none
Предложена инженерная задача по сетям на базе AD Windows 2003 Server RRS feed

  • Вопрос

  • Условия:

    Есть ЛВС, построенная на базе нескольких коммутаторов и одного маршрутизатора, который дает выход серверов сети в Канал Интернет №1. Для выхода пользователей в интернет используется шлюз №2. Выход пользователей в интеренет осуществляется через кэширующий прокси на базе FreeBSD+SQUID. Общее количество компьютеров более 200, серверов - более 50.

    Вопросы: рассмотрите со стороны системного/сетевого администратора и со стороны информационной безопасности

    1. Какой тип выдачи адресов на рабочие станции предпочтителен: DHCP или статический? Почему?

    2. Будет ли плюсом создание связки SQUID+LDAP+AD для авторизации пользователей? Почему?

    3. Какой способ авторизации пользователей на прокси предпочтителен: авторизация IP-MAC компьютера или имя пользователя/пароль? Почему?

    Спасибо за Ваш ответ!

    • Перемещено osr_MVP, Moderator 9 февраля 2012 г. 18:08 (От:MCP-клубы и UGs (User Groups))
    9 февраля 2012 г. 17:37

Ответы

  • 1. DHCP для РС, ибо проще будет управлять настройками клиентов. В случае необходимости привязки IP-можно использовать резервацию по МАС адресам. Если неприемлема зависимость от одного сервера, то можно использовать разделение областей. 

    Если же статика - то управлять настройками придется либо руками, либо скриптами. Но это не самый лучший вариант, ибо костыль.

    О безопасности DHCP.

    Основная проблема - неконтролируемые серверы DHCP. Для защиты от этого можно использовать DHCP snooping, если Ваши коммутаторы поддерживают данную функцию.
    Также если DHCP планируется установить на контроллер домена, то для динамических обновлений нужно использовать выделенную учетную запись, иначе возможен перехват записей в DNS. Но луше на контроллер домена DHCP не ставить.

    Для поиска "левых" DHCP сервером можно использовать утилиту "DHCPLoc.exe" из Sysinternals Suite

    2. основной плюс - не будет необходимости пользователям запоминать дополнительные пароли. Если же без запроса пароля будет выход в интернет (NTLM или Kerberos аутетификация), то могут возникнуть проблемы с каким-либо ПО, которое полезет в инет от имени пользователя. Да и не все ПО так умеет.

    Таким образом лучший вариант - явный запрос учетных данных при выходе в интернет, в качестве базы учетных данных - Active Directory.
    Тип аутентиифкации - digest, т.к. при basic данные передаются в открытом виде.

    3. Только "Пользователь/пароль" , т.к. данный вариант дает понять "кто качал порно", IP+MAC же позволяет узнать "откуда качали порно". И все вменяемые стандарты ИБ требуют как минимум парольную аутентификацию.



    • Изменено Roman Migranov 10 февраля 2012 г. 13:33
    • Помечено в качестве ответа Konstantin Levinsky 10 февраля 2012 г. 14:18
    10 февраля 2012 г. 13:00

Все ответы

  • Спасибо огромное за пояснения!

    Полностью разделяю Вашу точку зрения на вопросы... Должен сразу пояснить, что предложенная формулировка не суть задача, а реальная "переписка" о методах администрирования между мной (системным администратором) и администратором безопасности.

    Теперь главный вопрос для меня как системного администратора - объяснить это все администратору безопасности, поскольку его решения (требования) полностью противоположны описанным в Вашем ответе. Фактически то, что Вы описали в ответе - существующие сейчас стандарты предприятия, однако "требования безопасности" грозят откатить ЛВС на пару десятков лет назад.

    Дополнительно хочу задать более интересующий меня вопрос - есть ли стандарты, описанные в текстовом (напечатанном) виде с указанием положительных и отрицательных сторон решений?

    Еще раз благодарю за данный ответ!


    MCP Windows 2003 Server

    10 февраля 2012 г. 14:27
  • По каждому указанному решению будет учебника три, не меньше.

    Например, по DHCP как минимум Cisco: ICND1,2 и Microsoft Press: Windows Server TCP/IP Protocols and Services. DHCP следует применять обязательно, на мой взгляд. По второму вопросу не скажу, а третий тоже безусловно по пользователям, это даже обсуждать смешно.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    10 февраля 2012 г. 15:39
    Отвечающий