Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Схема «менеджер — агент — управляемый объект»



Основным элементом любой системы управления сетью является схема взаимодействия «менеджер — агент — управляемый объект» (рис. 5.5). На основе этой схемы могут быть построены системы практически любой сложности с большим количеством агентов, менеджеров и ресурсов разного типа.

Рис. 5.5. Схема взаимодействия «менеджер — агент — управляемый объект»

Чтобы можно было автоматизировать управление объектами сети, создается некоторая модель управляемого объекта, называемая базой данных управляющей информации (Management Information Base, MIB). MIB отражает только те характеристики объекта, которые нужны для его контроля. Например, модель маршрутизатора обычно включает такие характеристики, как количество портов, их тип, таблица маршрутизации, количество кадров и пакетов протоколов канального, сетевого и транспортного уровней, прошедших через эти порты.

Менеджер и агент работают с одной и той же моделью управляемого объекта, однако в использовании этой модели агентом и менеджером имеются существенные различия. Агент наполняет MIB управляемого объекта текущими значениями его характеристик, а менеджер извлекает из MIB данные, на основании которых он узнает, какие характеристики он может запросить у агента и какими параметрами объекта можно управлять. Таким образом, агент является посредником между управляемым объектом и менеджером. Агент поставляет менеджеру только те данные, которые предусматриваются MIB.

Протокол SNMP

Менеджер и агент взаимодействуют по стандартному протоколу, в качестве которого часто используется так называемый простой протокол управления сетью (Simple Network Management Protocol, SNMP). Этот протокол позволяет менеджеру запрашивать значения параметров, хранящихся в MIB, а также передавать агенту информацию, на основе которой тот должен управлять объектом. Особенностью протокола является его чрезвычайная простота — он включает в себя всего несколько команд.

□ Get-request — используется менеджером для получения от агента значения какого-либо объекта по его имени.

□ GetNext-request — позволяет менеджеру извлечь значение следующего объекта (без указания его имени) при последовательном просмотре таблицы объектов.

□ Get - response — с помощью этой команды SNMP-агент передает менеджеру ответ на команду Get - request или GetNext-request.

□ Set — позволяет менеджеру изменять значения какого-либо объекта. С помощью команды Set и происходит собственно управление устройством. Агент должен «понимать» смысл значений объекта, который используется для управления устройством, и на основании этих значений выполнять реальное управляющее воздействие — отключить порт, приписать порт определенной линии VLAN и т. п. Команда Set пригодна также для задания условия, при выполнении которого SNMP-агент должен послать менеджеру соответствующее сообщение. Может быть определена реакция на такие события, как инициализация агента, рестарт агента, обрыв связи, восстановление связи, неверная аутентификация, потеря ближайшего маршрутизатора. Если происходит любое из этих событий, то агент инициализирует прерывание.

□ Trap — используется агентом для сообщения менеджеру о возникновении особой ситуации.

Протокол SNMP для передачи данных между агентами и менеджерами использует дейтаграммный транспортный протокол UDP, не обеспечивающий надежной доставки сообщений, однако менее загружающий управляемые устройства, чем более надежный протокол TCP.

Структура систем управления

Обычно менеджер работает на отдельном компьютере, взаимодействуя с несколькими агентами.

Агенты могут встраиваться в управляемое оборудование, а могут и работать на отдельном компьютере, связанном с управляемым оборудованием. Для получения требуемых данных об объекте, а также для выдачи на него управляющих воздействий агент должен иметь возможность взаимодействовать с ним.

Однако многообразие типов управляемых объектов не позволяет стандартизировать способ взаимодействия агента с объектом. Эта задача решается разработчиками при встраивании агентов в коммуникационное оборудование или в операционную систему. Агент может снабжаться специальными датчиками для получения информации, например датчиками релейных контактов или датчиками температуры. Агенты могут различаться разным уровнем интеллекта, обладая как самым минимальным интеллектом, необходимым для подсчета проходящих через оборудование кадров и пакетов, так и весьма высоким, достаточным для самостоятельных действий по выполнению последовательности управляющих команд в аварийных ситуациях, построению временных зависимостей, фильтрации аварийных сообщений и т. п. Схема «менеджер - агент - управляемый объект» позволяет строить достаточно сложные в структурном отношении распределенные системы управления (рис. 5.6).

Рис. 5.6. Структуры систем управления

Как показано на рисунке, каждый агент управляет определенным элементом сети, параметры которого помещает в соответствующую базу MIB. Менеджеры извлекают данные из MIB своих агентов, обрабатывают их и хранят в собственных базах данных. Операторы, работающие за рабочими станциями, могут соединиться с любым из менеджеров и с помощью графического интерфейса просмотреть данные об управляемой сети, а также выдать менеджеру некоторые директивы по управлению сетью или ее элементами.

Протокол telnet

Режим удаленного управления поддерживается специальным протоколом прикладного уровня, работающим поверх протоколов, реализующих транспортное соединение удаленного узла с компьютерной сетью. Существует большое количество протоколов удаленного управления, как стандартных, так и фирменных. Для IP-сетей наиболее старым протоколом этого типа является telnet (RFC 854).

жннмшямимшмм

Протокол telnet, который работает в архитектуре клиент-сервер, обеспечивает эмуляцию алфавитно-цифрового терминала, ограничивая пользователя режимом командной строки.

При нажатии клавиши соответствующий код перехватывается клиентом telnet, помещается в TCP-сообщение и отправляется через сеть удаленному узлу, которым пользователь пытается управлять. При поступлении на узел назначения код нажатой клавиши извлекается из TCP-сообщения сервером telnet и передается операционной системе узла. ОС рассматривает сеанс telnet как один из сеансов локального для нее пользователя, а коды команд, поступающие из сети, как коды, генерируемые нажатием клавиш. Все ответные сообщения операционной системы при таком режиме работы упаковываются сервером telnet в TCP-сообщения и по сети отправляются клиенту telnet. Клиент telnet извлекает символьные сообщения удаленной ОС и отображает их в окне своего терминала, эмулируя терминал удаленного узла. Протокол telnet был реализован в среде UNIX и наряду с электронной почтой и FTP-доступам к архивам файлов был популярным сервисом Интернета. Сегодня этот протокол в публичном домене Интернета используется редко, так как мало желающих предоставлять посторонним лицам возможность управлять собственным компьютером. Хотя для защиты от несанкционированного доступа в технологии telnet применяются пароли, они передаются через сеть в виде обычного текста, поэтому могут быть легко перехвачены и применены. Из-за этого telnet преимущественно используется в пределах одной локальной сети, где возможностей для перехвата пароля гораздо меньше. Сегодня основной областью применения telnet является управление не компьютерами, а коммуникационными устройствами — маршрутизаторами, коммутаторами и хабами. Таким образом, он уже скорее не пользовательский протокол, а протокол администрирования, то есть альтернатива SNMP.

Тем не менее разтличие между протоколами telnet и SNMP принципиальное. Telnet предусматривает обязательное участие человека в процессе администрирования, так как, по сути, протокол только передает команды, которые

_____________

вводит администратор при конфигурировании или мониторинге маршрутизатора или другого коммуникационного устройства. Протокол SNMP, наоборот, рассчитан на автоматические процедуры мониторинга и управления, хотя и не исключает возможности участия администратора в этом процессе. Для устранения опасности, создаваемой передачей паролей в открытом виде через сеть, коммуникационные устройства усиливают степень своей защиты. Обычно применяется многоуровневая схема доступа, когда открытый пароль дает возможность только чтения базовых характеристик конфигурации устройства, а доступ к средствам изменения конфигурации требует другого пароля, который уже не передается в открытом виде.

Удаленное управление имеет свои достоинства и недостатки. Для пользователя часто удобно задействовать более мощный компьютер, установленный в сети предприятия, а не свой домашний. Кроме того, получив терминальный доступ, он может запустить на удаленном компьютере любое приложение, а не только службу WWW или FTP. Удаленное управление также очень экономично потребляет пропускную способность сети, особенно при эмуляции режима командной строки. Действительно, в этом случае по сети передаются только коды клавиш и экранные символы, а не файлы или страницы веб-документов.

Недостаток удаленного управления состоит в его опасности для сети предприятия при несанкционированном доступе. Кроме того, администратору трудно контролировать потребление ресурсов компьютера, находящегося под удаленным управлением.

В тех случаях, когда степень защиты, предлагаемая протоколом telnet, не удовлетворяет пользователей, применяется более защищенный протокол удаленного управления SSH (Secure SHell).

Контрольные вопросы:

1. Основные модули службы FTP?

2. Протокол SNMP?

3. Протокол telnet?


 

Лекция 26. Сетевые экраны. Прокси-серверы. Протоколы защищенного канала (IPsec).

План:

1. Сетевой экран.

2. Прокси-сервер.

3. Протоколы IPSec

4. Контрольные вопросы

Сетевой экран

На сегодняшний день работа в интернете без сетевого экрана (файервола/брандмауэра) стала практически невозможна. Компьютер без сетевого экрана подключенный к интернет, особенно через быструю линию (кабель, ADSL), заражается обычно в течении нескольких часов (при отсутствии обновлений безопасности ОС).
У Брандмауэра есть две основные цели:

· Защита от проникновения на компьютер снаружи (взлом)

· Защита от несанкционированной передачи данных с компьютера наружу (к примеру, предотвращение кражи паролей, номеров кредиток и т.д. троянскими программами)

Брандмауэр считается основным элементом безопасности, так как помогает блокировать неизвестные угрозы, запрещая им сетевой доступ. Брандмауэры используют проактивный подход – они останавливают неизвестные соединения, спрашивают пользователя, каким образом нужно поступить с подобными попытками зайти в сеть, и назначают сетевой доступ только тем соединениям, которые пользователь определяет как доверенные. Блокируя сетевой доступ, брандмауэр преграждает вредоносному ПО основной путь его распространения – Интернет. Большинство современных угроз — троянцы, черви и прочие вредоносные программы используют Интернет для самораспространения и передачи украденной персональной информации сторонним источникам.
Брандмауэр может скрыть присутствие компьютера в сети, чтобы хакеры не могли обнаружить его и использовать его слабо-защищенные места. Некоторые продвинутые брандмауэры также защищают от известных атак и вторжений, автоматически предотвращая их.

В отличие от типичных приложений по борьбе с вредоносным ПО, брандмауэры не основываются на базе сигнатур, в том смысле, что, чтобы заблокировать угрозу, им не нужно обнаруживать ее по ее известной последовательности символов. Вместо этого они спрашивают пользователя, стоит ли разрешать конкретной программе соединение с сетью или нет. Это является наиболее сложной частью работы с брандмауэром для пользователя, так как, вполне очевидно, многие из них не обладают знаниями, необходимыми для принятия этого решения. Они не знакомы со спецификой сетей или внутренних функций операционной системы и не могут обеспечить обоснованный ответ на запрос брандмауэра. Поэтому, в определенной степени, брандмауэр надежен настолько, насколько пользователь способен отвечать на его запросы.

Что могут брандмауэры:

· Защищать сетевые и Интернет-соединения от вредоносного и нежелательного содержимого

· Блокировать известные внутренние или внешние атаки и защищать целостность и конфиденциальность внутрисетевых данных

· Предотвращать попытки вредоносного кода получить доступ в сеть и передать персональную информацию киберпреступникам

· Фильтровать сетевые данные в соответствии с критериями, определенными пользователем

· Скрывать присутствие компьютера в сети, защищая его от сканирования и компьютеров-зомби, ищущих уязвимости

Чего брандмауэры не могут:

· Удалять вредоносное ПО из уже зараженной системы

· Обеспечивать автоматическую защиту от неизвестных попыток соединения; для принятия подобных решений необходимо участие пользователя.

Потенциальные недостатки брандмауэров:

· Так как брандмауэры являются взаимоисключающими инструментами, два брандмауэра не могут мирно сосуществовать в системе. Они осуществляют активность на низком уровне, обращаясь непосредственно к сетевому оборудованию, и только один набор подобных взаимодействий может иметь место в определенный момент времени.

· Брандмауэр может замедлить передачу данных и потреблять дополнительные ресурсы процессора при обработке больших объемов данных, пересылаемых по высокоскоростным соединениям.

· Большинство брандмауэров предоставляют некоторую дополнительную функциональность, такую как средства родительского контроля или фильтрации содержимого веб-сайтов, которые могут вызвать несовместимость с другими средствами безопасности, предоставляющими подобную функциональность.

Популярные сетевые экраны:

· Comodo Firewall Pro 2.4

· Антихакер Касперского 1.9

· Online Armor 4.0

· Sygate Personal Firewall 5.6.2808

· Outpost Firewall 6.5.1 Free

Прокси-сервер

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Использование

Чаще всего прокси-серверы применяются для следующих целей:

· Обеспечение доступа с компьютеров локальной сети в Интернет.

· Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

· Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика клиента или внутреннего - компании, в которой установлен прокси-сервер.

· Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер). См. также NAT.

· Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

· Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

· Обход ограничений доступа. Прокси-серверы популярны среди пользователей несвободных стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Прокси-сервер, к которому может получить доступ любой пользователь сети интернет, называется открытым.

Виды прокси-серверов

Прозрачный прокси — схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернет).

Обратный прокси — прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне.
Классификация прокси-серверов для целей анонимизации представлена в статье Веб-прокси.

Технические подробности

Клиентский компьютер имеет настройку (конкретной программы или операционной системы), в соответствии с которой все сетевые соединения по некоторому протоколу совершаются не на IP-адрес сервера (ресурса), выделяемый из DNS-имени ресурса, или напрямую заданный, а на ip-адрес (и другой порт) прокси-сервера.

При необходимости обращения к любому ресурсу по этому протоколу, клиентский компьютер открывает сетевое соединение с прокси-сервером (на нужном порту) и совершает обычный запрос, как если бы он обращался непосредственно к ресурсу.

Распознав данные запроса, проверив его корректность и разрешения для клиентского компьютера, прокси-сервер, не разрывая соединения, сам открывает новое сетевое соединение непосредственно с ресурсом и делает тот же самый запрос. Получив данные (или сообщение об ошибке), прокси-сервер передаёт их клиентскому компьютеру.

Таким образом прокси-сервер является полнофункциональным сервером и клиентом для каждого поддерживаемого протокола и имеет полный контроль над всеми деталями реализации этого протокола, имеет возможность применения заданных администратором политик доступа на каждом этапе работы протокола.

Прокси-серверы являются самым популярным способом выхода в Интернет из локальных сетей предприятий и организаций. Этому способствуют следующие обстоятельства:

10. Основной используемый в интернете протокол — HTTP, в стандарте которого описана поддержка работы через прокси;

11. Поддержка прокси большинством браузеров и/или операционных систем;

12. Контроль доступа и учёт трафика по пользователям;

13. Фильтрация трафика (интеграция прокси с антивирусами);

14. Прокси-сервер — может работать с минимальными правами на любой ОС с поддержкой сети (стека TCP/IP);

15. Многие приложения, использующие собственные специализированные протоколы, могут использовать HTTP как альтернативный транспорт или SOCKS-прокси как универсальный прокси, подходящий для практически любого протокола;

16. Отсутствие доступа в Интернет по другим (нестандартным) протоколам может повысить безопасность в корпоративной сети.

В настоящее время, несмотря на возрастание роли других сетевых протоколов, переход к тарификации услуг сети Интернет по скорости доступа, а также появлением дешёвых аппаратных маршрутизаторов с функцией NAT, прокси-серверы продолжают широко использоваться на предприятиях, так как NAT не может обеспечить достаточный уровень контроля над использованием Интернета (аутентификацию пользователей, фильтрацию контента).


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-04-09; Просмотров: 2890; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.058 с.)
Главная | Случайная страница | Обратная связь