Администрирование сетей

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Сетевое администрирование

1.1 Планирование сетевой инфраструктуры

1.2 Безопасность сетевой инфраструктуры

1.3 Выбор протоколов при планировании сетевой инфраструктуры

1.4 Планирование адресного пространства

2. Мониторинг и анализ локальных сетей

2.1 Классификация средств мониторинга

2.2 Анализаторы протоколов

2.3 Сетевые анализаторы

3. Аудит и его необходимость

3.1 Производительность системы

3.2 Комплексный аудит сети

4. Общесистемное управление

4.1 Управление безопасностью сети

4.2 Разработка и внедрение политики защиты компьютерной сети

4.3 Модели безопасности

4.4 Управление учетными записями

4.5 Дополнительные средства защиты

Заключение



Введение

Известно, что основной задачей первых трех десятилетий компьютерной эры являлось развитие аппаратных компьютерных средств. Это было обусловлено высокой стоимостью обработки и хранения данных. В 80-е годы успехи микроэлектроники привели к резкому увеличению производительности компьютера при значительном снижении стоимости.

Основной задачей 90-х годов XX и начала XXI века стало совершенствование качества компьютерных приложений, возможности которых целиком определяются программным обеспечением (ПО).

Современный персональный компьютер имеет производительность большой ЭВМ 80-х годов. Сняты практически все аппаратные ограничения на решение задач. Оставшиеся ограничения приходятся на долю ПО.

В наш век компьютерных технологий ни одна фирма не обходится без использования компьютеров. А если компьютеров несколько, то они, как правило, объединяются в локальную вычислительную сеть (ЛВС).

Компьютерная сеть - это система объединенных между собой компьютеров, а также, возможно, других устройств, которые называются узлами (рабочими станциями) сети. Все компьютеры, входящие в сеть соединены друг с другом и могут обмениваться информацией.

В результате объединения компьютеров в сеть появляются возможности: увеличения скорости передачи информационных сообщений, быстрого обмена информацией между пользователями, расширения перечня услуг, предоставляемых пользователям за счет объединения в сети значительных вычислительных мощностей с широким набором различного программного обеспечения и периферийного оборудования, использования распределенных ресурсов (принтеров, сканеров, и т. д.), наличия структурированной информации и эффективного поиска нужных данных

Сети дают огромные преимущества, недостижимые при использовании ЭВМ по отдельности. Среди них:

- Разделение ресурсов процессора. При разделении ресурсов процессора возможно использование вычислительных мощностей для одновременной обработки данных всеми станциями, входящими в сеть.

- Разделение данных. Разделение данных предоставляет управлять базами данных с любых рабочих мест, нуждающихся в информации.

- Совместный доступ в Internet. ЛВС позволяет обеспечить доступ к Internet всем своим клиентам, используя всего один канал доступа.

- Разделение ресурсов. ЛВС позволяет экономно использовать дорогостоящие ресурсы (например, принтеры) и осуществлять доступ к ним со всех присоединенных рабочих станций.

- Мультимедиа возможности. Современные высокоскоростные технологии позволяют передавать звуковую и видео информацию в реальном масштабе времени, что позволяет проводить видеоконференции и общаться по сети, не отходя от рабочего места.

ЛВС нашли широкое применение в системах автоматизированного проектирования и технологической подготовки производства, системах управления производством и технологическими комплексами, в конторских системах, бортовых системах управления и т.д. ЛВС является эффективным способом построения сложных систем управления различными производственными подразделениями.

Как видим, процесс разработки ИС состоит из нескольких взаимосвязанных модулей, которыми уже в свою очередь и оперируют авторы методологий и подходов, смещая приоритеты между направлениями или смешивая задачи нескольких направлений (предлагая, к примеру, осуществление задач тестирования в рамках деятельности по непосредственной разработке программной реализации и т.д.). Суть остается прежней - есть технологическая цепочка процессов разработки информационных систем, модули которого взаимозависимы и не могут функционировать в отрыве друг от друга.

Компьютерная сеть состоит из элементов, среди которых выделяют компьютеры, предоставляющие ресурсы в сети (серверы), компьютеры, обеспечивающие доступ к сетевым ресурса серверов (клиенты), среду (media), в которой реализованы соединения, и сами ресурсы файлы, процессоры, принтеры, и другие элементы. В сетях реализуется принципиальная возможность совместного использования и устройств, и данных.



1. Сетевое администрирование

компьютерный интернет сеть программный

Сетевое администрирование (Network Management) возникает, когда у администратора сети появляется потребность и возможность оперировать единым представлением сети, как правило, это относится к сетям со сложной архитектурой. При этом осуществляется переход от управления функционированием отдельных устройств к анализу трафика в отдельных участках сети, управлению её логической конфигурацией и конкретными рабочими параметрами, причём все эти операции целесообразно выполнять с одной управляющей консоли.

Затем к контролируемым объектам добавились сетевые операционные системы, распределённые базы данных и хранилища данных, приложения и, наконец, сами пользователи.

Задачи, решаемые в данной области, разбиваются на две группы:

1. Контроль за работой сетевого оборудования,

2. Управление функционированием сети в целом.

В первой группе речь идёт о мониторинге отдельных сетевых устройств (концентраторов, коммутаторов, маршрутизаторов, серверов доступа и др.), настройке и изменении их конфигурации, устранении возникающих сбоев. Эти традиционные задачи получили название реактивного администрирования (reactive management).

Вторая группа отвечает за мониторинг сетевого трафика, выявление тенденций его изменения и анализ событий в целях реализации схем приоритизации и упреждающего решения проблем, связанных с недостатком пропускной способности (упреждающее, или профилактическое, администрирование, proactive management).

Для реализации упреждающего администрирования оно должно быть дополнено мощным инструментарием ретроспективного анализа поведения информационной системы. Основную роль в этом процессе может играть разбиение множества возможных состояний системы на классы и прогнозирование вероятностей её миграции из одного класса в другой.

Сюда же относятся формирование единого представления сети в целях внесения изменений в её конфигурацию, учёт сетевых ресурсов, управление IP-адресами пользователей, фильтрация пакетов в целях обеспечения информационной безопасности и ряд других задач.

Трудоёмкость процессов администрирования распределённой вычислительной среды явилась одним из стимулов к появлению редуцированных распределённых вычислительных моделей.

Чтобы избежать подобных неприятностей, необходимо ещё раз подумать об архитектуре информационной системы и сменить её, если в обозримом будущем ожидаются подобные прецеденты. Использование серверных СУБД является в этом случае наиболее подходящим решением.

Конечной целью управления сетью является достижение параметров функционирования ИС, соответствующих потребностям пользователей.

Пользователи оценивают работу ИС не по характеристикам сетевого трафика, применяемым протоколам, времени отклика серверов на запросы определённого типа и особенностям выполняемых сценариев управления, а по поведению приложений, ежедневно запускаемых на их настольных компьютерах.

Общая тенденция в мире сетевого и системного администрирования - перенос акцентов с контроля за отдельными ресурсами или их группами, с управления рабочими характеристиками ИС на максимальное удовлетворение запросов конечных потребителей информационных технологий способствовала появлению концепции динамического администрирования.

Такой подход предполагает, прежде всего, наличие средств анализа поведения пользователей, в ходе которого должны быть выявлены как их предпочтения, так и проблемы, возникающие в повседневной работе. Результаты, полученные на этом этапе, должны служить отправной точкой для активного управления взаимодействием между основными объектами администрирования - пользователями, приложениями и сетью.

Термин “активное” подразумевает постоянное отслеживание (мониторинг) характера работы пользовательских приложений и оперативное вмешательство в этот процесс, когда уровень сервиса, получаемый пользователем, не соответствует ожидаемому. Для наиболее адекватного реагирования на возникающие проблемы предлагается использовать аналитические средства поддержки принятия решений.

Эти факторы дают основание полагать, что на смену сетевому и системному администрированию идёт управление приложениями и качеством сервиса, независящее от используемых вычислительных платформ или сетей.

Отдельная проблема связана с созданием комплексных “сквозных” средств управления, позволяющих объединить системы администрирования, установленные в организациях-партнерах. Актуальность этой задачи нарастает по мере всё большего распространения сетей Extranet.

Внедрение в корпоративных информационных системах технологий Intranet не обходится без администрирования. Так, широко практикуемая работа сотрудников в корпоративной сети из дома требует от поставщиков создания новых инструментальных средств в области управления доступом и информационной безопасности.

Самостоятельную ценность представляют средства управления Web-ресурсами, причём не только применительно к сетям Intranet и Extranet, но в большей степени в связи с распространением электронной коммерции.

Эволюция концепций администрирования коснулась не только архитектуры систем. Новые проблемы, возникшие в распределённых средах, привели к тому, что на некоторое время сетевое управление стало рассматриваться в качестве главной заботы администраторов информационных систем.

Ситуация изменилась после того, как число распределённых приложений и баз данных, функционирующих в сети, превысило некоторое пороговое значение. При этом возросла роль системного администрирования, и неизбежным оказался процесс интеграции системного и сетевого администрирования. Следует отметить, что управление работой сложной гетерогенной сети представляет собой более сложную задачу, чем, например, контроль за функционированием сетевых принтеров.

Интегрированная система управления сетью (Integrated network management system, INMS) - система управления, обеспечивающая объединение функций, связанных с анализом, диагностикой и управлением сетью.

При этом сетевое администрирование порой стало рассматриваться как одна из множества составных частей администрирования системного, а сеть - как один из управляемых ресурсов наряду с компьютерами, периферийными устройствами, базами данных, приложениями и т.д.

Трудоемкость процессов администрирования распределённой вычислительной среды привела к тому, что осенью 1996 года компании Oracle и Sun Microsystems предложили создание сетевых компьютеров, а полгода спустя Intel и Microsoft - концепцию сетевых персональных компьютеров (Net PC). Несмотря на существенные отличия этих двух архитектур, они ознаменовали частичный возврат к централизованной вычислительной модели и к соответствующей организации всех процессов администрирования.

Таким образом, эволюция средств и систем администрирования непосредственно связана с развитием основных информационных технологий.

Проекты развития административных механизмов обычно включают в себя задачи постановки стратегического управления, разработки политики информационного обеспечения и доступа к информационным ресурсам, а также программно-аппаратным устройствам, системам и комплексам, постановки и развития системы, совершенствование непрерывного управления.

1.1 Планирование сетевой инфраструктуры

Сетевая инфраструктура - это набор физических и логических компонентов, которые обеспечивают соединения, безопасность, маршрутизацию, управление, доступ и др. возможности сети.

Инфраструктура включает решения по программному обеспечению, аппаратному комплексу и организационному обеспечению ИС, что соответствует пониманию системы в современных стандартах типа ISO/IEC 15288.

В инфраструктуру ИТ входят:

· вычислительное и телекоммуникационное оборудование;

· каналы связи;

· инженерно-техническое оборудование, обеспечивающее работу вычислительных и телекоммуникационных средств;

· программные приложения, реализующие функциональность ИТ-систем (прикладное программное обеспечение) и обеспечивающие функционирование оборудования (системное программное обеспечение);

· администрация и персонал, осуществляющие эксплуатацию ИС;

· внутренние положения и инструкции, регламентирующие работу персонала с ИТ-системами;

· исходные тексты программных приложений, входящих в ИТ-систему (прикладное и системное ПО);

· системная и пользовательская документация программных приложений и аппаратных комплексов и др.

Современная ИТ-инфраструктура ИС должна обладать высокой производительностью, надёжностью, гибкостью, масштабируемостью и другими качествами.

Совокупность сетевых программно-технических средств ИС образует её архитектуру. Для ИС, ориентированных, в первую очередь, на получение экономического эффекта, стремятся выбрать архитектуру системы с минимальной совокупной стоимостью владения.

Типы ИС, с точки зрения выполняемых ими функций (функционала), решаемых задач и т.п. обычно связывают с делением организаций на представителей крупного, среднего и малого бизнеса. Данное деление достаточно условно. Основными компонентами организаций, по которым с точки зрения ИТ оно обычно осуществляется, являются доход или объём выполняемых работ за год, выраженные в денежных единицах, а также количество персонала и компьютеров.

Имеется базовый функционал, который подходит большинству организаций. Однако, даже, если предприятия среднего бизнеса используют одни и те же программы, что и предприятия крупного бизнеса, стоимость их внедрения могут значительно отличаться. Как отмечают специалисты, основные отличия между этими типами предприятий зависят от степени их автоматизации, принятой ИТ-стратегии, степени зрелости бизнеса и др.

На этапе планирования:

1. Выбираются аппаратные и программные компоненты из которых создается сетевая инфраструктура.

2. Определяется конкретное местоположение ПК

3. Описывается каким образом будет установлен и сконфигурирован каждый объект.

Сеть очень редко строится с нуля, без влияния уже существующей инфраструктуры.

Реализация сетевой инфраструктуры - это процесс оценки, приобретения и сборки указанных компонентов, а так же их установки, согласно проекту.

Процесс реализации:

· Установка аппаратной инфраструктуры - кабель, коммутатор, ПУ и т.д.

· Установка ОС и По

Существуют 2 элементы сетевой инфраструктуры:

· Физическая

· Логическая

Процесс проектирования рассматривается как синтез этих 2-х процессов.

Физическая инфраструктура:

Топология - схема расположения и соединения всех устройств.

Физическая среда - это кабель и воздух.

Сетевое устройство - Маршрутизатор, коммутатор, концентратор.

Маршрутизатор -- сетевое устройство, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) между различными сегментами сети.

Сетевой коммутатор или свитч -- устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.

Сетевой концентратор или Хаб -- сетевое устройство, предназначенное для объединения нескольких устройств Ethernet в общий сегмент сети. Устройства подключаются при помощи витой пары, коаксиального кабеля или оптоволокна.

Выбираемая физическая инфраструктура часто на прямую зависит от логической инфраструктуры.

Логическая инфраструктура:

Логическая инфраструктура состоит из программных элементов, с помощью которых происходит соединение, управление или защита хостов сети.

Осуществляется связь между ПК через каналы, описанные в физической инфраструктуре.

Содержит следующие абстрактные программные элементы:

-) сетевые протоколы TCP/IP

-) Технологии безопасности IPSec

-) Протоколы сетевой маршрутизации

Затем нужно определить ПО, реализующее абстрактное понятие - Windows 2003 Server

Определения требований при построении сети:

· Создать план сети, который будет использоваться как на этапе реализации, так и последующего обслуживания.

· Для составления правильного плана необходимо учесть все требования от пользователей сети, от владельцев сети, аппаратные и программные компоненты сети.

· Требования пользования сети:

· Типы информации

· Информационные потоки

· Использование ПО

· Учесть использования сетевых служб

Проектирование сетевой безопасности:

· Предусмотреть возможные источники опасности

· Спланировать меры защиты

Реализация сетевой инфраструктуры:

· построение компонентов физической инфраструктуры

· установка ОС и ПО

· конфигурация конкретных сетевых сервисов



1.2 Безопасность сетевой инфраструктуры

Структура безопасности - это логический структурированный процесс выполнения следующих или аналогичных задач.

· Оценка риска безопасности

· Определение требований безопасности

· Выбор структуры безопасности

· Применение политик безопасности

· Проектирование шагов по развертыванию безопасности

· Описание политик управления безопасностью.

Определить ответственных за проектирование, реализацию и подтверждение политики безопасности.

Учесть требования, как технических специалистов, так и руководства.

Учесть экономические затраты и влияние политик безопасности на производство и психологическое состояние работников.

Организовать группу сотрудников, которые смогут руководить следующими вопросами:

1. Наиболее важные для организации ресурсы

2. Потенциальные угрозы для ресурсов

3. Ресурсы подверженные большему риску

4. Последствия при компрометации определенным ресурсам

5. Существующие на банный момент средства безопасности

6. Перечень средств безопасности наиболее подходящих для защиты определенных ресурсов

7. Как обеспечить достаточный уровень защиты?

8. Из чего состоит реализация средств безопасности?

9. Влияние средств безопасности на пользователя, админа, руководства.

Жизненный цикл:

О безопасности нужно заботиться постоянно!!!

Этапы: проектирование, реализация средств безопасности, управление безопасностью.

Проектирование информационной безопасности:

· Определение ресурсов, которые нужно защищать

· Оценка потенциальной безопасности

· Создания плана защиты

Типичный план защиты:

· Аутентификация - проверка опознавательных данных пользователя, прежде чем ему будет предоставлен доступ к защитным ресурсам.

· Управление доступом - предоставление определенных уровней доступа в соответствии с идентификацией пользователя. Обычно встраиваются в ОС и приложения

· Шифрование - процесс защиты данных путем логических алгоритмов, которые имеют для шифрования и дешифрования данных. Прочность основывается на типе алгоритма количестве и типов ключей и методе распространения ключей.

· Межсетевые экраны - система, предотвращающая несанкционированный внешний доступ частной сети. (Используются фильтрация пакетов, преобразование сетевых адресов т.д.)

· Аудит - процесс. По средствам которого админы следят за системой, действиями, который происходят в сети.

Реализация средств безопасности:

1. Разработка плана реализации механизмов политик безопасности:

· Перечень определенных процедур

· Временной график процессов оценки, приобретения, установки. Настройки аппаратных и программных средств безопасности.

1. Согласование и утверждение плана.

2. Разработка механизма распространения политик безопасности на всю организацию.

Управление безопасностью:

· Проверка журнала аудита

· Проверка состояния сетевых ресурсов

· Мониторинг сетевого трафика

· Обновление ПО безопасности

· Мониторинг появления новых ресурсов и наложение на них общих правил

· Мониторинг появления новых угроз

1.3 Выбор протоколов при планировании сетевой инфраструктуры

Сетевая модель OSI (Open Systems Interconnection Basic Reference Model) -- абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Представляет уровневый подход к сети. Каждый уровень обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее.

В настоящее время основным используемым семейством протоколов является TCP/IP, разработка которого не была связана с моделью OSI.

Канальный уровень - предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть. Полученные с физического уровня данные он упаковывает во фреймы, проверяет на целостность, если нужно исправляет ошибки (посылает повторный запрос поврежденного кадра) и отправляет на сетевой уровень. Канальный уровень может взаимодействовать с одним или несколькими физическими уровнями, контролируя и управляя этим взаимодействием. Спецификация IEEE 802 разделяет этот уровень на 2 подуровня -- MAC (Media Access Control) регулирует доступ к разделяемой физической среде, LLC (Logical Link Control) обеспечивает обслуживание сетевого уровня.

PPP (англ. Point-to-Point Protocol) -- протокол точка-точка, механизм для создания и запуска IP (Internet Protocol) и других сетевых протоколов на последовательных линиях. Используя PPP, можно подключить компьютер к PPP-серверу и получить доступ к ресурсам сети, к которой подключён сервер так, как будто вы подключены непосредственно к этой сети.

Протокол РРР является основой для всех протоколов канального (2-го) уровня. Связь по протоколу РРР состоит из четырёх стадий: установление связи посредством LCP (осуществляется выбор протоколов аутентификации, шифрования, сжатия и устанавливаются параметры соединения), установление подлинности пользователя (реализуются алгоритмы аутентификации, на основе протоколов РАР, СНАР или MS-CHAP), контроль повторного вызова РРР (необязательная стадия, в которой подтверждается подлинность удалённого клиента), вызов протокола сетевого уровня (реализация протоколов, установленных на первой стадии). PPP включает IP, IPX и NetBEUI пакеты внутри PPP кадров.

Обычно используется для установки прямых соединений между двумя узлами. Широко применяется для соединения компьютеров с помощью телефонной линии. Также используется поверх широкополосных соединений. Многие интернет-провайдеры используют PPP для предоставления коммутируемого доступа в Интернет.

Сетевой уровень - 3-й уровень сетевой модели OSI предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети. На этом уровне работает такое сетевое устройство, как Маршрутизатор. Протоколы сетевого уровня маршрутизируют данные от источника к получателю.

Протокол сетевого уровня (англ. Network layer) -- протокол 3-его уровня сетевой модели OSI, предназначается для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети. На этом уровне работает такое сетевое устройство, как маршрутизатор.

Протоколы сетевого уровня маршрутизируют данные от источника к получателю и могут быть разделены на два класса: протоколы с установкой соединения и без него.

Протоколы этого класса начинают передачу данных с вызова или установки маршрута следования пакетов от источника к получателю. После чего начинают последовательную передачу данных и затем по окончании передачи разрывают связь.

Протоколы без установки соединения, которые посылают данные, содержащие полную адресную информацию в каждом пакете, работают аналогично почтовой системе. Каждое письмо или пакет содержит адрес отправителя и получателя. Далее каждый промежуточный почтамт или сетевое устройство считывает адресную информацию и принимает решение о маршрутизации данных. Письмо или пакет данных передается от одного промежуточного устройства к другому до тех пор, пока не будет доставлено получателю. Протоколы без установки соединения не гарантируют поступление информации получателю в том порядке, в котором она была отправлена. За установку данных в соответствующем порядке при использовании сетевых протоколов без установки соединения отвечают транспортные протоколы.

Транспортный уровень - 4-й уровень модели предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты, размер которых зависит от протокола, короткие объединяет в один, а длинные разбивает.

Transmission Control Protocol (TCP) (протокол управления передачей) -- один из основных сетевых протоколов Интернет, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.

Выполняет функции протокола транспортного уровня модели OSI.

TCP -- это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP, гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь.

Реализация TCP, как правило, встроена в ядро системы, хотя есть и реализации TCP в контексте приложения.

Когда осуществляется передача от компьютера к компьютеру через Интернет, TCP работает на верхнем уровне между двумя конечными системами, например, Интернет-браузер и Интернет-сервер. Также TCP осуществляет надежную передачу потока байт от одной программы на некотором компьютере в другую программу на другом компьютере. Программы для электронной почты и обмена файлами используют TCP. TCP контролирует длину сообщения, скорость обмена сообщениями, сетевой трафик.

UDP (англ. User Datagram Protocol -- протокол пользовательских датаграмм) -- это транспортный протокол для передачи данных в сетях IP без установления соединения. Он является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор -- 0x11.

В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol (протокол ненадёжных датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных.

1.4 Планирование адресного пространства

Ip-адрес - это 32х битное двоичное значение, которое обычно выражается в виде 4-х 8-ми битных десятичных чисел, разделенных точками. Это называется десятичным представлением.

Каждое из 4-ч 8-ми битных чисел называется октетом

Компоненты Ip-адреса.

Ip-адрес идентифицирует конкретное устройство - хост. Так же Ip-адрес идентифицирует сеть, в котором находится данное устройство. Это возможно т.к. Ip-адрес состоит из 2-х частей: идентификатора сети и идентификатора хоста.

Идентификатор сети стоит перед идентификатором хоста, но «линии раздела» могут находится между любыми битами 32-х битного пространства.

Именно такая 2-х уровневая организация характерна для Интернета. Каждый Пк в Инете должен иметь уникальный Ip-адрес.

Разделение адресов на сети и хосты позволяет осуществить Ip - маршрутизацию. Маршрутизатор не должен знать где находится конкретный хост, он должен знать где находится нужная сеть.

Сетевая маска - это 32-х битное двоичное значение. Определяет сколько бит Ip-адрес относится к Ip-сети, а сколько к Ip-хоста. 1 к сети, 0 к хосту.

Классы адресов:

А,В,С - основные

D,Е - дополнительные

D - адреса для групповой рассылки, идентифицирует какую-либо группу ПК по общему признаку

Е - экспериментальный, пока не используется

Существует 2 типа адресов:

-) зарегистрированные (общие)

-могут использоваться в интернете

- регулируются организацией IANA

-) не регистрированные (частные)

- могут использоваться только в частных сетях

-могут использоваться в совместимых схемах нумерации

Ip- адрес используется для идентификации ПК в сети. Каждый пакет передаваемый в сети Ip содержит адрес получателя. Маршрутизатор использует этот адрес для пересылки пакета в точку назначения. Для правильного функционирования Ip-адреса должны быть уникальны. В частных сетях за уникальность Ip отвечает админ.

Сеть Интернет много больше и процессом распределения ID управляет IANA - официальный регистратор сетевых адресов.

IANA - выделяет большие куски ID адресного пространства региональным, национальным регистратором, которые в свою очередь выделяют конкретные сети ISD - провайдер услуг Интернет.

Использование зарегистрированных адресов: используются только для ПК, которые должны быть доступны в Интернете. Защита ПК с общими адресами - очень важный процесс для админа. Если в сети есть ПК с открытыми и частными Ip, то рекомендуется выделить ПК с открытым Ip в отдельный сегмент сети - демилитаризованная зона.

Использование не зарегистрированных адресов: для работы внутри сети рекомендуется использовать частные Ip адреса, которые не регистрируются в IANA => невидимы доя Интернета, их нельзя атаковать => они более защищены, но подвержены другим видам атак.

Планирование IP адресации:

1. Определить тип доступа к сети Интернет - если пользователь является только клиентом интернета, то используются частные адреса в сочетании с технологиями NAT иPROXY

2. Определить количество сегментов в сети и способов их соединения. Если сеть состоит из нескольких сегментов , то для каждого сегмента нужно использовать различные подсети. Если сегмент соединяется коммутаторами, то мы получаем одну большую подсеть с большим количеством хостов =>нужно правильно подобрать класс ID, который будет использоваться для сети.

Получение сетевых адресов: сетевые адреса можно получить у вашего ISD - провайдер услуг Интернет.

Если ПК надо взаимодействовать между собой, то потребуется выделение подсети. Если вам нужно вывести в Интернет много устройств, то тогда потребуется отдельная сеть.

Разбитие IPадресов на подсети:

Определив типы Ip адресов, число сегментов и способы их соединения можно приступать к расчету Ip адресного пространства.

Разбитие на подсети - процесс создания адресов отдельных сетей из адреса большой сети. Позволяет более рационально использовать адресное пространство, например класса А=16 млн. хостов.



2. Мониторинг и анализ локальных сетей

Постоянный контроль за работой локальной сети, составляющей основу любой корпоративной сети, необходим для поддержания ее в работоспособном состоянии. Контроль - это необходимый первый этап, который должен выполняться при управлении сетью. Ввиду важности этой функции ее часто отделяют от других функций систем управления и реализуют специальными средствами. Такое разделение функций контроля и собственно управления полезно для небольших и средних сетей, для которых установка интегрированной системы управления экономически нецелесообразна. Использование автономных средств контроля помогает администратору сети выявить проблемные участки и устройства сети, а их отключение или реконфигурацию он может выполнять в этом случае вручную. Процесс контроля работы сети обычно делят на два этапа - мониторинг и анализ.

На этапе мониторинга выполняется более простая процедура - процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т. п.

Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети.

Задачи мониторинга решаются программными и аппаратными измерителями, тестерами, сетевыми анализаторами, встроенными средствами мониторинга коммуникационных устройств, а также агентами систем управления. Задача анализа требует более активного участия человека и использования таких сложных средств, как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов.

2.1 Классификация средств мониторинга и анализа

Все многообразие средств, применяемых для анализа и диагностики вычислительных сетей, можно разделить на несколько крупных классов.

· Агенты систем управления, поддерживающие функции одной из стандартных MIB (MIB (Management Information Base) - база данных информации управления, используемая в процессе управления сетью в качестве модели управляемого объекта в архитектуре агент-менедже) и поставляющие информацию по протоколу SNMP или CMIP. Для получения данных от агентов обычно требуется наличие системы управления, собирающей данные от агентов в автоматическом режиме.

· Встроенные системы диагностики и управления (Embedded systems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления многосегментным повторителем Ethernet, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам повторителя и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

· Анализаторы протоколов (Protocol analyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях, - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

· Экспертные системы. Этот вид систем аккумулирует знания технических специалистов о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая система помощи. Более сложные экспертные системы представляют собой, так называемые базы знаний, обладающие элементами искусственного интеллекта. Примерами таких систем являются экспертные системы, встроенные в систему управления Spectrum компании Cabletron и анализатора протоколов Sniffer компании Network General. Работа экспертных систем состоит в анализе большого числа событий для выдачи пользователю краткого диагноза о причине неисправности сети.

· Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры.

Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирование кабелей различных категорий. Сетевые мониторы собирают также данные о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т. п. Эти устройства являются наиболее интеллектуальными устройствами из всех четырех групп устройств данного класса, так как работают не только на физическом, но и на канальном, а иногда и на сетевом уровнях.

Устройства для сертификации кабельных систем выполняют сертификацию в соответствии с требованиями одного из международных стандартов на кабельные системы.

Кабельные сканеры используются для диагностики медных кабельных систем.

Тестеры предназначены для проверки кабелей на отсутствие физического разрыва. Многофункциональные портативные устройства анализа и диагностики. В связи с развитием технологии больших интегральных схем появилась возможность производства портативных приборов, которые совмещали бы функции нескольких устройств: кабельных сканеров, сетевых мониторов и анализаторов протоколов.

2.2 Анализаторы протоколов

Анализатор протоколов представляет собой либо специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением.

Применяемые сетевая карта и программное обеспечение должны соответствовать технологии сети (Ethernet, Token Ring, FDDI, Fast Ethernet). Анализатор подключается к сети точно так же, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Для этого сетевой адаптер анализатора протоколов переводится в режим «беспорядочного» захвата -promiscuousmode.

Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т. п. В состав некоторых анализаторов может входить также экспертная система, которая позволяет выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Анализаторы протоколов имеют некоторые общие свойства.

· Возможность (кроме захвата пакетов) измерения среднестатистических показателей трафика в сегменте локальной сети, в котором установлен сетевой адаптер анализатора.

· Обычно измеряется коэффициент использования сегмента, матрицы перекрестного трафика узлов, количество хороших и плохих кадров, прошедших через сегмент.

· Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети. Эти агенты чаще всего взаимодействуют с анализатором протоколов по собственному протоколу прикладного уровня, отличному от SNMP или CMIP.

· Наличие развитого графического интерфейса, позволяющего представить результаты декодирования пакетов с разной степенью детализации.

· Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимости от значения адресов назначения и источника, типа протокола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает захват или просмотр ненужных в данный момент пакетов.

· Использование триггеров. Триггеры - это задаваемые администратором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть: время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Триггеры могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее расходовать ограниченный объем буфера захвата.

· Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети.

Возможности анализа проблем сети на физическом уровне у анализаторов протоколов минимальные, поскольку всю информацию они получают от стандартных сетевых адаптеров. Поэтому они передают и обобщают информацию физического уровня, которую сообщает им сетевой адаптер, а она во многом зависит от типа сетевого адаптера.

Некоторые сетевые адаптеры сообщают более детальные данные об ошибках кадров и интенсивности коллизий в сегменте, а некоторые вообще не передают такую информацию верхним уровням протоколов, на которых работает анализатор протоколов.

С распространением серверов Windows NT все более популярным становится анализатор Network Monitor фирмы Microsoft. Он является частью сервера управления системой SMS, а также входит в стандартную поставку Windows NT Server, начиная с версии 4.0 (версия с усеченными функциями). Network Monitor в версии SMS является многоканальным анализатором протоколов, поскольку может получать данные от нескольких агентов Network Monitor Agent, работающих в среде Windows NT Server, однако в каждый момент времени анализатор может работать только с одним агентом, так что сопоставить данные разных каналов с его помощью не удастся. Network Monitor поддерживает фильтры захвата (достаточно простые) и дисплейные фильтры, отображающие нужные кадры после захвата (более сложные). Экспертной системой Network Monitor не располагает.

2.3 Сетевые анализаторы

Сетевые анализаторы представляют собой эталонные измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем, а также работают на более высоких уровнях стека протоколов. Сетевые анализаторы генерируют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные наводки, затухание и суммарное затухание. Сетевой анализатор представляет собой лабораторный прибор больших размеров, достаточно сложный в обращении.

Многие производители дополняют сетевые анализаторы функциями статистического анализа трафика - коэффициента использования сегмента, уровня широковещательного трафика, процента ошибочных кадров, а также функциями анализатора протоколов, которые обеспечивают захват пакетов разных протоколов в соответствии с условиями фильтров и декодирование пакетов.



3. Аудит и его необходимость

Аудит (аудит информационных систем), как таковой, является комплексной проверкой, исследованием всей ИТ-инфраструктуры и ее сегментов на вашем предприятии, для оценки ее состояния на момент аудита, уровня соответствия современным требованиям и безнес-процессам компании.

Необходимость ИТ Аудита очевидна -- качество и соответствие требованиям вашей ИТ-инфраструктуры напрямую влияет на производительность труда персонала компании. От правильности настройки и работы даже одного компьютера, порой зависит организация рабочего дня целого отдела.

Кроме этого, ИТ Аудит поможет выявить слабые места в организации безопасности ваших сетей, определить необходимые действия для защиты ваших коммерческих тайн.

3.1 Производительность системы

Одна из целей ИТ Аудита -- определение производительность вашей системы. Иногда руководитель не подозревает, сколько времени впустую тратит сотрудник, работающие на устаревшим или неправильно настроенном оборудовании, только на то, чтобы работать параллельно с 1С или дождаться документа, посланного на сетевой принтер.

Исследования показывают, что от неправильно настроенного или устаревшего оборудования, один сотрудник может терять от 10% до 30% рабочего времени, а это от 18 до 52 рабочих часов в месяц! То есть, один ваш сотрудник в среднем 35 часов в месяц может работать абсолютно не эффективно. 4 с половиной рабочих дня!

Именно поэтому модернизацию ИТ-инфраструктуры нельзя рассматривать как затраты. Очевидно, что это ваши инвестиции в свой эффективный бизнес, повышение производительности труда ваших сотрудников. Именно для выявления таких недочетов ИТ-инфраструктуре и существует наш ИТ Аудит.

3.2 Комплексный аудит сети

Комплексный аудит сети включает как пассивный мониторинг так и тест на проникновение и позволяет обеспечить наиболее высокую степень экспертной оценки уровня защищенности сети. При проведении данных работ специалисты не ограничиваются только поиском уязвимостей в отдельных узлах сети, а выполняют анализ всей сетевой инфраструктуры заказчика и формируют рекомендации по ее оптимизации с точки зрения обеспечения информационной безопасности.

Результатом комплексного аудита может быть проект оптимизированной архитектуры корпоративной сети заказчика либо рекомендации по доработкам существующей архитектуры с учетом текущих требований.



4. Общесистемное управление

Как ни парадоксально это звучит, на производительность сети влияет не только сеть, но и другое оборудование. Кроме отслеживания работы самой сети, следует большое внимание уделять жестким дискам и оперативной памяти на серверах.

Жесткий диск. Из трех перечисленных выше инструментов, для отслеживания характеристик жесткого диска наиболее полезен Performance Monitor. Обычно отслеживаются следующие характеристики: оставшееся дисковое пространство, скорость обработки запросов (это и средняя пропускная способность, и количество переданных данных), частота занятости диска (как частота его работы, так и среднее количество запросов в очереди диска). При мониторинге необходимо обратить внимание, какой диск отслеживается: физический или логический. Также не все счетчики будут доходить до 100%, так как считывание с многих логических дисков может давать суму свыше 100% для всего физического диска. Иногда требуется использовать средний результат. (Внимание: перед использованием счетчиков дисков следует исполнить команду diskperf).

Оперативная память. Оперативная память сервера требуется для обслуживания входящих запросов. Windows NT спроектирована так, чтобы сбрасывать из памяти на диск (в swap file) не используемые в данный момент данные. Если серверу приходится сбрасывать на диск слишком много данных, имеет смысл установить дополнительную память. Существует два типа ошибок обращения к странице. Программные ошибки происходят, когда данные удалены из рабочего множества (working set) программы и перемещены в другую область физической памяти. Операция по возвращению данных в рабочее множество является очень быстро. Аппаратные ошибки обращения к странице происходят когда данные убраны после того, как долго оставались неиспользованными, или когда имеется такая недостача физической памяти, что данные программ фактически хранятся на диске. Считывание данных с диска занимает на порядок больше времени, чем считывание из памяти. Таким образом, важно измерять частоту появления ошибок обращения к странице памяти.

4.1 Управление безопасностью сети

Управление безопасностью сети направлено на защиту данных и оборудования в сети. Оно включает в себя аппаратные, программные и административные средства для уменьшения опасности изнутри или снаружи организации. Можно привести некоторые примеры опасностей:

- несанкционированный внутренний или внешний доступ к документам организации;

- воровство или уничтожение данных;

- воровство, несанкционированное использование или повреждение компьютеров и сетевых устройств.

Управление безопасностью сети решает следующие задачи:

- определение возможных опасностей и их последствий;

- разработка и внедрение политики защиты компьютерной сети;

- администрирование учетных записей пользователей;

- использование различных средств для слежения за деятельностью пользователей и оповещения о сомнительных действиях пользователей.

Для реализации политики защиты необходимо идентифицировать пользователей и ресурсы сети с помощью различных схем сетевого наименования.

Схемы сетевого наименования. Каждому компьютеру в сети должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными (shared) ресурсами. Сетевые имена могут быть разделены на следующие категории: учетные записи, компьютеры, ресурсы.

Учетные записи. Учетная запись представляет собой объединение всей информации, относящейся к пользователю или группе пользователей в сети. Обычно она состоит из имени пользователя, пароля, прав пользователя и сведений об участии в группах. Учетные записи создаются администратором. Пользователь не должен предоставлять другим пользователям свой пароль.

Имена компьютеров. Каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют одинаковые схемы наименования, необходима система, преобразующая (разрешающая) одни типы имен и адресов в другие. Существует несколько стандартов разрешения имен.

Компьютерные имена NetBIOS. Каждый компьютер в сети Microsoft использует компьютерное имя, длиной до 15 символов (также его называют именем NetBIOS). Эти имена относят к прикладному уровню OSI. Сети, использующие стек TCP/IP должны разрешить имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в адреса.

Windows Internet Name Service. WINS - служба, разрешающая компьютерные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает имена так, чтобы компьютеры могли взаимодействовать друг с другом. WINS - это служба типа клиент-сервер, клиент регистрирует свое компьютерное имя на сервере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS.

Domain Name Service. Служба DNS похожа на WINS в том что она также разрешает компьютерные имена в адреса IP. В DNS эти имена называются именами хостов (host names) или fully qualified domain names (FQDN - полное имя узла). Если компьютерные имена NetBIOS состоят из одной части, то стек TCP/IP опирается на соглашение по наименованию, известное как Domain Name System. FQDN представляет собой иерархическое имя, использующее формат hostname.domainname, например microsoft.com. Windows NT может сочетать компьютерное имя NetBIOS с именем домена DNS для формирования FQDN. В Windows NT 4.0 DNS представляет собой статическую службу, то есть необходимо вручную ввести имена и адреса IP прежде чем сервер DNS сможет их разрешить. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер может разрешить часть имени kirov.ru, другой - разрешить часть vspu.

В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.

...