titelsida Tillbaka till startsida

Infrastrukturkoncept
Författare: Pedro Carmona Marin, Mats Johansson, Karin Garberg, Leif Nordh,Christina Jonk, Jakob Petrén

 

Innehåll
NOS
Nätverkskort
Domän
Logga på Lokalt kontra Domän
Dela ut resurser
WINS
DNS
Webserver i Windows NT
Proxy server
MS BackOffice 4.0
Nos
Networking Operating system. Ett operativt system som gör det möjligt att dela resurser på nätverket, ger även ökad säkerhet då du själv kan bestämma vilka resurser andra skall få tillgång till. Kontrollerar även trafiken till skrivaren. De mest kända märkena är Novell, Windows NT, Banyan Vines. Det vi kör inom våran arbetsgrupp är Windows NT.

Nätverkskort
Så här gör du för att installera nätverkskortet i systemet.

  1. Installera nätverkskortet.
  2. Öppna kontrollpanelen/nätverk. Gå vidare till fliken "lägg till" och identifiera det nätverkskort du har installerat. Välj sedan OK. Har du en separat installations diskett kan du givetvis köra den.
  3. Sedan måste du välja nätverksprotokoll. Gå till protokoll och välj samma protokoll som servern har, i detta fall NetBEUI. Lägg till.

Domän
I nätverksammanhang (ex i en Windows NT Server-miljö) är en domän grundenheten för säkerheten och administrationen. En domän består av en eller flera servrar och alla servrarna i domänen fungerar också som fristående system. Du kan välja om en dator ska ingå i en domän eller i en arbetsgrupp. Oftast väljer man att datorerna ska ingå i en domän. På så sätt har man större kontroll över vad en användare kan och inte kan göra med datorn. En dator som ingår i en domän får inte en kopia av domänens databas för användarkonton. Däremot kan den på andra sätt dra nytta av domänens databaser för användare och grupper.

Genom att använda sig av en domän får man en central administration i arbetsgruppnätet. Domänen har en enda maskin, en primär domänkontrollant (PDC), som sköter all säkerhet. Eftersom säkerhetssystemet är centralt finns det flera möjligheter att kontrollera säkerheten. En centraliserad administration, användaren måste logga in och kontroll av inloggningstider och –platser, är olika funktioner för att förbättra säkerheten i nätverket. Fördelarna med domäner är att säkerheten i nätverket bli mer centraliserad och att de enskilda användarna således måste hålla sig inom ramarna för säkerhetsprinciperna. Säkerheten blir bättre och man har bättre kontroll på säkerheten, dessutom behöver färre utbildas till systemadministratörer. Domäntänkandet som beskrivits ovan kräver att operativsystemet måste vara Windows NT Server. Vårt nätverk på SEMA-education använder inte domänfunktionen. Våra datorer ingår i en arbetsgrupp.

Nätverksdomän och internetdomän är inte samma sak. Organiseringen i domäner på internet handlar om att organisera datorerna över hela världen. I IP adresserna finns ingen koppling mellan adressen och t.ex. vilket företag de finns på. Från början vad det tänkt att hantera adresserna i e-post (domänen är den beteckning som kommer efter @) men används nu också för att ange adresser till serverdatorer (t.ex. WWW-servrar och FTP-servrar), som ett slags varumärke. En nätverksdomän handlar om att organisera det egna lokala nätverket för att öka säkerheten och få kontroll över vad användarna kan och inte kan göra.

Logga på lokalt och på domän
Att logga på en domän innebär att all kontoinformation hanteras av servern. Administratören skapar användarkonton som identifierar användarna i systemet. Man har t.ex. möjlighet att logga på vilken dator som helst i det lokala nätet. Att logga på lokalt innebär att datorn ingår i en arbetsgrupp och har sin egen databas för användare och datorn bearbetar inloggningarna själv. Datorer i en arbetsgrupp delar inte på kontoinformation. Det innebär att Windows NT godkänner inloggningar och rättigheter på en dator i en arbetsgrupp enbart för de konton som har skapats på den datorn. I en arbetsgrupp delar och administrerar användarna resurser som finns utplacerade på flera datorer. Resurserna i och administrationen av en arbetsgrupp distribueras över hela nätet och man kan säga att varje användare är en närverksadministratör som hanterar sin egen maskin. I en arbetsgrupp sköter varje dator sin egen säkerhet, sina konton och sina användargrupper. Alla datorer administreras separat. Varje enskild användare är ansvarig för att ge åtkomsträttigheter, utfärda lösenord och bestämma vilka resurser som ska delas ut.(MS-DOS arbetsgruppsklienter, Windows for Worksgroups, Windows NT Workstation- eller Server-datorer är exempel på datorer som deltar i en arbetsgrupp.

Dela ut resurs
Man kan dela ut resurs på två olika sätt:

1) Dubbelklicka på ikonen Den här datorn
Markera och dubbel klicka med höger musknapp på den resursen du vill dela. Sen är det bara att klicka på "Dela ut".		 2)Gå in i Utforskaren.
Markera och dubbel klicka med höger musknapp på den resursen du vill dela. Sen är det bara att klicka på "Dela ut"
 
  • Kontrollera och ändra ev. resurs-namnet i textrutan.
  • I rutan Antal användare kan du ange maximalt antal användare som samtidigt kan vara anslutna till resursen.

  • Klicka på knappen Behörighet för att ange behörighet för resursen.I dialogrutan Behörighet för resurs visas vilken behörighet som gäller för resursen.

  • Klicka på listpilen vid Typ av behörighet för att välja mellan Fullständig behörighet, Läsa eller Andra.

  • För att välja andra grupper eller användare klicka på knappen Lägg till.
  • Klicka på OK för att lagra behörigheten och för att lagra den delade resursen.

Sluta dela resurs

  • För att sluta dela resurs klicka på Ej Delad och klicka på OK.

Ansluta delade resurser

  • Efter att ha installerat, konfigurerat och angivit typ av nätverk, som din datorn ska ingå i, kan man ansluta och koppla ifrån delade resurser. Genom menyn Verktyg i Utforskaren.
  • Klicka på Anslut nätverksenhet.
  • För att ha denna anslutning kvar även efter man startat om sin arbetsstation, sätt ett kryss i rutan Återanslut vid inloggning.( fönstret"Anslut nätverksenhet")

WINS
TCP/IP används som protokoll för Internet och intranät-tillämpningar. Microsoft har antagit TCP/IP som nätverksprotokoll för sina utvecklingsplattformar. Man kan då kommunicera med datorer som kör Windows NT eller andra nätverksprodukter som använder TCP/IP. DNS och WINS är två nätverkstjänster som finns tillgängliga i Windows NT.

Det finns ett antal nätverkstjänster som man kan utnyttja i Windows NT, t ex WINS, DNS, PPP, SLIP m fl. Här kommer vi att begränsa oss till WINS och DNS. WINS är en förkortning för Windows Internet Name Service och DNS står för Domain Name Service. Båda används för kommunikation med TCP/IP-protokollet.

WINS är en RFC-kompatibel (Request for Comment) NetBIOS-tjänst som används för att konvertera en IP-adress till ett mer "användar-vänligt" namn. Det finns ett antal mer eller mindre smidiga metoder för att göra sådana konverteringar som t ex IP broadcasts, statiska konverteringsfiler, NetBIOS Name Server och Domain Name System server. IP broadcasts t ex, har den nackdelen att det kräver stor bandbredd på nätverket och kan inte användas i routernätverk. WINS-servrar använder en databas som innehåller NetBIOS-datornamn och tillhörande IP-adresser. När Windows-baserade datorer loggar på nätverket registreras deras datornamn och IP-adress i WINS-databasen. Den replikeras sedan till andra WINS-servrar i LAN eller WAN. (Replikering betyder att databasen kan kopieras). Man skall på detta sätt kunna förhindra att olika användare har samma datornamn i nätverket.

DNS
DNS är en uppsättning protokoll och tjänster för TCP/IP-nätverk som används för att ge hierarkiska, "användarvänliga" namn för lokalisering av andra resurser i nätverket och andra värddatorer. Det hierarkiska namnsystemet som DNS använder är uppbyggt av datornamn och domännamn t.ex. "datornamn@domän.topdomän ". Före DNS använde man sig av en metod där man använde sig av s k HOSTS-filer. HOSTS-filen bestod av en lista med tillgängliga värddatorer och nätverksresurser samt deras motsvarande IP-adresser. I och med att antalet värddatorer och användare på Internet ökade blev HOSTS-filen ohanterlig.

Ett begrepp som man bör känna till när det gäller DNS är zon. En zon är en del av en domän, eller rentav hela, som administreras av en DNS-server. Exempelvis mindre företag kan klara sig med en zon, medan större kanske måste delas upp i flera. Data som IP-adresser och DNS-namn för en viss zon lagras i en s k zon-fil. En DNS-server kan vara antingen primär- eller sekundärserver till en annan DNS-server. En primärserver hämtar information för sina zoner från den lokala DNS-databasen. Om någon ändring av data görs inom zonen, t ex lägger till en ny värddator, måste ändringen göras i primärservern så att den läggs in i den lokala zonfilen.

DNS-servern kan konfigureras att utnyttja WINS-serverns NetBIOS-namn som DNS-namn. DNS-servern kan även sända DNS-namn till WINS-servern som då kan söka reda på IP-adressen och skicka den tillbaka till DNS-servern. Man kan installera DNS- och WINS-servrar på samma dator eller olika datorer. Enda kravet är att datorerna kör Windows NT 4.0.

Webserver i Windows NT
Microsoft har en Internet Information Server (IIS) som är en World Wide Web server för Windows NT. IIS är helt gratis. Bara man har Windows NT kan man ladda hem den från nätet.

Förutom delen som hanterar WWW (http) ingår:

  • en FTP-server
  • en Gopher
  • IIS använder sig av något som kallas Active Server Page (ASP). Det kan användas istället för CGI men skall, enligt Microsoft, vara både enklare och snabbare. Det har inbyggt stöd för ActiveX-script, ActiveX- komponenter, Javascript m.m. De flesta programspråk kan användas (i version 1.0 av IIS rekommenderade Microsoft att man använde Visual Basic). ASP kompileras och körs som "vanliga" processer. För att ytterligare förenkla användandet av ASP så sker kompileringen automatiskt.
  • Just-in-time-kompilering

Just-in-time (JIT) är en teknik som bla har använts för Java. Här använder Microsoft JIT bla för att kompilera ASP. Om en ändring sker på en ASP så kompileras inte sidan om direkt. Först när någon användare försöker exekvera ASP:n så sker kompileringen.

Proxy server
En Proxy server används för att minska nedladdningen av ofta lästa sidor från Internet. Den fungerar som en mellanlagring mellan ett företags datorer och Internet. När någon på företaget hämtar en sida på Internet lagras den på Proxyservern samtidigt som personen i fråga får den till sin dator. När nästa person söker efter den sidan märker Proxyservern att den redan är hämtad och går inte ut och letar på Internet i onödan. Detta ger ofta minskade söktider och förstås minskade telefonkostnader.

Microsofts Proxy server installeras ’mellan’ ett företags användare och Internet. När en användare vill ansluta Internet kollar först Proxy servern om informationen finns i cacheminnet och kopplar bara upp om det behövs. Proxy servern är företagets enda anslutning mot Internet men den kan hantera att flera användare vill komma åt Internet samtidigt. Proxy servern ger möjlighet att komma åt det mesta som finns på Internet såsom ljud, filmer mm. Man kan precisera vilka användare som ska få åtkomst till vissa saker, man kan sätta behörighet och tidsbegränsningar på inloggning och man kan spåra användning så man vet att personalen utnyttjar internetresursen på rätt sätt.

MS BackOffice 4.0
MS BackOffice 4.0 är en integrerad uppsättning serverprogram i ett och samma paket, optimerat för Windows NT server. Enligt Microsoft skall det ge användaren, dvs organisationen en fullständig integrerad plattform för nätverk, intranät och internet. Microsoft menar vidare att MS BackOffice innehåller produkter som ger användaren en effektivare beslutshantering, förbättrad service och en snabbare väg till marknaden i och med att BackOffice innehåller integrerade system som gör det lätt att ta fram den information som krävs.

Enligt Microsoft kan man med programmen i BackOffice ge organisationen ett effektivt och säkert sätt för att hantera filer, utskrifter, kommunikation, internet, databaser, meddelanden, arbetsgruppfunktioner, anslutningar till värddatorer, elektronisk handel och systemunderhåll.

Programmen är enligt Microsoft kärnan i ett nätverk som enkelt kan byggas ut med nya lösningar. Dessutom stöder programmen varandra fullt ut och kan köras på en enstaka server eller på flera servrar på internet eller i ett nätverk eller intranät.

Microsoft Windows NT Server är basen för BackOffice-programmen. Varje program är fullständigt integrerat med denna plattform.

BackOffice Server 4.0 innehåller således:

Windows NT Server 4.0
Microsoft Windows NT Server är serveroperativsystemet i BackOfficepaketet. Det har samma gränssnitt somWindows 95.

Internet Information Server 4.0
En utvecklings- och driftplattform för nya webplatser.

Index Server 2.0
Indexerar (organiserar) serverinformation

Certificate Server
Identifiering av in och utgående datapaket. Vem har skickat vad:

Transaction Server 2.0
System för transaktionshantering som används för att utveckla, använda och hantera avancerade, anpassningsbara och kraftfulla serverprogram.

Message Queue Server
Underlättar trafikhantering mellan olika nätverk

Internet Connection Services for Remote Access Service

FrontPage 98
(1-användarlicens)

Exchange Server 5.5
Ger meddelande- och arbetsgruppsfunktioner för Internet och intranät.

Proxy Server 2.0
Ger snabb och säker tillgång till Internet.

SNA Server 4.0
Komplett plattform för integration mellan Windows- och SNA-miljöerna (IBM stordatorer och AS/400).

Microsoft SQL Server 6.5
Hanterar och lagrar data.

Site Server 3.0
Erbjuder en omfattande webmiljö för förbättring, spridning och hantering av kommersiella webplatser som använder Microsoft Windows NT Server och Internet Information Server.

Systems Management Server 1.2
Innehåller funktioner för att hantera hela IT-miljön centralt.

Seagate Crystal Info 5.0
Filtrerar ut specifika mappar och data enligt användarens önskemål (5-användarlicens)

Integrerad installationsprocedur

Web-baserade administrationsverktyg

Webplatsexempel
Innehåller Intranet Starter Site

Förutom denna produkt erbjuder Microsoft också olika licensalternativ för serverprogrammen som ingår i Backoffice tex:

  • Klientlicensen (BackOffice CAL):
  • Klienten får tillgång till BackOffice Server-tjänster var som helst i nätverket
  • Enkelhet och besparing via en enda licens

Brandvägg
Internets snabba expansion och möjligheten att utnyttja denna utvecklingen till att skapa ett effektivt Intranet är en tydlig IT-trend i tiden. Samtidigt som datornätverken bidrar till att information lättare kan delas ökar kraven på datasäkerhet.

En brandvägg är ett system av både hårdvara och mjukvara som helt eller delvis skyddar den egna organisationens datanät gentemot externa internetanvändare. Det finns ett stort antal brandväggsprodukter på marknaden. Vad som döljer sig inuti dessa brandväggar är ofta mera oklart då alltifrån filtrerande routers till sk. application gateways kallas för brandväggar.

En viktig egenskap hos brandväggskomponenter är att de skall vara så enkla och renodlade som möjligt och helst bara utföra en enda uppgift. Anledningen är att ju mer komplicerad programvara som körs i en dator, desto större är risken att programfel och konfigureringsfel orsakar säkerhetsluckor. Ur den synvinkeln är det olämpligt att samla alla brandväggar i en enda enhet.

Servrar är alltid en svag punkt i säkerhetssammanhang. En server som är felaktigt konfigurerad och innehåller programfel kan lättare "tas över" och utnyttjas som en språngbräda för vidare attacker. Därför bör servrar som är nåbara utifrån skyddas.

När man bygger en brandvägg grundligt enligt instruktionsboken brukar man konstruera den med hjälp av tre komponenter:

  1. Yttre filter
  2. Mellanliggande gateway eller barriärdator
  3. Inre filter

Skyddet mot omvärlden består i första steget av ett yttre filter, vanligen ett paketfilter i nätanslutningsroutern. I Paketfiltret sker filtrering både på IP- och TCP-nivå. Filterfunktionen är dubbelriktad så att olika filterregler kan sättas upp för utgående och inkommande paket. Man kan också begränsa de adresser och tjänster som omvärlden kan komma åt i det skyddade nätet, dels begränsa de egna användarnas tillgång till adresser och tjänster i världen utanför.

Där innanför sitter en dator(server) som anger gateway, ett relä för att dela och övervaka alla trafikkopplingar eller de tillämpningar som används t ex ftp och gopher.

Det inre filtret har huvudsakligen till uppgift att vara en extra säkerhet om gatewayfunktionen skulle bli korrupt efter en infiltrering från en angripare.

Området mellan de båda filtren brukar kallas DMZ (demilitarized zone). Det är ett slags kontrollområde eller riskområde.

Det finns i princip tre olika metoder att sålla bort okänd eller potentiellt farlig trafik som väller in på det egna nätet.

  • Paketfiltrering
  • Separering på kretsnivå (TCP/IP-nivå)
  • Separering på tillämpningsnivå

Paketfiltrering
Paketfiltrering i en router är den enklaste metoden. Det går att filtrera både ingående och utgående trafik i routern. Det kan till exempel ske med avseende på vilken typ av protokoll som används, vilken ingångsport som skall utnyttjas samt avsändarens respektive mottagarens IP-adress.

Separering på kretsnivå
Sker i en gatewaydator som tittar på trafiken i detalj och separerar den i en inre och en yttre del. Detta kan ske genom att man separera de kopplingar, TCP/IP-koppel som yttre användare försöker upprätta med datorerna i det interna nätet.

Separering på tillämpningsnivå
Sker också i gatewaydatorn genom att man låter alla tjänster passera genom en så kalla tillämpningsserver eller "proxyserver". Den fungerar i så fall som en barriär, ett slags relä för trafiken som delar varje session i två delar och bara förmedlar tillåtna kommandon och data.

En väl utförd brandvägg innehåller alla ovan beskrivna funktioner.
1