Servicii de rețea și servicii de rețea. Clasificarea serviciilor de rețea solicită managerul de servicii de rețea și

CCS.

Furnizorul de Internet CCS oferă servicii de comunicare, de la accesul la o rețea și la telefonie și se încheie cu plasarea echipamentelor în centrele de date și integrarea sistemului. Canalul web al companiei este unit cu linii puternice de comunicare a segmentelor globale și rusești de internet.

Tarifele pe internet CCS

Furnizorul dezvoltă o schemă a unei organizații individual pentru fiecare client, selectarea opțiunilor tehnice și crearea de conexiuni complexe și multi-nivel. Conectarea la rețea poate fi implementată cu o viteză maximă de 10 Gbps pe secundă.

Caracteristici

CCS combină perfect serviciile și tehnologiile, realizând o eficiență și o organizație maximă. Lucrul cu un furnizor implicat în întregul complex de servicii de telecomunicații este mai ușor și mai convenabil decât cu mai multe diferite. Calitatea serviciilor este realizată printr-o abordare individuală și o selecție a soluțiilor optime pentru dezvoltarea clienților. Suportul tehnic pentru consultare și rezolvare a sarcinilor funcționează zilnic și în jurul ceasului.

Instrumente de control la distanță pentru sistemele de operare UNIX, Windows NT și NetWare.

Când vorbesc despre telecomandă, ele au de obicei, având în vedere platforma de control al rețelei, bazată pe protocolul SNMP. Printre cele mai comune platforme se pot numi HP OpenView, Microsoft SMS, Novell Gineightise, etc. Cu toate acestea, capacitățile lor sunt destul de limitate: sunt potrivite pentru monitorizarea dispozitivelor de rețea, dar mult mai rău - pentru a gestiona direct funcționarea serverelor și a sistemului de operare. Deci, folosind platforma de gestionare a rețelei, este imposibil să creați un cont de utilizator, executați programul pe server, scrieți un script executabil și multe altele. Prin urmare, în loc de "platforma de management", ar fi mai corect să consume termenul "platformă de monitorizare".

Este bine cunoscut faptul că instrumentul cel mai convenabil de administrare a serverului este consola sa. (Sistemul de operare NetWare reprezintă un caz special pe care îl vom lua în considerare separat.) Din consola, administratorul poate urmări orice activitate pe server, precum și gestionarea resurselor sistemului de operare de rețea. Cu toate acestea, administratorul nu are întotdeauna capacitatea de a fi la consola UNIX sau Windows NT.

Deși fenomenul de zi cu zi a devenit plasarea serverelor în camere speciale de servere, administratorii de rețea nu caută să se mute în astfel de spații. În primul rând, camerele de servere sunt completate nu numai de servere, ci și echipamente active de rețea, surse puternice de alimentare neîntreruptibile, dulapuri de comutare, mijloace de backup etc. Datorită fundalului electromagnetic nefavorabil, găsirea constantă a personalului din camera serverului este nedorită . În al doilea rând, există un zgomot destul de mare în astfel de camere, din cauza căruia este uneori dificil de utilizat chiar și un telefon. După 8 ore de lucru în astfel de condiții, o persoană se simte complet spartă. În al treilea rând, camerele de servere într-o organizație mare pot fi mai multe. În motivele specificate, administratorul ar dori să aibă un loc de muncă în afara camerei de server, dar să se bucure de toate avantajele consolei.

În plus, utilizatorii au în mod constant anumite probleme, iar administratorul este forțat să viziteze locurile clienților. În astfel de cazuri, este important ca acesta să poată gestiona de la distanță sistemul de operare de rețea, de exemplu, pentru a atribui drepturi de acces, crearea unui nou cont de utilizator, creșterea dimensiunii sistemului de fișiere și așa mai departe.

În cele din urmă, pot apărea probleme și acasă când administratorul este acasă. În astfel de cazuri, este de dorit ca acesta, folosind computerul de acasă și un modem, să poată identifica și să corecteze de la distanță problema și să nu se grăbească prin cap în birou.

Toate sistemele de operare a rețelei au unelte de administrare la distanță sau încorporate sau furnizate de companii independente. Unele dintre ele implementează conceptul de consola la distanță (sau terminalul la distanță), partea oferă instrumente de administrare disparat care vizează rezolvarea numai a unor sarcini specifice.

Sisteme de operare și administrare

Înainte de a vorbi despre telecomanda OS-ului de rețea, luăm în considerare pe scurt principiile de administrare a celor mai populare sisteme de operare: Windows NT, Unix și NetWare. Poate că sistemul cel mai puternic nu este numai pentru parametrii funcționali, dar și de capacitățile de administrare sunt UNIX OS. În Unix, kernelul este separat de cochilia grafică, în timp ce coaja grafică nu este necesară pentru server, deși este utilizată destul de des. Interacțiunea interactivă între utilizator și sistemul de operare este efectuată prin carcasa comenzii Shell. Are mai multe implementări, cu o popularitate deosebită a cochiliei Bourne (SH), C Shell (CSH), Korn Shell (KSH) și Bourne din nou coajă (Bash). Fiecare dintre cochilii de comandă are propriul limbaj de programare pentru a scrie scripturi. În plus, UNIX este renumit pentru cel mai bogat set de utilități aplicate, inclusiv utilitățile de sortare, căutare, editare streaming, analiza lexicală, procesarea macrocomenzilor, filtre și multe altele. Cu Shell, Utilități de sistem, programe de aplicații și Transportoare UNIX vă permit să creați programe de administrare extraordinar de flexibile.

Sistemul de fereastră X (X11) Plicul grafic este utilizat în Unix. Spre deosebire de astfel de cochilii ca parte a Microsoft Windows și Apple MacOS, mediul X11 este o rețea și separată de kernel. Adică din punctul de vedere al kernelului, sistemul X11 este un program de utilizator convențional. În cadrul X11, orice computer Unix (cu drepturi adecvate) poate acționa ca un client sau server x11. Ar trebui să se țină cont de faptul că, cu o practică general acceptată, serverul X11 este numit computerul, imaginea este afișată pe afișaj, iar clientul este mașina pe care este lansată programul. Serverul de x11 există pentru multe OS comune, inclusiv Windows, MacOS etc., în timp ce software-ul client este implementat în principal pe Unix.

În Unix modern, utilitățile cu trei tipuri de interfețe sunt utilizate pentru sarcini de management: linia de comandă, text interactiv și grafică. Cu toate acestea, cele mai puternice și acoperind toate capabilitățile sistemului de operare sunt utilități pe linia de comandă. Astfel de programe sunt utilizate în mod activ pentru a efectua operațiuni recurente, cum ar fi crearea unui cont de utilizator sau atribuirea drepturilor de acces. Textul interactiv și utilitățile grafice au apărut ca parte a UNIX relativ recent, dar datorită naturii interactive a comunicării beneficiului de aplicarea lor în compoziția programelor de pe coajă este departe de a fi înțelept. Astfel de utilitare sunt utilizate în principal pentru setările episodice și fine ale sistemului de operare și echipamente. Astfel, orice emulator al terminalului de text este potrivit pentru administrarea Unix.

În ciuda faptului că Microsoft Windows NT nu poate fi completat cu Unix în probleme administrative. Pentru confortul administrației - da, dar nu este pentru capacitățile sale. După cum știți, carcasa grafică a ferestrelor este inseparabilă de kernelul de sistem. Deși în ceea ce privește fiabilitatea, aceasta nu este cea mai bună opțiune, această implementare vă permite să obțineți indicatori excepțional de performanți asupra operațiunilor grafice. Un alt lucru este că pe serverul NT, este un pic de la aceasta - atribuirea serverului nu este în ieșirea rapidă a informațiilor grafice. Microsoft a condus efectiv utilizatorii într-un unghi, oferind ca client (nt stație de lucru) și server (NT server) în esență și același sistem. În plus, mediul grafic Windows nu este o rețea.

Pentru Windows NT, există mai multe utilități de administrare pe baza de date linia de comandă. Cu toate acestea, setul lor este destul de limitat, în plus, posibilitatea procesorului de comandă încorporată nu merge la nici o comparație cu cochilia de la Unix. Un număr de programe de gestionare a utilizatorilor la distanță, domenii, drepturi de acces etc. vin, de asemenea, cu Windows NT Server. Astfel de programe pot fi instalate pe computerele Windows 9x și NT. Cu toate acestea, multe aplicații de rețea, dezvoltatori independenți, nu au telecomenzi. Prin urmare, pentru controlul deplin al mediului de rețea, administratorul este forțat să stea în spatele consolei sau să emită consola folosind programe specializate.

Structura de gestionare a NetWare este radical diferită de sistemul de operare de rețea adoptat. Toate operațiile de configurare a serverului, inclusiv lansarea aplicațiilor, sunt efectuate din consola. În același timp, gestionarea conturilor, imprimantelor, fișierelor, serviciului de director NDS din scaunele clientului. Adevărat, în cea mai recentă versiune de NetWare 5 există o singură consolă de administrare a rețelei, cu care administratorul poate gestiona resursele de rețea de oriunde în rețea, inclusiv din consola. Cu toate acestea, caracteristicile consolee sunt prea limitate și funcționează încet deoarece este scris pe Java. În plus, cota de NetWare 5 pe piața de rețea este neglijabilă, deoarece partea principală a rețelelor Novell este creată pe baza versiunilor NetWare 4.x. Consola NetWare operează în modul text (în NetWare 5, serverul acceptă atât modul grafic), astfel încât controlul este efectuat utilizând programe cu o linie de comandă și o interfață de text interactivă. Limba de comandă a lui Netware este suficient de slabă, dar interpreții de bază și perl sunt disponibili ca parte a sistemului de operare, permițându-vă să creați programe destul de grave. Lista consolei la distanță este inclusă în NetWare oferă acces la consola de servere în rețea cu mașini client DOS, MacOS, UNIX.

Pentru a gestiona NDS, conturile, imprimantele, drepturile de acces etc. Există programe de text grafic și interactiv concepute pentru a lucra la locațiile clienților. Numărul de utilități disponibile pe baza liniei de comandă este mic, iar capacitatea lor este limitată. Dacă vorbim pe scurt, în ceea ce privește gestionarea NDS, utilitățile grafice au cele mai puternice caracteristici (și administrator NetWare), apoi programe text interactive (netadmin, pconsole etc.) și numai apoi utilitatea liniei de comandă.

Având în vedere caracteristicile de bază ale structurii de gestionare a sistemului de rețea, putem acum să mergem la cunoștință cu cel mai comun mijloc de telecomandă.

Telnet

Poate că cel mai renumit program de control al telecomenzii UNIX este Telnet, mai ales că este inclus în livrarea aproape orice sistem de operare modern. Telnet este un program de emulare terminală care utilizează propriul protocol de aplicație Telnet. Pentru a susține serviciul Telnet, un program de sistem (numit demonul Unix) Telnetd trebuie lansat pe server, care procesează solicitările clientului Telnet. Serverul Telnet poate servi mai mulți clienți simultan, în timp ce protocolul Telnet utilizează TCP (portul 23) ca protocol de transport TCP.

Utilizând Telnet, puteți gestiona nu numai computerele UNIX, dar și cu dispozitive de rețea, cum ar fi routerele, comutatoarele, serverele de acces la distanță etc. Telnet poate fi de asemenea utilizat pentru a administra Windows NT (Software Server pentru acest serviciu disponibil sub formă de mai multe gratuite și programe comerciale), dar numai în modul linia de comandă. Telnet oferă utilizatorului posibilitatea de a se conecta de la locul său la serverul de la distanță și de a lucra cu acesta în modul text. În același timp, este creată o iluzie completă pentru utilizator, că stau în spatele terminalului de text al acestui server.

Telnet este perfect pentru rețele eterogene, deoarece se bazează pe conceptul terminalului virtual al rețelei (terminalul virtual al rețelei, NVT). Se știe că diferite sisteme de operare și hardware au caracteristici specifice legate de introducerea / ieșirea și prelucrarea informațiilor. Deci, în Unix, LF este folosit ca simbol al unui alt șir, în timp ce în MS-DOS și Windows - o pereche de caractere CR-LF. Terminalul Virtual Network NVT vă permite să rezumați de la caracteristicile de echipamente specifice utilizând un set standard de caractere. Clientul Telnet este responsabil pentru convertirea codurilor clientului la codurile NVT, iar serverul face transformarea inversă (a se vedea figura 1).

Telnet oferă un mecanism de configurare a parametrilor în care clientul și serverul pot negocia opțiuni specifice, inclusiv codarea datelor (7 sau 8 biți), modul de transmisie (jumătate duplex, templu, linie), tipul de terminal și alții. Echipele și datele din Telnet sunt transmise independent unul de celălalt. Pentru a face acest lucru, folosind un cod special Telnet este tradus din modul de transfer de date la modul de transmisie a comenzii și invers. Comenzile sunt informații care servește la gestionarea serviciului Telnet, în timp ce datele sunt introduse / sunt afișate prin driverele terminale (client) sau pseudo-terminale (server).

Telnet este un program destul de puternic de control la distanță, dar are o serie de defecte fundamentale. Cel mai important lucru este că toate datele, inclusiv parolele, sunt transmise între computere în formă deschisă. Conectarea la rețea, orice persoană care utilizează cel mai simplu analizor de protocol nu poate citi numai informațiile, ci chiar se confruntă cu parola pentru accesul neautorizat. În rețeaua locală, probabilitatea acestor atacuri poate fi redusă prin utilizarea comutatoarelor (hub-uri de comutare). Desigur, pe rețeaua locală, utilizarea la scară largă a comutatoarelor este foarte consistentă, dar lucrările administratorilor sunt mai bine să le conectezi prin ele. Cu toate acestea, atunci când accesează prin Internet, în special atunci când administratorul funcționează acasă, problema rămâne. Cu toate acestea, puteți organiza accesul la servere prin servere de acces la distanță, aplicând protocoale de autentificare, cum ar fi CHAP, și nu utilizează canalele de comunicare ale furnizorilor de Internet. Din păcate, această abordare nu este acceptabilă pentru toate organizațiile.

Aș numi a doua problemă că programele gratuite de client Telnet incluse în sistemele de operare au capacități limitate. Se întâmplă adesea că programul de text interactiv nu poate fi lansat nici măcar, deoarece clientul Telnet nu acceptă tipul terminalului server, iar programul interactiv nu dorește să funcționeze cu acele tipuri de terminale, care sunt în client Telnet.

Cu toate acestea, în ciuda dezavantajelor specificate, Telnet rămâne cel mai comun program de control la distanță.

Rlogin.

Pentru prima dată care a apărut în 4.2bsd Unix, programul RLogin în același timp a fost extrem de popular în mediul Unix. Ca mijloc de acces terminal, RLogin este foarte asemănător cu Telnet, dar datorită integrării strânse cu sistemul de operare, a existat o utilizare foarte limitată în alte sisteme. Rlogin nu există mai multe opțiuni care sunt caracteristice Telnet, în special modul de potrivire a parametrilor dintre client și server: tipul de terminal, codificarea datelor etc. Prin urmare, dimensiunea codului programului RLogin este de aproape zece ori mai mică decât cea a Telnet. Cu toate acestea, Rlogin oferă relații de încredere între gazde: pe serverul RLogin în fișiere speciale (de obicei /etc/hosts.equiv și $ acasă / .rhosts), administratorul poate lista computerele, accesul la care acest server va fi permis fără o parolă . Utilizatorii altor computere (care nu sunt listate în aceste fișiere) pot intra pe server numai după introducerea parolei.

O altă versiune a programului RLogin, cunoscută sub numele de RSH, vă permite să rulați programe pe o mașină la distanță, iar intrarea și ieșirea sunt efectuate pe un computer local. Un alt program - RCP - este destinat copierii fișierelor între computerele rețelei. Utilitățile RLogin, RSH și RCP sunt adesea combinate sub numele general al comenzilor R.

Din păcate, după cum a arătat practica, relațiile de încredere bazate pe nume gazdă sunt un pericol extrem, deoarece deschid ocazia de acces neautorizat. Utilizarea largă a tehnologiei de substituție a adreselor IP a hackerilor (spoofing IP) și nume de domenii (DNS-Spoofing) face ca serviciul comenzilor R să fie neprotejat. Acest lucru este adevărat chiar și atunci când relațiile de încredere dintre gazde nu sunt instalate deloc. Prin urmare, serviciul RLogin a fost aplicat numai pe rețelele complet închise de pe Internet. La fel ca Telnet, datele și parolele (în absența relațiilor de încredere) sunt transmise în formă deschisă.

În plus, software-ul clientului pentru comenzile R pe platformele DOS și Windows este răspândit mai puțin decât pentru Telnet și este în cea mai mare parte disponibilă numai ca parte a produselor comerciale destul de scumpe.

Secure Shell.

Evident, transferul de date și parolele particulare asupra rețelei în formularul deschis în programele Telnet și RLogin nu pot fi satisfăcute chiar și cu cerințe minime de siguranță. Protejați sistemele de informații de la atacurile atacatorului în mai multe moduri. Unele dintre ele prevăd protecția prin parolă, în timp ce alții vizează criptarea întregului flux de informații. Printre cele mai recente cele mai populare shell-uri sigure (ssh) este folosită, care face parte din orice set gentlenic pentru accesul terminal UNIX securizat. Versiunea non-profit a shell-ului securizat poate fi descărcată de pe serverul autorului T. Malonen ( http://www.ssh.fi.). Cu toate acestea, versiunea ssh gratuită este disponibilă numai pentru Unix. Felows de date ( http://www.datafellows.com.) A furnizat o versiune SSH comercială, îmbunătățită, inclusiv platforma Windows.

Secure Shell oferă caracteristici similare celor disponibile la comenzile Telnet și R, incluzând nu numai accesul terminalului, ci și instrumentele pentru copierea între computere. Dar, spre deosebire de ele, SSH oferă, de asemenea, o conexiune sigură de către x11.

Operațiunea de siguranță SSH se realizează prin utilizarea protocolului la nivel de transport, a protocolului de autentificare și a protocolului de conectare. Protocolul stratului de transport este responsabil pentru autentificarea serverului, protocolul de autentificare - pentru identificarea fiabilă și autentificarea clienților. Protocolul de conectare formează un canal de informare criptat.

După cum sa menționat deja, Shell Secure a devenit un fel de standard pentru accesul securizat, inclusiv în Rusia. Acesta este un produs foarte interesant care poate fi petrecut foarte lung. Cu toate acestea, nu vom face acest lucru (mai multe informații despre Shell Secure pot fi învățate în articolul M. Kuzminsky "SSH - o lucrare zilnică sigură" în revista "Open Systems" nr. 2 pentru 1999). Lucrul este că acest produs este același ca multe similare, interzise pentru utilizare în Rusia.

În conformitate cu Decretul Președintelui Federației Ruse nr. 334 din 03.04.95 persoanelor fizice și oricăror organizații, inclusiv acțiuni publice, private și comune, funcționarea sistemelor de criptografie care nu au fost supuse certificării în FAPSI sunt interzise. Și Shell Secure este doar un astfel de sistem. Cu toate acestea, nu merită ofensată de serviciile noastre speciale - nu suntem singuri în lume, în unele țări, de exemplu în Franța, regulile sunt și mai stricte (justiția este de remarcat faptul că în Franța din luna martie a acestui an Restricțiile în domeniul sistemelor de criptare sunt slăbite în mod semnificativ). De asemenea, nu este necesar să credem că încercăm să interzicem protejarea informațiilor confidențiale: organizațiile nu numai că pot, dar sunt, de asemenea, obligate să protejeze informațiile importante. Numai pentru aceasta, ei trebuie să aplice fonduri certificate și să nu distribuite liber pe Internet. Desigur, programele bazate pe SSH, SSL, PGP etc. sunt comune cu noi peste tot, dar trebuie amintit că utilizarea lor este plină de probleme considerabile. Utilizatorii de programe similare sunt potențial expuse riscului de procedură din serviciile speciale. În orice caz, nu avem nici un drept și dorință de a promova această abordare.

Autentificare sigură

În majoritatea cazurilor, sarcinile de gestionare a administratorilor nu sunt interesați de protecția datelor transmise, dar autentificarea fiabilă a utilizatorilor, astfel încât atacatorul să nu poată intercepta și să utilizeze parola de administrator. Soluțiile pot fi mai multe. În primul rând, este tehnologia Kerberos bazată pe mandatele emitente (bilet). (De fapt, Kerberos oferă nu numai autentificarea, ci și criptarea comunicațiilor de rețea, care, din nou, sub acțiunea decretului prezidențial.) Adevărat, datorită restricțiilor de export ale guvernului SUA, mecanismul de criptare este în mod semnificativ slăbit. În sistemele dial-up-uri corporative, pot fi utilizate astfel de servicii de autentificare fiabile ca rază, TACACS + și XTACAC. Dar toate aceste servicii (inclusiv Kerberos) implică o deschidere la scară largă a infrastructurii de rețea care implică costuri ridicate. Este puțin probabil ca aceasta să fie justificată dacă gama de sarcini de acces la distanță este limitată numai de problemele de rețea ale sistemului de operare de rețea.

Pentru astfel de sarcini, mijloacele de suport pentru parola de unică folosință sunt mai potrivite (parolă unică, OTP). Esența unor astfel de sisteme este că parola de utilizator transmisă prin rețea este valabilă numai pentru o singură sesiune de comunicare. Adică, chiar dacă atacatorul a reușit să intercepteze parola, atunci nu va putea să o folosească, deoarece parola va fi deja modificată la următoarea sesiune.

Pentru a utiliza OTP pe server, Telnet Demons, Rlogin, FTP va trebui înlocuit (desigur, serviciile noi pot fi pornite selectiv, de exemplu, folosind Telnetd actualizate, dar lăsați FTPD-ul nativ). În acest caz, software-ul client nu trebuie să fie actualizat, ceea ce este foarte convenabil. Pentru prima dată, sistemul OTP operațional a fost emis de Bell Core (acum Telcordia Technologies) în 1991 numit s / cheie. O caracteristică importantă a cheii S / cheie este că la început a fost un produs necomercial care lucrează cu o multitudine de versiuni UNIX. Acum, cele mai populare sunt următoarele versiuni ale sistemelor OTP (toate acestea, cu excepția versiunii Key 2.0 și mai mari, sunt distribuite gratuit):

  • S / cheie de tehnologii Telcordia (FTP://ftp.bellcore.com);
  • Opie US Navy Laborator de Cercetare (FTP://ftp.nrl.navy.mil);
  • LogDaemon, dezvoltat de viite (FTP://ftp.porcupine.org/pub/security).

Sistemele listate sunt compatibile cu s / cheie 1.0. Implementările actuale ale OTP se bazează pe algoritmi de hash MD4 și MD5 (în s / tasta 1.0 utilizată exclusiv MD4).

Cum funcționează sistemele OTP? La inițializarea OTP pe server, fiecare utilizator atribuie doi parametri: cheia secretă (nu este transmisă în rețea) și numărul de iterații, adică numărul de intrări în sistem la care va acționa această cheie secretă. Pe server la o cheie secretă, se utilizează un algoritm MD4 sau MD5, iar valoarea hashizată este amintită. După aceea, utilizatorul poate lucra cu serverul peste rețea prin metoda obișnuită, FTP etc.

Autentificarea utilizatorului în timpul accesului terminal este efectuată după cum urmează. După introducerea numelui utilizatorului, se emite numărul următoarei iterație și o anumită sursă (semințe). Începutul procedurii de autentificare a utilizatorului este prezentat în figura 2. Aici numărul de iterație este 967, iar sursa este JAR564. În câmpul Parolă, utilizatorul trebuie să intre nu o cheie secretă, iar fraza de parolă constând din șase cuvinte. Această frază este formată pe baza cheii secrete, numerele de iterație și sursa utilizând un calculator special (a se vedea figura 3). Pentru a obține o frază de parolă, utilizatorul intră în numărul iterației, sursa și cheia sa secretă (în exemplul rezultat, fraza parolei finale are forma: "Nu Huff Ode Hunk Dog Ray").

Fraza de parolă este apoi introdusă în câmpul de parolă al programului de acces terminal, după care utilizatorul este identificat de server. Ar trebui să se țină cont de faptul că, cu următoarea autentificare, numărul de iterație va scădea cu unul, sursa nu se va schimba, iar fraza parolei va fi complet diferită. Astfel, interceptarea frazei parolei nu va da nimic atacatorului, deoarece atunci când încearcă să se înregistreze, sistemul nu o identifică. Componenta principală de securitate este cheia secretă și nu este transmisă niciodată în rețea. Datorită utilizării algoritmilor MD4 și MD5, calculați cheia secretă a frazei parolei, a numărului de iterație și a sursei este aproape imposibilă.

Când se atinge numărul de iterație numerică, contul de utilizator trebuie inițializat din nou.

Poate părea că principalele inconveniente este un calculator. Dar acest lucru nu este cazul, deoarece calculatorul este un program foarte mic care nu necesită setări. Astfel de calculatoare sunt distribuite în mod liber pentru toate platformele populare, inclusiv MS-DOS, Windows, Macintosh și Unix. Mai mult, frazele de parolă pot fi amintite (sau scrie) în avans, la mai multe sesiuni de acces terminal, reducând în mod consecvent numărul de iterație. Astfel, pentru a gestiona de la distanță serverul, administratorul nu are nevoie să instaleze un calculator la toate locurile clienților pe care ar putea fi trebuit să funcționeze.

X Sistem de ferestre

Deși aproape toate sarcinile de gestionare UNIX pot fi executate în modul text, administratorii preferă adesea o interfață grafică ca mai convenabilă. În plus, unele aplicații UNIX care au apărut pe piață pot fi controlate numai în mediul grafic. Software-ul X-Server care este responsabil pentru afișarea informațiilor grafice este disponibil pentru o varietate de platforme, inclusiv DOS, Windows, Macintosh, Unix, etc. Cu toate acestea, în majoritatea cazurilor (cu excepția Unix) vine cu produse comerciale scumpe. Clienții X11 (așa cum au subliniat deja, conceptul clientului și serverul din sistemul de ferestre X nu se potrivesc cu practica general acceptată), sunt utilizate în principal, servere UNIX.

Ar trebui să se țină cont de faptul că aplicarea sistemului de ferestre X presupune prezența unei lățime de bandă de rețea suficient de mare. Sistemul funcționează perfect în rețelele locale, dar foarte lent - pe canale globale. Prin urmare, atunci când utilizați sistemul de ferestre X de pe computerul de acasă al administratorului, controlul este mai bine realizat prin utilitățile terminale, cum ar fi XTERM, și nu prin intermediul unor utilități grafice.

Când se conectează la serverul UNIX (pe care sunt lansate clienții X11), autentificarea poate fi efectuată prin două metode: prin intermediul utilităților terminale (Telnet, RLogin etc.) și prin intermediul managerului X DISPLAY, afișează XDM. În prima transmisie a parolei în formularul deschis, puteți evita utilizarea programelor SSH și OTP deja menționate în loc de Telnet și Rlogin. În cazul lui X Display Manager, parolele implicite sunt transmise în formularul deschis. Prin urmare, atunci când gestionați de la distanță serverul UNIX pe rețelele XDM disponibile public, nu este necesar să utilizați.

Administratorii foarte atent trebuie să abordeze utilizarea serverului Unix ca server x (adică, vorbind despre limbajul ușor de înțeles, la lansarea carcasei grafice X11 pe serverul UNIX). Sistemul de ferestre X este proiectat astfel încât utilizatorul să poată rula clientul X de la aparatul său de pe serverul de la distanță x și să intercepteze intrarea / ieșirea pe ea. Ca urmare, atacatorul primește capacitatea de a citi informații confidențiale de pe serverul X, inclusiv parolele introduse de utilizator pe serverul X (deși emulatorul terminal XTEM vă permite să blocați interceptarea parolei, această oportunitate este rar utilizată).

Pe serverele X, se aplică două scheme de autentificare a clientului: prin numele gazdei și cu ajutorul "Magic Buns" (MIT-Magic-Cookie-1). Când autentificați numele gazdei de pe serverul X, sunt create fișierele de sistem, unde sunt enumerate gazde, de unde sunt permise programele client X pe acest server X. Dar nu puteți apela o astfel de protecție suficient, deoarece atacatorul poate fi atacat folosind adresele IP sau numele de domeniu pe X11. Când utilizați schema "Magic Buns" (suportul lor este încorporat în protocolul XDMCP, pe care se bazează X Manager de afișare X), autentificarea se efectuează pe baza conturilor de utilizator. Pentru a avea dreptul de a rula clientul pe serverul X X, utilizatorul din catalogul său de domiciliu al clientului X11 trebuie să aibă un fișier de sistem cu codul secret înregistrat al serverului X. Acest cod secret este numit o grămadă magică. Problema este că bunul este transmis peste rețea într-o formă deschisă, astfel încât această metodă este, de asemenea, puțin probabil să fie considerată sigură.

Sistemul de fereastră X 11 Eliberarea 5 a adăugat încă două scheme (XDM-autorizare-1 și Sun-des-1), care seamănă cu schema MIT-Magic-Cookie, dar folosind algoritmul de criptare des. Cu toate acestea, din cauza restricțiilor la export, schemele incluse în livrarea sistemului de ferestre X nu includ. Pe baza considerentelor de mai sus, este posibilă rularea serverului cu X11 pe serverul UNIX numai când accesul clientului X11 este refuzat de alte computere.

Tot ce a fost menționat despre serverul de securitate scăzut X de pe serverul UNIX este aplicat pe deplin la mașinile clientului de administrator client pe care funcționează sistemul de ferestre x.

Windows NT Server.

La instalarea serverului Microsoft Windows NT, se presupune că administrarea OS va fi efectuată de la consola de servere. Cu toate acestea, Kitul Server NT conține utilitare de control la distanță. Acestea se află pe distribuția serverului Windows NT în directorul \\ clients \\ srvTools. Aceste utilități pot fi instalate atât pe stația de lucru Windows NT, cât și pe Windows 9x (a se vedea figura 4). Cu ajutorul lor, puteți efectua administrarea conturilor de utilizator și grupuri, drepturi și privilegii, domenii NT, înregistrări de evenimente de monitorizare pe servere și stații de lucru. Utilitățile funcționează în modul grafic, similar cu utilitățile "native" ale utilităților de control al serverului NT. Deși utilitățile de control la distanță vă permit să efectuați cea mai mare parte a lucrărilor privind administrarea sistemului, nu există un număr de programe importante în acest set. De exemplu, cu ajutorul lor, este imposibil să se efectueze configurația hardware a serverului, backup-ului, managementului licențelor, monitorizării performanței etc. În plus, există multe aplicații de server de către terțe firme nu au programe de control de la distanță.

Kitul de resurse Windows NT Server, furnizat de Microsoft, include o serie de programe suplimentare de administrare, inclusiv pe baza de date a liniei de comandă. Cele mai importante dintre ele sunt aduser.exe (creați conturi de utilizator noi și grupuri), CACLS.EXE (gestionarea drepturilor de acces), Dumpel.exe (ieșirea pe ecran sau în fișierul de informații de eveniment din bușteni de evenimente), RMTSHARE (Gestionarea resurselor de rețea ). Folosind chiar și un procesor de comandă slabă, administratorul nu va fi dificil de a scrie un program standard pentru crearea unui cont nou cu drepturile și privilegiile automate.

Pentru Windows NT există și mai multe programe care implementează serverul Telnet. Cu aceasta, administratorul poate primi acces la distanță la serverul NT și rulați programul de pe linia de comandă. Din nou, trebuie amintit că în majoritatea implementărilor Telnet parola este transmisă în formă deschisă.

Dar, după cum sa observat deja, utilitățile accesului la distanță și a programului de bază de date de linie de comandă nu pot rezolva toate sarcinile administrative. Prin urmare, unele soluții sugerează emularea interfeței grafice a serverului Windows NT pe un computer la distanță.

În primul rând, aș dori să menționez produsele WinFrame din Citrix și Windows Terminal Server (WTS) de Microsoft. În conformitate cu arhitectura acestor produse, aplicațiile sunt efectuate pe serverul NT, iar intrarea / ieșirea informațiilor se efectuează pe computerele clienților. Potrivit producătorilor lor, WinFrame și WTS sunt acceptabile să funcționeze deja la 28 de viteze Kbit / S, astfel încât să puteți gestiona chiar și serverele de acasă. Pentru a utiliza aceste fonduri pe serverul NT, este necesar să plasați partea de server a software-ului și la locul de muncă al administratorilor - software-ul clientului. WinFrame și WTS nu transmite parole în formularul deschis.

De exemplu, merită să spuneți că astfel de soluții sunt redundante pentru sarcinile de administrare. Tehnologia WinFrame și WTS implică conectarea la un server al mai multor clienți. (De obicei, administratorul este suficient pentru a avea acces la server numai este unul.) Din cauza acestei soluții pe baza acestor produse, destul de scumpă. De exemplu, conexiunea clientului la serverul WinFrame va costa 200 de dolari la 400 $, ceea ce este foarte scump, deoarece o organizație nu poate fi un server și nu un administrator.

Mai adecvate, în opinia mea, pentru administrarea la distanță sunt pachete de control de la distanță specializate, cum ar fi PCANYDING-ul Symantec și Reach of Staac. Când se utilizează astfel de produse, conținutul ecranului serverului NT este duplicat pe afișajul computerului local, introducând informațiile de pe tastatură (și mouse-ul) al computerului local și este transmis la telecomandă (în acest caz - la serverul NT) . Totul arată ca administratorul se află la consola de servere. PCANYWHERE și alte produse similare funcționează nu numai pe rețeaua locală, ci și prin linii lente de comutare. Cu toate acestea, ele au o limită a numărului de conexiuni simultane la server (de obicei doar o singură conexiune). Produsele PCAYDING au unelte de criptare încorporate, astfel încât capacitatea de a intercepta parola este puțin probabilă.

Dizabilitățile comune ale telecomenzilor Windows NT sunt nevoia de a instala administratori software suplimentari pe site-urile client.

NetWare.

Datorită unicității arhitecturii Novell Netware, problemele accesului la distanță la consola ar trebui să fie separate de problemele de gestionare a resurselor de rețea.

Gestionarea conturilor de utilizator, a grupurilor, a obiectelor NDS, a drepturilor de acces NetWare sunt efectuate de la locurile clientului, astfel încât administrarea este inițial îndepărtată. Cu toate acestea, administratorii pot întâmpina un obstacol: la cea de-a cincea versiune a NetWare Protocolul principal de rețea a fost IPX / SPX. A creat și creează probleme mari atunci când gestionează serverele NetWare prin Internet. Dacă administratorul trebuie să poată gestiona sistemul de operare de rețea de la un computer de acasă, atunci el ar trebui să se gândească la conectarea la o rețea locală printr-un server de acces la distanță care acceptă protocoale IPX / SPX. Din fericire, cele mai multe servere hardware suportă un astfel de mod.

Cu toate acestea, costurile de creare a infrastructurii necesare pot fi inacceptabile, astfel încât computerele de origine ale administratorilor sunt conectate la rețeaua locală prin Internet. Într-o astfel de situație, puteți oferi următoarea opțiune: Instalați-vă pe unul dintre computerele rețelei locale PCHAYWHERE Programul (sau similar), iar gestionarea rețelei de pe computerul de acasă se efectuează prin acest link intermediar. O astfel de abordare, apropo, poate fi mai atractivă din punct de vedere al performanței, deoarece prin comutarea canalelor de comunicare ale programului de gestionare a rețelei (în special administratorul Netware) funcționează foarte încet. O altă modalitate este de a face upgrade NetWare la cea de-a cincea versiune (sau instalați NetWare / IP).

În ceea ce privește accesul la distanță la consola, NetWare include utilitarul Rconsole pentru a accesa consola din stația de lucru a rețelei. Cu toate acestea, are două limitări: În primul rând, parola consolei este transmisă în forma deschisă, în al doilea rând, IPX / SPX este utilizat ca protocol. Evitarea transmiterii parolelor în formă deschisă permite utilitățile producătorilor independenți care implementează accesul la distanță securizat la consola. Printre acestea, programul comercial Securesolesole pentru sistemele de dezvoltare Netware Protocom ( http://www.serversystems.com.). Când accesați o parolă de administrator criptată.

Ca și în alte cazuri, un obstacol sub formă de protocoale IPX / SPX poate fi eliminat prin utilizarea software-ului PCAMYWHERE (adică unul dintre computerele rețelei locale ca un raport de angrenaj). O altă metodă este aplicarea programului Xconsole care implementează accesul la consola prin intermediul sistemului de ferestre X, adică prin TCP / IP. Scrisă pe Utilitarul de acces la Java de la distanță Rconsolej ca parte a NetWare 5 utilizează, de asemenea, TCP / IP ca transport. Cu toate acestea, programele de parole Xconsole și Rconsolej sunt transmise în formularul deschis. Rezumarea, putem spune că pentru controlul NetWare la distanță, se recomandă utilizarea de fonduri specializate cum ar fi PCAANYWHERE.

Tehnologia tehnologiei web

Tehnologia web are un efect tot mai mare asupra managementului media de rețea. Deja, multe routere, comutatoare, imprimante de rețea permit gestionarea prin browsere web. Dar această listă este departe de a fi epuizată de ei, Web invadează domeniul de aplicare al controlului sistemului de rețea. La început, de pe web, puteți gestiona numai serverele HTTP și FTP, dar această listă se extinde și acoperă în mod constant DBMS, sisteme de fișiere, firewall-uri, servicii de rețea DNS, DHCP și multe altele. Chiar și directoarele NDS pot fi controlate prin browsere folosind programe comerciale speciale. În ciuda celor de mai sus, înainte de gestionarea completă a întregului mediu de rețea, Webul nu a crescut încă. Problema exacerbează și faptul că pentru multe aplicații și, în special, dispozitive de rețea, parola HTTP este transmisă în forma deschisă.

Concluzie

La organizarea serverelor de control la distanță, mulți factori trebuie să ia în considerare, în primul rând, caracteristicile sistemului de operare de rețea, performanța liniilor de comunicare, aspecte de autentificare securizate. Cel mai complet set de instrumente de management oferă Unix, cu toate acestea, cu o abordare competentă, administratorii Windows NT și NetWare nu au, de asemenea, niciun motiv de îngrijorare.

Și portul serverului, rezultând într-un compus care vă permite să interacționați la două computere utilizând protocolul de rețea de la nivel de aplicație corespunzător.

Numerele Porter

Numărul portului pentru serviciile de "legare" este selectat în funcție de scopul său funcțional. Pentru atribuirea numerelor de porturi către anumite servicii de rețea este răspuns de IANA. Numerele de porturi sunt în intervalul 0 - 65535 și împărțit în 3 categorii:

Numerele Porter Categorie Descriere
0 - 1023 Porturi bine cunoscute Numerele portului sunt atribuite lui Iana și în majoritatea sistemelor pot fi utilizate exclusiv de către sistemul (sau utilizatorul rădăcină) sau de programele de aplicații care execută utilizatori privilegiat.

Nu ar trebui să fie utilizate Fără înregistrarea IANA. Procedura de înregistrare este definită în secțiunea 19.9 RFC 4340 (engleză).
1024 - 49151 Porturi înregistrate Numerele de port sunt incluse în directorul IANA, iar în majoritatea sistemelor pot fi utilizate de procesele utilizatorilor sau programelor obișnuite care execută utilizatorii obișnuiți.

Nu ar trebui să fie utilizate Fără înregistrarea IANA. Procedura de înregistrare este definită în secțiunea 19.9 RFC 4340.
49152 - 65535 Porturi și / sau porturi utilizate dinamic utilizate în interiorul rețelelor închise (private) Proiectat pentru utilizare temporară - ca porturi client, porturi utilizate în coordonare pentru serviciile private, precum și pentru a testa aplicațiile înainte de înregistrarea porturilor dedicate. Aceste porturi nu pot fi înregistrate .

Lista de conformitate între serviciile de rețea și numerele de porturi

Lista oficială de conformitate între serviciile de rețea și numerele de porturi este condusă de IANA.

Istoria reglementării conformității

Unificarea respectării serviciilor de rețea cu numerele de socket (porturi) a crescut în RFC 322 și 349, primele încercări de reglementare au fost luate de John Bed în RFC 433 și 503.

Lista efectivă

netstat -an.

În sistemul de operare Windows OS, rezultatul acestei comenzi arată astfel:

Conexiuni active Numele adresei locale Adresa externă Starea TCP 0.0.0.0:135 0.0.0.0.0: Ascultarea TCP 0.0.0.0: Ascultarea TCP 127.0.0.1: 2526 0.0.0.0: Ascultarea TCP 127.0.0.1:12025 0.0 .0.0: Ascultarea TCP 127.0.0.1:12080 0.0.0.0: Ascultarea TCP 127.0.0.1:12110 0.0.0.0: Ascultarea TCP 127.0.0.1:12119 0.0.0.0: Ascultarea TCP 127.0.0.1: 12143 0.0. 0.0: 0 Ascultarea TCP 192.168.0.16:139 0.0.0.0: Ascultarea TCP 192.168.0.16:1572 213.180.204.20:80 Close_wait TCP 192.168.0.16:1573 213.180.204.35:80 UDP stabilit 0.0.0.0:44 *: * UDP 0.0.0.0:500 * : * UDP 0.0.0.0:1025 *: * UDP 0.0.0.0:1056 *: * UDP 0.0.0.0:1057 *: * UDP 0.0.0.0:1066 *: * UDP 0.0.0.0:4500 *: * UDP 127.0. 0.1: 123 *: * UDP 127.0.0.1:1900 *: * UDP 192.168.0.16:123 *: * UDP 192.168.0.16:137 *: * UDP 192.168.0.16:138 *: * UDP 192.168 .0.16: 1900 *: *

În sistemul de operare din Unix, rezultatul echipei netstat -an. Are ceva de genul asta:

Conexiuni de Internet active (servere și stabilite) Proto RECV-Q SEND-Q ADRESA LOCALĂ ADRESA STAINALĂ TCP 0 0.0.0.0.0: 37 0.0.0.0.0: Ascultați TCP 0 0 0.0.0.0:199 0.0.0: * Ascultați TCP 0 0.0.0.0.0: 2601 0.0.0.0:3 Ascultați TCP 0 0 0.0.0.0:3306 0.0.0.0:3 Ascultați TCP 0 0 0.0.0.0:2604 0.0.0: * Ascultați TCP 0 0 0.0.0.0:2605 0.0.0: * Ascultați TCP 0 0 0.0.0.0:13 0.0.0.0:17 0 0 0.0.0.0:179 0.0.0.0:ro Ascultați TCP 0 0 0.0.0.0:21 0.0.0.0.0 Ascultați TCP 0 0 0.0.0.0: 22 0.0.0.0: Asculta TCP 0 0 0.0.0.0:1723 0.0.0.0 :* Asculta TCP 0 0 0 0.0.254:1723 10.0.0.243:2441 stabilit TCP 0 0 192.168.19.34:179 192.168 .19.33: 33793 stabilit TCP 1 0 192.168.18.250:37 192.168.18.243:3723 Close_wait TCP 0 0 0.0.0.0.254: 1723 10.0.0.218:1066 stabilit TCP 1 0 192.168.18.250:37 192.168.18.243:2371 Close_wait TCP 0 0 0 0.0.0.254: 1723 10.0.0.201:4346 stabilit TCP 0 0 0.0.0.254:1723 10.0.0.30:2965 stabilit TCP 0 48 192.168.19.34:22 192.168.18.18:43645 stabilit TCP 0 0 0.0.0.254: 38562 10.0.0.243:22 Stabilit. RPHED TCP 0 0 10.50.1.254:1723 10.50.1.2:5355 stabilit TCP 0 0 10.50.0.254:1723 10.50.0.174:1090 stabilit TCP 0 0 0 192.168.1254: 1723 192.168.13.104:65535 stabilit TCP 0 0 0 0.0. 0.254: 1723 10.0.0.144:65535 stabilit TCP 0 0 0.0.0.254:1723 10.0.0.169:2607 stabilit TCP 0 0 0 0.0.0.254:1723 10.0.0.205:1034 UDP stabilit 0 0 0.0.0.0:1812 0.0.0.0: * UDP 0 0.0.0.0.0: 1813 0.0.0.0:1 0 0.0.0.0:161 0.0.0.0:32 0 0 0.0.0.0:323 0.0.0.0:12 0 0 0.0.0.0:123 0.0 .0.0: * RAW 0 0 192.168.10.254:47 192.168.13.104.0.254.13.0.0.254:47 10.0.0.120: 1 RAW 0 10 10.10.204.20:47 10.10.16.110:47 RAW 0 0 192.168 .10.254: 47 192.168.11.72:3 1 RAW 0 0 10.0.0.254:47 10.0.0.144:47 10.0.0.254:47 10.0.0.205:3 1 Raw 0 0 10.50.0.254:47 10.50.0.174: * 1 RAW 0 0.0.0.0.254: 47 10.0.0.170: 1 RAW 0 0 0 10.0.0.254:47 10.0.0.179:3 1

Statutul (stat) Ascultare Spectacole conexiuni pasiv deschise (Prize de "ascultare"). Aceștia îi furnizează servicii de rețea. Stabilit - Acestea sunt conexiuni instalate, adică servicii de rețea în procesul de utilizare a acestora.

Verificați disponibilitatea serviciilor de rețea

În cazul detectării problemelor cu un serviciu de rețea, sunt folosite diferite instrumente de diagnosticare pentru a verifica disponibilitatea acesteia, în funcție de prezența acestora în acest sistem de operare.

Unul dintre cele mai convenabile mijloace - comanda TcPtraceroute (varietate tracerote), care utilizează conexiunea pachetelor de deschidere a deschiderii TCP (SYN | ACK) cu serviciul specificat (implicit - server web, portul 80) al gazdei și arată informațiile despre Timpul de trecere a acestui tip de TCP-preți prin routere, precum și informații despre disponibilitatea serviciului în gazda interesului sau, în caz de probleme cu livrarea de pachete, în care locația au apărut.

Alternativ, puteți utiliza separat

  • traceroute pentru diagnosticarea traseului de livrare a pachetelor (dezavantaj - utilizând UDP-PAKES pentru diagnosticare) și
  • telnet sau NetCat la portul Serviciului Probleme pentru a verifica răspunsul său.

Notează

Vezi si

Link-uri

  • RFC 322 (eng.) Numere bine cunoscute
  • RFC 349 (ing.) Numere de soclu standard propus (anulate RFC 433)
  • RFC 433 (eng.) Lista de numere de soclu (anulată RFC 503)
  • RFC 503 (eng.) Lista de numere de soclu (anulată RFC 739)
  • RFC 739 (eng.) Numere atribuite (prima listă a numerelor atribuite a fost înlocuită cu RFC, ultimul dintre care RFC 1700)
  • RFC 768 (ing.) Protocolul Datagram utilizator
  • RFC 793 (eng.) Protocolul de control al transmisiei
  • RFC 1700 (ing.) Numere atribuite (ultima listă de numere atribuite este anulată RFC 3232)
  • RFC 3232 (ing.) Numere atribuite: RFC 1700 se înlocuiește cu o bază de date on-line
  • RFC 4340 (ENG.) DATAGRAM Control Control Protocol (DCCP) - Standard propus

Fundația Wikimedia. 2010.

Urmăriți ce este "Servicii de rețea" în alte dicționare:

    Serviciul de rețea socială Platforma virtuală care leagă oamenii la comunitățile de rețea utilizând software-ul, computerele se unite cu rețeaua (Internet) și rețelele de documente (World Wide Web). Servicii sociale de rețea în ... ... Wikipedia

    Servicii furnizate pe Internet către utilizatori, programe, sisteme, niveluri, blocuri funcționale. Serviciile online oferă servicii de rețea. Cele mai comune servicii de internet sunt: \u200b\u200bstocarea datelor; Transmisie ... ... Vocabularul financiar.

    Portul de rețea al parametrului protocolului UDP care determină atribuirea pachetelor de date în format este un număr condiționat de la 0 la 65535, permițând diferite programe efectuate pe o gazdă, pentru a primi date independent unul de celălalt (asigură acest lucru ... .. . Wikipedia.

    Acest termen are alte semnificații, vezi kernelul. Kernel-ul este partea centrală a sistemului de operare (OS), oferind aplicații pentru accesul coordonat la resursele informatice, cum ar fi timpul procesorului, memoria și hardware-ul extern ... ... Wikipedia

    Acest termen are, de asemenea, alte semnificații, vezi microkernel (citologie). Arhitectura microidernă se bazează pe programele de servere de regim de utilizare ... Wikipedia

    Arhitectura Microkerboard se bazează pe programele de servere personalizate Micronelro Aceasta este implementarea minimă a funcțiilor kernelului sistemului de operare. Microkernel-ul clasic oferă doar un set foarte mic de primitive la nivel scăzut ... Wikipedia

    SSDP Titlu: Nivelul de protocol de descoperire a serviciului Simplu (modelul OSI): Familia sesiunii: Port TCP / IP / ID: 1900 / UDP Simple Services Protocol de detectare (eng. Simple Service Discovery Protocol, SSDP ... Wikipedia

    Această pagină necesită reciclare substanțială. Este posibil ca acesta să fie vicitiv, supliment sau rescriere. Explicarea motivelor și discuțiilor pe pagina Wikipedia: Pentru a îmbunătăți / 16 mai 2012. Data îmbunătățirii la 16 mai 2012 ... Wikipedia

    Atac de rețea. Descriere Scopul acestui atac este de a afla ce computere sunt conectate la rețea și pe care serviciile de rețea le execută pe ele. Prima sarcină este rezolvată prin trimiterea mesajelor Echo Protocol ICMP utilizând utilitarul Ping ... ... Wikipedia

    Editor Alp Media Redactor-șef al Polyeva Elena Konstantinovna Data 2000 Certificat de înregistrare a numărului de e-mail Media FS77 35954 ... Wikipedia

Cărți

  • Jocuri multiplayer. Dezvoltarea aplicațiilor de rețea, Glaser Joshua, jocuri multiplayer de rețea Aceasta este o afacere cu mai multe miliarde de dolari care atrage zeci de milioane de jucători. Această carte despre exemple reale povestește despre caracteristicile dezvoltării unor astfel de jocuri și ... Categorie:
Numele parametrului Valoare
Tema articolului: Servicii de rețea
Rubrica (categorie tematică) Tehnologii

Sistem de bază

Sistemul de operare Linux este rodul muncii oamenilor și sunt cunoscute că sunt greșite, chiar și în codul central. Prin urmare, prima amenințare la adresa securității - erorile din nucleul sistemului. Astfel de erori nu sunt detectate nu atât de des, totuși, erori în restul software-ului, dar se întâmplă. Protecția aici este una (aceeași pentru toate problemele similare) - urmărirea constantă a informațiilor de siguranță (de exemplu, o sursă bună de informații, în plus față de lista de distribuție de la distribuție Manger, este site-ul www.securityfocus.com și listele sale de distribuție ) și citirile serverului.

Cu toate acestea, există patch-uri pe bază care permit creșterea securității sistemului în ansamblu și a nucleului în special. Accentul asupra unor astfel de patch-uri (inclusiv cumulativ) este acordat rezistenței sistemului de atacurile comune asupra programelor cu o eroare de depășire a tamponului, de la atacurile asupra programelor cu crearea incorectă a fișierelor temporare și, de asemenea, pentru a reduce cantitatea de informații pe care le poate ataca sistemul primiți (http://www.openwall.com/).

Există, de asemenea, patch-uri specializate în aspectul de rețea al activității nucleului OS. Sarcinile lor includ embigarea unei funcții de protecție a scanării la kernelul sistemului (http://www.lids.org), precum și funcțiile dificultății de determinare a versiunii vehiculelor OS ale unor astfel de scanere de rețea, cum ar fi NMAP.

Atunci când se combină toate aceste patch-uri, miezul sistemului este obținut, ĸᴏᴛᴏᴩᴏᴇ va fi în mod independent capabil să protejeze sistemul de cele mai multe tipuri de atacuri bine cunoscute: atacurile asupra depășirii tamponului, atacurile asupra programelor cu lucrări necorespunzătoare cu fișiere temporare, mașină de scanare a rețelei pentru determinarea porturilor deschise și a versiunilor sistemului de operare.

În majoritatea cazurilor, pentru autor, pentru autor, aproape toate serviciile posibile (de exemplu, portul 7, serviciul ECHO, se desfășoară pe valoarea implicită.

Aproape în fiecare zi există noi erori de programare în software. În cazul în care se găsește o eroare în serviciul care rulează pe server, atunci va fi posibilă așteptați ca cei care doresc să construiască serverul va fi de așteptat (deoarece, de exemplu, erorile pe depășirea tamponului, fac posibilă performanța Orice cod cu drepturi de server, care de multe ori există drepturi de superuser - rădăcină). Vă puteți proteja de astfel de probleme:

În primul rând, urmărirea regulată a evenimentelor de securitate (și din nou www.securityfocus.com va fi, probabil, cea mai autoritară și cea mai completă sursă de informații);

În al doilea rând, o micăproducție a "nucleului sistemului (diferite patch-uri de siguranță, așa cum s-a descris mai sus);

În al treilea rând, pur și simplu folosind servere care sunt scrise cu mare grijă și luând în considerare cerințele de siguranță, bineînțeles, fără a folosi servicii inutile.

Să facem, probabil, cu servicii inutile. Sarcinile, desigur, fiecare server este specific, dar se poate spune că în majoritatea cazurilor inutile și ceva este pur și simplu periculos sunt porturile (cu servicii relevante) de la primul la al nouăsprezecelea inclusiv. Unele dintre ele sunt utile, dar cele mai multe dintre ele nu sunt folosite acum. Nu deschideți fără motive și porturi speciale, cum ar fi 37 (Time), 69 (TFTP), 79 (deget), 111 (SunRPC), 512 (TCP - Exec, UDP - Biff), 513 (TCP - Login; UDP - Cine ), 514 (TCP - CMD; UDP - Syslog), 517 (Discuție), 525 (Timesterver).

Acum, în ceea ce privește cele mai frecvent utilizate servicii, și anume: http / https, FTP, Telnet / SSH, SMTP, POP3 / IMAP și servicii proxy. Luați în considerare fiecare serviciu în detaliu.

Servicii de rețea - concept și tipuri. Clasificarea și caracteristicile categoriei "Servicii de rețea" 2017, 2018.

Setul de părți ale serverului și al clienților din sistemul de operare care oferă acces la un anumit tip de resursă de calculator prin rețea este apelat serviciul de rețea.În exemplul de mai sus, partea clientului și serverului de sistem de operare, care oferă acces în comun prin intermediul rețelei către sistemul de fișiere de calculator formează serviciul de fișiere.

Se spune că serviciul de rețea oferă utilizatorilor de rețea servicii.Aceste servicii sunt uneori numite serviciul de rețea(de la termenul de limbă engleză "serviciu"). Deși termenii specificați sunt uneori folosiți ca sinonime, ar trebui să se țină cont de faptul că, în unele cazuri, diferența dintre valorile acestor termeni este fundamentală. Mai mult, în textul sub "Serviciul", vom înțelege componenta de rețea care implementează un anumit set de servicii și sub "Serviciul" - o descriere a setului de servicii oferite de acest serviciu. Astfel, serviciul este interfața dintre serviciile de consum și furnizorul de servicii (serviciu).

Fiecare serviciu este asociat cu un anumit tip de resurse de rețea și / sau un anumit mod de a accesa aceste resurse. De exemplu, serviciul de imprimare oferă utilizatorilor de rețea acces la imprimante de rețea partajate și oferă un serviciu de imprimare, iar serviciul poștal oferă acces la resursele de informații de rețea - e-mailuri. Metoda de acces la resurse este diferită, de exemplu, un serviciu de acces la distanță - oferă utilizatorilor de rețea de calculator la toate resursele sale prin canale telefonice comutate. Pentru a primi acces la distanță la o anumită resursă, de exemplu, la o imprimantă, serviciul de acces la distanță interacționează cu serviciul de imprimare. Cel mai important pentru utilizatorii de rețea OS este serviciul de fișiere și serviciul de imprimare.

Printre serviciile de rețea, puteți selecta cele care nu se concentrează pe un utilizator simplu, ci pe administrator. Astfel de servicii sunt utilizate pentru organizarea rețelei. De exemplu, serviciul de legare al sistemului de operare Novell Netware 3.x permite administratorului la baza de date a utilizatorilor de rețea ai computerului pe care se execută acest sistem de operare. O abordare mai progresivă cu crearea unui serviciu de referință centralizat sau, altfel, serviciul de director, care este pre-atribuit pentru a menține o bază de date nu numai despre toți utilizatorii rețelei, dar și despre toate componentele sale de software și hardware. Novell NDS este adesea administrat ca Serviciu NDS Directory. Alte exemple de servicii de rețea care furnizează administrator de servicii sunt un serviciu de monitorizare a rețelei care vă permite să capturați și să analizați traficul de rețea, serviciul de securitate, în funcție de care poate fi inclus, în special, execuția unei proceduri de intrare logică cu o parolă Verificați, backup și arhivare serviciu.

Din cât de mult un kit de service bogat oferă un sistem de operare pentru utilizatorii finali, aplicațiile și administratorii de rețea depinde de poziția sa în numărul total de operare de rețea.

Serviciile de rețea sunt prin natura lor sunt sisteme client-server. Deoarece, la implementarea oricărui serviciu de rețea, sursa solicitărilor (client) și executorul (serverul) interogări apar în mod natural, apoi orice serviciu de rețea conține două părți asimetrice în compoziția sa - client și server. Serviciul de rețea poate fi reprezentat în sistemul de operare sau ambele părți (client și server) sau numai unul dintre ele.

Se spune, de obicei, că serverul oferă resursele sale clientului, iar clientul le folosește. Trebuie remarcat faptul că atunci când oferă un serviciu de rețea unui serviciu, resursele sunt utilizate nu numai de server, ci și de client. Clientul poate petrece o parte semnificativă a resurselor sale (spațiu pe disc, timpul procesorului etc.) pentru a menține funcționarea serviciului de rețea. Diferența fundamentală dintre client și server este că clientul efectuează întotdeauna inițiatorul funcționării serviciului de rețea, iar serverul este întotdeauna în modul de așteptare al interogărilor pasive. De exemplu, serverul de poștă electronică efectuează un post-mail la computerul utilizatorului numai atunci când se primește o solicitare de la clientul de e-mail.

De obicei, interacțiunea dintre părțile clientului și ale serverului este standardizată, astfel încât un tip de server să poată fi proiectat pentru a lucra cu clienți de diferite tipuri, implementate în diverse moduri și, poate diferiți producători. Singura condiție pentru aceștia - clienți și serverul trebuie să suporte protocolul general de interacțiune standard.