Введение в компьютерные сети. Авербах В.С. Введение в вычислительные сети. В. С. Авербах введение в вычислительные сети издательство Самарского государственного экономического университета 2008
Скачать 2.84 Mb.
|
Раздел "домен" реплицируется между контроллерами только внутри одного домена, в то время как разделы "конфигурация" и "схема" реплицируются в каждый из доменов, расположенных в лесу. Подробней организация репликации описана ниже. 12.5. Организация Active Directory Вместе с AD введено несколько новых понятий, например глобальный каталог, репликация, доверительные отношения, пространство имен DNS и правила наименования. Важно понимать их значение применительно к Active Directory. Глобальный каталог. Глобальный каталог (global catalog) - это центральное хранилище информации об объектах в дереве или лесе. По умолчанию глобальный каталог автоматически создается на первом контроллере домена в лесе, и этот контроллер становится сервером глобального каталога (global catalog server). Он хранит полную реплику атрибутов всех объектов в своем домене, а также частичную реплику атрибутов всех объектов для каждого домена в лесе. Эта частичная реплика хранит те атрибуты, которые чаше других нужны при поиске (например, по имени или фамилии пользователя, по регистрационному имени пользователя и т.д.). Атрибуты объекта в глобальном каталоге наследуют исходные разрешения доступа из тех доменов, откуда они были реплицированы, и таким образом, в глобальном каталоге обеспечивается безопасность данных. Глобальный каталог выполняет две важные функции: обеспечивает регистрацию в сети, предоставляя контроллеру домена информацию о членстве в группах; обеспечивает поиск информации в каталоге независимо от расположения данных. Когда пользователь регистрируется в сети, глобальный каталог предоставляет контроллеру домена, который обрабатывает информацию о процессе регистрации в сети, полные данные о членстве учетной записи в группах. Если в домене только один контроллер, сервер глобального каталога и контроллер домена - это один и тот же сервер. Если же в сети несколько контроллеров домена, то глобальный каталог располагается на том из них, который сконфигурирован для этой роли. Если при попытке регистрации в сети глобальный каталог недоступен, то пользователю разрешается зарегистрироваться лишь на локальном компьютере. Глобальный каталог позволяет максимально быстро и с минимальным сетевым трафиком отвечать на запросы программ и пользователей об объектах, расположенных в любом месте леса или дерева доменов. Глобальный каталог может разрешить запрос в том же домене, в котором этот запрос был инициирован, так как информация обо всех объектах всех доменов в лесе содержится в едином глобальном каталоге. Поэтому поиск информации в каталоге не вызывает лишнего трафика между доменами. В качестве сервера глобального каталога можно настроить любой контроллер домена либо дополнительно назначить на эту роль другие контроллеры домена. Выбирая сервер глобального каталога, надо учесть, справится ли сеть с трафиком репликации и запросов. Рекомендуется, чтобы каждый крупный сайт предприятия имел собственный сервер глобального каталога. 12.6.Репликация Необходимо, чтобы с любого компьютера в дереве доменов или лесе пользователи и службы могли все время получать доступ к информации в каталоге. Как уже сказано, репликация позволяет отражать изменения в одном контроллере домена на остальных контроллерах в домене. Информация каталога реплицируется на контроллеры домена как в пределах сайтов, так и между ними. Виды реплицируемой информации. Хранимая в каталоге информация делится на три категории, которые называются разделами каталога (directory partition). Раздел каталога служит объектом репликации. В каждом каталоге содержится следующая информация: информация о схеме - определяет, какие объекты разрешается создавать в каталоге и какие у них могут быть атрибуты; информация о конфигурации - описывает логическую структуру развернутой сети, например структуру домена или топологию репликации. Эта информация является общей для всех доменов в дереве или лесе; данные домена - описывают все объекты в домене. Эти данные относятся только к одному определенному домену, Подмножество свойств всех объектов во всех доменах хранится в глобальном каталоге для поиска информации в дереве доменов или лесе. Схема и конфигурация реплицируются на все контроллеры домена в дереве или лесе. Все данные определенного домена реплицируются на каждый контроллер именно этого домена. Все объекты каждого домена, а также часть свойств всех объектов в лесе реплицируются в глобальный каталог. Контроллер домена хранит и реплицирует: информацию о схеме дерева доменов или леса; информацию о конфигурации всех доменов в дереве или лесе; все объекты и их свойства для своего домена. Эти данные реплицируются на все дополнительные контроллеры в домене. Часть всех свойств объектов домена реплицируется в глобальный каталог для организации поиска информации. Глобальный каталог хранит и реплицирует: информацию о схеме в лесе; информацию о конфигурации всех доменов в лесе; часть свойств всех объектов каталога в лесе (реплицируется только между серверами глобального каталога); все объекты каталога и все их свойства для того домена, в котором расположен глобальный каталог. Работа службы репликации. Active Directory реплицирует информацию в пределах сайта чаще, чем между сайтами, сопоставляя необходимость в обновленной информации каталога с ограничениями по пропускной способности сети. В пределах сайта AD автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновления не будут переданы на все контроллеры домена. Кольцевая структура обеспечивает существование минимум двух путей репликации от одного контроллера домена до другого, и если один контроллер домена временно становится недоступен, то репликация на остальные контроллеры домена все равно продолжится. Если из домена убирается или добавляется контроллер, то Active Directory соответственно изменит топологию. Для обеспечения репликации между узлами нужно представить сетевые соединения в виде связей сайтов (site link). Active Directory использует информацию о сетевых соединениях для создания объектов - соединений, что обеспечивает эффективную репликацию и отказоустойчивость. При этом используется информация о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого, AD определит, как связать сайты для репликации. Лучше выполнять репликацию в то время, когда сетевой трафик минимален. 12.7.Доверительные отношения Доверительное отношение (trust realtionship) - это такая связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети в доверяемом домене. Active Directory поддерживает две формы доверительных отношений. Неявные двусторонние транзитивные доверительные отношения (implicit two-way transitive trust). Это отношения между родительским и дочерним доменами в дереве и между доменами верхнего уровня в лесе. Они определены по умолчанию, то есть доверительные отношения между доменами в дереве устанавливаются и поддерживаются неявно (автоматически). Транзитивные доверительные отношения - это функция протокола идентификации Kerberos, по которому в Windows 2000 проводится авторизация и регистрация в сети. Транзитивные доверительные отношения означают следующее: если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С. В результате присоединенный к дереву домен устанавливает доверительные отношения с каждым доменом в дереве. Эти доверительные отношения делают все объекты в доменах дерева доступными для всех других доменов в дереве. Транзитивные доверительные отношения между доменами устраняют необходимость в междоменных доверительных учетных записях. Домены одного дерева автоматически устанавливают с родительским доменом двусторонние транзитивные доверительные отношения. Благодаря этому пользователи из одного домена могут получить доступ к ресурсам любого другого домена в дереве (при условии, что им разрешен доступ к этим ресурсам). Явные односторонние нетранзитивные доверительные отношения (explicit one-way nontransitive trust). Это отношения между доменами, которые не являются частью одного дерева. Нетранзитивные доверительные отношения ограничены отношениями двух доменов и не распространяются ни на какие другие домены в лесе. В большинстве случаев можно самим явно (вручную) создать нетранзитивные доверительные отношения. Явные односторонние нетранзитивные доверительные отношения - это единственно возможные отношения между: доменом Windows 2000 и доменом Windows NT; доменомWindows 2000 в одном лесе и доменом Windows 2000 в другом лесе доменом Windows 2000 и сферой (realm) MIT Kerberos V5, что позволяет клиентам из сферы Kerberos регистрироваться в домене Active Directory для получения доступа к сетевым ресурсам. 12.8.Пространство имен DNS Пространство имен Active Directory основано на системе имен DNS, и это позволяет взаимодействовать с сетью Internet. Частные сети широко используют DNS для разрешения имен компьютеров, а также для поиска компьютеров в локальной сети и в Internet. Применение DNS дает следующие преимущества: имена DNS легче запомнить, чем IP-адреса; имена DNS реже меняются, чем IP-адреса. IP-адрес сервера может измениться, а имя сервера останется прежним; DNS позволяет пользователям подключаться к локальным серверам, применяя те же правила именования, что и в Internet. Поскольку Active Directory использует DNS в качестве службы именования и поиска своих доменов, то имена доменов Windows также являются именами DNS. Для правильной работы AD и взаимодействующего с ней клиентского программного обеспечения перед созданием домена надо установить и сконфигурировать службу DNS. Пространство DNS - это схема именования, которая обеспечивает иерархическую структуру для базы данных DNS. Каждый узел (node) этой иерархии представляет собой раздел базы данных DNS. Такие узлы называются доменами. База данных DNS индексирована по имени, поэтому каждый домен должен иметь имя. В данном пособии уже описана служба DNS (раздел 10). Здесь даётся более подробная информация по вопросам, объясняющим функционирование Active Directory. Термин домен в контексте DNS не относится к понятию домена, которое используется в службе каталогов Windows. Домен Windows - это группа компьютеров и устройств, которую администрируют, как единое целое. Выбор доменного имени DNS. При настройке DNS-серверов рекомендуется сначала выбрать и зарегистрировать уникальное родительское имя DNS, оно будет представлять вашу организацию в Internet. Например, Microsoft использует имя microsoft.com. Родительское имя DNS можно соединить с именем местоположения или подразделения внутри организации для формирования других имен поддоменов. Внутреннее и внешнее пространства имен. В AD существуют два вида пространств имен: пространство имен Active Directory совпадает с заданным зарегистрированным пространством имен DNS или отличается от него. Совпадающие внутреннее и внешнее пространства имен. Согласно этому сценарию, организация использует одно и то же имя для внутреннего и внешнего пространств имен. Имя mcrosoft.com применяется как внутри, так и вне организации. Для реализации этого сценария надо соблюдать следующие условия: пользователи внутренней сети компании должны иметь доступ как к внутренним, так и к внешним серверам (по обе стороны брандмауэра); для защиты конфиденциальной информации клиенты, осуществляющие доступ извне, не должны иметь доступ к внутренним ресурсам компании или иметь возможность разрешать их имена. 13.БЕСПРОВОДНЫЕ СЕТИ 13.1.Общие сведения Беспроводные сети используют для передачи данных электромагнитные волны радио-, ультракороткого и светового диапазона. Беспроводные сети осуществляют обмен данными между передатчиками и приёмниками, подключенными к компьютеру, и фиксированными приёмниками и передатчиками, подключенными к кабельной сетевой инфраструктуре через устройства, известные как беспроводные точки доступа. Точки доступа располагаются с учётом требований конечных пользователей и в соответствии с требованиями используемой технологией. Существуют разные технологии передачи данных в беспроводных сетях. Одни призваны передавать данные от устройства к устройству, другие обеспечивают общее покрытие выделенной площади. Преимущества беспроводной сети очевидны. Пользователи беспроводной сети не привязаны к определённому месту, оборудованному информационной розеткой, что соответствует требованиям современного мобильного образа жизни. Обычно беспроводные сетевые технологии группируются в три типа, различающиеся по масштабу действия их радиосистем, но все они с успехом применяются в бизнесе. WPAN (персональные сети) - короткодействующие, радиусом до 10 м сети, которые связывают ПК и другие устройства - КПК, мобильные телефоны, принтеры и т. п. С помощью таких сетей реализуется простая синхронизация данных, устраняются проблемы с обилием кабелей в офисах, реализуется простой обмен информацией в небольших рабочих группах. Наиболее перспективный стандарт для WPAN -это Bluetooth (стандарт IEEE 802.15). WLAN (Wireless Local Area Networks) - беспроводные локальные сети - радиус действия до 100 м. С их помощью реализуется беспроводной доступ к групповым ресурсам в здании, университетском корпусе и т. п. Обычно такие сети используются для продолжения проводных корпоративных локальных сетей. В небольших компаниях WLAN могут полностью заменить проводные соединения. Основной стандарт для WLAN – IEEE 802.11. WWAN (беспроводные сети широкого действия) - беспроводная связь, которая обеспечивает мобильным пользователям доступ к их корпоративным сетям и Internet. Сейчас внедряются несколько технологий, позволяющих организовать беспроводные сети на больших расстояниях. Активно внедряется технология GPRS - быстрее всего в Европе и с некоторым отставанием в США. Для работы на больших расстояниях был разработан и предложен стандарт, названный WiMAX - Worldwide Interoperability for Microwave Access (международное взаимодействие для микроволнового доступа). Это стандарт IEEE 802.16 для городской сети. На современном этапе развития сетевых технологий наиболее распространённой и реализованной в условиях, требующих мобильность, простоту установки и использования, является технология беспроводных сетей Wi-Fi . В настоящее время беспроводные ЛВС - самый динамичный сектор коммуникационных технологий. 13.2.Технология Wi – Fi. Архитектура, компоненты сети и стандарты Под аббревиатурой "Wi-Fi" (от английского словосочетания "Wireless Fidelity", которое можно дословно перевести как "высокая точность беспроводной передачи данных") в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам. Как правило, технология Wi-Fi используется для организации беспроводных локальных, а также создания так называемых горячих точек высокоскоростного доступа в Интернет. Стандарт IEEE 802.11, разработанный в 1997г,- первый промышленный стандарт для беспроводных локальных сетей или WLAN. Его можно сравнить со стандартом IEEE 802.3 для обычных проводных Ethernet сетей Стандарт IEEE 802.11 определяет порядок организации беспроводных сетей на уровне управления доступом к среде (MAC-уровне) и физическом уровне. Подобно проводному Ethernet, IEEE 802.11 определяет протокол использования единой среды передачи, получивший название (CSMA/CD). Вероятность коллизий беспроводных узлов минимизируется путем предварительной посылки короткого сообщения, называемого ready to send (RTS), оно информирует другие узлы о продолжительности предстоящей передачи и адресате. Это позволяет другим узлам задержать передачу на время, равное объявленной длительности сообщения. Приемная станция должна ответить на RTS посылкой clear to send (CTS). Это позволяет передающему узлу узнать, свободна ли среда и готов ли приемный узел к приему. После получения пакета данных приемный узел должен передать подтверждение факта безошибочного приема. Если подтверждение не получено, попытка передачи пакета данных будет повторена. В стандарте предусмотрено обеспечение безопасности данных, которое включает аутентификацию для проверки того, что узел, входящий в сеть, авторизован в ней, а также шифрование для защиты от подслушивания. На физическом уровне стандарт предусматривает два типа радиоканалов и один инфракрасного диапазона. В основу стандарта IEEE 802.11 положена сотовая архитектура. Сеть может состоять из одной или нескольких ячеек (сот). Каждая сота управляется базовой станцией, называемой точкой доступа (Access Point, AP). Точка доступа и находящиеся в пределах радиуса ее действия рабочие станции образуют базовую зону обслуживания (Basic Service Set, BSS). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему (Distribution System, DS), представляющую собой эквивалент магистрального сегмента кабельных локальных сетей. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняется непосредственно рабочими станциями. В настоящее время существует множество стандартов семейства IEEE 802.11. Из всех существующих стандартов беспроводной передачи данных IEEE 802.11, на практике наиболее часто используются три, это: 802.11b, 802.11g и 802.11a. Принятый в 1999 г. стандарт IEEE 802.11b благодаря ориентации на свободный от лицензирования диапазон 2,4 ГГц завоевал наибольшую популярность у производителей оборудования. Пропускная способность (теоретическая 11 Мбит/с, реальная - от 1 до 6 Мбит/с) отвечает требованиям большинства приложений. Поскольку оборудование 802.11b, работающее на максимальной скорости 11 Мбит/с, имеет меньший радиус действия, чем на более низких скоростях, то стандартом 802.11b предусмотрено автоматическое понижение скорости при ухудшении качества сигнала. К началу 2004 года в эксплуатации находилось около 15 млн. радиоустройств 802.11b. Cтандарт IEEE 802.11a, функционирующий в частотном диапазоне 5 ГГц, появился в конце 2001 г. Беспроводные ЛВС стандарта IEEE 802.11a обеспечивают скорость передачи данных до 54 Мбит/с, т. е. примерно в пять раз быстрее сетей 802.11b, и позволяют передавать большие объемы данных, чем сети IEEE 802.11b. К недостаткам 802.11а относятся большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300 м, а для 5 ГГц - около 100 м). Кроме того, устройства для 802.11а дороже, но со временем ценовой разрыв между продуктами 802.11b и 802.11a будет уменьшаться. IEEE 802.11g является новым стандартом, регламентирующим метод построения WLAN, функционирующих в нелицензируемом частотном диапазоне 2,4 ГГц. Максимальная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет 54 Мбит/с. Стандарт 802.11g представляет собой развитие 802.11b и обратно совместим с 802.11b. Соответственно ноутбук с картой 802.11g сможет подключаться и к уже действующим точкам доступа 802.11b, и ко вновь создаваемым 802.11g. Теоретически 802.11g обладает достоинствами двух своих предшественников. В числе преимуществ 802.11g надо отметить низкую потребляемую мощность, большую дальность действия и высокую проникающую способность сигнала. 13.3. Основные элементы сети Wi - Fi Для построения беспроводной сети используются Wi-Fi адаптеры и точки доступа. Адаптер(рис.63) представляет собой устройство, которое подключается через шину PCI, PCMCI, CompactFlash. Существуют также адаптеры с подключением через порт USB 2.0. Wi-Fi адаптер выполняет ту же функцию, что и сетевая карта в проводной сети. Он служит для подключения компьютера пользователя к беспроводной сети. Благодаря платформе Centrino все современные ноутбуки имеют встроенные адаптеры Wi-Fi, совместимые со многими современными стандартами. Wi-Fi адаптерами, как правило, снабжены и КПК (карманные персональные компьютеры), что также позволяет подключать их к беспроводным сетям. На рис.65 показаны беспроводные адаптеры. Рис.65. Беспроводные адаптеры Для доступа к беспроводной сети адаптер может устанавливать связь непосредственно с другими адаптерами. Такая сеть называется беспроводной одноранговой сетью или Ad Hoc ("к случаю"). Адаптер также может устанавливать связь через специальное устройство - точку доступа. Такой режим называется инфраструктурой (INFRASTRUCTURE). Для выбора способа подключения адаптер должен быть настроен на использование либо Ad Hoc, либо инфраструктурного режима. Точка доступа (рис.66) представляет собой автономный модуль со встроенным микрокомпьютером и приемно-передающим устройством. Рис. 66.Точка доступа Через точку доступа осуществляется взаимодействие и обмен информацией между беспроводными адаптерами, а также связь с проводным сегментом сети. Таким образом, точка доступа играет роль коммутатора. Точка доступа имеет сетевой интерфейс (uplink port), при помощи которого она может быть подключена к обычной проводной сети. Через этот же интерфейс может осуществляться и настройка точки. На рис.67 представлен пример точки доступа с двумя антеннами и описанием характеристик. Рис.67. Пример точки доступа с двумя антеннами Точка доступа может использоваться как для подключения к ней клиентов (базовый режим точки доступа), так и для взаимодействия с другими точками доступа с целью построения распределенной сети (Wireless Distributed System - WDS). Доступ к сети обеспечивается путем передачи широковещательных сигналов через эфир. Принимающая станция может получать сигналы в диапазоне работы нескольких передающих станций. Станция-приемник использует идентификатор зоны обслуживания (Service Set IDentifier - SSID) для фильтрации получаемых сигналов и выделения того, который ей нужен. Простая беспроводная сеть для небольшого офиса или домашнего использования (Small Office / Home Office - SOHO) может быть построена на основе одной точки доступа (см. рис.68). Рис.68.Пример беспроводной офисной сети Для организации такой сети адаптеры переводятся в режим инфраструктуры, а точка доступа - в режим точки доступа. При этом создается одна зона обслуживания, в которой находятся все пользователи сети. При размещении точки доступа при развертывании малой сети следует обеспечить достаточное качество связи на всех рабочих местах, а также удобство в размещении самой точки. Типовое решение - закрепить точку доступа непосредственно на фальш-потолке, при этом провода электропитания и проводной сети будут проходить над фальш-потолком либо в коробах. Необходимо иметь в виду, что при расширении сети и увеличении количества пользователей скорость связи будет падать (пропорционально числу пользователей). Наибольшее разумное количество пользователей обычно составляет 16-20. Помимо этого скорость и качество связи зависят и от расстояния между клиентом и точкой. Эти соображения могут потребовать расширения базовой сети. При расширении сети необходимо следить, чтобы частоты соседних точек доступа не перекрывались во избежание взаимных помех и снижения скорости передачи. На сегодняшний день оборудование Wi-Fi представлено в широком ассортименте всеми известными производителями сетевого оборудования, такими как Cisco, Linksys, D-Link, Asusteck, ZyXEL, Z-com и др. Преимущества Wi-Fi: позволяет развернуть сеть без прокладки кабеля, может уменьшить стоимость развёртывания и расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями. Wi-Fi - устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов. Wi-Fi сети поддерживают роуминг, поэтому клиентская станция может перемещаться в пространстве, переходя от одной точки доступа к другой. Wi-Fi - это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру. Недостатки Wi-Fi: Довольно высокое по сравнению с другими стандартами потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства; самый популярный стандарт шифрования, Wired Equivalent Privacy или WEP, может быть относительно легко взломан даже при правильной конфигурации (из-за слабой стойкости ключа). Несмотря на то, что новые устройства поддерживают более совершенный протокол Wi-Fi Protected Access (WPA), многие старые точки доступа не поддерживают его и требуют замены. Принятий протокол WPA2 в июне 2004 сделал доступной более безопасную схему, которая доступна в новом оборудовании. Обе схемы требуют более стойкий пароль, чем те, которые обычно назначаются пользователями. Многие организации используют дополнительное шифрование (например, VPN) для защиты от вторжения; Wi-Fi имеют ограниченный радиус действия; наложение сигналов закрытой или использующей шифрование точки доступа и открытой точки доступа, работающих на одном или соседних каналах может помешать доступу к открытой точке доступа. Эта проблема может возникнуть при большой плотности точек доступа, например, в больших многоквартирных домах, где многие жильцы ставят свои точки доступа Wi-Fi; неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости. В последние годы Wi-Fi технологии становятся все более совершенными и качество их соединения и безопасность стремительно приближается к возможностям обычного, широко используемого, проводного соединения. 14.СЕТЕВАЯ БЕЗОПАСНОСТЬ 14.1.Классификация сетевых угроз Автономной локальной сети страшны лишь физические (или почти физические) способы вторжения и вирусы, которые могут быть занесены с сменных носителей информации. Сеть или компьютер, подключенные к Internet, подвергаются гораздо большему количеству опасностей. Чтобы представить, от чего защищаться, зачем и чем, попытаемся классифицировать эти угрозы. На рис.69 графически представлена классификация угроз. Неосторожное поведение пользователя |