Средства управления ЛВС предназначены для реализации функций в рамках пяти категорий управления определенных международной организацией по стандартизации. Эти средства входят в состав системы управления ЛВС и включают четыре типа средств: контрольно-измерительные приборы, сетевые мониторы, сетевые анализаторы и интегрированные системы управления сетями.
Из контрольно-измерительных приборов наиболее распространенными являются рефлектометры, осциллографы, детекторы разрывов, измерителя мощности.
Сетевой монитор представляет собой компьютер, подключенный к ЛВС для контроля трафика всей сети или выделенной ее части. Являясь автономной функциональной частью сети, они работают непрерывно, набирая информацию об использовании сети, типах пакетов сообщений каждым узлов ЛВС.
Сетевые анализаторы являются сложными и дорогостоящими устройствами, обладающими более широкими возможности, чем кабельные тестеры, в которые входят рефлектометры. Они применяются не только для обнаружения неполадок в сети, но и для выяснения их причин и устранения.
Интегрированные системы управления (ИСУ) ЛВС реализуют функции по всем пяти категориям управления вычислительной сетью, определенными ISO. При использовании ИСУ контроль всей сети осуществляется из единого центра с помощью терминала с графическим пользовательским интерфейсом, интегрированным со станцией управления сетью.
Протоколы управления ЛВС специально разработаны и используются диагностики работоспособности различных локальных сетей.
SNMP (Simple Network Management Protocol) – простой протокол для управления вычислительной сетью, предназначен для решения коммуникационных проблем в сетях TCP/IP (в настоящее время область его применения расширена: его возможности позволяют контролировать сетевой трафик и выявлять аппаратные неисправности и узкие места в широком диапазоне не только TCP/IP сетевых устройств).
CMIP (Common Management Information Protocol) – протоколы общего управления информацией, предназначен для решения коммуникационных проблем в сетях модели ISO и являются частью этой стандартной модели. Это стандарт управления для сетей, соответствующих модели ISO.
Стандарты систем управления, основанных на протоколе SNMP, формализуют минимум аспектов системы управления, а стандарты ISO – максимум аспектов, как и большинство стандартов, разработанных ITV-T.
Традиционно в локальных и корпоративных сетях применяются в основном системы управления на основе SNMP, а стандарты ISO/ITU-T и протокол CMIP находят применение в телекоммуникационных сетях.
Основное сходство протоколов SNMP и CMIP (кроме общей цели, состоящей в облегчении задач управления и диагностики при работе в ЛВС) заключается в использовании одной и той же концепции MIB и ее расширения (Management Information Base – База управления информацией). Концепция состоит из набора переменных, тестовых точек и контрольных параметров, которые поддерживаются всеми устройствами сети и могут контролироваться администратором ЛВС.
Сравнение протоколов SNMP и CMIP:
- протокол SNMP ориентирован на связь без соединения с целью сокращения накладных расходов и обеспечения управления на пользовательском уровне. Для передачи запросов или ответов при управлении ЛВС в SNMP используются простые дейтаграммы. В этом случае связывающиеся стороны должны предусматривать возможность неполучения данных адресатом и, следовательно, бать готовыми к повторным передачам. Для маршрутизации сообщений в SNMP могут использоваться простые коммуникационные протоколы (IPX или IP и UDP). Протокол CMIP ориентирован на связь с соединением, обеспечивающим прозрачную обработку параметров. Использование в этом протоколе сеансового обмена информацией делает его белее удобным при необходимости получения большого количества данных. Однако это может затруднить управление сетью при возникновении неполадок;
- протокол CMIP содержит гораздо более надежный набор средств сетевого управления, чем SNMP. Он обеспечивает шесть типов услуг: управление конфигурацией, управление защитой, контроль неисправностей, учет, управление качеством функционирования и службу каталогов. Серьезным недостатком SNMP является отсутствие средств защиты;
- применение протокола SNMP позволяет строить как простые, так и сложные системы управления, а применение протокола CMIP определяет некоторый, достаточно высокий начальный уровень сложности системы управления, так как для его работы необходимо реализовать ряд вспомогательных служб, объектов и баз данных объектов;
- в протоколе SNMP не различаются объект и его атрибуты (объект может быть устройством, а атрибут – характеристикой или параметром этого устройства). Это означает, что в среде SNMP приходиться формировать новые определения для каждого из устройств, которые создаются для SNMP-сети. При работе в среде CMIP для новых устройств используются уже созданные определения, включаются только дополнительные атрибуты, чтобы было отличить новые устройства;
- протокол SNMP работает через периодические опросы устройств сети для определения их статуса. В протоколе CMIP используются отчеты устройств, в которых они информируют центральную управляющую станцию об изменениях в своем статусе;
- система управления сетью на базе протокола SNMP отличается большей компактностью, большим быстродействием и меньшей стоимостью. Изделия на базе SNMP получили большое распространение. Протокол CMIP еще не получил широкого применения, потому что пока мало сетей, работающих по протоколам модели OSI.
Службы безопасности ЛВС.
Защита информации в компьютерных сетях становится одной из самых острых проблем в современной информатике. Сформулировано три базовых принципа информационной безопасности, которая должна обеспечить:
- целостность данных (защиту от сбоев, ведущих к потере информации, а также неавторизированного создания или уничтожения данных);
- конфиденциальность информации;
- доступность информации для всех авторизированных пользователей.
Обеспечение безопасности в компьютерных сетях требует защиты следующих информационных ресурсов:
- общесистемное программное обеспечение (ОС, СУБД, офисные приложения и т.п.);
- прикладное программное обеспечение;
- информационное обеспечение (БД, файлы).
Нарушителями нормального функционирования ЛВС могут быть:
- администраторы ЛВС;
- пользователи, допущенные к обработке информации ЛВС;
- технический персонал, обслуживающий вычислительную технику, но не допущенный к обработке информации в ЛВС в повседневной деятельности;
- удаленные пользователи, не допущенные к обработке информации в ЛВС;
- разработчики программного обеспечения и вычислительной техники, используемых в ЛВС.
Возникновение угроз информационным ресурсам ЛВС может происходить вследствие следующих причин.
Несанкционированного доступа (НСД) злоумышленников (взломщиков сети – хакеров):
- копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией посторонних лиц.
Ошибок обслуживающего персонала и пользователей:
- случайное уничтожение или изменение данных;
- некорректное использование программное обеспечения, ведущее к уничтожению или изменению данных.
Некорректной работы программного обеспечения:
- при ошибках в программном обеспечении или внесении в него недекларированных возможностей;
- при заражении системы компьютерными вирусами.
Неправильного хранения архивных данных.
Сбоев оборудования:
- кабельной системы;
- электропитания;
- дисковых систем;
- систем архивации данных;
- серверов, рабочих станций, сетевых карт и т.п.
Пути несанкционированного доступа к защищаемой информации:
- перехват побочных электромагнитных излучений;
- перехват в радиосетях;
- принудительное магнитное облучение (подсветка) линий связи с целью паразитной модуляции несущей частоты;
- применение подслушивающих устройств (закладок);
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации;
- копирование информации с ее носителей с преодолением средств защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленных вывод из строя средств защиты;
- внедрение и использование компьютерных вирусов.
«Эффекты», вызываемые вирусами, принято делить на следующие целевые группы:
- искажение информации в файлах либо таблицы разрешения файлов, которое может привести к разрушению файловой системы в целом;
- имитация сбоев программных средств;
- создание визуальных и звуковых эффектов, включая отображения сообщений, вводящих операторов в заблуждение или затрудняющих их работу;
- инициирование ошибок в программах пользователей или операционных систем.
Концепция обеспечения безопасности информационных ресурсов ЛВС должна базироваться на технологии многоуровневой защиты (MLS – Multilevel Security), в которую входят:
- физическая защита кабельной системы, электропитания, средств архивации, дисковых массивов и т.д.;
- организация мер защиты вычислительной техники, кадровый подбор и расстановка персонала, контроль доступа в помещения и парольная защита компьютеров, планы действия в чрезвычайных ситуациях и т.д.;
- программно-технические средства защиты информации, вычислительной техники и систем передачи данных, а именно – средства защиты от НСД (средства поиска и обнаружения закладных устройств НСД к информации); межсетевые экраны; средства шифрования (криптографии) информации, передаваемой по каналам связи; электромагнитное управление техники или помещений, в которых расположена техника; активная радиотехническая маскировка с использованием широкополосных генераторов шума; электронно-сетевая подпись; антивирусные программы; системы разграничения доступа; системы мониторинга и анализа уязвимости ЛВС.
Нейтрализация перечисленных и других угроз безопасности осуществляется службами сети и механизмами реализации функций этих служб. Документами Международной организации стандартизации (МОС) определены следующие службы безопасности:
- аутентификация (подтверждение подлинности);
- обеспечение целостности передаваемых данных;
- контроль доступа;
- защита от отказов.
Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инвариантны по отношении к этим сетям.
В виртуальных сетях используются протоколы информационного обмена типа виртуального соединения. Передача информации между абонентами организуется по виртуальному каналу и происходит в три этапа: создание (установление) канала, собственно передача и уничтожение (разъединение) канала. При этом сообщения разбиваются на одинаковые части (пакеты). Пакеты передаются по виртуальному каналу в порядке их следования в сообщении.
В дейтаграммных сетях реализуются дейтагрммные протоколы информационного обмена. Пакеты, принадлежащие одному и тому же сообщению, передаются от отправителя к получателю в составе дейтаграмм независимо друг от друга и в общем случае по различным маршрутам, то есть в сети они являются самостоятельными единицами информации. На приемном пункте из пакетов, поступивших по различным маршрутам и в разное время, составляется первоначальное сообщение.
Службы и механизмы безопасности используются на определенных уровнях эталонной модели ВОС.
На рис. 47 представлено распределение служб безопасности (СБ) по уровням эталонной модели ВОС, а на рис. 48 – механизмы реализации служб безопасности.
Служба аутентификации одноуровневого объекта, обеспечивает подтверждение (опровержение) того, что объект, предлагающий себя в качестве отправителя сообщения по виртуальному каналу, является именно таковым как на этапе установления связи между абонентами, так и на этапе передачи сообщения.
В дейтаграммных сетях эта служба называется службой аутентификации источника данных, передаваемых в виде дейтаграмм.
Службы целостности обеспечивают выявление искажений в передаваемых данных. Они разделяются по виду сетей, в которых они
№ п/п | Наименование СБ | Уровни модели | ||||||
1. | СБ виртуальных сетей | + | + | + | ||||
Аутентификация одноуровневого объекта | ||||||||
2. | Целостность соединения с восстановлением | + | + | |||||
3. | Целостность соединения без восстановления | + | + | + | ||||
4. | Целостность выборочных полей соединения | + | ||||||
5. | Засекречивание соединения | + | + | + | + | + | ||
6. | Засекречивание выборочных полей соединения | + | ||||||
7. | СБ дейтаграммных сетей | + | + | + | ||||
Аутентификация источника данных | ||||||||
8. | Целостность без соединения | + | + | + | ||||
9. | Целостность выборочных полей без соедиения | + | ||||||
10. | Засекречивание без соединения | + | + | + | + | |||
11. | Засекречивание выборочных полей без соединения | + | ||||||
12. | Общие СБ | + | + | + | ||||
Засекречивание потока данных | ||||||||
13. | Контроль доступа | + | + | + | ||||
14. | Защита от отказов с подтверждением источника | + | ||||||
15. | Защита доступа с подтверждением доставки | + |
Рис. 47. Распределение СБ по уровням эталонной модели ВОС.
№ п/п | Наименование СБ | СБ виртуальных сетей | СБ дейтаграммных сетей | Общие службы безопасности | ||||||||||||
1. | Шифрования | |||||||||||||||
+ | + | + | + | + | + | + | + | + | + | + | + | |||||
2. | Цифровая подпись | + | + | + | + | + | + | |||||||||
3. | Контроль доступа | + | ||||||||||||||
4. | Обеспечение целостности данных | + | + | + | + | + | + | + | ||||||||
5. | Обеспечение аутентификации | + | ||||||||||||||
6. | Подстановка трафика | + | ||||||||||||||
7. | Управление маршрутизацией | + | + | + | ||||||||||||
8. | Арбитраж | + |
Рис. 48. Механизм реализации СБ.
применяются (СБ в виртуальных и дейтагрммных сетях), по действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), по степени охвата передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).
Службы засекречивания обеспечивают секретность передаваемых данных: в виртуальных сетях – всего пересылаемого сообщения или только его выборочных полей, а дейтаграммных – каждой дейтаграммных – каждой дейтаграммы или только отдельных ее элементов.
Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и дейтаграммных сетей (как и службы 13¸15 (рис. 47)), предотвращает возможность получения сведений об абонентах сети и характере использования сети.
Служба контроля доступа обеспечивает нейтрализацию попыток несанкционированного использования общественных ресурсов.
Служба защиты от отказов от информации со стороны ее отправителя и/или получателя. Механизмы реализации указанных СБ (рис. 48) представлены соответствующими, преимущественно программными, средствами. Некоторые из механизмов, перечисленных на рис. 48, используются для реализации не одной, а ряда служб безопасности. Это относится к шифрованию, цифровой подписи, обеспечению целостности данных, управлению маршрутизацией.
В рамках построения защиты ЛВС возможен выбор одной из двух концепций:
- создание системы безопасности, построенной на базе каналов связи и средств коммутации территориальных сетей связи общего использования, в которых применяются открытые протоколы Internet;
- отказ от средств Internet, создание локальной сети на базе специализированной или выделенной сети связи с использованием конкретной сетевой технологии, в частности ATM, FR, ISDN.
5.7. Организация одноранговой сети в среде «Microsoft Windows».
Сетевая операционная система «Microsoft Windows» - популярная графическая операционная оболочка, которая запускается на выполнение, как обычная программа MS DOS, работает на базе MS DOS и в совокупности с нею она образует полноценную операционную систему.
Windows, именуемая также Chicago, является 32-разрядной многозадачной и многопоточной системой с приоритетами, которая имеет широко используемый интерфейс прикладной программы (API).
Операционная система предоставляет разнообразные средства для распределенной обработки данных. Она позволяет рабочим группам использовать общие файлы и прикладные программы.
Windows создает среду для объектно-ориентированной архитектуры и выполняет разнообразные функции, связанные с определением и изменением конфигурации внешних устройств и программного обеспечения, работающих в сети. В соответствии с этим она ведет учет, используя технологии Plug-and-Play и технологию связи и компоновки объектов (OLE). Передача данных осуществляется в соответствии с протоколом IPX/SPX. При этом выполняются также функции телефонии, факсимильной связи и обеспечивается взаимодействие с телефонной сетью. Обеспечиваются защита от отказов и безопасность данных.
Windows работает с любыми типами данных: текстами, звуками и изображениями. Система позволяет управлять громкостью звуков и яркостью изображения. Используется удобный упрощенный интерфейс пользователя, позволяющий также работать с трехмерной графикой. Обеспечивается соответствие цветов экрана и распечаток на принтере. Пиктограммы дают возможность обращаться к внешним устройствам и сетевым службам. Осуществляется также обработка сигналов. Поддерживается работа с электронными перьями.
Windows имеет модуль, являющийся универсальным почтовым ящиком, предназначенным для хранения сообщений электронной почты, речевой почты и факсимильной связи. Ящик взаимодействует с групповым программным обеспечением в соответствии с телефонным программным интерфейсом прикладной программы (TAPI).
Сжатие аудио- и видеоинформации, выполняемое системой, позволяет эффективней использовать память. Управление энергоснабжением дает возможность экономить электрическую энергию, выполнять ряд требований, связанных с концепцией «зеленого компьютера».
Инсталляция внешних устройств и программного обеспечения может осуществляться централизованно с сервера.
Ключевыми новинками Windows являются:
- простота в работе, достигаемая использованием нового пользовательского интерфейса, технологии поддержки самонастраивающееся аппаратуры Plug-and-Play, допустимостью применения данных имен файлов, встроенной сетевой поддержкой, усовершенствованной обучающей и справочной системой;
- повышенная производительность, обновленная такими свойствами, как истинная вытесняющая многозадачность и масштабируемость рабочих характеристик для 32-битовых приложений, повышенная устойчивость к сбоям, ускоренная печать, наличие высокоэффективных мультимедийных компонентов, увеличенный объем памяти для MS DOS;
- совместимость с существующими приложениями MS DOS и Windows, поддержка любого существующего оборудования и драйверов устройств, сетевая совместимость с существующими клиентами реального времени и процедурами регистрации.
Windows – мощная 32-битовая многопотоковая система, имеющая ряд преимуществ:
- интегрированная операционная система, ядро которой, загружаемое в момент включения компьютера, активирует графический интерфейс пользователя и обеспечивает полную совместимость с операционной системой MS DOS;
- вытесняющая многозадачность, то есть свойство операционной системы самостоятельно в зависимости от внутренней ситуации передавать или забирать управление у того или иного приложения;
- многопоточность – свойство операционной системы выполнять операции одновременно под потоками нескольких 32-битовых приложений, называемых процессами.
В Windows широко используется технология Plug-and-Play, обеспечивающая новые возможности интеграции программных продуктов и аппаратных средств. Она ориентирована на поддержку любого типа устройств, включая мониторы, видеоплаты, принтеры, звуковые карты, модемы, приводы CD-ROM, различные контроллеры жестких диков.
Топология Plug-and-Play (PuP) – способ создания либо реконструкций абонентской системы быстрой установкой, либо заменой ее компонентов – основана на использовании объектно-ориентированной архитектуры, а ее абонентами являются внешние устройства сети и программы. Она позволяет решать следующие задачи:
- подключать к системе разнообразные внешние устройства без выполнения процедур настройки на их использование;
- позволяет вынимать программы из одного и передавать их в другой набор, при том эти программы должны иметь один и тот интерфейс;
- помощь при распознавании устройств для их установки и настройки;
- уведомление программных продуктов и приложений и динамическое изменение состояния системы.
Windows отвечает потребностям администраторов сетей и обладает интегрированной, высокопроизводительной и легкоуправляемой 32-битовой сетевой архитектурой. В то же время Windows отвечает и потребностям пользователей, представляя средства доступа к сети и ее управлению. А также упрощая поиск, просмотр и печать файлов по сети благодаря совершенному пользовательскому интерфейсу.
Windows – высоэффективная платформа для мультимедиа.
Основными достоинствами Windows в мире мультимедиа являются следующие:
- простота подключения средств мультимедиа;
- значительная мощность платформы Windows для разработчиков мультимедиа-программ;
- новые возможности для изготовителей компьютерного оборудования.
Сетевая операционная система Windows NT предназначена для архитектуры клиент-сервер и обеспечивает независимо от конкретного типа сети возможность использования различных протоколов транспортного уровня. Она является многозадачной – выполняет срузу несколько прикладных программ, использую идеи операционной системы UNIX. Основными целями рассматриваемой системы являются: блочность структуры, легкая расширяемость, мигрируемость (переход от одной аппаратной платформы к другой), предоставление удобных интерфейсов пользователя. Система организует несколько параллельно обрабатываемых потоков данных.
Windows NT имеет 32-разрядную архитектуру и поддерживает локальные сети с широким кругом выполняемых функций. К ним относятся:
- возможность каждой абонентской системы в сети бать сервером либо компонентом;
- совместная работа группы пользователей;
- предоставление информации в удобной и понятной форме;
- секретность большого числа файлов;
- работа электронной почты;
- адресация большой памяти;
- запуск одновременно несколько прикладных процессов;
- поддержка мультипроцессорных систем;
- управление сетью;
- обеспечение безопасности данных;
- инсталляция системы с компактных дисков.
Благодаря эффективному процессу сжатия данных система обеспечивает увеличение логической памяти магнитного диска на 200¸400%.
Сетевая организационная система Windows NT погружается в прикладную среду и работает с большим набором типов микропроцессоров корпорации Intel, корпорации IBM, корпорации DEC.
Сетевая операционная система Windows NTAS, основой которой является сетевая операционная система Windows NT, предназначена для архитектуры клиент-сервер и одноранговой архитектуры. Система осуществляет симметричную мультипроцессорную обработку и управляет компьютерами, каждый из которых имеет до четырех процессоров. Важнейшими особенностями рассматриваемой сетевой операционной системы являются:
- наличие разнообразных сетевых средств;
- работа с большой оперативной памятью и внешней памятью;
- поддержка различных адаптеров и принтеров;
- выполнение Протокола управления передачей/Межсетевого протокола (TCP/IP), протокола IPX/SPX, или сетевой базовой системы ввода-вывода (NetBIOS);
- простота процедуры установки с помощью мыши;
- разнообразие средств безопасности данных, назначение имени пользователя (до 20 символов), пароля (до 14 символов), допустимых периодов входа в систему, дата окончания срока подключений.
В системе NTAS используются четыре стратегии безопасности данных:
1. Стратегия бюджетов контролирует время доступа пользователей к ресурсам сети.
2. Стратегия прав контролирует разрешения пользователям на выполнение различных функций (восстановление файлов, остановок системы, резервное копирование документов и т.д.).
3. Стратегия отслеживания описывает события в сети, которые должны регистрироваться в журнале защиты.
4. Стратегия доменов контролирует взаимосвязи между последними. На этой стратегии основаны службы каталогов.
NTAS позволяет создавать общие и местные рабочие группы пользователей. Члены общих групп могут также входить в состав местных групп. Общие группы состоят из пользователей одного домена.