Служба инфраструктуры Active Directory в Windows Server 2008

Службы AD DS представляют не единственный компонент IDA, поддерживаемый в системе Windows Server 2008. В версии Windows Server 2008 корпорация Microsoft объединила множество ранее разделенных компонентов в интегрированную платформу IDA. Сама структура Active Directory теперь включает пять технологий. Эти технологии полностью реализуют аутентификацию и доступ IDA.

Доменные службы Active Directory (Active Directory Domain Services) — Аутентификация Описанные ранее доменные службы AD DS предоставляют центральный репозиторий для управления идентификацией в организации. Они проверяют подлинность и авторизацию в сети, а также поддерживают управление объектами с помощью групповой политики. Кроме того, службы AD DS обеспечивают управление информацией и общим доступомк службам, помогая пользователям находить в каталоге различные компоненты: файловые серверы, принтеры, группы и других пользователей. По этой причине AD DS част о называют службой каталогов сетевой операционной системы. Службы AD DS представляют основную технологию Active Directory, поэтому они должны быть развернуты в каждой сети с операционной системой Windows Server 2008.

 

Основные компоненты Active Directory

 

 

Сетевое экранирование. Брандмауэр

Сетевые экраны (Firewall)’ы защищают компьютеры и сети от попыток несанкционированного доступа с использованием уязвимых мест, существующих в семействе протоколов ТСР/IP. Дополнительно они помогают решать проблемы безопасности, связанные с использованием уязвимых систем и с наличием большого числа компьютеров в локальной сети.

В настоящее время существует несколько типов firewall’ов. Одним из способов сравнения их возможностей является перечисление уровней модели OSI, которые данный тип firewall’а может анализировать. Модель OSI является абстракцией сетевого взаимодействия между компьютерными системами и сетевыми устройствами.

Стек протоколов модели OSI определяется следующим образом:

Уровень 7 Application- Почтовые клиенты, web-браузеры

Уровень 6 Presentation

Уровень 5 Session

Уровень 4 Transport - ТСР-сессии

Уровень 3 Network - IP-адресация

Уровень 2 Data Link - Ethernet-адресация

Уровень 1 Physical

Современные firewall’ы функционируют на любом из перечисленных уровней. Многие firewall’ы включают различные технологии фильтрации активного содержимого. т.е. firewall имеет возможность фильтровать реальные прикладные данные на уровне 7, которые проходят через него.

Пакетные фильтры

Самый основной, базовый, первоначально разработанный тип firewall’а называется пакетным фильтром. Пакетные фильтры являются частью устройств роутинга, которые могут управлять доступом на уровне системных адресов и коммуникационных сессий. Функциональность управления доступом обеспечивается с помощью множества директив, называемых rules (правила).

Пакетные фильтры анализируют следующую информацию, содержащуюся в заголовках пакетов 3-го и 4-го уровней:

• Адрес источника пакета, например, адрес уровня 3 системы или устройства, откуда получен исходный сетевой пакет (IP-адрес, такой как 192.168.1.1).
• Адрес назначения пакета, например, адрес уровня 3 пакета, который он пытается достигнуть (например, 192.168.1.2).
• Тип коммуникационной сессии, т.е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).
• Характеристики коммуникационных сессий уровня 4, такие как порты источника и назначения сессий (например, ТСР:80 для порта назначения, обычно принадлежащий web-серверу, ТСР:1320 для порта источника, принадлежащий персональному компьютеру, который осуществляет доступ к серверу).
• Опционально информация, относящаяся к интерфейсу роутера, на который пришел пакет, и информация о том, какому интерфейсу роутера она предназначена; это используется для роутеров с тремя и более сетевыми интерфейсами.
• Опционально информация, характеризующая направление, в котором пакет пересекает интерфейс, т.е. входящий или исходящий пакет для данного интерфейса.

Пакетные фильтры обычно размещаются в сетевой инфраструктуре, использующей ТСР/IP. Основным преимуществом пакетных фильтров является их скорость. Так как пакетные фильтры обычно проверяют данные до уровня 3 модели OSI, они могут функционировать очень быстро. По этим причинам пакетные фильтры, встроенные в пограничные роутеры, идеальны для размещения на границе с сетью с меньшей степенью доверия. Пакетные фильтры, встроенные в пограничные роутеры, могут блокировать основные атаки, фильтруя нежелательные протоколы, выполняя простейший контроль доступа на уровне сессий и затем передавая трафик другим firewall’ам для проверки более высоких уровней стека OSI.