Сетевое администрирование ПМИТ

персональный компьютер. Если подключаемая сеть большая и требуется мощное устройство для обслуживания ее внешнего трафика, то приобретение

маршрутизатора оправдано, если же сеть небольшая, то можно обойтись персональным компьютером, на который следует установить соответствующее программное обеспечение.

Задача подключения локальной сети довольно простая, если только это не сеть распределенная в пространстве, т.е. не Wide Area Network (WAN).

Здесь проблема подключения к Internet приобретает как бы два направления:

Собственно подключение различных сегментов к Internet;

Организация сети компании средствами Internet.

Если говорить о подключении сегментов, то здесь для каждого из

сегментов следует выполнить весь комплекс работ, который был описан в предыдущем разделе, т.е. получить блок адресов, сконфигурировать машины

каждой из сетей, организовать сбор статистики и, если необходимо, систему динамической настройки машин.

При организации сети компании распределенной по большой площади средствами Internet, то здесь нужно позаботиться о надежной

маршрутизации, своевременном обмене информацией и о защите этой информации от несанкционированного доступа. Кроме того следует организовать информационное обслуживание, единое для всех частей такой

распределенной структуры.

Организация распределенной структуры может быть выполнена либо

путем использования своих собственных возможностей (аренда физической сети передачи данных), либо за счет использования существующей сети

российских Internet-провайдеров. При выборе того или иного решения, как

правило, во внимание принимается множество факторов, главными из

которых могут быть факторы, не связанные с техническими решениями. Понимание способов обмена данными через Internet важно и в том

случае, когда организуют виртуальные локальные сети на базе протоколов, отличных от TCP/IP, но когда протоколы TCP/IP используются в качестве

средства транспорта исходных сообщений из одного сегмента сети в другой. Приведенный в разделе 4 перечень Internet-провайдеров и

предоставляемых ими услуг призван упорядочить представление о

возможностях российского сектора Internet и определить основные направления деятельности российских компаний, которые эти возможности

предоставляют.

1.3. Маршрутизация в сетях TCP/IP

До тех пор пока вся локальная сеть представляет из себя простой сегмент сети Ethernet, не возникает проблем с приемом и передачей

сообщений в рамках этой сети. Однако, стоит сеть разбить на несколько сегментов и установить шлюзы между ними, как сразу возникает проблема

маршрутизации сообщений в этой сети.

Сеть Internet - это сеть коммутации пакетов. Это значит, что прежде

чем отправить сообщение по сети, это сообщение "нарезается" на более

11

мелкие части, которые называются пакетами, и вот эти самые пакеты и отправляются по сети. Сеть Internet интересна тем, что информацию о месте

назначения каждый пакет несет в себе самом. Решение о том, в какую сторону направлять пакет принимается шлюзом в момент прохождения пакета через этот шлюз. Если в один момент времени некоторый путь от

места отправления к месту назначения существует, то шлюз отправит пакет, который в этот момент времени через него проходит по этому пути. Если в

следующий момент времени путь по какой-либо причине исчезнет, то шлюз

отправит пакет по другому пути. При этом оба пакета могут принадлежат

одному и тому же сообщению. В месте назначения пакетов не имеет значения последовательность получения пакетов, т.к. пакеты в себе несут

также и информацию о своем месте внутри сообщения.

Такое свойство Internet обеспечивает надежную доставку сообщений в

любую точку сети даже при ее неустойчивой работе. Однако, все это достигается не просто так, а за счет специального механизма, который

называется маршрутизация. Основа маршрутизации - это таблица маршрутов

на каждом из компьютеров в сети и правила изменения этой таблицы в

случае изменения состояния самой сети.

Маршрутизация - это средство не только прокладки маршрутов, но и

средство блокирования маршрутов пересылки пакетов по сети. Если таблицы

настроены неправильно, то в лучшем случае пакеты будут доставляться медленно, а в худшем случае они будут доставляться не туда куда следует,

что может привести к нарушению безопасности сети передачи данных. Очень часто средства маршрутизации используют для атак на системы, включенные

в Internet. Известны, так называемые, ICMP-штормы, когда пакеты

определенного вида могут блокировать прием/передачу информации по сети.

Если администратор по тем или иным причинам должен закрыть часть своей сети от доступа с других машин Internet, то в этом случае также можно

использовать таблицу маршрутов, удаляя из нее определенные пути, или блокируя их другими средствами контроля сетевого трафика.

В разделе посвященном проблемам маршрутизации мы специально подробно остановимся на понятиях внутренней сети и автономной системы, а также на различиях в дисциплине прокладки маршрутов, базирующихся на

этих понятиях.

И последнее замечание о проблемах маршрутизации связано с тем, что

если администратор хочет, чтобы его система была видна из Internet, т.е. чтобы информационными ресурсами данной сети можно было пользоваться

как внутри сети, так и за ее пределами, он должен данную сеть прописать в таблицах маршрутов провайдеров, к которым данная сеть подключена. Это

взаимодействие носит не столько технический, сколько организационный характер и может занимать гораздо больше времени, чем доставка пакета из

Москвы в Нью-Йорк.

12

1.4. Система доменных имен

Система доменных имен занимает одно из центральных мест среди

информационных сервисов Internet. Это место столь велико, что часто пользователи сети отождествляют ошибки при работе системы доменных имен с ошибками работы самой сети. Большинство информационных

ресурсов сети пользователям известны по их доменным именам. Это справедливо как для адресов электронной почты, так и для схем доступа к

информационным ресурсам World Wide Web. В любом адресе центральное место занимает доменное имя компьютера, на котором ресурс расположен.

Если речь идет о маленькой сети TCP/IP, то служба доменных имен Internet в данном случае не нужна. Можно обойтись простым соответствием

между доменным именем и адресом Internet. Однако для организации больших сетей или виртуальных сетей через Internet, доменные имена

становятся необходимыми и проблема управления этими адресами ложится на плечи администратора сети.

Если же информационные ресурсы сети должны быть доступны из Internet, то требования к системе доменных имен становятся еще более

жесткими. Сервис доменных имен должен быть согласован с администрацией домена, из которого для данной организации выделяется поддомен, и должны быть выполнены требования надежного

функционирования сервиса. Это заставляет администратора искать возможность размещения дублирующих серверов данного сервиса на

машинах за пределами своего домена или на машинах, имеющих независимое подключение к Internet в рамках одного и того же домена.

Сервис доменных имен допускает и разделенное управление поддоменами. Особенно это актуально для сетей, имеющих распределенную

структуру. Очень трудно из одного места уследить за всем, что может твориться в филиале за сотни километров, гораздо проще часть прав по

управлению удаленной частью сети возложить на местную администрацию. В этом случае происходит делегирование управления поддоменом.

От реактивности работы сервиса доменных имен зависит во многом работа всей сети в целом. Очень часто медленная скорость получения ответов на запросы к сервису доменных имен может приводить к отказам на

обслуживание другими серверами информационных ресурсов Internet. Типичным примером может быть доступ в информационным страницам

World Wide Web или архивам FTP. Время ожидания адреса ресурса у многих прикладных программ ограничено, и, как следствие, программы не начинают

обслуживание по причине отсутствия адреса.

Сильное влияние на скорость работы сервиса доменных имен

оказывает правильное планирование доменов и разбиение этих доменов на поддомены. Особое внимание при этом обычно уделяют обратному

соответствию между адресами и именами, т.к. здесь разбиение более детальное, чем при определении соответствия между именами и адресами.

Для того, чтобы о вашем домене знали в сети, необходимо домен зарегистрировать. Для этого направляются специальные заявки в

13

организацию, управляющую доменом, в который входит ваш домен. Заявки имеют определенный стандартом вид и обрабатываются роботом-автоматом,

что иногда может приводить к серьезным задержкам в процедуре регистрации.

1.5. Обмен электронной почтой

Обычно все книги и руководства по управлению сетями TCP/IP сводятся к четырем вещам: настройка сетевых интерфейсов, маршрутизация,

служба доменных имен и электронная почта. Таким образом, лишний раз подчеркивается важность этого средства коммуникации пользователей сети

Internet.

Существование электронной почты в Internet имеет свою историю,

которая очень сильно влияет на принципы администрирования этого информационного ресурса. На заре становления сети электронная почта

пересылалась между машинами по протоколу UUCP (Unix-Unix-CoPy). В эту

пору использовалась совсем другая форма адреса электронной почты, нежели

та, к которой привыкли мы в настоящее время. После того, как скорость передачи данных по сети резко увеличилась и стало возможным передавать

почту с той же скоростью, что и сообщения режима on-line, в Internet был принят другой стандарт протокола обмена электронной почтой - SMTP

(Simple Mail Transfer Protocol). Кроме этого, была введена новая форма

почтового адреса абонента электронной почты, основанная на доменном имени.

Главной причиной того, что в Relcom использовался протокол UUCP называют наилучшую его приспособленность для работы по медленным

телефонным линиям связи, хорошие средства управления соединением и портами в системе UNIX и возможность автоматического дозвона. На самом

деле это только часть причин. Система разрабатывалась специалистами, которые до этого занимались адаптацией системы Unix для отечественных

компьютеров. Для связи между Unix-системами использовалась система

UUCP. Разработчики отечественного клона Unix естественным образом

использовали свои знания для организации системы электронной почты, тем более, что к тому времени свободно распространялись программы для организации такого взаимодействия. В мире уже во всю разворачивались

новые системы на базе протокола SMTP.

1.6. Организация информационного обслуживания на основе технологий

Internet

В последнее время все чаще стали говорить об Intranet. При этом

обычно понимают использование информационных технологий Internet для создания информационных систем внутри организации. Ядром такой

системы является технология World Wide Web, расширенная возможностями подключения через программы, реализующими специальный формат обмена

данными между сервером World Wide Web и системами управления базами

14

данных, а также мобильными кодами нового языка Java, которые должны реализовать концепцию распределенной информационной системы.

Исходя из этого, концепция администрирования сетей TCP/IP расширяется администрированием серверов World Wide Web и настройкой этих серверов для работы с разными клиентами, условной генерацией

ответов в зависимости от типа клиента, адреса машины и кодировки (языка). При использовании World Wide Web для нужд организации обычно

рассматривается два направления работ:

размещение рекламы и другой информации для пользователей

Internet;

организация тематических интерфейсов для доступа к ресурсам

сети для работников организации.

Оба направления работ тесно связаны с анализом статистики

посещения информационных ресурсов сервера организации и информационных источников сети. Для этих целей применяется

программное обеспечение сбора и анализа статистики и специализированные серверы, которые помогают запоминать информацию об интересах

пользователей при доступе в сеть.

На основе полученной статистики происходит коррекция интерфейсных страниц пользователей и коррекция структуры

навигационных страниц и их взаимосвязи между собой.

Кроме World Wide Web при работе с Internet используют и другие

информационные технологии, из которых будут рассмотрены FTP-архивы и

доступ в режиме удаленного терминала.

FTP-архивы Internet - это огромный распределенный архив различного

сорта материалов: от программ до списков классической литературы. Для

того, что бы присоединиться к этому распределенному архиву необходимо создать и поддерживать свой FTP-сервер. Для внутреннего использования

FTP-архив также чрезвычайно полезен, т.к. может использоваться в качестве

основного центрального депозитария материалов и программного

обеспечения организации. Многие программы имеют возможность остановки через FTP. Такая процедура получила название портирования.

Режим удаленного терминала продолжает оставаться одним и главных

способов первичной организации доступа к локальным информационным системам через сеть. Такое использование системы позволяет отказаться от

копирования системы на каждый из компьютеров пользователей и централизованное управление информационным ресурсом.

1.7. Проблемы безопасности сетей TCP/IP

При всех своих достоинствах сети TCP/IP имеют один врожденный

недостаток - отсутствие встроенных способов защиты информации от

несанкционированного доступа. Дело в том, что информация при таком

способе доступа как удаленный терминал, передается по сети открыто. Это означает, что если некто найдет способ просмотреть передаваемые по сети

пакеты, то он может получить коллекцию идентификаторов и паролей

15

пользователей TCP/IP сети. Способов совершить такое действие огромное множество. Аналогичные проблемы возникают и при организации доступа к

архивам FTP и серверам World Wide Web. Поэтому одним из основных принципов администрирования TCP/IP сетей является выработка общей политики безопасности, которая заключается в том, что администратор

определяет правила типа "кто, куда и откуда имеет право использовать те или иные информационные ресурсы".

Управление безопасностью начинается с управления таблицей маршрутов. При статическом администрировании маршрутов включение и

удаление последних производится вручную, в случае динамической маршрутизации эту работу выполняют программы поддержки динамической

маршрутизации.

Следующий этап - это управление системой доменных имен и

определение разрешений на копирование описания домена и контроля запросов на получение IP-адресов. Нашумевшая история с сервером InfoArt -

это типичная атака на этот вид информационного сервиса Internet. Следующий барьер - это системы фильтрации TCP/IP трафика.

Наиболее распространенным средством такой борьбы являются системы FireWall. Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определенных адресов

и отправлять пакеты на также определенные адреса. И, наконец, последнее средство защиты - это шифрация трафика. Для этой цели также используется

масса программного обеспечения, разработанного для организации защищенного обмена через общественные сети.

Кроме того, в рамках анализа способов передачи информации по сети будут рассмотрены средства изучения трафика, которыми обычно и

пользуются злоумышленники при поиске конфиденциальной информации.

16

2. Основы межсетевого обмена в сетях TCP/IP

Сеть Internet - это сеть сетей, объединяющая как локальные сети, так и

глобальные сети типа NSFNET. Поэтому центральным местом при обсуждении принципов построения сети является семейство протоколов межсетевого обмена TCP/IP.

Под термином "TCP/IP" обычно понимают все, что связано с протоколами TCP и IP. Это не только собственно сами проколы с

указанными именами, но и протоколы построенные на использовании TCP и IP, и прикладные программы.

Главной задачей стека TCP/IP является объединение в сеть пакетных подсетей через шлюзы. Каждая сеть работает по своим собственным законам,

однако предполагается, что шлюз может принять пакет из другой сети и доставить его по указанному адресу. Реально, пакет из одной сети передается

в другую подсеть через последовательность шлюзов, которые обеспечивают сквозную маршрутизацию пакетов по всей сети. В данном случае, под

шлюзом понимается точка соединения сетей. При этом соединяться могут как локальные сети, так и глобальные сети. В качестве шлюза могут

выступать как специальные устройства, маршрутизаторы, например, так и компьютеры, которые имеют программное обеспечение, выполняющее функции маршрутизации пакетов. Маршрутизация - это процедура

определения пути следования пакета из одной сети в другую.

Такой механизм доставки становится возможным благодаря

реализации во всех узлах сети протокола межсетевого обмена IP. Если обратиться к истории создания сети Internet, то с самого начала

предполагалось разработать спецификации сети коммутации пакетов. Это значит, что любое сообщение, которое отправляется по сети, должно быть

при отправке "нашинковано" на фрагменты. Каждый из фрагментов должен быть снабжен адресами отправителя и получателя, а также номером этого

пакета в последовательности пакетов, составляющих все сообщение в целом. Такая система позволяет на каждом шлюзе выбирать маршрут, основываясь

на текущей информации о состоянии сети, что повышает надежность системы в целом. При этом каждый пакет может пройти от отправителя к получателю по своему собственному маршруту. Порядок получения пакетов

получателем не имеет большого значения, т.к. каждый пакет несет в себе информацию о своем месте в сообщении. При создании этой системы

принципиальным было обеспечение ее живучести и надежной доставки сообщений, т.к. предполагалось, что система должна была обеспечивать

управление Вооруженными Силами США в случае нанесения ядерного удара по территории страны.

2.1. Структура стека протоколов TCP/IP

При рассмотрении процедур межсетевого взаимодействия всегда

опираются на стандарты, разработанные International Standard Organization (ISO). Эти стандарты получили название "Семиуровневой модели сетевого

17

обмена" или в английском варианте "Open System Interconnection Reference Model" (OSI Ref.Model). В данной модели обмен информацией может быть

представлен в виде стека, представленного на рисунке 2.1. Как видно из рисунка, в этой модели определяется все - от стандарта физического

соединения сетей до протоколов обмена прикладного программного

обеспечения. Дадим некоторые комментарии к этой модели.

Физический уровень данной модели определяет характеристики

физической сети передачи данных, которая используется для межсетевого обмена. Это такие параметры, как: напряжение в сети, сила тока, число

контактов на разъемах и т.п. Типичными стандартами этого уровня являются,

например RS232C, V35, IEEE 802.3 и т.п.

Рис. 2.1. Семиуровневая модель протоколов межсетевого обмена OSI К канальному уровню отнесены протоколы, определяющие

соединение, например, SLIP (Strial Line Internet Protocol), PPP (Point to Point Protocol), NDIS, пакетный протокол, ODI и т.п. В данном случае речь идет о

протоколе взаимодействия между драйверами устройств и устройствами, с одной стороны, а с другой стороны, между операционной системой и

драйверами устройства. Такое определение основывается на том, что драйвер - это, фактически, конвертор данных из оного формата в другой, но при этом

он может иметь и свой внутренний формат данных.

К сетевому (межсетевому) уровню относятся протоколы, которые отвечают за отправку и получение данных, или, другими словами, за

соединение отправителя и получателя. Вообще говоря, эта терминология пошла от сетей коммутации каналов, когда отправитель и получатель

действительно соединяются на время работы каналом связи. Применительно к сетям TCP/IP, такая терминология не очень приемлема. К этому уровню в

TCP/IP относят протокол IP (Internet Protocol). Именно здесь определяется отправитель и получатель, именно здесь находится необходимая информация

для доставки пакета по сети.

18

Транспортный уровень отвечает за надежность доставки данных, и здесь, проверяя контрольные суммы, принимается решение о сборке

сообщения в одно целое. В Internet транспортный уровень представлен двумя протоколами TCP (Transport Control Protocol) и UDP (User Datagramm Protocol). Если предыдущий уровень (сетевой) определяет только правила

доставки информации, то транспортный уровень отвечает за целостность доставляемых данных.

Уровень сессии определяет стандарты взаимодействия между собой прикладного программного обеспечения. Это может быть некоторый

промежуточный стандарт данных или правила обработки информации. Условно к этому уровню можно отнеси механизм портов протоколов TCP и

UDP и Berkeley Sockets. Однако обычно, рамках архитектуры TCP/IP такого подразделения не делают.

Уровень обмена данными с прикладными программами

(Presentation Layer) необходим для преобразования данных из

промежуточного формата сессии в формат данных приложения. В Internet это преобразование возложено на прикладные программы.

Уровень прикладных программ или приложений определяет протоколы обмена данными этих прикладных программ. В Internet к этому уровню могут быть отнесены такие протоколы, как: FTP, TELNET, HTTP,

GOPHER и т.п.

Вообще говоря, стек протоколов TCP отличается от только что

рассмотренного стека модели OSI. Обычно его можно представить в виде схемы, представленной на рисунке 2.2.

Рис. 2.2. Структура стека протоколов TCP/IP

В этой схеме на уровне доступа к сети располагаются все протоколы

доступа к физическим устройствам. Выше располагаются протоколы межсетевого обмена IP, ARP, ICMP. Еще выше основные транспортные

протоколы TCP и UDP, которые кроме сбора пакетов в сообщения еще и определяют какому приложению необходимо данные отправить или от

какого приложения необходимо данные принять. Над транспортным уровнем располагаются протоколы прикладного уровня, которые используются приложениями для обмена данными.

Базируясь на классификации OSI (Open System Integration) всю архитектуру протоколов семейства TCP/IP попробуем сопоставить с

эталонной моделью (рисунок 2.3).

19