АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Три уровня безопасности DNS

Читайте также:
  1. I. Общие требования безопасности.
  2. II. Контроль исходного уровня знаний студентов
  3. S: Управление риском или как повысить уровень безопасности
  4. А) Оценка уровня подготовленности нового работника.
  5. Администрирование средств безопасности
  6. АКСИОМЫ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ
  7. Аксиомы науки о безопасности жизнедеятельности. Определение и сущность.
  8. Анализ случаев нарушения безопасности движения с установлением виновных и конкретных нарушений правил и порядка работы
  9. Анализ состава и динамики прибыли от продаж, уровня среднереализационных цен
  10. Анализ технического уровня и качества продукции
  11. Анализ технического уровня и качества продукции
  12. Анализ уровня среднереализационных цен

Низкий уровень безопасности

Безопасность нижнего уровня обеспечивается при стандартном развертывании службы DNS без каких-либо специальных мер обеспечения безопасности. Развертывать службу DNS с этим уровнем безопасности допускается только в таких сетях, где не стоит вопрос о целостности данных DNS или в частной сети, не подверженной угрозе внешнего подключения.

· Инфраструктура DNS организации полностью открыта для доступа из Интернета.

· Стандартное разрешение имен DNS выполняется всеми DNS-серверами в сети.

· Корневые ссылки на всех DNS-серверах указывают на корневые серверы для Интернета.

· На всех DNS-серверах разрешены передачи зон на любой сервер.

· Все DNS-серверы настроены на прослушивание всех своих IP-адресов.

· На всех DNS-серверах отключены средства предотвращения засорения кэша.

· Разрешены динамические обновления для всех зон DNS.

· Порт 53 протокола UDP и протокола TCP/IP на брандмауэре сети открыт как для адресов источников, так и для целевых адресов.

Средний уровень безопасности

Для обеспечения среднего уровня безопасности применяются средства безопасности службы DNS, не требующие выполнения DNS-серверов на контроллерах домена и хранения зон DNS в службе Active Directory.

· К инфраструктуре DNS организации имеется ограниченный доступ из Интернета.

· Все DNS-серверы настроены на использование пересылок для указания на заданный список внутренних DNS-серверов в тех случаях, когда они не могут разрешить имена локально.

· На всех DNS-серверах передача зон ограничена серверами, перечисленными в записи ресурса сервера имен NS для соответствующей зоны.

· DNS-серверы настроены на прослушивание заданных IP-адресов.

· На всех DNS-серверах включены средства предотвращения засорения кэша.

· Для всех зон DNS запрещены небезопасные динамические обновления.

· Внутренние DNS-серверы обмениваются информацией с внешними DNS-серверами через брандмауэр с ограниченным списком разрешенных исходных и целевых адресов.

· Корневые ссылки на внешних DNS-серверах, находящихся перед брандмауэром, указывают на корневые серверы для Интернета.

· Разрешение имен для Интернета выполняется исключительно на прокси-серверах и шлюзах.

 

Высокий уровень безопасности

Высокий уровень безопасности настраивается так же, как и безопасность среднего уровня; кроме того используются средства обеспечения безопасности, доступные в том случае, когда служба «DNS-сервера» выполняется на контроллере домена, а зоны DNS хранятся в Active Directory. Кроме того, при высоком уровне безопасности совершенно прекращается обмен информацией службы DNS с Интернетом. Такая настройка нетипична, но она рекомендуется в тех случаях, когда подключение к Интернету не обязательно.

· В инфраструктуре DNS организации отсутствует обмен информацией внутренних DNS-серверов с Интернетом.

· В сети применяется внутренний корневой DNS-сервер и пространство имен, где все полномочия для зон DNS являются внутренними.

· DNS-серверы, использующие пересылку, работают только с IP-адресами внутренних DNS-серверов.

· Передача зон на всех DNS-серверах ограничена заданными IP-адресами.

· DNS-серверы настроены на прослушивание заданных IP-адресов.

· На всех DNS-серверах включены средства предотвращения засорения кэша.

· Корневые ссылки на внутренних DNS-серверах указывают на внутренние DNS-серверы, на которых размещается корневая зона для внутреннего пространства имен.

· Все DNS-серверы выполняются на контроллерах доменов. В службе «DNS-сервера» настроен список разграничительного контроля доступа (DACL), позволяющий выполнять административные задачи на DNS-сервере только конкретным сотрудникам.

· Все зоны DNS хранятся в Active Directory. Настройка списка DACL позволяет создавать, удалять и изменять зоны DNS только конкретным сотрудникам.

· Настройка списков DACL для записей ресурсов DNS позволяет создавать, удалять и изменять данные DNS только конкретным сотрудникам.

· Для зон DNS, за исключением зон верхнего уровня и корневых зон, настроены безопасные динамические обновления, что вообще не позволяет применять динамические обновления.

 

RDP

 

RDP (Remote Desktop Protocol, протокол удалённого рабочего стола) — протокол прикладного уровня, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X. По-умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО - Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows XP/2003/Vista называется mstsc.exe.

Особенности протокола RDP:

· Поддержка 32-битного цвета.

· 128-битовое кодирование, используя алгоритм кодирования RC4 (значение безопасности по умолчанию; старые клиенты могут использовать более слабое кодирование). Но из-за уязвимости "man-in-the-middle vulnerability" в версиях ранее 6.0, во многих случаях, трафик может быть расшифрован по пути.

· Поддержка Transport Layer Security.

· Звук с удалённого ПК переадресовывается и воспроизводится на локальном компьютере.

· Позволяет подключать локальные ресурсы к удалённой машине (мапить их)

· Позволяет использовать локальный или сетевой принтеры на удалённом ПК

· Позволяет приложениям, выполняющимся в пределах текущего сеанса обращаться к локальным последовательным и параллельным портам.

· Можно обмениваться информацией через буфер обмена.

В Windows Server 2008 и Windows Vista используется новая версия протокола ¾ RDP 6.

В Windows XP (за исключением Media Center Edition) основным ограничением является возможность одновременного входа в систему только для одного интерактивного пользователя. Хотя быстрое переключение пользователей в Windows XP позволяет в ходить в систему более чем одному пользователю, только один пользователь может быть интерактивным, используя мышь или клавиатуру – вне зависимости от того, являются ли они локальными или удаленными. В версиях Windows Server (запущенных не как службы терминалов) могут подключаться два сеанса удаленного рабочего стола одновременно. Чтобы подключиться к консольному сеансу Windows Server 2003 через удаленный рабочий стол, необходимо запустить клиентское приложение служб терминалов (MSTSC.exe) с дополнительным параметром /console. Консольный сеанс очень важен, потому что некоторые старые приложения, разработанные без учета сеансов служб терминалов, часто вступают в диалог только во время консольного сеанса (Сеанс 0).

На работу удаленного рабочего стола могут влиять как пропускная способность сети, так и групповая политика. Windows XP может предоставлять 24-разрядное разрешение, а также перенаправление звука, локальных принтеров, дисков и буфера обмена для копирования и вставки. Учитывая особенности прорисовки экрана для удаленного рабочего стола, удаление графических элементов из удаленного сеанса (темы, фоны и т.д.) значительно улучшает пропускную способность сети, и в результате сеанс быстрее реагирует на действия пользователя. В Windows Vista произведены дальнейшие улучшения: добавлены 32-разрядное разрешение и дополнительное перенаправление устройств.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)