Проект защищенной беспроводной вычислительной сети

 
 

2.2 Установка служб IIS и FTP

Служба  FTP зависит от служб IIS (Internet Information Services). Чтобы установить службы IIS и FTP, выполните следующие действия.

Примечание. В Windows Server 2003 служба FTP не устанавливается по умолчанию одновременно со службами IIS. Если службы IIS уже установлены, воспользуйтесь для установки службы FTP компонентом «Установка и удаление программ» панели управления.

1. В меню Пуск выберите пункт Панель управления и запустите компонент Установка и удаление программ.
2. Нажмите кнопку Установка компонентов Windows.
3. В списке Компоненты выберите пункт Сервер приложений, затем — Службы IIS (но не меняйте состояния флажка) и нажмите кнопку Состав.

 
 

4. Установите  следующие флажки (если они не установлены):

Общие файлы

Служба FTP

Диспетчер служб IIS

5. Установите флажки других необходимых компонентов или служб и нажмите кнопку ОК.
6. Нажмите кнопку Далее.
7. В ответ на соответствующий запрос вставьте компакт-диск Windows Server 2003 или укажите путь к месту расположения файлов и нажмите кнопку ОК.
8. Нажмите кнопку Готово.

 

Службы IIS и FTP установлены. Перед началом  использования службы FTP ее необходимо настроить. 

       2.2.1 Настройка службы FTP

Чтобы настроить службу FTP на прием анонимных  подключений, выполните следующие  действия:

1. Запустите «Диспетчер служб IIS» или откройте оснастку IIS.
2. Разверните компонент имя_сервера, где имя_сервера — имя сервера.
3. Разверните компонент Узлы FTP.
4. Щелкните правой кнопкой мыши элемент FTP-узел по умолчанию и выберите пункт Свойства.
5. Перейдите на вкладку Учетные записи безопасности.
6. Установите флажок Разрешить анонимные подключения (если он не установлен) и флажок Разрешить только анонимные подключения.

 

После установки флажка Разрешить только анонимные подключения служба FTP принимает только анонимные подключения (пользователи не смогут подключиться с помощью своих учетных данных).

7. Перейдите на вкладку Основной каталог.
8. Установите флажки Чтение и Запись в журнал (если они не установлены), снимите флажок Запись (если он установлен).
9. Нажмите кнопку ОК.
10. Закройте диспетчер служб IIS или оснастку IIS.

Сервер FTP готов принимать входящие запросы FTP. Скопируйте или переместите файлы, к которым следует открыть  доступ, в папку публикации FTP. По умолчанию используется папка диск:\Inetpub\Ftproot, где диск — это диск, на котором установлены службы IIS. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2.3 Сервер терминалов

Сервер  терминалов (Terminal Server). Позволяет множеству  пользователей с помощью клиентского ПО Службы терминалов (Terminal Services) или Дистанционное управление рабочим столом (Remote Desktop) подключаться к приложениям и ресурсам сервера, например принтерам или дисковому пространству, как если бы эти ресурсы были установлены на их компьютерах. В отличие от Windows 2000, Windows Server 2003 предоставляет Дистанционное управление рабочим столом автоматически. Роли сервера терминалов требуются, только когда нужно размещать приложения для пользователей на сервере терминалов. 

 
 
 
 
 

2.3.1 Открыть Подключение к удаленному рабочему столу.

Чтобы открыть подключение к удаленному рабочему столу, нажмите кнопку Пуск, выберите пункт Все программы, выберите пункт Стандартные, выберите пункт Связи и выберите команду Удаленный рабочий стол.

     2.3.2 Создание подключения к удаленному рабочему столу.

1. В диалоговом окне имя компьютера, введите имя компьютера или IP-адрес сервера терминалов или компьютера, имеющего включено дистанционное управление рабочим столом.
2. Нажимаете кнопку Подключение.
3. В диалоговом окне Вход в Windows диалоговое окно введите имя пользователя, пароль и домен (при необходимости) и нажмите кнопку OK.

 
 
 
 
 

2.4 Общий доступ к Интернету 

Общий доступ к Интернету (ICS) позволяет использовать Windows Server 2003 для подключения небольшой офисной сети или домашней сети через Интернет. Механизм ICS обеспечивает преобразование сетевых адресов (NAT), назначение IP-адресов и разрешение имен для всех компьютеров в небольшой сети.

Для установки ICS требуется следующее оборудование и программное обеспечение:

1. Цифровая абонентская линия (DSL) или кабельный модем, подключенный к поставщику услуг Интернета (ISP), а также активированную учетную запись DSL или кабельного интернета.
2. Два установленных сетевых адаптера.
3. Сеть, с уже настроенными TCP/IP.

 

2.4.1 Настройка главного компьютера ICS

На узловом  компьютере ICS обеспечивает подключение  через второй сетевой адаптер  для существующей сети TCP/IP. Чтобы  настроить главный компьютер ICS, необходимо войти в систему с  помощью учетной записи члена группы «Администраторы».

1. Нажмите Пуск, затем Панель управления и выбирайте команду Сетевые подключения.
2. Далее нажимаете правой кнопкой мыши на Подключение по локальной сети (к которой подключен интернет) и переименуйте его в Подключение к интернету.
3. В диалоговом окне Сетевые подключения, отображаются два подключения: Подключение к интернету и Подключение по локальной сети.
4. Нажмите правой кнопкой мыши по Подключение к Интернету и выберите команду Свойства.
5. В «свойствах» перейдите на вкладку Общие, и убедиться что в компонентах отображены и выбраны Клиент для сетей Microsoft и Протокол Интернета (TCP/IP).

6. Затем перейдите на вкладку Дополнительно, и напротив «разрешить другим пользователям сети использовать подключение к Интернету данного компьютера» установите флажок.

7. Далее нажимайте OK и возвращайтесь к рабочему столу.

  2.4.2 Настройка клиента Windows

Войдите в систему как член группы «Администраторы», чтобы настроить клиентов Windows, которые  будут использовать подключение  к Интернету.

1. Нажмите Пуск, затем Панель управления и выбирайте команду Сетевые подключения.
2. Далее нажимаете правой кнопкой мыши на Подключение по локальной сети  и выберете Свойства
3. В «свойствах» перейдите на вкладку Общие, и убедиться что в компонентах отображены и выбраны Клиент для сетей Microsoft и Протокол Интернета (TCP/IP).
4. Выбираете Протокол интернета (TCP/IP), и нажимаете на кнопку Свойства
5. Во вкладке Общее устанавливаем флажки напротив Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически

 
 
 
 
 
 
 

6. Затем нажимаете  OK и возвращайтесь к рабочему столу

 

3.  Анализ безопасности сети

1.   Угрозы в беспроводной сети.

   Итак, беспроводные технологии, работающие без физических и логических ограничений  своих проводных аналогов, подвергают сетевую инфраструктуру и пользователей значительным угрозам. Для того чтобы понять, как обеспечить безопасное функционирование беспроводных сетей, давайте рассмотрим их подробнее.

Угроза  первая – «чужаки»

«Чужаками»  называются устройства, предоставляющие  возможность неавторизованного  доступа к корпоративной сети, зачастую в обход механизмов защиты, определенных корпоративной политикой безопасности. Чаще всего это те самые самовольно установленные точки доступа. Статистика по всему миру указывает на чужаков как на причину большинства взломов сетей организаций. Даже если организация не использует беспроводную связь и считает себя в результате такого запрета защищенной от беспроводных атак, внедренный (умышленно или нет) чужак с легкостью исправит это положение. Доступность и дешевизна устройств Wi-Fi привели к тому, что в США, например, практически каждая сеть с числом пользователей более 50 успела столкнуться с данным феноменом.

Помимо  точек доступа, в роли чужака могут  выступить домашний маршрутизатор  с поддержкой Wi-Fi, программная точка доступа Soft AP, ноутбук с одновременно включенными проводным и беспроводным интерфейсами, сканер, проектор и т. п.

Угроза  вторая – нефиксированная природа связи

Как уже  отмечалось, беспроводные устройства не «привязаны» кабелем к розетке и могут менять точки подключения к сети прямо в процессе работы. К примеру, могут происходить «случайные ассоциации», когда ноутбук с Windows XP (достаточно доверительно относящейся ко всем беспроводным сетям) или просто некорректно сконфигурированный беспроводной клиент автоматически ассоциируется и подключает пользователя к ближайшей беспроводной сети. Такой механизм позволяет злоумышленникам «переключать на себя» ничего не подозревающего пользователя для последующего сканирования уязвимостей, фишинга или атак типа Man-in-The-Middle. Кроме того, если пользователь одновременно подключен и к проводной сети, то он становится удобной точкой входа, т. е. классическим чужаком.

Многие  пользователи ноутбуков, оснащенных Wi-Fi и проводными интерфейсами и недовольные качеством работы проводной сети (медленно, администратор поставил фильтрацию URL, не работает ICQ), любят переключаться на ближайшие зоны доступа. Или ОС делает это для них автоматически в случае, например, отказа проводной сети. Излишне говорить, что в такой ситуации все старания ИТ-отдела по обеспечению сетевой безопасности остаются безрезультатными.

Сети ad-hoc – одноранговые соединения между  беспроводными устройствами без  участия ТД – позволяют быстро перебросить файл коллеге или  распечатать нужный документ на принтере с картой Wi-Fi. Однако такой способ организации сети не поддерживает большинство необходимых методов обеспечения безопасности, предоставляя злоумышленникам легкий путь ко взлому компьютеров пользователей.

Угроза  третья – уязвимости сетей и устройств

Некоторые сетевые устройства могут быть более  уязвимы, чем другие: неправильно  сконфигурированы, используют слабые ключи шифрования или методы аутентификации с известными уязвимостями. Неудивительно, что в первую очередь злоумышленники атакуют именно их. Отчеты аналитиков утверждают, что более 70% успешных взломов беспроводных сетей произошло именно в результате неправильной конфигурации точек доступа или клиентского ПО.

Некорректно сконфигурированные ТД. Одна-единственная некорректно сконфигурированная ТД (в т. ч. чужак) может послужить причиной взлома корпоративной сети. Настройки по умолчанию большинства ТД не включают аутентификацию или шифрование либо используют статические ключи, записанные в руководстве и потому общеизвестные. В сочетании с невысокой ценой этих устройств данный фактор значительно осложняет задачу слежения за целостностью конфигурации беспроводной инфраструктуры и уровнем ее защиты. Сотрудники организации могут самовольно приносить ТД и подключать их куда заблагорассудится. При этом маловероятно, что они уделят достаточно внимания их грамотной и безопасной конфигурации и согласуют свои действия с ИТ-отделом. Именно такие ТД и создают наибольшую угрозу проводным и беспроводным сетям.

Некорректно сконфигурированные беспроводные клиенты. Данная категория представляет угрозу еще большую, чем некорректно сконфигурированные ТД. Эти устройства буквально «приходят и уходят» с предприятия, часто они не конфигурируются специально с целью минимизации беспроводных угроз или довольствуются установками по умолчанию (которые не могут считаться безопасными). Такие устройства оказывают неоценимую помощь хакерам, обеспечивая удобную точку входа для сканирования сети и распространения в ней вредоносного ПО.