Local Area Network Management,Design and Security Administration och säkerhet –Kap.6 i kursboken Vi låser för säkerhetens skull
Administration av LAN 1.Säkerhetsnivåer 2.Ett exempel på administration – utskrifter 3.Säkerhet för LAN 4.Backup – Säkerhetskopia 5.Firewall – Brandvägg 6.Katastrofplanering
1. Säkerhetsnivåer Availability – Tillgänglighet/Åtkomst Confidentiality – Sekretess Integrity – Korrekthet hos info./källa Integrity AvailabilityConfidentiality Our security level Fig. 6.1 s.231
2. Ett exempel på administration – utskrifter Lokal anslutning (parallell-port) (fig 6.2) Print Queue managing box (fig 6.3) –Manuell(Parallell) –Automatisk(Printserver)(Parallell, LAN) Nätverksskrivare (Parallell på fig.6.4 server, LAN)
Fig 6.2 s.232
14 23 Fig 6.3 s.233
Fig 6.4 s.233 (Parallell) NIC
Ett exempel på administration – utskrifter Printerdriver fig. 6.5 Print Queue Skrivaradministration
Software (e.g. Word) Printer driver General codes Interprets signals so the printer receives the signal in its own language Own special codes Fig 6.5 s.234
Print Queue Lagring av utskriftsjobb (en mapp eller fil för varje kö). –Egen fil i egen mapp (en huvudmapp för kö) –Egen fil i samma mapp (en mapp för varje kö) –Alla jobb i samma fil (en fil för varje kö)
Print Queue Kö-strategier 1.FIFO(fig. 6.6) 2.LIFO(fig. 6.7) 3.Smallest job first (fig. 6.8) 4.Smallest job first, med ökande prioritering av stora jobb 5.Olika prioritet för olika köer (fig 6.9) 6.Användarprioritering
Queue 1 1. pri 2. pri 3. pri Queue 2 Queue 3 Fig. 6.9 s.236 Spooler
Print Queue Kö-konfigurering 1.One-to-one(fig. 6.10) 2.Many-to-one(fig. 6.11) 3.One-to-many(fig. 6.12) 4.[Many-to-many] 5.Tidsstyrning av kö
Fig & 6.11 Spooler Kö 1 Kö 2 Kö 3 Kö 4
Fig KöSpooler
Many-to-many Job-based printing
Skrivaradministration Utskrifter viktiga Verktyg för ”övervakning” (Console) –Jobb i kö –Prioritet –Storlek –Larm –Mm.
Skrivaradminstration Hjälpadministratörer (Hantera skrivarköer) –Prioritera om jobb –Pausa jobb –Ta bort jobb som låst sig (användaren kan ta bort egna jobb)
Skrivaradministration Användaren (hanterar dom egna jobben) –Skrivaren som kopiator ?! –Separationssida –Välja vilka sidor ur ett dokument som ska skrivas ut.
3. Säkerhet för LAN SB Administratören är allsmäktig Användare Grupper Organisation Unit (OU) User Environment (Användarmiljö) Fysisk säkerhet Logisk säkerhet
IT managerNetwork group Systemadm.. avdelning 1 Systemadm. avdelning 2 Systemadm. avdelning 3 Systemadm. Avdelning 4 Gr. Adm. Gr. Adm. Printer Adm. Printer Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Printer Adm. Fig 6.13 s.241
SB Administratören är allsmäktig SB Default adminkonto: Su root Admin Supervisor Administrator/Administratör mfl. Lösenord: Omöjligt ca tecken inlåst i kassaskåp
SB Administratören är allsmäktig SB Dagligt admin-konto ”Mittadminkonto” Lösenord: ca 8 svåra tecken, byt ofta. Omöjligt admin-konto (skapas men används aldrig) qjrurKfnc%¤5£9)&fG Lösenord: Omöjligt ca 15 tecken inlåst
SB Hjälpadministratören är ovärderlig SB Delsystem Skrivare Databasadministration Backup Användarkonton Rättighetsadministration för resurser Programinstallationer Licenshantering programvaror mm.
Användare SB ”Användarkonto” Personuppgifter kopplas till ett ”konto”. Användarkonton bör ha lösenord. hemkatalog (homedirectory) –enda resursen som ”kopplas” till själva kontot
SB Grupper SB Fig s.242 för att underlätta administrationen Allmänna grupper– ingår Administratörsgrupper – ingår/skapas Användargrupper– skapas
User Group Resources (files, printers, etc).. Employees Resources Practically the same effect Fig s.242
SB Allmänna grupper SB Dom flesta system har någon form av allmänna grupper typ ”Users” som utgörs av samtliga registrerade användare (användarkonton) och där medlemskapet är automatiskt vid skapande av användarkonton. Den här typen av grupper är mycket användbara av systemet självt och för administratören när rättigheter för mer allmänna resurser ska sättas, typ utskrift, gemensam data- area, mm.
SB Administratörsgrupper SB I större system så kan det finnas behov av att ha många administratörer som ska få ändra i systemet. Oavsett om det handlar om administratörer eller hjälpadministratörer så finns det ett behov av att gruppera dessa för att hålla nere antalet positioner där rättigheter ska sättas. Dom flesta NOS har ett antal ”default” admin- grupper som är färdiga att användas, dvs rättigheter till systemet är redan satta.
SB Användargrupper SB ”Normala” grupper som administratören skapar för sitt system, genom medlemskap i grupperna så får användarna dom rättigheter som gruppen har till systemets resurser. Det förenklar det administrativa arbetet genom att användare med lika behov till systemet klumpas ihop till ett begrepp. Det är därför viktigt för administratören att välja bra gruppnamn. Ibland kan det vara möjligt att skapa en koppling mellan ett gruppnamn och vilka rättigheter som gruppen har behov av (logiska gruppnamn), t.ex: EkoAdmAdministatörer för ekonomiprogrammet EkoChgFår ändra på vissa saker i ekonomidata EkoReadFår endast läsa ekonomidata
Organisation Unit (OU) OU används för att skapa en logisk struktur (oftast trädstruktur) som är lättare att hantera för administratören och användarna. (Kräver en databas som hanteras av systemet, LDAP; AD; NDS; eDirectory)
User Environment Alla är användare (users) User Environment defineras av: –Allas rättigheter till alla resurser Skrivare Filer Klient-datorer Annan utrustning Tidpunkt
Fysisk säkerhet Skalskydd Server-rum Lås/Passagekontroll Alarm Brandklassning 2h Kylning UPS (Uninterraptible Power Supply)
Logisk säkerhet Lösenord Inloggning Fil-säkerhet
Lösenord Livslängd Återanvändning Minsta antal tecken Tillåtna/otillåtna tecken Krav på blandning av tecken: små, stora, siffror och specialtecken Ordlisteord
Lösenord Användarens motivation Tillfälligt lösenord Engångslösenord Felaktigt lösenord ? –Tidslås –Spärra konto –Falsk inloggning
SB Inloggning SB Användarkonto (User) –Antal samtidiga inloggningar –Knutet till vissa klientdatorer –Tider Directory service (NDS, AD, m.fl) Kerberos-server
Utloggning –Användarna måste förstå att ”logga ut” annars –Automatisk utloggning –Lås klientdatorn (logiskt)
Fil-säkerhet Varje fil/mapp har: –En eller flera ägare (Owner, oftast bara en). –Rättigheter kopplade för varje ägare. –Rättigheter kopplade för andra rättighets-ägare typ användare, grupper och övriga. Arv? Ofta kan man med rättighetsverktyget i NOS:et styra om samma rättigheter ska gälla i underliggande mappar.
SB Fil-säkerhet SB Vanliga rättigheter –Administratörsrättighet (Alla) –Write –Create –Delete –Read –Execute/Run –List –Rättighet att ändra attribut för filer/mappar Varje NOS har sitt eget verktyg för att sätta rättigheter och där styrs vilka rättigheter som är möjliga att sätta.
SB 4. Backup - Säkerhetskopia SB There are only two types of data... Data that has been backed up, and data that has not been lost, YET !!!
Backup – Varför? Är det nödvändigt ? Trasig HDD Användare tar bort fil av misstag Virus Stöld av dator
Backup - Förluster Vad kan förloras ? Förlorad arbetstid Förlorad information (Går ej att återskapa) Förlorad ”Goodwill”
SB Backup - Data SB Statiska data (ändras ”aldrig”) –Mjukvara Backup vid installation & ändringar Dynamiska data (ändras ”hela tiden”) –Dokument mm. –Konfigurationer och makron till mjukvara Backup så ofta som det anses rimligt utifrån risk och kostnad
Backup - Arkivbit Arkivbit (Archive Bit). –När en fil skapas eller ändras sätts arkivbiten i filens attribut till ON (1). –När filen backupas kan programmet sätta den OFF (0), det beror på backupmetoden. –Om en fil flyttas till annan plats uppfattas den som ny. –Arkivbiten kan också sättas manuellt om man har rättighet att ändra filattribut.
SB Backup - Dataområde SB Förutom att arkivbiten finns så måste man. bestämma Dataområde som ska tas backup av. Databaser kräver oftast någon typ av tilläggsprogram eftersom databasmotorn är den som kan komma åt data. Klientdatorer?
SB Backup - Typer SB Full(Komplett, Complete)Hela volymer Normal (Full i boken)Valt dataområde Incremental (Tillägg) Valt dataområde Differential (Skillnad) Valt dataområde (Copy) (Daily)
Backup - Rutiner Hur ofta? Dataområden? Hur länge ska backup sparas? Var ska backupen/erna lagras? Hur många kopior? När ska backup göras (på natten ?)
Backup - Generationer Flera generationer med media behövs –Minst 3 generationer rekommenderas Bevarande av media (Retention policy) fig.6.18 –Regler för hur länge varje media ska lagras innan det får användas igen (skrivas över) –Grandfather-father-son, 21 media/år Hur ofta ska backup göras? Tabell 6.1 s255
Most recent backup 2. gen. 3. gen4. gen Next one for use Flera genarationer fig 6.17
Retention policy Daily backup is stored for a month. First backup every week is stored for a year Backup from first week in January and July is ”always” kept. Retention policy fig.6.18 s.254 OBS. Det här är bara ett exempel på hur man kan skriva, om man är engelskspråkig, för att beskriva vilka regler man har när det gäller återanvändning av media (Retention policy).
SB Restore – Återställning SB Testa att återställa från media. Testa all media regelbundet, gör ett schema över vilka media som ska testas och när. Före återställning, fixa felet. Eftersom data på media alltid är gammal så bör man se över vilka friska delar som finns kvar. Om flera media som ska återställas, börja med det senaste(nyaste) och förbjud systemet att skriva över befintliga filer. Kontrollera att systemet verkligen är återställt ”One-Button-recovery”.
5. Firewall – Brandvägg – PROXY Surfning Brandvägg –Paketfilter –Proxy IP
Vanlig surfning A D D80 A ASessP >1023 PortIP Dest. Source AASessP D DSessP >1023 PortIP Dest. Source DDSessP AASessP PortIP Dest. Source
Brandvägg: Paketfilter Paketfilter A B D C Filtertabeller
Paketfilter Appl. Trans. Data Net F Appl. L4 L2 L3 F Kan titta på vissa byte och jämföra med tabell Jobbar på nätverklagret (L3).
Brandvägg: Proxy Proxy A B D C
Appl. Trans. Data Net F Appl. L4 L2 L3 F Öppnar paketet och om det är OK så langa över Data till ett nytt paket på andra sidan Jobbar på Applikationslagret (L5). A B D C
Proxy-surfning A D D80 A ASessP >1023 PortIP Dest. Source 3028B Proxy D80 C CSessP >1023 PortIP Dest. Source B C
Proxy-surfning A D CCSessP D DSessP >1023 PortIP Dest. Source B C AASessP DDSessP PortIP Dest. Source
Proxy-surfning A D DDSessP AASessP PortIP Dest. Source BSessPB Proxy DDSessP CCSessP PortIP Dest. Source B C
Proxy-surfning Någon typ av tabell över IP-adresser och deras sessionsportar behövs, sessionerna måste begränsas så oanvända sessioner stängs av. Vi kan lägga till: –”Packet filter” –VPNVirtual Private Network –NATNetwork Address Translation –Antivirus –SPAM-skydd –Cache –+Mycket annat eftersom vi öppnar paketet.
6. Katastrofplanering Risk för konkurs är en realitet, därför: Planera för återställning Backup i flera generationer och ”offsite”- lagring Klient-data (lokal backup)
SB Säkerhetsplan SB Under den här rubriken, som inte finns i boken, så hanterar man normalt det arbete som måste finnas omkring att säkra upp sitt system. Arbetet är omfattande och avhandlas till en viss del i övriga delar av boken. Säkerhetsplanering är ett helt ämne för sig.Under den här rubriken, som inte finns i boken, så hanterar man normalt det arbete som måste finnas omkring att säkra upp sitt system. Arbetet är omfattande och avhandlas till en viss del i övriga delar av boken. Säkerhetsplanering är ett helt ämne för sig.