 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Три уровня безопасности DNS
Низкий уровень безопасности
Безопасность нижнего уровня обеспечивается при стандартном развертывании службы DNS без каких-либо специальных мер обеспечения безопасности. Развертывать службу DNS с этим уровнем безопасности допускается только в таких сетях, где не стоит вопрос о целостности данных DNS или в частной сети, не подверженной угрозе внешнего подключения.
· Инфраструктура DNS организации полностью открыта для доступа из Интернета.
· Стандартное разрешение имен DNS выполняется всеми DNS-серверами в сети.
· Корневые ссылки на всех DNS-серверах указывают на корневые серверы для Интернета.
· На всех DNS-серверах разрешены передачи зон на любой сервер.
· Все DNS-серверы настроены на прослушивание всех своих IP-адресов.
· На всех DNS-серверах отключены средства предотвращения засорения кэша.
· Разрешены динамические обновления для всех зон DNS.
· Порт 53 протокола UDP и протокола TCP/IP на брандмауэре сети открыт как для адресов источников, так и для целевых адресов.
Средний уровень безопасности
Для обеспечения среднего уровня безопасности применяются средства безопасности службы DNS, не требующие выполнения DNS-серверов на контроллерах домена и хранения зон DNS в службе Active Directory.
· К инфраструктуре DNS организации имеется ограниченный доступ из Интернета.
· Все DNS-серверы настроены на использование пересылок для указания на заданный список внутренних DNS-серверов в тех случаях, когда они не могут разрешить имена локально.
· На всех DNS-серверах передача зон ограничена серверами, перечисленными в записи ресурса сервера имен NS для соответствующей зоны.
· DNS-серверы настроены на прослушивание заданных IP-адресов.
· На всех DNS-серверах включены средства предотвращения засорения кэша.
· Для всех зон DNS запрещены небезопасные динамические обновления.
· Внутренние DNS-серверы обмениваются информацией с внешними DNS-серверами через брандмауэр с ограниченным списком разрешенных исходных и целевых адресов.
· Корневые ссылки на внешних DNS-серверах, находящихся перед брандмауэром, указывают на корневые серверы для Интернета.
· Разрешение имен для Интернета выполняется исключительно на прокси-серверах и шлюзах.
Высокий уровень безопасности
Высокий уровень безопасности настраивается так же, как и безопасность среднего уровня; кроме того используются средства обеспечения безопасности, доступные в том случае, когда служба «DNS-сервера» выполняется на контроллере домена, а зоны DNS хранятся в Active Directory. Кроме того, при высоком уровне безопасности совершенно прекращается обмен информацией службы DNS с Интернетом. Такая настройка нетипична, но она рекомендуется в тех случаях, когда подключение к Интернету не обязательно.
· В инфраструктуре DNS организации отсутствует обмен информацией внутренних DNS-серверов с Интернетом.
· В сети применяется внутренний корневой DNS-сервер и пространство имен, где все полномочия для зон DNS являются внутренними.
· DNS-серверы, использующие пересылку, работают только с IP-адресами внутренних DNS-серверов.
· Передача зон на всех DNS-серверах ограничена заданными IP-адресами.
· DNS-серверы настроены на прослушивание заданных IP-адресов.
· На всех DNS-серверах включены средства предотвращения засорения кэша.
· Корневые ссылки на внутренних DNS-серверах указывают на внутренние DNS-серверы, на которых размещается корневая зона для внутреннего пространства имен.
· Все DNS-серверы выполняются на контроллерах доменов. В службе «DNS-сервера» настроен список разграничительного контроля доступа (DACL), позволяющий выполнять административные задачи на DNS-сервере только конкретным сотрудникам.
· Все зоны DNS хранятся в Active Directory. Настройка списка DACL позволяет создавать, удалять и изменять зоны DNS только конкретным сотрудникам.
· Настройка списков DACL для записей ресурсов DNS позволяет создавать, удалять и изменять данные DNS только конкретным сотрудникам.
· Для зон DNS, за исключением зон верхнего уровня и корневых зон, настроены безопасные динамические обновления, что вообще не позволяет применять динамические обновления.
RDP
RDP (Remote Desktop Protocol, протокол удалённого рабочего стола) — протокол прикладного уровня, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X. По-умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО - Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows XP/2003/Vista называется mstsc.exe.
Особенности протокола RDP:
· Поддержка 32-битного цвета.
· 128-битовое кодирование, используя алгоритм кодирования RC4 (значение безопасности по умолчанию; старые клиенты могут использовать более слабое кодирование). Но из-за уязвимости "man-in-the-middle vulnerability" в версиях ранее 6.0, во многих случаях, трафик может быть расшифрован по пути.
· Поддержка Transport Layer Security.
· Звук с удалённого ПК переадресовывается и воспроизводится на локальном компьютере.
· Позволяет подключать локальные ресурсы к удалённой машине (мапить их)
· Позволяет использовать локальный или сетевой принтеры на удалённом ПК
· Позволяет приложениям, выполняющимся в пределах текущего сеанса обращаться к локальным последовательным и параллельным портам.
· Можно обмениваться информацией через буфер обмена.
В Windows Server 2008 и Windows Vista используется новая версия протокола ¾ RDP 6.
В Windows XP (за исключением Media Center Edition) основным ограничением является возможность одновременного входа в систему только для одного интерактивного пользователя. Хотя быстрое переключение пользователей в Windows XP позволяет в ходить в систему более чем одному пользователю, только один пользователь может быть интерактивным, используя мышь или клавиатуру – вне зависимости от того, являются ли они локальными или удаленными. В версиях Windows Server (запущенных не как службы терминалов) могут подключаться два сеанса удаленного рабочего стола одновременно. Чтобы подключиться к консольному сеансу Windows Server 2003 через удаленный рабочий стол, необходимо запустить клиентское приложение служб терминалов (MSTSC.exe) с дополнительным параметром /console. Консольный сеанс очень важен, потому что некоторые старые приложения, разработанные без учета сеансов служб терминалов, часто вступают в диалог только во время консольного сеанса (Сеанс 0).
На работу удаленного рабочего стола могут влиять как пропускная способность сети, так и групповая политика. Windows XP может предоставлять 24-разрядное разрешение, а также перенаправление звука, локальных принтеров, дисков и буфера обмена для копирования и вставки. Учитывая особенности прорисовки экрана для удаленного рабочего стола, удаление графических элементов из удаленного сеанса (темы, фоны и т.д.) значительно улучшает пропускную способность сети, и в результате сеанс быстрее реагирует на действия пользователя. В Windows Vista произведены дальнейшие улучшения: добавлены 32-разрядное разрешение и дополнительное перенаправление устройств.
Поиск по сайту: