• zapory pośredniczące ( proxy): wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego

serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest

połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez

proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi

rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa

w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu

widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie

wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze

słowami wulgarnymi, o treści pornograficznej itp.).

Inne sposoby zabezpieczeń:

• Odłączanie połączeń

• Kontrola dostępu do sieci

• Ograniczenia dla pustych haseł

• Instalacja poprawek i uaktualnien

•

10 zasad bezpiecznej domowej sieci Wi-Fi

• W miarę możliwości ogranicz zasięg sieci do niezbędnego minimum, tak aby sygnał

radiowy nie wychodził poza obszar biura lub mieszkania. Wyłączaj tymczasowo

nieużywane urządzenia.

• Po pierwszym zalogowaniu do Access Pointa zmień domyślne hasło administratora i

identyfikator sieci SSID, gdyż często pokazuje on informacje o używanym przez nas

sprzęcie. Przy wyborze identyfikatora nie używaj nazw własnych, nazw ulic i adresów

oraz nazw firm lub akronimów, lecz zastosuj unikatowy ciąg nic nieznaczących cyfr i

liter.

• Gdy dokonujesz zmian w konfiguracji punktu dostępowego, używaj tylko

bezpiecznego połączenia SSH.

• Regularnie uaktualniaj firmware kart sieciowych i punktów dostępowych za pomocą

najnowszych wersji oprogramowania sterującego.

• Stosuj kodowanie WEP z możliwie najdłuższym kluczem szyfrującym. Jeżeli Twój

sprzęt na to pozwala, przełącz się na szyfrowanie WPA.

• Regularnie zmieniaj klucze WEP.

• Wyłącz automatyczne rozgłaszanie SSID (SSID Broadcast).

• Włącz filtrowanie adresów MAC i ogranicz ich listę tylko do kilku zaufanych

komputerów.

• Jeżeli to możliwe, do autoryzacji połączeń wykorzystuj serwery RADIUS, zwłaszcza

jeśli mała sieć Wi-Fi jest zainstalowana w firmie.

• Jeśli przewidujesz przetwarzanie ważnych danych, wprowadź silniejsze mechanizmy

bezpieczeństwa, jak chociażby VPN.