лаба 4. Протоколы общего доступа smbcifs

Лабораторная работа 4
Использование команд сетевых служб
Цель работы – изучить протоколы общего доступа NetBIOS/SMB и освоить назначения и использование команд сетевых служб Net, служб TCP/IP и службы Network Command Shell
(NetSH) операционной системы MS Windows.
1.
Протоколы общего доступа SMB/CIFS
Фирмы Microsoft и IBM совместно работали над сетевыми средствами для персональных компьютеров, поэтому стек протоколов NetBIOS/SMB является их совместным детищем.
Средства NetBIOS появились в 1984 году как сетевое расширение стандартных функций базовой системы ввода/вывода (BIOS) IBM PC для сетевой программы PC Network фирмы IBM, которая на прикладном уровне (рис. 1) использовала для реализации сетевых сервисов протокол SMB
(Server Message Block). В Windows 8 и Windows Server 2012 используется новая версия протокола
SMB — SMB 3.0.
Протокол NetBIOS работает на трех уровнях модели взаимодействия открытых систем: сетевом, транспортном и сеансовом. NetBIOS может обеспечить сервис более высокого уровня, чем протоколы IPX и SPX, однако не обладает способностью к маршрутизации. Таким образом,
NetBIOS не является сетевым протоколом в строгом смысле этого слова. NetBIOS содержит много полезных сетевых функций, которые можно отнести к сетевому, транспортному и сеансовому уровням, однако с его помощью невозможна маршрутизация пакетов, так как в протоколе обмена кадрами NetBIOS не вводится такое понятие как сеть. Это ограничивает применение протокола NetBIOS локальными сетями, не разделенными на подсети. NetBIOS поддерживает как дейтаграммный обмен, так и обмен с установлением соединений.
Протокол SMB, соответствующий прикладному и представительному уровням модели OSI, регламентирует взаимодействие рабочей станции с сервером. В функции SMB входят следующие операции:
•Управление сессиями. Создание и разрыв логического канала между рабочей станцией и сетевыми ресурсами файлового сервера.
•Файловый доступ. Рабочая станция может обратиться к файл-серверу с запросами на создание и удаление каталогов, создание, открытие и закрытие файлов, чтение и запись в файлы, переименование и удаление файлов, поиск файлов, получение и установку файловых атрибутов, блокирование записей.
•Сервис печати. Рабочая станция может ставить файлы в очередь для печати на сервере и получать информацию об очереди печати.
•Сервис сообщений. SMB поддерживает простую передачу сообщений со следующими функциями: послать простое сообщение; послать широковещательное сообщение; послать начало блока сообщений; послать текст блока сообщений; послать конец блока сообщений; переслать имя пользователя; отменить пересылку; получить имя машины.

Из-за большого количества приложений, которые используют функции API, предоставляемые NetBIOS, во многих сетевых ОС эти функции реализованы в виде интерфейса к своим транспортным протоколам.
Существует два варианта транспорта: ранее использовался NetBIOS Over TCP/IP (NBT), но в последних версиях ОС MS Windows был сделан отказ от него и переход на SMB Over
TCP/IP. Совместимость новых операционных систем со старыми протоколами – есть.
NetBIOS Over TCP/IP:
NetBIOS протокол работает на сеансовом уровне модели OSI. Решает задачи:
1.Регистрация сетевых имен
2.Установление сессий
3.Установление надежных соединений для передачи данных (TCP)
4.Установление ненадежных соединений для передачи данных (UDP)
Функционал дублирует задачи DNS. Так как NetBIOS изначально был разработан, когда технологии DNS не было. Поэтому от данного протокола, NBT, отказываются в использовании.
Используемые порты:
1.UDP 137 – Name managment.
2.UDP 138 – Datagram traffic.
3.TCP 139 – Session traffic
SMB Over TCP
1.TCP/UDP 445 – Session traffic. Сессионный трафик, передача файлов, использование принтеров и прочее.
Протокол специально разработан для выполнении одной задачи, а именно связки SMB и TCP/IP.
SMB обвиняют в создании большого количества широковещательного (broadcast) трафика.
Но на самом деле причина кроется не в SMB, а в NBT, который он использует. Протоколом по умолчанию NBT был в Windows NT, но к Windows 2000 был сделан отказ от реализации разрешения имен на основе WINS серверов. Стандартом стал DNS. Таким образом NBT стал особняком, который дублировал задачи. И в последних версиях ОС уже по умолчанию используется SMB over TCP/IP.
Есть так же еще одна неприятная особенность. Операционная система довольно долго развивается, так же есть много других продуктов (Exchange, Sharepoint и прочих сервисов в самой ОС), которые могут использовать NetBIOS API для задач с разрешением имен. Таким образом полный отказ от NetBIOS может привести к неожиданным последствиям при разрешении сетевых имен.
К преимуществам использования протокола SMB Over TCP/IP можно отнести:
1.Упрощение транспорта трафика SMB
2.Отказа от использования WINS и широковещательного трафика NetBIOS в сети.
3.Стандартизация разрешения имен, все запросы разрешаются через DNS сервер.
Согласование транспортных протоколов (NetBIOS Over TCP/IP vs SMB Over TCP/IP)
Одним из самых главных этапов при установлении соединения является согласование протоколов. Алгоритм следующий:

1. Попытка установить TCP сессию на 445 порту (порт, на котором работает SMB Over TCP/IP).
2. Если удалось поднять сессию, то поднимается SMB через SMB Over TCP/IP
3. Если сессия на 445 порту не установилась, то делается попытка установить связь через 139 порт (порт, на котором работает NetBIOS Over TCP/IP).
4. Если сессия установилась, то поднимается SMB через NetBIOS Over TCP/IP
Таким образом предпочтение при подключение имеет более новый протокол, т.е. SMB
Over TCP/IP. Если же сессия не установилась, то делается попытка отступить на более старый протокол взаимодействия. В случае, когда п.1 и п.3 не завершатся установлением сессии, то попытки подключения прекращаются и выдается ошибка подключения.
Формат заголовка SMB
8 16 24 32 bits
Command
RCLS Reserved ERR
ERR (cont) REB/FLG
Reserved
Reserved
Reserved
Reserved
Tree ID
Process ID
User ID
Multiplex ID
WCT
VWV
BCC
BUF
SMB header structure
Основные элементы структуры заголовка SMB:
• Command — команда протокола.
• RCLS — код класса ошибки.
• ERR — код ошибки.
• Tree ID (TID) — идентификатор соединения с сетевым ресурсом.
• Process ID (PID) — идентификатор клиентского процесса фактического соединения.
• User ID (UID) — идентификатор пользователя; используется сервером для проверки прав доступа пользователя.
• Multiplex ID (MID) — идентификатор группы пользователя; используется сервером для проверки прав доступа группы пользователя.
• WCT — количество параметров, следующих за заголовком.
• BCC — количество байт данных, следующих за параметрами.
Аутентификация Microsoft SMB Protocol
Модель механизма защиты, которая используется в Microsoft SMB Protocol, в основном идентична модели любого другого варианта SMB-протокола. Она состоит из двух уровней защиты: user-level (пользовательский уровень) и share-level (уровень совместно используемого

ресурса). Под share (выложенный в сеть ресурс) понимается файл, директория, принтер, любая услуга, которая может быть доступна клиентам по сети.
Аутентификация на уровне user-level означает, что клиент, который пытается получить доступ к ресурсу на сервере, должен иметь username (имя пользователя) и password (пароль).
Если аутентификация прошла успешно, клиент имеет доступ ко всем доступным ресурсам сервера, кроме тех, что с share-level-защитой. Этот уровень защиты дает возможность системным администраторам конкретно указывать, какие пользователи и группы пользователей имеют доступ к определённым данным.
Аутентификация на уровне share-level означает, что доступ к ресурсу контролируется паролем, установленным конкретно на этот ресурс. В отличие от user-level, этот уровень защиты не требует имя пользователя для аутентификации и не устанавливается никакая уникальность текущего пользователя. Этот уровень используется в Windows NT, Windows 2000 и Windows XP для обеспечения дополнительного уровня контроля защиты сверх user-level.
На этих уровнях защиты используется шифрование. Пароль зашифровывается, прежде чем отправляется на сервер. Типы шифрования NTLM и старые версии LAN Manager (LM) поддерживаются протоколом. Оба метода шифрования используют аутентификацию типа отклик-отзыв, в которой сервер посылает клиенту случайную сгенерированную строку, а клиент возвращает в качестве отзыва обработанную строку, которая доказывает, что клиент имеет достаточный мандат для доступа к данным.
Выполнение лабораторной работы.
VM1 - Debian - сервер
VM2 - Windows 7 - клиент
Student_N1-N2
Student_N1-(N2+1)
Схема виртуального стенда
1. Конфигурация VM1 - Debian - сервер, имя
Student_N1-N2 2. Конфигурация VM2 - Windows 7 - клиент, имя Student_N1 -(N2+1)
VM2 последовательный интерфейс COM1
Named pipe - com_1
VM1 последовательный интерфейс COM1

При выполнении работы используется прямое сетевое подключение - VM1 - VM2 по протоколу
PPP.
Варианты IP адресов:

VM1 - Debian
- 192.168.N1.N2;

VM2 - Windows 7
- 192.168.N1.N2+1, где:
N1- две последних цифры номера группы (АБ-_20 - N1=20,…, АБс-_23 - N1=23);
N2 - номер по списку студентов группы.
Установка пакета samba
Для установки пакета samba введите в терминале : sudo apt-get install samba
Основной файл настройки Samba - /etc/samba/smb.conf. Изначальный файл конфигурации имеет значительное количество комментариев для документирования различных директив настройки.
1. Сначала измените следующие пары ключ/значение в секции [global] файла /etc/samba/smb.conf: workgroup = WORKGROUP security = user
Параметр security находится значительно ниже в секции [global] и по умолчанию закомментирован. Также замените EXAMPLE на соответствующее вашему окружению.
2. Создайте новую секцию в конце файла или раскомментируйте один из примеров для каталога, который нужно настроить на общий доступ:
[share] comment = Debian File Server Share path = /srv/samba/share browsable = yes guest ok = yes read only = no create mask = 0755 1. comment: короткое описание разделяемого ресурса. Используется для вашего удобства.
2. path: путь до разделяемого каталога.
Этот пример использует /srv/samba/sharename поскольку, в соответствии со
стандартом иерархии файловых систем (FHS), каталог /srv - это место, где должны
находится все данные, относящиеся к данному сайту. Технически разделяемый ресурс
Samba может быть размещен в любом месте файловой системы, где позволяют
файловые ограничения доступа, но следование стандартам рекомендуется.
3. browsable: позволяет клиентам Windows просматривать содержимое разделяемого каталога с помощью проводника Windows.
4. guest ok: позволяет клиентам подключаться к разделяемому ресурсу без указания пароля.
5. read only: определяет доступность ресурса только на чтение или с привилегиями на запись. Привилегии на запись доступны только при указании no, как показано в данном примере. Если значение yes, то доступ к ресурсу будет только на чтение.
6. create mask: определяет какие права доступа будут установлены для создаваемых новых файлов.
3. Теперь, поскольку Samba настроена, требуется создать каталог и установить на него права доступа. Введите в терминале:

sudo mkdir -p /srv/samba/share sudo chown nobody.nogroup /srv/samba/share/
4. Наконец, перезапустите сервисы samba для применения новых настроек:
/etc/init.d# ./samba restart
По завершении настройки параметров сетевых служб Windows 7 выполнить подключение.
Или -
Подключение к к сетевым ресурсам Windows 7 - сервер.

Выполнить настройки параметров сетевых служб Windows 7
В программе Network Monitor требуется найти и представить анализ процессов установления соединения и авторизации пользователя с компьютера Debian.
Провести анализ сетевого обмена в процессе подключения к к сетевым ресурсам.

Провести анализ:
- стадий работы соединения;
- используемых протоколов;
- содержимого и назначение полей пакета.
Подключение к сетевым ресурсам Debian - сервер.
Команды сетевых служб

Net accounts

Net computer

Net config

Net continue

Net file

Net group

Net help

Net helpmsg

Net localgroup

Net name

Net pause

Net print

Net send

Net session

Net share

Net start

Net statistics

Net stop

Net time

Net use

Net user

Net view
Используя экранный справочник изучить назначение команд.

1.1.
На примере NIC (прямого кабельного соединения) освоить приемы практического использования команд.
Например чтобы предоставить доступ к папке или диску для совместной работы
С помощью компонента «Общие папки»
1. Откройте окно Управление компьютером.
2. В дереве консоли щелкните узел Ресурсы.
Где? o
Оснастка «Управление компьютером» o
Служебные программы o
Общие папки o
Ресурсы
3. В меню Действие выберите команду Новый общий ресурс.
4. Выполните указания мастера создания новой общей папки, а затем нажмите кнопку
Готово.
Примечание

Чтобы открыть оснастку «Управление компьютером», нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните значок
Администрирование, а затем дважды щелкните значок Управление компьютером.
С помощью проводника Windows
1. Откройте проводник Windows.
2. Щелкните правой кнопкой мыши папку или диск, которые будут назначены для совместной работы, затем выберите команду Общий доступ и безопасность.
3. Нажмите кнопку Открыть общий доступ к этой папке.
4. Установите требуемые параметры и нажмите кнопку OK.
Примечание

Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы,
Стандартные и Проводник.
С помощью командной строки
1.
Откройте окно Командная строка.
2.
Введите:
net share ресурс=диск:путь
Значение
Описание
net share
Создание и удаление совместно используемых ресурсов или вывод сведений о ресурсах.
ресурс=диск:путь Сетевое имя общего ресурса и полный путь к папке.
Примечания

Чтобы открыть окно командной строки, нажмите кнопку Пуск и выберите команды
Программы, Стандартные и Командная строка.

Чтобы просмотреть полный синтаксис этой команды, введите в командной строке:
net help share
Внимание!

При создании общего ресурса определите для него параметры безопасности. Это можно выполнить несколькими способами. Для получения дополнительных сведений щелкните ссылку «См. также».
Примечания

Для выполнения этой процедуры необходимо войти в систему в качестве члена группы
Администраторы, Операторы сервера или Опытные пользователи. Если компьютер подключен к сети, параметры сетевой политики могут запретить выполнение данной процедуры.

Удобно использовать средство «Общие папки» для управления общими ресурсами как на локальном, так и на удаленных компьютерах. Дополнительные сведения о том, как подключиться к другому компьютеру, см. по ссылке «См. также». С помощью проводника
Windows и командной строки можно управлять только общими ресурсами на локальном компьютере.


Чтобы скрыть общий ресурс при просмотре, последним знаком имени общего ресурса должен быть знак $ (при этом знак $ становится частью имени ресурса). Пользователи могут подключить диск к этому общему ресурсу, однако при использовании проводника, компонента «Мой компьютер» или команды net view на удаленном компьютере этот ресурс просмотреть нельзя. Для получения дополнительных сведений об этой команде щелкните ссылку «См. также».

Возможности общего доступа к файлам могут быть ограничены, если задействован параметр «Простой общий доступ к файлам». Для получения дополнительных сведений о простом общем доступе к файлам выполните поиск по фразе «Description of File Sharing and Permissions in Windows» в базе данных Microsoft Knowledge Base.
(http://www.microsoft.com/).
Отключить прямое сетевое подключение рис 1.
1.2.
Управление учетными записями Net Accounts.
Экранный справочник
Net Accounts /?
Просмотр и операции с учетными записями
Net User

Управление учетными записями
Управление локальными группами.
Создание/Удаление локальных групп пользователей.

Управление компьютерами. (Используется на контроллере домена).
Для просмотра интерфейсов, на которых есть NBT можно воспользоваться командой
Net config redirector
Просмотр и управление текущими соединениями.
Net Session
Настройка параметров службы локального сервера.

Настройка параметров службы рабочая станция.
Управление сервисами
Просмотр списка запущенных служб

Запуск службы
Остановка службы
Временная приостановка работы службы Net Pause ServiceName.

Управление файлами.
Просмотр списка файлов открытых на сервере клиентами.
Для отображения требуется открыть файл. Выполнить этот пункт после создания общей папки .
Справка службы Net Utility

3. Использование утилит протокола TCP/IP
Сравнить и представить в отчете результат выполнения команд в ОС Windows и Debian.
Использование основных команд диагностики соединений.
Packet Internet Groper (
PING
)
Windows 7

4. Диагностика сети Network Statistics (Windows)
Изучить по экранному справочнику параметры команды отображения статистики сетевых подключений.
Отрыть файл с компьютера Debian на удаленном компьютере Windows.

Просмотр соединений и открытых портов
NetStat
с ключами -a -b -n
Отрыть файл с компьютера Windows на удаленном компьютере Debian.

Выполнить команды и представить результаты с коментариями.
Результаты представить в отчет в виде образов окон интерфейса программ с пояснениями.
Сформулировать выводы выводы о принадлежности протокола SMB уровню модели OSI, предназначению протокола, стадии работы и используемые протоколы..