Local Area Network Management,Design and Security Administration och säkerhet –Kap.6 i kursboken Vi låser för säkerhetens skull.

Slides:



Advertisements
Liknande presentationer
Atomer, molekyler och kemiska reaktioner
Advertisements

En presentation av ett unikt system
BAS-M Hur du på ett enkelt sätt administrerar din båtklubbs register.
Handledning för innehavare och kontaktpersoner i JPBS.
Kampanjuppföljning Hur den senaste kupongkampanjen gick totalt sett vet du säkert. Men hur gick den i exempelvis Skåne jämfört med i Göteborg? Var resultatet.
Naturvårdsverket | Swedish Environmental Protection Agency
Intagningssystemets databas Ögonblicksbild Kopia av intagningsdatabasen Uppdateras 3 ggr per dag 07:15 – 12:15 – 15:15 Roller Skola, kommun Periodiseras.
Formulär Tänkte nu gå igenom vad ett formulär är och hur man kan skapa dem i Access.
Relationsdatabasdesign
Maximo Användarmöte Stenungsbaden 9 mars 2010
Klicka på Aktivera redigering i meddelandefältet,
Några moln tillgängliga gratis på Internet
E-post juni 2013.
Videokonsultation med medborgare
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Mjukvara och nätverk Vad är det?.
Teknik som ger trygghet, rättvisa och ekonomi
Naturvårdsverket | Swedish Environmental Protection Agency 1 Det här bildspelet är till för dig som arbetar på Naturvårdsverket och vill ha.
Leif Håkansson’s Square Dancer Rotation
Laterna Compact Booking Saknar du ett bra bokningssystem? Pröva det här! Lättanvänt Flexibelt Pålitligt.
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 6 – Vecka INNEHÅLL  Hantering av användarkonton och användargrupper  Användning av Sudo för delgering.
Pontus Abrahamsson Joakim Örnstedt Startbild Systemkonsult
System för lagring och backup ALLMÄN INFORMATION OM NYA LDC-SYSTEM –
Local Area Network Management,Design and Security
Tentamensdags och lab 3…. Större program delas normalt upp i flera filer/moduler vilket har flera fördelar:  Programmets logiska struktur när man klumpar.
MIIS 2003 – User Identity Lifecycle Management
Virus och skräppost
Distribuerade filsystem
En introduktion till Datakommunikation och Säkerhetstänkande
Nätverk Logistikprogrammet 2012.
LU - Central e-posttjänst E-post Nytt e-postsystem för LU-anställda.
Silberschatz, Galvin and Gagne ©2009 Operating System Concepts – 8 th Edition, Kapitel 13: I/O-system.
Stora IT-dagen E-post Nytt e-postsystem för LU-anställda.
Övning 1 Grundtjänster vid ÖHs datanät. Innehåll Under övningen skall du lära dig att Under övningen skall du lära dig att –Byta lösenord –Använda de.
Checklista Identitetshanteringssystem för SWAMID 2.0
Tentamensdags och lab 3…. Större program delas normalt upp i flera filer/moduler vilket har flera fördelar:  Programmets logiska struktur när man klumpar.
Spam/virus-kontroll 1 Spam/virus-kontroll vid Lunds universitet.
Positiv Livskraft © Att komma dit du vill
OPERATIVSYSTEM WINDOWS
Lektion 3 Mahmud Al Hakim
Medlemsregistrering SAFF har skapat en förenklad version på hur ni i föreningarna lägger upp era medlemmar. Har ni frågor ring Marika Holm på
Operativsystem i nätverk
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Styrteknik: Grundläggande logiska funktioner D2:1
© Anders Ingeborn IT-säkerhetsprojekt Vinnande strategier.
Webbsidesutbildning Lennart Ek, Tel Stefan Fosseus,
SUSEC/Kalmar 26 april 061 BOF - Nätsäkerhet -Segmentering av nät/firewall/exponering -Autenticering -Avlyssning/kryptering – kom vi inte att prata mycket.
Informationsteknologi - Lektion 2 Trådlöst nätverk (WLAN) Trådlöst nätverk (WLAN) Filarkivet: Filarkivet:
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
© Copyright SpeedLedger e-bokföring – komplett webbaserad bokföring Presentatör Datum.
Local Area Network Management,Design and Security.
Central eposttjänst 1 Central eposttjänst vid Lunds universitet.
Operating Systems (Operativsystem) Maintaining The Operating System (Underhåll av operativsystem)
William Sandqvist PIC-programmeringsmiljön i skolan Datorerna i skolans labsalar är centralt underhållna. Du har inte rättigheter att installera.
Windows Vista: Administration Maria Johansson 10 nyheter som gör livet som administratör lättare.
BVForum - en genomgång för revisorer Sören Thuresson.
1 Mjukvaru-utveckling av interaktiva system God utveckling av interaktiva system kräver abstrakt funktionell beskrivning noggrann utvecklingsmetod Slutanvändare.
Operating Systems (Operativsystem) Installing The Operating System (Installation av operativsystem)
1 CLIQ i ARX Integrationslösning för passer- och låssystem ASSA ABLOY is the global leader in door opening solutions, dedicated to satisfying end-user.
Avvikelsehantering En säker verksamhet = en säker arbetsmiljö!
Vägledning 5 steg för att följa Dataskyddsförordningen
Event-modulen Grundläggande info En introduktion
Spara elevarbeten med iTunes
CLIQ i ARX Integrationslösning för passer- och låssystem
Lycka till med din dator! Fler guider på Good Luck!
IT Fördjupning Jon Wide
Registrering av valorganisation
IT Databas Göran Wiréen
Whoami Christoffer Claesson Blogs at:
Logga in på din Nacka-sida. Sök på Varbi i sökrutan
Presentationens avskrift:

Local Area Network Management,Design and Security Administration och säkerhet –Kap.6 i kursboken Vi låser för säkerhetens skull

Administration av LAN 1.Säkerhetsnivåer 2.Ett exempel på administration – utskrifter 3.Säkerhet för LAN 4.Backup – Säkerhetskopia 5.Firewall – Brandvägg 6.Katastrofplanering

1. Säkerhetsnivåer Availability – Tillgänglighet/Åtkomst Confidentiality – Sekretess Integrity – Korrekthet hos info./källa Integrity AvailabilityConfidentiality Our security level Fig. 6.1 s.231

2. Ett exempel på administration – utskrifter Lokal anslutning (parallell-port) (fig 6.2) Print Queue managing box (fig 6.3) –Manuell(Parallell) –Automatisk(Printserver)(Parallell, LAN) Nätverksskrivare (Parallell på fig.6.4 server, LAN)

Fig 6.2 s.232

14 23 Fig 6.3 s.233

Fig 6.4 s.233 (Parallell) NIC

Ett exempel på administration – utskrifter Printerdriver fig. 6.5 Print Queue Skrivaradministration

Software (e.g. Word) Printer driver General codes Interprets signals so the printer receives the signal in its own language Own special codes Fig 6.5 s.234

Print Queue Lagring av utskriftsjobb (en mapp eller fil för varje kö). –Egen fil i egen mapp (en huvudmapp för kö) –Egen fil i samma mapp (en mapp för varje kö) –Alla jobb i samma fil (en fil för varje kö)

Print Queue Kö-strategier 1.FIFO(fig. 6.6) 2.LIFO(fig. 6.7) 3.Smallest job first (fig. 6.8) 4.Smallest job first, med ökande prioritering av stora jobb 5.Olika prioritet för olika köer (fig 6.9) 6.Användarprioritering

Queue 1 1. pri 2. pri 3. pri Queue 2 Queue 3 Fig. 6.9 s.236 Spooler

Print Queue Kö-konfigurering 1.One-to-one(fig. 6.10) 2.Many-to-one(fig. 6.11) 3.One-to-many(fig. 6.12) 4.[Many-to-many] 5.Tidsstyrning av kö

Fig & 6.11 Spooler Kö 1 Kö 2 Kö 3 Kö 4

Fig KöSpooler

Many-to-many Job-based printing

Skrivaradministration Utskrifter viktiga Verktyg för ”övervakning” (Console) –Jobb i kö –Prioritet –Storlek –Larm –Mm.

Skrivaradminstration Hjälpadministratörer (Hantera skrivarköer) –Prioritera om jobb –Pausa jobb –Ta bort jobb som låst sig (användaren kan ta bort egna jobb)

Skrivaradministration Användaren (hanterar dom egna jobben) –Skrivaren som kopiator ?! –Separationssida –Välja vilka sidor ur ett dokument som ska skrivas ut.

3. Säkerhet för LAN SB Administratören är allsmäktig Användare Grupper Organisation Unit (OU) User Environment (Användarmiljö) Fysisk säkerhet Logisk säkerhet

IT managerNetwork group Systemadm.. avdelning 1 Systemadm. avdelning 2 Systemadm. avdelning 3 Systemadm. Avdelning 4 Gr. Adm. Gr. Adm. Printer Adm. Printer Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Gr. Adm. Printer Adm. Fig 6.13 s.241

SB Administratören är allsmäktig SB Default adminkonto: Su root Admin Supervisor Administrator/Administratör mfl. Lösenord: Omöjligt ca tecken inlåst i kassaskåp

SB Administratören är allsmäktig SB Dagligt admin-konto ”Mittadminkonto” Lösenord: ca 8 svåra tecken, byt ofta. Omöjligt admin-konto (skapas men används aldrig) qjrurKfnc%¤5£9)&fG Lösenord: Omöjligt ca 15 tecken inlåst

SB Hjälpadministratören är ovärderlig SB Delsystem Skrivare Databasadministration Backup Användarkonton Rättighetsadministration för resurser Programinstallationer Licenshantering programvaror mm.

Användare SB ”Användarkonto” Personuppgifter kopplas till ett ”konto”. Användarkonton bör ha lösenord. hemkatalog (homedirectory) –enda resursen som ”kopplas” till själva kontot

SB Grupper SB Fig s.242 för att underlätta administrationen Allmänna grupper– ingår Administratörsgrupper – ingår/skapas Användargrupper– skapas

User Group Resources (files, printers, etc).. Employees Resources Practically the same effect Fig s.242

SB Allmänna grupper SB Dom flesta system har någon form av allmänna grupper typ ”Users” som utgörs av samtliga registrerade användare (användarkonton) och där medlemskapet är automatiskt vid skapande av användarkonton. Den här typen av grupper är mycket användbara av systemet självt och för administratören när rättigheter för mer allmänna resurser ska sättas, typ utskrift, gemensam data- area, mm.

SB Administratörsgrupper SB I större system så kan det finnas behov av att ha många administratörer som ska få ändra i systemet. Oavsett om det handlar om administratörer eller hjälpadministratörer så finns det ett behov av att gruppera dessa för att hålla nere antalet positioner där rättigheter ska sättas. Dom flesta NOS har ett antal ”default” admin- grupper som är färdiga att användas, dvs rättigheter till systemet är redan satta.

SB Användargrupper SB ”Normala” grupper som administratören skapar för sitt system, genom medlemskap i grupperna så får användarna dom rättigheter som gruppen har till systemets resurser. Det förenklar det administrativa arbetet genom att användare med lika behov till systemet klumpas ihop till ett begrepp. Det är därför viktigt för administratören att välja bra gruppnamn. Ibland kan det vara möjligt att skapa en koppling mellan ett gruppnamn och vilka rättigheter som gruppen har behov av (logiska gruppnamn), t.ex: EkoAdmAdministatörer för ekonomiprogrammet EkoChgFår ändra på vissa saker i ekonomidata EkoReadFår endast läsa ekonomidata

Organisation Unit (OU) OU används för att skapa en logisk struktur (oftast trädstruktur) som är lättare att hantera för administratören och användarna. (Kräver en databas som hanteras av systemet, LDAP; AD; NDS; eDirectory)

User Environment Alla är användare (users) User Environment defineras av: –Allas rättigheter till alla resurser Skrivare Filer Klient-datorer Annan utrustning Tidpunkt

Fysisk säkerhet Skalskydd Server-rum Lås/Passagekontroll Alarm Brandklassning 2h Kylning UPS (Uninterraptible Power Supply)

Logisk säkerhet Lösenord Inloggning Fil-säkerhet

Lösenord Livslängd Återanvändning Minsta antal tecken Tillåtna/otillåtna tecken Krav på blandning av tecken: små, stora, siffror och specialtecken Ordlisteord

Lösenord Användarens motivation Tillfälligt lösenord Engångslösenord Felaktigt lösenord ? –Tidslås –Spärra konto –Falsk inloggning

SB Inloggning SB Användarkonto (User) –Antal samtidiga inloggningar –Knutet till vissa klientdatorer –Tider Directory service (NDS, AD, m.fl) Kerberos-server

Utloggning –Användarna måste förstå att ”logga ut” annars –Automatisk utloggning –Lås klientdatorn (logiskt)

Fil-säkerhet Varje fil/mapp har: –En eller flera ägare (Owner, oftast bara en). –Rättigheter kopplade för varje ägare. –Rättigheter kopplade för andra rättighets-ägare typ användare, grupper och övriga. Arv? Ofta kan man med rättighetsverktyget i NOS:et styra om samma rättigheter ska gälla i underliggande mappar.

SB Fil-säkerhet SB Vanliga rättigheter –Administratörsrättighet (Alla) –Write –Create –Delete –Read –Execute/Run –List –Rättighet att ändra attribut för filer/mappar Varje NOS har sitt eget verktyg för att sätta rättigheter och där styrs vilka rättigheter som är möjliga att sätta.

SB 4. Backup - Säkerhetskopia SB There are only two types of data... Data that has been backed up, and data that has not been lost, YET !!!

Backup – Varför? Är det nödvändigt ? Trasig HDD Användare tar bort fil av misstag Virus Stöld av dator

Backup - Förluster Vad kan förloras ? Förlorad arbetstid Förlorad information (Går ej att återskapa) Förlorad ”Goodwill”

SB Backup - Data SB Statiska data (ändras ”aldrig”) –Mjukvara Backup vid installation & ändringar Dynamiska data (ändras ”hela tiden”) –Dokument mm. –Konfigurationer och makron till mjukvara Backup så ofta som det anses rimligt utifrån risk och kostnad

Backup - Arkivbit Arkivbit (Archive Bit). –När en fil skapas eller ändras sätts arkivbiten i filens attribut till ON (1). –När filen backupas kan programmet sätta den OFF (0), det beror på backupmetoden. –Om en fil flyttas till annan plats uppfattas den som ny. –Arkivbiten kan också sättas manuellt om man har rättighet att ändra filattribut.

SB Backup - Dataområde SB Förutom att arkivbiten finns så måste man. bestämma Dataområde som ska tas backup av. Databaser kräver oftast någon typ av tilläggsprogram eftersom databasmotorn är den som kan komma åt data. Klientdatorer?

SB Backup - Typer SB Full(Komplett, Complete)Hela volymer Normal (Full i boken)Valt dataområde Incremental (Tillägg) Valt dataområde Differential (Skillnad) Valt dataområde (Copy) (Daily)

Backup - Rutiner Hur ofta? Dataområden? Hur länge ska backup sparas? Var ska backupen/erna lagras? Hur många kopior? När ska backup göras (på natten ?)

Backup - Generationer Flera generationer med media behövs –Minst 3 generationer rekommenderas Bevarande av media (Retention policy) fig.6.18 –Regler för hur länge varje media ska lagras innan det får användas igen (skrivas över) –Grandfather-father-son, 21 media/år Hur ofta ska backup göras? Tabell 6.1 s255

Most recent backup 2. gen. 3. gen4. gen Next one for use Flera genarationer fig 6.17

Retention policy Daily backup is stored for a month. First backup every week is stored for a year Backup from first week in January and July is ”always” kept. Retention policy fig.6.18 s.254 OBS. Det här är bara ett exempel på hur man kan skriva, om man är engelskspråkig, för att beskriva vilka regler man har när det gäller återanvändning av media (Retention policy).

SB Restore – Återställning SB Testa att återställa från media. Testa all media regelbundet, gör ett schema över vilka media som ska testas och när. Före återställning, fixa felet. Eftersom data på media alltid är gammal så bör man se över vilka friska delar som finns kvar. Om flera media som ska återställas, börja med det senaste(nyaste) och förbjud systemet att skriva över befintliga filer. Kontrollera att systemet verkligen är återställt ”One-Button-recovery”.

5. Firewall – Brandvägg – PROXY Surfning Brandvägg –Paketfilter –Proxy IP

Vanlig surfning A D D80 A ASessP >1023 PortIP Dest. Source AASessP D DSessP >1023 PortIP Dest. Source DDSessP AASessP PortIP Dest. Source

Brandvägg: Paketfilter Paketfilter A B D C Filtertabeller

Paketfilter Appl. Trans. Data Net F Appl. L4 L2 L3 F Kan titta på vissa byte och jämföra med tabell Jobbar på nätverklagret (L3).

Brandvägg: Proxy Proxy A B D C

Appl. Trans. Data Net F Appl. L4 L2 L3 F Öppnar paketet och om det är OK så langa över Data till ett nytt paket på andra sidan Jobbar på Applikationslagret (L5). A B D C

Proxy-surfning A D D80 A ASessP >1023 PortIP Dest. Source 3028B Proxy D80 C CSessP >1023 PortIP Dest. Source B C

Proxy-surfning A D CCSessP D DSessP >1023 PortIP Dest. Source B C AASessP DDSessP PortIP Dest. Source

Proxy-surfning A D DDSessP AASessP PortIP Dest. Source BSessPB Proxy DDSessP CCSessP PortIP Dest. Source B C

Proxy-surfning Någon typ av tabell över IP-adresser och deras sessionsportar behövs, sessionerna måste begränsas så oanvända sessioner stängs av. Vi kan lägga till: –”Packet filter” –VPNVirtual Private Network –NATNetwork Address Translation –Antivirus –SPAM-skydd –Cache –+Mycket annat eftersom vi öppnar paketet.

6. Katastrofplanering Risk för konkurs är en realitet, därför: Planera för återställning Backup i flera generationer och ”offsite”- lagring Klient-data (lokal backup)

SB Säkerhetsplan SB Under den här rubriken, som inte finns i boken, så hanterar man normalt det arbete som måste finnas omkring att säkra upp sitt system. Arbetet är omfattande och avhandlas till en viss del i övriga delar av boken. Säkerhetsplanering är ett helt ämne för sig.Under den här rubriken, som inte finns i boken, så hanterar man normalt det arbete som måste finnas omkring att säkra upp sitt system. Arbetet är omfattande och avhandlas till en viss del i övriga delar av boken. Säkerhetsplanering är ett helt ämne för sig.