Co je síťová služba. Síťové služby a síťové služby

Pojem počítačová síť.

Počítačové sítě jsou systémy počítačů spojené kanály přenosu dat, které zajišťují efektivní poskytování různých informačních a výpočetních služeb uživatelům prostřednictvím implementace pohodlného a spolehlivého přístupu k síťovým zdrojům.

Informační systémy využívající možnosti počítačových sítí zajišťují tyto úkoly:

Ukládání a zpracování dat

Organizace přístupu uživatelů k datům

Přenos dat a výsledků zpracování uživatelům

Efektivitu řešení uvedených úkolů zajišťují:

Vzdálený přístup uživatelů k hardwaru, softwaru a informačním zdrojům

Vysoká spolehlivost systému

Schopnost rychle přerozdělit zátěž

Specializace jednotlivých síťových uzlů pro řešení určité třídy problémů

· Rozhodnutí složité úkoly společné úsilí několika síťových uzlů

Schopnost provádět provozní řízení všech uzlů sítě

Pokud vezmeme v úvahu strukturu počítačové sítě, lze v ní rozlišit tři základní prvky:

Síťová zařízení a služby

Datové nosiče

Síťové protokoly.

Síťová zařízení a služby. Uvažujeme-li počítačovou síť, pak síťovými zařízeními a službami rozumíme vše, čeho je síť schopna. K organizaci služeb se používá řada kombinací hardwaru a softwaru.

Pojem "poskytovatel služeb" je třeba chápat jako kombinaci hardwaru a softwaru, který provádí konkrétní službu. Tento termín by neměl být chápán jako počítač, protože počítače mohou vykonávat různé služby a na jednom počítači může být současně několik poskytovatelů služeb.

Termín "spotřebitel služby" (žádatel o službu) znamená jakýkoli subjekt využívající tuto službu.

Existují tři typy poskytovatelů služeb a spotřebitelů podle rolí, které hrají v síti:

server

Klient

Klient-server (peer).

Server může poskytovat pouze služby. Klient může služby pouze konzumovat. Klient-server může současně poskytovat a využívat služby.

Velmi často jsou tyto pojmy mylně pevně svázány s jakýmkoli počítačem, ale je třeba poznamenat, že role počítače závisí na nainstalovaném softwaru a v závislosti na softwaru může být počítač serverem, klientem nebo klientem- server.

Podle struktury lze počítačové sítě rozdělit do dvou typů:

Na serveru

Peer-to-peer

Členové sítě peer-to-peer mohou být zároveň spotřebiteli i poskytovateli služeb. Software nainstalovaný na každém z počítačů sítě peer-to-peer obvykle poskytuje stejný rozsah služeb.

Sítě peer-to-peer se také nazývají pracovní skupiny. Nejčastěji takové sítě obsahují ne více než 10 počítačů. Takové sítě jsou levné, protože nemají vyhrazený serverový počítač. Samotní uživatelé vystupují jako správci a chrání informace. Tento typ sítě se vyznačuje chaotickou informační strukturou. S velkým počtem klientů se síť peer-to-peer stává neovladatelnou.

Výhody.

Snadná instalace a konfigurace

Uživatelé ovládají své vlastní zdroje

Nejsou potřeba žádné další zdroje (zařízení a správce) – zabezpečení sítě se instaluje pro každý zdroj zvlášť

nevýhody

Musíte si zapamatovat tolik hesel, kolik je zdrojů

Zálohy se provádějí na všech počítačích, aby byla chráněna sdílená data

Nízká produktivita poskytovatelů služeb

Žádné centralizované schéma pro vyhledávání a správu přístupu k datům

V sítích založených na serveru klienti využívají služby a servery služby poskytují. Tyto vztahy navíc přísně podléhají administrativním pravidlům. Servery lze klasifikovat podle typu služby, kterou poskytují, což bude provedeno později. Serverové sítě jsou zdaleka nejoblíbenějším typem sítí.

Počítače, které fungují jako servery, mají obvykle výkonný hardware. Jsou speciálně navrženy pro výkon velký počet požadavky zákazníků. Klíčem k bezpečnosti takové sítě je fyzické omezení přístupu k serveru. Speciální osoba- správce - tvoří jednotnou politiku zabezpečení sítě. Sdílené soubory jsou obvykle uloženy na jednom místě, což usnadňuje zálohování. Takové sítě se také lépe škálují a mohou sloužit několika až desítkám tisíc uživatelů.

Výhody

Centralizovaná správa uživatelských účtů, zabezpečení a přístupu

Produktivnější poskytovatelé služeb

Uživatel potřebuje pouze jedno heslo

nevýhody

Centralizované zálohování dat – selhání serveru může způsobit nepoužitelnost sítě

Vyžaduje kvalifikovaný personál pro servis, což zvyšuje náklady

Vysoká cena - kvůli speciálnímu vybavení

Volbu implementace libovolného typu sítě lze provést podle následujících podmínek.

Síť typu peer-to-peer:

Není zde více než 10 uživatelů sítě (nejlépe pět)

Všechny stroje v síti jsou kompaktně umístěny pro spojení do jedné lokální sítě

Omezené finanční prostředky

Není potřeba poskytovatelů vysoce výkonných služeb

Otázka bezpečnosti není rozhodující.

Síť založená na serveru:

V síti je plánováno více než 10 uživatelů

Požadované centralizované řízení, bezpečnost, správa zdrojů popř záloha

Existuje potřeba vysoce výkonných poskytovatelů služeb

Přístup k globální síť nebo pomocí internetu

Médium pro přenos dat je médium, přes které se přenášejí informace. Počítačová média se týkají buď kabelové nebo bezdrátové technologie. Dopravce nezaručuje, že zprávu adresát obdrží, garantuje pouze její správné odeslání.

Síťové protokoly zajišťují, aby si členové sítě vzájemně rozuměli. Protokol je soubor pravidel a standardů, podle kterých vzájemně spolupracují různá zařízení.

Síťová zařízení a služby: koncepce, příklady a účel základních síťových služeb .

Síťové služby a síťové služby

Síťová služba je soubor serverových a klientských částí operačního systému, které poskytují přístup k určitému typu počítačového zdroje přes síť.

Říká se, že síťová služba poskytuje uživatelům sítě sadu služeb. Tyto služby jsou někdy také označovány jako síťová služba (z anglického výrazu „service“). Dále v textu „službou“ rozumíme síťovou komponentu, která implementuje určitý soubor služeb, a „službou“ - popis souboru služeb, které tato služba poskytuje. Služba je tedy rozhraním mezi spotřebitelem služby a poskytovatelem služby (službou).

Služba – popis sady služeb, které poskytuje síťová služba

Každá služba je spojena s určitým typem síťového zdroje a/nebo specifickým způsobem přístupu k těmto zdrojům. Například tisková služba umožňuje uživatelům sítě přístup ke sdíleným tiskárnám v síti a poskytuje tiskovou službu, zatímco poštovní služba poskytuje přístup k informačním zdrojům sítě – e-maily... Způsob přístupu ke zdrojům se liší, například služba vzdálený přístup- poskytuje uživatelům počítačové sítě přístup ke všem jejím zdrojům prostřednictvím vytáčených telefonních kanálů. Chcete-li získat vzdálený přístup ke konkrétnímu zdroji, jako je tiskárna, služba vzdáleného přístupu spolupracuje s tiskovou službou. Pro uživatele síťového operačního systému jsou nejdůležitější spisová služba a tisková služba.

Mezi síťovými službami lze rozlišit ty, které nejsou zaměřeny na jednoduchého uživatele, ale na správce. Tyto služby se používají k organizaci provozu sítě. Například služba Bindery operačního systému Novell NetWare 3.x umožňuje správci udržovat databázi síťových uživatelů na počítači, na kterém běží operační systém. Progresivnějším přístupem je vytvoření centralizovaného help desku, nebo jinými slovy adresářové služby, která je určena k vedení databáze nejen o všech uživatelích sítě, ale také o všech jejích softwarových a hardwarových komponentách. NDS od společnosti Novell a StreetTalk od Banyan jsou často uváděny jako příklady adresářových služeb. Další příklady síťových služeb, které poskytují službu správci, jsou služba monitorování sítě, která zachycuje a analyzuje síťový provoz, bezpečnostní služba, která může zahrnovat, ale není omezena na přihlášení s ověřením hesla, zálohovací a archivační službu.

Bohatá nabídka služeb, které operační systém nabízí koncovým uživatelům, aplikacím a správcům sítí, určuje jeho pozici v obecné nabídce síťových operačních systémů.

Síťové služby jsou ze své podstaty systémy klient-server. Protože při implementaci jakékoli síťové služby přirozeně vzniká zdroj požadavků (klient) a žadatel (server), každá síťová služba obsahuje také dvě asymetrické části - klienta a server. Síťová služba může být v operačním systému reprezentována buď oběma (klientskými a serverovými) částmi, nebo pouze jednou z nich.

Základní rozdíl mezi klientem a serverem je v tom, že klient je vždy iniciátorem síťové služby a server je vždy v pasivním režimu čekání na požadavky.

Interakce mezi klientskou a serverovou částí je standardizována, takže jeden typ serveru může být navržen tak, aby pracoval s různými typy implementovaných klientů. různé způsoby a možná od různých výrobců. Jedinou podmínkou pro to je, že klienti a server musí podporovat společný standardní komunikační protokol.

Vývojáři síťových OS zjistili, že je efektivnější přemýšlet a navrhovat síťový OS od samého začátku práce na něm, aby fungoval v síti. Síťové funkce těchto operačních systémů jsou hluboce zasazeny do hlavních modulů systému, což zajišťuje jeho logickou harmonii, snadnost použití a modifikace a také vysoký výkon. Je důležité, aby u tohoto přístupu nedocházelo k nadbytečnosti. Pokud jsou všechny síťové služby dobře integrovány, tzn. jsou považovány za nedílnou součást OS, pak mohou být všechny vnitřní mechanismy takového operačního systému optimalizovány pro provádění síťových funkcí. Například Windows NT Microsoft díky vestavěným síťovým zařízením poskytuje vyšší výkon a zabezpečení informací ve srovnání se síťovým OS LAN Manager stejné společnosti, který je doplňkem místního operačního systému OS / 2. Další příklady síťových operačních systémů s vestavěnými síťovými službami jsou všechny moderní verze UNIX, NetWare, OS / 2 Warp.

Další možností realizace síťových služeb je jejich sloučení do podoby určitého souboru (shell), přičemž všechny služby takového souboru musí být vzájemně konzistentní, tzn. ve své práci na sebe mohou odkazovat, mohou zahrnovat společné komponenty, například společný subsystém pro autentizaci uživatele nebo jednotné uživatelské rozhraní. Aby shell fungoval, je potřeba mít nějaký lokální operační systém, který by vykonával obvyklé funkce nutné pro ovládání hardwaru počítače a v jehož prostředí by se spouštěly síťové služby tvořící tento shell. Skořápka je nezávislá software a jako každý produkt má název, číslo verze a další relevantní vlastnosti. Příklady síťových prostředí zahrnují LAN Server a LAN Manager. Nejznámější síťové operační systémy jsou Novell NetWare a Windows NT.

Sdílené síťové služby

Nejběžnější jsou následující síťové služby:

Souborové služby

Tiskové služby

Služby zasílání zpráv

Aplikační nástroje

Databázové nástroje.

Nástroje pro vzdálenou správu pro operační systémy UNIX, Windows NT a NetWare.

Když lidé mluví o vzdálené správě, obvykle mají na mysli platformy pro správu sítě založené na SNMP. Mezi nejrozšířenější platformy patří HP OpenView, Microsoft SMS, Novell ManageWise aj. Jejich možnosti jsou však značně omezené: dobře se hodí pro monitorování síťových zařízení, ale mnohem hůře pro přímou správu serverů a OS. Pomocí Network Management Platform například nemůžete vytvořit uživatelský účet, spustit program na serveru, napsat spustitelný skript a mnoho dalšího. Místo „platforma pro správu“ by proto bylo správnější používat výraz „monitorovací platforma“.

Je dobře známo, že nejpohodlnějším nástrojem pro správu serveru je jeho konzole. ( Operační systém NetWare představuje speciální případ, který budeme zvažovat samostatně.) Správce může z konzoly sledovat jakoukoli aktivitu na serveru a také spravovat zdroje síťového OS. Správce však není vždy schopen být u konzoly UNIX nebo Windows NT.

Ačkoli je nyní běžnou praxí hostovat servery ve vyhrazených serverových místnostech, správci sítě se do takových místností stěhují zdráhají. Za prvé, serverovny jsou naplněny nejen servery, ale také aktivním síťovým zařízením, výkonnými zdroji nepřerušitelný zdroj energie, elektroinstalační skříně, záložní zázemí atd. Vzhledem k nepříznivému elektromagnetickému pozadí je neustálá přítomnost personálu v serverovně nežádoucí. Za druhé, v takových místnostech je poměrně vysoká hladina hluku, a proto je někdy obtížné používat i telefon. Po 8 hodinách práce v takových podmínkách se člověk cítí úplně přetížený. Za třetí, ve velké organizaci může být několik serverových místností. Z těchto důvodů by správce rád měl pracoviště mimo serverovou místnost, ale užívejte si všech výhod konzole.

Kromě toho mají uživatelé neustále určité problémy a správce je nucen navštěvovat klientské stránky. V takových případech je důležité, aby mohl dálkové ovládání síťový OS, například pro přidělení přístupových práv, vytvoření nového uživatelského účtu, zvětšení velikosti souborového systému atd.

Problémy mohou konečně nastat i mimo úřední hodiny, kdy je správce doma. V takových případech je žádoucí, aby mohl pomocí svého domácího počítače a modemu na dálku identifikovat a opravit problém a nespěchat bezhlavě do kanceláře.

Všechny síťové operační systémy mají nástroje pro vzdálenou správu, buď vestavěné, nebo poskytované třetími stranami. Některé z nich implementují koncept vzdálené konzoly (nebo vzdáleného terminálu), některé poskytují rozptýlené nástroje pro správu zaměřené na řešení pouze některých specifických úloh.

OPERAČNÍ SYSTÉMY A SPRÁVA

Než budeme hovořit o vzdálené správě síťových operačních systémů, krátce si zopakujeme principy správy nejoblíbenějších operačních systémů: Windows NT, UNIX a NetWare. Snad nejvýkonnějším systémem nejen z hlediska funkčních parametrů, ale i možností administrace je OS UNIX. V UNIXu je jádro odděleno od grafického shellu, zatímco server grafický shell nepotřebuje, i když se používá poměrně často. Interaktivní interakce mezi uživatelem a OS se provádí prostřednictvím shellu. Má několik implementací, z nichž nejoblíbenější jsou Bourne shell (sh), C shell (csh), Korn shell (ksh) a Bourne again shell (bash). Každý z shellů má svůj vlastní programovací jazyk pro psaní skriptovacích programů. Kromě toho je UNIX známý nejbohatší sadou nástrojů, včetně třídění, vyhledávání, editace streamingu, lexikální analýzy, zpracování maker, filtrů a mnoha dalších. Pomocí shellu, systémových utilit, aplikačních programů a kanálů vám UNIX umožňuje vytvářet extrémně flexibilní administrační programy.

UNIX používá grafický shell X Window System (X11). Na rozdíl od podobných shellů v Microsoft Windows a Apple MacOS je X11 propojený a oddělený od jádra. To znamená, že z hlediska jádra je systém X11 jen běžný uživatelský program. S X11 může každý stroj se systémem UNIX (s příslušnými oprávněními) fungovat jako klient nebo server X11. Je třeba mít na paměti, že na rozdíl od běžné praxe se server X11 vztahuje k počítači, na kterém je zobrazen obraz, a klient je stroj, na kterém je program spuštěn. Serverový software X11 existuje pro mnoho běžných operačních systémů, včetně Windows, MacOS a dalších, zatímco klientský software je implementován primárně na UNIX.

V moderním UNIXu se pro úlohy správy používají nástroje se třemi typy rozhraní: příkazový řádek, interaktivní text a grafika. Nejvýkonnější a nejkomplexnější možnosti operačního systému jsou však nástroje příkazového řádku. Takové programy jsou široce používány k provádění opakujících se operací, jako je vytváření účet uživatele nebo přidělení přístupových práv. Interaktivní textové a grafické nástroje jsou v UNIXu relativně nové, ale vzhledem k interaktivní povaze komunikace nejsou výhody jejich použití v programech shellu ani zdaleka zřejmé. Tyto nástroje se používají hlavně pro příležitostné a jemné doladění OS a hardwaru. Pro správu UNIXu tedy bude fungovat jakýkoli emulátor textového terminálu.

Navzdory širokému rozšíření Microsoft Windows NT nemůže konkurovat UNIXu z hlediska správy. Pro snadnost administrace - ano, ale ne pro jeho schopnosti. Jak víte, grafický shell Windows je neoddělitelný od jádra systému. I když z hlediska spolehlivosti tomu tak není nejlepší způsob, taková implementace umožňuje dosáhnout extrémně vysokých výkonových ukazatelů na grafických operacích. Další věc je, že na NT serveru je z toho málo využití - účelem serveru není v žádném případě rychle zobrazovat grafické informace. Microsoft ve skutečnosti zahnal uživatele do kouta tím, že nabídl v podstatě stejný systém jako klient (NT Workstation) a server (NT Server). Navíc grafika Prostředí Windows není propojena sítí.

Pro systém Windows NT je k dispozici několik nástrojů pro správu založených na příkazovém řádku. Jejich sada je však značně omezená a kromě toho se schopnosti vestavěného příkazového procesoru nedají srovnávat s unixovým shellem. Windows NT Server se také dodává s řadou vzdálených správa uživatelů, domény, přístupová práva atd. Takové programy lze nainstalovat na Počítače se systémem Windows 9x a NT. Mnoho síťových aplikací, zejména aplikací třetích stran, však postrádá možnosti vzdáleného ovládání. Pro plnou správu síťového prostředí je proto administrátor nucen usednout ke konzoli nebo konzoli emulovat pomocí specializovaných programů.

Struktura správy NetWare se zásadně liší od struktury jiných síťových operačních systémů. Všechny operace konfigurace serveru, včetně spouštění aplikací, se provádějí z konzole. Zároveň se správa účtů, tiskáren, souborů a adresářové služby NDS provádí z klientských stránek. Pravda, v Nejnovější verze NetWare 5 má jedinou konzolu pro správu sítě, ConsoleOne, ze které může správce spravovat síťové zdroje odkudkoli v síti, včetně konzole. Možnosti ConsoleOne jsou však stále příliš omezené a je pomalý, protože je napsán v Javě. Kromě toho je podíl NetWare 5 na trhu síťových operačních systémů zanedbatelný, protože většina sítí Novell je založena na NetWare 4.x. Konzole NetWare pracuje v textovém režimu (server podporuje i grafický režim v NetWare 5), takže je spravována pomocí programů příkazového řádku a interaktivního textového rozhraní. Příkazový jazyk NetWare je poměrně slabý, ale operační systém obsahuje interprety Basic a Perl, které umožňují vytvářet docela seriózní programy. Program vzdálené konzoly, který je součástí NetWare, poskytuje přístup ke konzole serveru přes síť z klientských počítačů DOS, Windows, MacOS, UNIX.

K dispozici jsou grafické a interaktivní textové programy pro správu NDS, účtů, tiskáren, oprávnění a dalších operací na straně klienta. Existuje jen málo dostupných nástrojů příkazového řádku a jejich možnosti jsou omezené. Z hlediska správy NDS zkrátka nejvýkonnější možnosti mají grafické utility (a primárně NetWare Administrator), následované interaktivními textovými programy (NETADMIN, PCONSOLE atd.) a teprve poté utility příkazové řádky.

Po přezkoumání hlavních vlastností struktury správy síťových operačních systémů můžeme nyní přejít k seznámení s nejběžnějšími nástroji pro vzdálenou správu.

TELNET

Možná nejvíc slavný program Dálkové ovládání UNIX je telnet, zejména proto, že je součástí téměř každého moderního operačního systému. telnet je program pro emulaci terminálu, který používá proprietární aplikační protokol TELNET. Pro podporu služby telnet musí být server spuštěn systémový program(nazývaný démon v UNIXu) telnetd, který zpracovává požadavky klientů telnetu. Server telnet může obsluhovat několik klientů najednou protokol TELNET používá TCP (port 23) jako transportní protokol.

Telnet lze použít k ovládání nejen unixových počítačů, ale také síťových zařízení, jako jsou routery, přepínače, servery pro vzdálený přístup atd. telnet lze použít ke správě Windows NT (serverový software pro tuto službu je dostupný v několika bezplatných i komerčních programech) , ale pouze v režimu příkazového řádku. Telnet umožňuje uživateli připojit se ke vzdálenému serveru ze svého místa a pracovat s ním v textovém režimu. To vytváří pro uživatele úplnou iluzi, že sedí u textového terminálu tohoto serveru.

Telnet je skvělý pro heterogenní sítě, protože se opírá o koncept síťového virtuálního terminálu (NVT). Je známo, že různé operační systémy a hardware mají specifické vlastnosti související se vstupem/výstupem a zpracováním informací. Například UNIX používá LF jako zalomení řádku, zatímco MS-DOS a Windows používají dvojici znaků CR-LF. Síťový virtuální terminál NVT vám umožňuje abstrahovat od funkcí konkrétního zařízení pomocí standardní sada znaky. Klient telnet je zodpovědný za převod klientských kódů na kódy NVT a server dělá opak (viz obrázek 1).

Telnet poskytuje mechanismus pro konfiguraci parametrů, ve kterém se klient a server mohou dohodnout na určitých možnostech, včetně kódování dat (7 nebo 8 bitů), režimu přenosu (half-duplex, znak po znaku, řádek po řádku ), typ terminálu a některé další. Příkazy a data v telnetu se přenášejí nezávisle na sobě. K tomu se pomocí speciálního kódu přepne telnet z režimu přenosu dat do režimu přenosu příkazů a naopak. Příkazy jsou informace používané k ovládání služby telnet, zatímco data jsou to, co je vstupem/výstupem přes terminálové (klientské) nebo pseudoterminální (serverové) ovladače.

Telnet je poměrně výkonný program pro vzdálenou správu, ale má řadu zásadních nevýhod. Nejdůležitější z nich je, že všechna data, včetně hesel, se mezi počítači přenášejí v čistém textu. Po připojení k síti může kdokoli, kdo používá nejjednodušší analyzátor protokolů, nejen číst informace, ale dokonce získat heslo pro neoprávněný přístup. V místní síti lze pravděpodobnost takových útoků snížit použitím přepínačů (switching hub). Samozřejmě v lokální síti je rozsáhlé použití přepínačů velmi nákladné, ale je lepší přes ně propojovat administrátorské pracovní stanice. Problém však přetrvává při přístupu přes internet, zejména když správce pracuje doma. Můžete však poskytnout přístup k serverům prostřednictvím serverů pro vzdálený přístup pomocí ověřovacích protokolů, jako je CHAP, spíše než pomocí ISP. Bohužel tento přístup není přijatelný pro všechny organizace.

Za druhý problém bych označil fakt, že zdarma klientské programy telnet součástí operačních systémů má omezené možnosti. Často se stává, že interaktivní textový program nelze ani spustit, protože klient telnet nepodporuje typ terminálu serveru a interaktivní program nechce pracovat s typy terminálů, které jsou součástí klienta telnet.

I přes tyto nedostatky však telnet zůstává nejrozšířenějším programem pro dálkové ovládání.

RLOGIN

rlogin, který byl poprvé představen s 4.2BSD UNIX, byl svého času extrémně populární v prostředí UNIX. Jako prostředek terminálového přístupu je rlogin velmi podobný telnetu, ale díky své těsné integraci s OS našel velmi omezené použití v jiných systémech. Rlogin postrádá mnoho možností vlastních telnetu, zejména způsob vyjednávání parametrů mezi klientem a serverem: typ terminálu, kódování dat atd. Proto je velikost kódu programu rlogin téměř desetkrát menší než u telnet. rlogin však zajišťuje vztahy důvěryhodnosti mezi hostiteli: na serveru rlogin ve speciálních systémových souborech (obvykle /etc/hosts.equiv a $ HOME / .rhosts) může administrátor uvést počítače, kterým bude povolen přístup k tomuto serveru bez Heslo. Uživatelé ostatních počítačů (neuvedených v těchto souborech) se mohou k serveru přihlásit pouze po zadání hesla.

Další verze rlogin, známá jako rsh, vám umožňuje spouštět programy na vzdáleném počítači se vstupem a výstupem na místním počítači. Další program, rcp, je určen ke kopírování souborů mezi počítači v síti. Obslužné programy rlogin, rsh a rcp se často společně označují jako příkazy r.

Bohužel zkušenosti ukázaly, že trusty založené na názvech hostitele jsou extrémně nebezpečné, protože otevírají dveře neoprávněnému přístupu. Široké používání technologie IP-spoofing a DNS-spoofing hackery činí službu r-command nezabezpečenou. To platí i v případě, že vztah důvěry mezi hostiteli není vůbec vytvořen. Proto v současné době služba rlogin našla využití pouze v sítích, které jsou od internetu zcela uzavřené. Stejně jako telnet jsou data a hesla (při absenci důvěryhodného vztahu) přenášena v čistém textu.

Klientský software pro r-commands na platformách DOS a Windows je navíc méně rozšířený než pro telnet a je obecně dostupný pouze v poměrně drahých komerčních produktech.

ZABEZPEČENÝ SHELL

Je zřejmé, že přenos dat a zejména hesel po síti v čistém textu v programech telnet a rlogin nemůže uspokojit ani minimální požadavky do bezpečí. Chránit Informační systémy existuje několik způsobů, jak se chránit před škodlivými útoky. Některé z nich poskytují ochranu heslem, zatímco jiné jsou zaměřeny na šifrování celého toku informací. Mezi posledními je nejoblíbenější Bezpečný program shell (ssh), součást jakékoli gentlemanské sady bezpečného terminálového přístupu UNIX. Nekomerční verzi Secure shell lze stáhnout ze serveru autora programu T. Yalonen ( http://www.ssh.fi). ale bezplatná verze ssh je k dispozici pouze pro UNIX. Data Fellows ( http://www.datafellows.com) poskytuje komerční, vylepšené ssh, včetně pro platformu Windows.

Zabezpečený shell poskytuje podobné možnosti jako telnet a r-commands, včetně nejen terminálového přístupu, ale také prostředků pro kopírování mezi počítači. Ale na rozdíl od nich ssh také poskytuje zabezpečené připojení X11.

Zabezpečení programu ssh je dosaženo použitím protokolu transportní vrstvy, autentizačního protokolu a připojovacího protokolu. Protokol transportní vrstvy je zodpovědný za autentizaci serveru, autentizační protokol za silnou identifikaci a autentizaci klienta. Spojovací protokol tvoří šifrovaný kanál přenosu informací.

Jak již bylo zmíněno, Secure Shell se stal jakýmsi standardem pro bezpečný přístup, a to i v Rusku. Jedná se o velmi zajímavý produkt, o kterém se dá mluvit velmi dlouho. To však neuděláme (podrobnější informace o Secure shellu naleznete v článku M. Kuzminského „Ssh – každodenní prostředek bezpečné práce“ v časopise „Otevřené systémy“ č. 2, 1999). Jde o to, že tento produkt, stejně jako mnoho dalších, je v Rusku zakázán.

Podle výnosu prezidenta Ruské federace č. 334 ze dne 04.03.95 je jednotlivcům a jakýmkoli organizacím, včetně státních, soukromých a akciových společností, zakázáno provozovat kryptografické systémy, které nebyly certifikovány FAPSI. Secure shell je právě takový systém. Za naše speciální služby byste se však neměli nechat urazit – nejsme na světě sami, v některých zemích, například ve Francii, jsou pravidla ještě přísnější (v rámci spravedlnosti nutno podotknout, že od března letošního roku platí omezení o šifrovacích systémech byly ve Francii výrazně oslabeny). Také byste si neměli myslet, že se nám snaží bránit v ochraně důvěrných informací: organizace nejen mohou, ale jsou povinny chránit důležité informace. Pouze k tomu musí používat certifikované nástroje a ne volně distribuované na internetu. Programy založené na ssh, SSL, PGP atd. jsou u nás samozřejmě všudypřítomné, ale je třeba připomenout, že jejich používání s sebou nese nemalé potíže. Uživatelé takových programů jsou potenciálně vystaveni riziku vyšetřování ze strany zpravodajských agentur. V každém případě nemáme právo a ani chuť takový přístup prosazovat.

ZABEZPEČENÉ OVĚŘOVÁNÍ

Ve většině úloh správy se správci nezajímají o ochranu přenášených dat, ale o spolehlivou autentizaci uživatele, aby útočník nemohl zachytit a použít heslo správce. Řešení může být několik. V prvé řadě je to technologie Kerberos založená na vydávání vstupenek (ticketů). (Kerberos ve skutečnosti zajišťuje nejen autentizaci, ale také šifrování síťové komunikace, což opět spadá pod prezidentský výkonný příkaz.) Kvůli exportním omezením vlády USA je však šifrovací mechanismus výrazně oslaben. V podnikových dial-up systémech lze použít robustní autentizační služby jako RADIUS, TACACS + a XTACACS. Všechny tyto služby (včetně Kerberos) však zahrnují rozsáhlé přepracování síťové infrastruktury, což s sebou nese vysoké náklady. To lze stěží ospravedlnit, pokud je rozsah úloh vzdáleného přístupu omezen pouze problémy správy síťových operačních systémů.

Pro takové úkoly je vhodnější podpora One-Time Password (OTP). Podstatou takových systémů je, že heslo uživatele přenášené po síti je platné pouze pro jednu komunikační relaci. To znamená, že i když se útočníkovi podařilo zachytit heslo, nebude jej moci použít, protože heslo již bude změněno během další relace.

Aby bylo možné na serveru povolit OTP, bude nutné vyměnit démony telnet, rlogin, ftp (samozřejmě nové služby lze spouštět selektivně, například použijte upgradovaný telnetd, ale ponechte "nativní" ftpd). V tomto případě není nutné aktualizovat klientský software, což je velmi pohodlné. Funkční OTP systém byl poprvé vydán společností Bell Core (nyní Telcordia Technologies) v roce 1991 pod názvem S / Key. Důležitou vlastností S / Key je, že se původně jednalo o nekomerční produkt, který pracuje s mnoha verzemi UNIX. Nyní jsou nejoblíbenější další verze OTP systémy (všechny kromě S / Key verze 2.0 a vyšší jsou distribuovány zdarma):

S / Key of Telcordia Technologies (ftp://ftp.bellcore.com);
OPIE Výzkumná laboratoř amerického námořnictva (ftp://ftp.nrl.navy.mil);
LogDaemon, vyvinutý společností Vietse (ftp://ftp.porcupine.org/pub/security).

Uvedené systémy jsou zpětně kompatibilní s S / Key 1.0. Současné implementace OTP jsou založeny na hashovacích algoritmech MD4 a MD5 (S / Key 1.0 používá výhradně MD4).

Jak fungují OTP systémy? Při inicializaci OTP na serveru každý uživatel přiřadí dva parametry: tajný klíč (nepřenáší se po síti) a počet iterací, tj. počet přihlášení, během kterých bude tento tajný klíč platný. Server aplikuje algoritmus MD4 nebo MD5 na soukromý klíč a pamatuje si hashovanou hodnotu. Poté může uživatel pracovat se serverem po síti přes běžný telnet, ftp atd.

Autentizace uživatele pro přístup k terminálu se provádí následovně. Po zadání uživatelského jména je mu přiděleno číslo další iterace a určitý zdroj (seed). Začátek procedury ověřování uživatele je znázorněn na obrázku 2. Zde je iterační číslo 967 a původ je jar564. Do pole Heslo musí uživatel zadat nikoli svůj vlastní tajný klíč, ale přístupovou frázi sestávající ze šesti slov. Tato fráze je generována na základě tajného klíče, iteračního čísla a zdroje pomocí speciálního kalkulátoru (viz obrázek 3). Pro získání přístupové fráze uživatel zadá iterační číslo, zdroj a svůj vlastní tajný klíč (v daném příkladu finální přístupová fráze vypadá takto: „NO HUFF ODE HUNK DOG RAY“).

Poté se heslo zadá do pole Heslo programu pro přístup k terminálu, načež je uživatel identifikován serverem. Je třeba mít na paměti, že při další autentizaci se číslo iterace sníží o jednu, zdroj se nezmění a přístupová fráze bude zcela odlišná. Zachycení přístupové fráze tedy útočníkovi nic neposkytne, protože jej systém při pokusu o registraci neidentifikuje. Hlavní složkou zabezpečení je tajný klíč, který se nikdy nepřenáší po síti. Vzhledem k použití algoritmů MD4 a MD5 je téměř nemožné vypočítat tajný klíč z přístupové fráze, čísla iterace a zdroje.

Když číslo iterace dosáhne nuly, musí být uživatelský účet znovu inicializován.

Může se zdát, že hlavní nepříjemností pro uživatele je kalkulačka. Ale to není tak úplně pravda, protože kalkulačka je velmi malý program, který nevyžaduje žádné nastavení. Tyto kalkulačky jsou volně dostupné pro všechny populární platformy, včetně MS-DOS, Windows, Macintosh a UNIX. Kromě toho lze přístupové fráze uložit do paměti (nebo zapsat) předem pro několik relací terminálového přístupu dopředu, přičemž se postupně snižuje číslo iterace. Aby správce mohl vzdáleně spravovat server, nemusí instalovat kalkulačku na všechna klientská místa, kde může potřebovat pracovat.

X OKENNÍ SYSTÉM

Přestože lze prakticky všechny úlohy správy systému UNIX provádět v textovém režimu, správci často preferují grafické rozhraní, protože je uživatelsky přívětivější. Některé nové UNIXové aplikace na trhu lze navíc provozovat pouze v grafickém prostředí. Software pro grafický výstup X-serveru je dostupný pro různé platformy, včetně DOS, Windows, Macintosh, UNIX atd. Ve většině případů (kromě UNIXu) se však dodává s drahými komerčními produkty. Protože klienti X11 (jak již bylo nastíněno, koncept klienta a serveru v systému X Window System není běžnou praxí) jsou hlavně servery UNIX.

Je třeba mít na paměti, že použití X Window System vyžaduje poměrně velkou šířku pásma sítě. Systém funguje dobře v místních sítích, ale velmi pomalu - na globálních kanálech. Proto, když používáte X Window System na domácím počítači správce, je lepší jej ovládat pomocí terminálových utilit, jako je xterm, spíše než pomocí grafických utilit.

Při připojení k serveru UNIX (s klienty X11) lze autentizaci provést dvěma způsoby: prostřednictvím terminálových utilit (telnet, rlogin atd.) a prostřednictvím X Display Manager (xdm). V první možnosti se lze přenosu hesla v čistém textu vyhnout použitím již zmíněných programů ssh a OTP namísto telnetu a rlogin. V případě X Display Manager jsou hesla standardně přenášena jako prostý text. Proto byste neměli používat xdm při vzdálené správě UNIX serveru přes veřejné sítě.

Správci by měli být velmi opatrní při používání serveru UNIX jako serveru X (to znamená, v jednoduchém jazyce, spuštění grafického prostředí X11 na serveru UNIX). X Window System je navržen tak, aby uživatel mohl spouštět X klienta ze svého počítače vzdálený server X a zachytit na něm vstup/výstup informací. Výsledkem je, že útočník získá možnost číst důvěrné informace z X serveru, včetně hesel zadaných uživatelem na X serveru (ačkoli emulátor terminálu xterm umožňuje blokovat zachycení hesel, tuto funkci málokdo používá).

X servery používají dvě schémata autentizace klientů: podle názvu hostitele a podle magických bucht (MIT-MAGIC-COOKIE-1). Autentizace pomocí názvu hostitele vytváří systémové soubory na X serveru se seznamem hostitelů, na kterých mohou běžet klientské programy X tento server X. Ale taková ochrana není v žádném případě dostatečná, protože útočník může zaútočit na X11 podvržením IP adres nebo doménových jmen. Při použití schématu „magic buns“ (jejich podpora je zabudována do protokolu XDMCP, na jehož základě funguje X Display Manager) se autentizace provádí na základě uživatelských účtů. Aby bylo možné spustit klienta na X serveru, musí mít uživatel ve svém domovském adresáři klientského počítače X11 systémový soubor se zapsaným tajným kódem serveru X. Tento tajný kód se nazývá kouzelná buchta. Jediným problémem je, že buchta je přenášena po síti v otevřené podobě tato metoda také stěží bezpečné.

X Window System 11 Release 5 přidává další dvě schémata (XDM-AUTHORIZATION-1 a SUN-DES-1), podobná schématu MIT-MAGIC-COOKIE-1, ale používající šifrovací algoritmus DES. Kvůli exportním omezením však tato schémata nejsou součástí systému X Window. Na základě výše uvedených úvah můžete serverový software X11 spouštět na serveru UNIX pouze tehdy, když jiné počítače nemají povolen přístup ke klientům X11.

Vše, co bylo řečeno o špatném zabezpečení X serveru založeného na UNIX serveru, platí plně pro klientské počítače administrátorů, na kterých běží X Window System.

SERVER WINDOWS NT

Při instalaci Microsoft Windows NT Server se předpokládá, že OS bude spravován z konzole serveru. Sada NT Server však obsahuje také nástroje pro vzdálenou správu. Jsou umístěny v distribuci Windows NT Server v adresáři \ Clients \ Srvtools. Tyto nástroje lze nainstalovat na Windows NT Workstation i Windows 9x (viz obrázek 4). S jejich pomocí můžete spravovat uživatelské a skupinové účty, práva a oprávnění, NT domény, sledovat protokoly událostí na serverech a pracovních stanicích. Nástroje pracují v grafickém režimu, podobně jako nativní nástroje pro správu serveru NT. Zatímco obslužné programy pro vzdálenou správu umožňují provádět většinu správy systému, v této sadě chybí řada důležitých programů. Nelze je například použít k provádění konfigurace hardwaru serveru, zálohování, správy licencí, sledování výkonu atd. Navíc mnoho serverových aplikací třetích stran nemá žádný software pro vzdálené ovládání.

Windows NT Server Resource Kit, dodávaný společností Microsoft, obsahuje řadu doplňkové programy administrace, včetně příkazové řádky. Nejdůležitější z nich jsou ADDUSER.EXE (vytvoření nových uživatelských a skupinových účtů), CACLS.EXE (správa přístupových práv), DUMPEL.EXE (zobrazení informací o událostech z protokolů událostí na obrazovku nebo do souboru), RMTSHARE (správa síťových zdrojů ). S použitím i slabého příkazového procesoru NT není pro administrátora obtížné napsat typický program pro vytvoření nového účtu s automatickým přidělováním práv a oprávnění.

Existuje také několik programů pro Windows NT, které implementují server telnet. Umožňuje správci vzdálený přístup k serveru NT a spouštění programů založených na příkazovém řádku. Opět si pamatujte, že většina implementací telnetu předává heslo jako prostý text.

Ale jak již bylo uvedeno, nástroje pro vzdálený přístup a programy příkazového řádku nemohou vyřešit všechny administrativní úlohy. Některá řešení proto předpokládají emulaci GUI Windows server NT na vzdáleném počítači.

Nejprve bych rád zmínil produkty WinFrame od Citrixu a Windows Terminal Server (WTS) od Microsoftu. V souladu s architekturou těchto produktů běží aplikace na NT serveru a I/O probíhá na klientských počítačích. Podle jejich výrobců již WinFrame a WTS fungují přiměřeně rychlostí 28 Kbps, takže své servery můžete spravovat i z domova. Pro použití těchto nástrojů musí být serverová část softwaru umístěna na serveru NT a klientský software musí být umístěn na pracovních stanicích správce. WinFrame a WTS nepřenášejí hesla jako prostý text.

V zájmu spravedlnosti je třeba říci, že taková řešení jsou pro administrativní úkoly nadbytečná. Technologie WinFrame a WTS znamenají připojení více klientů k serveru. (Správce obvykle potřebuje pouze jeden přístup k serveru.) Z tohoto důvodu jsou řešení založená na těchto produktech poměrně drahá. Například připojení klienta k serveru WinFrame bude stát mezi 200 a 400 USD, což je velmi drahé, protože organizace může mít více než jeden server a více než jednoho správce.

Vhodnější jsou dle mého názoru pro vzdálenou správu specializované balíčky pro vzdálenou správu jako pcANYWHERE od Symantecu a ReachOut od Stac. Při použití těchto produktů je obsah obrazovky serveru NT duplikován na displeji místní počítač informace se zadávají z klávesnice (a myši) místního počítače a přenášejí se na vzdálený (v v tomto případě- na server NT). Vše vypadá, jako by administrátor seděl u konzole serveru. pcANYWHERE a další podobné produkty fungují dobře nejen v lokální síti, ale i na pomalých vytáčených linkách. Mají však omezený počet simultánní spojení k serveru (obvykle pouze jedno připojení). Produkty PcANYWHERE mají vestavěné šifrování, takže je nepravděpodobné, že by heslo bylo zachyceno.

Společné nevýhody dálkový Správa Windows NT je potřeba instalovat další softwarové produkty na klientské stránky administrátorů.

NETWARE

Kvůli jedinečné architektuře Novell NetWare by měly být problémy vzdáleného přístupu ke konzole odděleny od problémů správy síťových prostředků.

Správa uživatelských účtů, skupin, objektů NDS, přístupových práv v NetWare se provádí z klientských stránek, takže správa je zpočátku vzdálená. Správci však mohou čelit jedné překážce: Před NetWare 5 byl IPX / SPX primárním síťovým protokolem. To vytvořilo a nadále představuje hlavní problém při správě serverů NetWare přes internet. Pokud správce potřebuje mít možnost ovládat síťový operační systém z domácího počítače, měl by zvážit připojení k místní síti prostřednictvím serveru pro vzdálený přístup, který podporuje protokoly IPX / SPX. Naštěstí většina hardwarových serverů tento režim podporuje.

Náklady na vytvoření potřebné infrastruktury však mohou být nepřijatelné, a tak jsou často domácí počítače správců připojeny k místní síti přes internet. V takové situaci můžete nabídnout následující možnost: nainstalovat program pcANYWHERE (nebo podobný) na jeden z počítačů v lokální síti a domácí počítač provádět prostřednictvím tohoto mezičlánku. Tento přístup se mimochodem může ukázat jako atraktivnější z hlediska výkonu, protože programy pro správu sítě (zejména NetWare Administrator) běží přes vytáčené linky velmi pomalu. Dalším způsobem je upgradovat NetWare na verzi 5 (nebo nainstalovat NetWare / IP).

Pro vzdálený přístup ke konzole obsahuje NetWare obslužný program Rconsole pro přístup ke konzole ze síťové pracovní stanice. Má však dvě omezení: za prvé, heslo konzoly se přenáší jako prostý text a za druhé se jako protokol používá IPX / SPX. Nástroje třetích stran, které poskytují bezpečný vzdálený přístup ke konzole, vám umožňují vyhnout se předávání hesel jako prostý text. Nejznámější z nich je komerční program SecureConsole pro NetWare od Protocom Development Systems ( http://www.serversystems.com). Při přístupu používá šifrované heslo správce.

Stejně jako v jiných případech lze překážku v podobě protokolů IPX / SPX odstranit pomocí programů jako pcANYWHERE (tedy pomocí jednoho z počítačů v lokální síti jako přenosové linky). Dalším způsobem je použití programu xconsole, který poskytuje přístup ke konzoli přes X Window System, tedy přes TCP/IP. Nástroj pro vzdálený přístup Java RConsoleJ v NetWare 5 také používá TCP / IP jako svůj přenos. Programy xconsole a RConsoleJ však heslo předávají jako prostý text. Stručně řečeno, doporučujeme, abyste ke vzdálené správě NetWare používali specializované nástroje jako pcANYWHERE.

WEBOVÁ TECHNOLOGIE

Webové technologie stále více ovlivňují ovládání síťového prostředí. Již nyní lze mnoho směrovačů, přepínačů a síťových tiskáren spravovat prostřednictvím webových prohlížečů. Tím ale tento výčet zdaleka není vyčerpán, web zasahuje i do sféry správy síťových operačních systémů. Nejprve bylo možné z webu ovládat pouze HTTP a FTP servery, ale tento seznam se neustále rozšiřuje a nyní zahrnuje DBMS, souborové systémy, firewally, síťové služby DNS, DHCP a další. Dokonce i NDS lze spravovat prostřednictvím prohlížečů pomocí proprietárního komerčního softwaru. Bez ohledu na výše uvedené nejsou webové technologie ještě dostatečně vyspělé, aby plně spravovaly celé síťové prostředí. Problém zhoršuje skutečnost, že u mnoha aplikací a zejména síťových zařízení se heslo přenáší přes HTTP v prostém textu.

ZÁVĚR

Při organizaci vzdálené správy serveru je nutné vzít v úvahu mnoho faktorů, především vlastnosti síťového operačního systému, výkon komunikačních linek a otázky bezpečné autentizace. Nejúplnější sadu nástrojů pro správu poskytuje UNIX, avšak se správným přístupem, Správci Windows NT a NetWare také nejsou důvodem k obavám.

A port serveru, v důsledku čehož je navázáno spojení, které umožňuje dvěma počítačům komunikovat pomocí příslušného síťového aplikačního protokolu.

Čísla portů

Číslo portu pro „svázání“ služby se vybírá na základě její funkčnosti. IANA je zodpovědná za přidělování čísel portů konkrétním síťovým službám. Čísla portů se pohybují od 0 do 65535 a jsou rozdělena do 3 kategorií:

Čísla portů	Kategorie	Popis
0 - 1023	Známé porty	Čísla portů přiděluje IANA a na většině systémů je mohou používat pouze systémové procesy (nebo uživatel root) popř aplikační programy provozují privilegovaní uživatelé. Nemělo by se používat bez registrace IANA. Postup registrace je definován v části 19.9 dokumentu RFC 4340.
1024 - 49151	Registrované porty	Čísla portů jsou uvedena v adresáři IANA a na většině systémů je mohou používat běžné uživatelské procesy nebo programy provozované běžnými uživateli. Nemělo by se používat bez registrace IANA. Postup registrace je definován v části 19.9 dokumentu RFC 4340.
49152 - 65535	Dynamicky používané porty a/nebo porty používané v uzavřených (soukromých) sítích	Určeno pro dočasné použití - jako klientské porty, porty používané při vyjednávání pro soukromé služby a pro testování aplikací před registrací vyhrazených portů. Tyto porty nelze registrovat .

Seznam korespondence mezi síťovými službami a čísly portů

IANA udržuje oficiální seznam korespondencí mezi síťovými službami a čísly portů.

Historie dodržování předpisů

Otázky sjednocení korespondence síťových služeb s čísly soketů (portů) byly nastoleny v RFC 322 a 349, první pokusy o regulaci provedl John Postel v RFC 433 a 503.

Aktuální seznam

netstat -an

V operačních systémech Windows vypadá výsledek tohoto příkazu takto:

Aktivní spojení Název Místní adresa Externí adresa Stav TCP 0.0.0.0:135 0.0.0.0 0 LISTENING TCP 0.0.0.0:445 0.0.0.0 0 LISTENING TCP 127.0.0.1:1026 0.0.0.0 0 LISTENING 0. LISTENING: LISTENING: 01.01 TCP.0.0.0. 0 LISTENING TCP 127.0.0.1:12080 0.0.0.0 0 LISTENING TCP 127.0.0.1:12110 0.0.0.0 0 LISTENING LISTENING TCP 127.0.0.1:12119 0.0.0.0.1:12119 0.0.0.0.1:12119 0.0.0.0.1:12119 0.0.0.0.0 LISTENING0 0.0.0.0.0 TCP 04 LIST 03 *0.16:139 0.0.0.0 0 LISTENING TCP 192.168.0.16:1572 213.180.204.20:80 CLOSE_WAIT TCP 192.168.0.16:1573 213.13504ABEST:204.0.0.180.204.204.0. UDP 0.0.0.0:1025 *: * UDP 0.0.0.0:1056 *: * UDP 0.0.0.0:1057 *: * UDP 0.0.0.0:1066 *: * UDP 0.0.0.0:4500 *: * 0.01.01:127. 123 *: * UDP 127.0.0.1:1900 *: * UDP 192.168.0.16:123 *: * UDP 192.168.0.16:137 *: * UDP 192.168.0.16:138 *: 2.090816:2.09016

V OS typu UNIX výsledek příkazu netstat -an vypadá takto:

Aktivní připojení k internetu (servery a navázáno) Proto Recv-Q Send-Q Místní adresa Cizí adresa Stát tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2601 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2604 0.0.0.0:* 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0: * LISTEN tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:179 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:01 0.0*0.0 0.0.0: 22 0.0.0.0:* POSLECH TCP 0 0 0.0.0.0:1723 0.0.0.0:* POSLECH TCP 0 0 10.0.0.254:1723 10.0.0.243:292SHED1610.0.0.243:292941 10.0.0.243:292SHED16 33793 síti TCP 1 0 192.168.18.250:37 192.168.18.243:3723 CLOSE_WAIT tcp 0 0 10.0.0.254:1723 10.0.0.218:1066 síti TCP 1 0 192.168.18.250:37 192.168.18.243:2371 CLOSE_W: 1723 10.0.0.201: 4346 založena tcp 0 0 10.0.0.254:1723 10.0.0.30:2965 síti TCP 0 48 192.168.19.34:22 192.168.18.18:43645 síti TCP 0 0 10.0.0.254:38562 10.0.0.243:22 ESTABLISHED Ished tcp 0 0 10.50.1.254:1723 10.50.1.2:57355 USAZEN tcp 0 0 10.50.0.254:1723 10.50.0.174:1090 USAZEN tcp 0 0 192.168.10.254:1723 192.168.13.104:65535 USAZEN tcp 0 0 10.0.0.254: 1723 10.0.0.144:65535 síti TCP 0 0 10.0.0.254:1723 10.0.0.169:2607 síti TCP 0 0 10.0.0.254:1723 10.0.0.205:1034 ESTABLISHED udp 0 0 0.0.0.0:1812 0.0.0.0:* udp 0 0 0.0.0.0:1813 0.0.0.0:* udp 0 0 0.0.0.0:161 0.0.0.0:* udp 0 0 0.0.0.0:323 0.0.0.0:* udp 0 0 0.23 0.0.0 0 0 0 192.168.10.254:47 192.168.13.104:* 1 surový 0 0 10.0.0.254:47 10.0.0.120:* 1 surový 0 0 10.10.204 101.4 0.15 0.7 192.168.11.72:* 1 surový 0 0 10.0.0.254:47 10.0.0.144:* 1 surový 0 0 10.0.0.254:47 10.0.0.205:* 1 surový 0 0 10.51 0.0.0.0.0.0.0.0.0.0. 0 10.0.0.254:47 10.0.0.170:* 1 nezpracovaný 0 0 10.0.0.254:47 10.0.0.179:* 1

Stát POSLECHNOUT (POSLOUCHAT) ukazuje pasivně otevřená spojení (Odposlechové zásuvky). Jsou to oni, kdo poskytují síťové služby. ZALOŽENO- tohle je navázaná spojení, tedy síťové služby v procesu jejich využívání.

Kontrola dostupnosti síťových služeb

V případě zjištění problémů s konkrétní síťovou službou se používají různé diagnostické nástroje pro kontrolu její dostupnosti v závislosti na jejich přítomnosti v daném OS.

Jedním z nejpohodlnějších nástrojů je příkaz tcptraceroute (utilita) (typ traceroute), který pomocí TCP paketů otevírá spojení (SYN | ACK) se zadanou službou (ve výchozím nastavení webový server, port 80) zájmového hostitele a zobrazuje informace o době průchodu tohoto typu paketů TCP přes routery a také informace o dostupnosti služby na zájmovém hostiteli nebo v případě problémů s doručováním paketů, kde se vyskytly v cestě.

Alternativně lze použít samostatně

traceroute pro diagnostiku cesty doručování paketů (nevýhodou je použití UDP paketů pro diagnostiku) a
telnet nebo netcat do portu problematické služby a otestovat její odpověď.

Poznámky (upravit)

viz také

Odkazy

Dobře známá čísla zásuvek RFC 322
RFC 349 navrhovaná standardní čísla patic (RFC 433 zrušeno)
Seznam čísel zásuvek RFC 433 (zrušeno RFC 503)
Seznam čísel zásuvek RFC 503 (odstraněno RFC 739)
PŘIDĚLENÁ ČÍSLA RFC 739 (první seznam přidělených čísel byl nahrazen řadou RFC, z nichž poslední je RFC 1700)
Protokol uživatelských datagramů RFC 768
RFC 793 PROTOKOL ŘÍZENÍ PŘEVODOVKY
PŘIDĚLENÁ ČÍSLA RFC 1700 ( poslední seznam přidělená čísla, zrušeno RFC 3232)
Přidělená čísla RFC 3232: RFC 1700 je nahrazeno online databází
RFC 4340 Datagram Congestion Control Protocol (DCCP) – NAVRHOVANÝ STANDARD

Nadace Wikimedia. 2010.

Niflo, Isidore
Saláty z lilku a kaviár

Podívejte se, co je „síťové služby“ v jiných slovnících:

Služby sociálních sítí- Služba sociálních sítí je virtuální platforma, která spojuje lidi se síťovými komunitami pomocí softwaru, počítačů, sítě (Internet) a sítě dokumentů (World Wide Web). Síťové sociální služby v ... ... Wikipedii

Internetové služby- služby poskytované na internetu uživatelům, programům, systémům, úrovním, funkčním blokům. Na internetu jsou služby poskytovány síťovými službami. Nejběžnější internetové služby jsou: ukládání dat; přenos ... ... Finanční slovní zásoba

Port (síťové protokoly)- Síťový port je parametr protokolu UDP, který určuje cíl datových paketů ve formátu Toto je podmíněné číslo od 0 do 65535, které umožňuje různým programům běžícím na stejném hostiteli přijímat data nezávisle na sobě (poskytují toto ... ... Wikipedie

Kernel (operační systém)- Tento termín má jiné významy, viz Jádro. Kernel je centrální část operačního systému (OS), která poskytuje aplikacím koordinovaný přístup k počítačovým zdrojům, jako je čas procesoru, paměť a externí hardware ... ... Wikipedia

Mikrokernel- Tento termín má jiné významy, viz Mikronukleus (cytologie). Architektura mikrokernelu je založena na serverových programech v uživatelském režimu ... Wikipedia

Operační systém Microkernel- Architektura mikrojádra je založena na serverových programech v uživatelském režimu.Mikrokernel je minimální implementací funkcí jádra operačního systému. Klasická mikrojádra poskytují pouze velmi malou sadu primitiv na nízké úrovni ... Wikipedia

Simple Service Discovery Protocol- Název SSDP: Úroveň protokolu Simple Service Discovery (podle modelu OSI): Rodina relací: TCP / IP Port / ID: 1900 / UDP Simple Service Discovery Protocol (SSDP ... Wikipedia

Letopisi.ru- Tato stránka vyžaduje významnou revizi. Možná bude potřeba wikifikovat, doplnit nebo přepsat. Vysvětlení důvodů a diskuse na stránce Wikipedie: Ke zlepšení / 16. května 2012. Datum inscenace ke zlepšení 16. května 2012 ... Wikipedie

Síťové skenování- síťový útok. Popis Účelem tohoto útoku je zjistit, které počítače jsou připojeny k síti a jaké síťové služby na nich běží. První úloha je řešena odesíláním Echo zpráv protokolu ICMP pomocí ping c ... ... Wikipedie

7ya.ru- Vydavatel ALP Media Šéfredaktor Elena Polyaeva Datum založení 2000 Certifikát registrace hromadných sdělovacích prostředků El No. FS77 35954 Jazyk ... Wikipedia

knihy

Hry pro více hráčů. Online vývoj aplikací, Glazer Joshua, Online hry pro více hráčů jsou multimiliardový byznys, který přitahuje desítky milionů hráčů. Tato kniha na skutečných příkladech vypráví o vlastnostech vývoje takových her a ... Kategorie:

A port serveru, v důsledku čehož je navázáno spojení, které umožňuje dvěma počítačům komunikovat pomocí příslušného síťového aplikačního protokolu.

Čísla portů

Čísla portů	Kategorie	Popis
0 - 1023	Známé porty	Čísla portů přiděluje IANA a na většině systémů je mohou používat pouze procesy v systému (nebo uživatel root) nebo aplikace provozované privilegovanými uživateli. Nemělo by se používat bez registrace IANA. Postup registrace je definován v části 19.9 dokumentu RFC 4340.
1024 - 49151	Registrované porty	Čísla portů jsou uvedena v adresáři IANA a na většině systémů je mohou používat běžné uživatelské procesy nebo programy provozované běžnými uživateli. Nemělo by se používat bez registrace IANA. Postup registrace je definován v části 19.9 dokumentu RFC 4340.
49152 - 65535	Dynamicky používané porty a/nebo porty používané v uzavřených (soukromých) sítích	Určeno pro dočasné použití - jako klientské porty, porty používané při vyjednávání pro soukromé služby a pro testování aplikací před registrací vyhrazených portů. Tyto porty nelze registrovat .

Seznam korespondence mezi síťovými službami a čísly portů

IANA udržuje oficiální seznam korespondencí mezi síťovými službami a čísly portů.

Historie dodržování předpisů

Otázky sjednocení korespondence síťových služeb s čísly soketů (portů) byly nastoleny v RFC 322 a 349, první pokusy o regulaci provedl John Postel v RFC 433 a 503.

Aktuální seznam

netstat -an

V operačních systémech Windows vypadá výsledek tohoto příkazu takto:

V OS typu UNIX výsledek příkazu netstat -an vypadá takto:

Stát POSLECHNOUT (POSLOUCHAT) ukazuje pasivně otevřená spojení (Odposlechové zásuvky). Jsou to oni, kdo poskytují síťové služby. ZALOŽENO- Jedná se o navázaná spojení, tedy síťové služby v průběhu jejich využívání.

Kontrola dostupnosti síťových služeb

V případě zjištění problémů s konkrétní síťovou službou se používají různé diagnostické nástroje pro kontrolu její dostupnosti v závislosti na jejich přítomnosti v daném OS.

Alternativně lze použít samostatně

traceroute pro diagnostiku cesty doručování paketů (nevýhodou je použití UDP paketů pro diagnostiku) a
telnet nebo netcat do portu problematické služby a otestovat její odpověď.

Poznámky (upravit)

viz také

Odkazy

Dobře známá čísla zásuvek RFC 322
RFC 349 navrhovaná standardní čísla patic (RFC 433 zrušeno)
Seznam čísel zásuvek RFC 433 (zrušeno RFC 503)
Seznam čísel zásuvek RFC 503 (odstraněno RFC 739)
PŘIDĚLENÁ ČÍSLA RFC 739 (první seznam přidělených čísel byl nahrazen řadou RFC, z nichž poslední je RFC 1700)
Protokol uživatelských datagramů RFC 768
RFC 793 PROTOKOL ŘÍZENÍ PŘEVODOVKY
PŘIDĚLENÁ ČÍSLA RFC 1700
Přidělená čísla RFC 3232: RFC 1700 je nahrazeno online databází
RFC 4340 Datagram Congestion Control Protocol (DCCP) – NAVRHOVANÝ STANDARD

Nadace Wikimedia. 2010.

Niflo, Isidore
Saláty z lilku a kaviár

Podívejte se, co je „síťové služby“ v jiných slovnících:

Mikrokernel- Tento termín má jiné významy, viz Mikronukleus (cytologie). Architektura mikrokernelu je založena na serverových programech v uživatelském režimu ... Wikipedia

7ya.ru- Vydavatel ALP Media Šéfredaktor Elena Polyaeva Datum založení 2000 Certifikát registrace hromadných sdělovacích prostředků El No. FS77 35954 Jazyk ... Wikipedia

knihy

Hry pro více hráčů. Online vývoj aplikací, Glazer Joshua, Online hry pro více hráčů jsou multimiliardový byznys, který přitahuje desítky milionů hráčů. Tato kniha na skutečných příkladech vypráví o vlastnostech vývoje takových her a ... Kategorie:

Název parametru	Význam
Téma článku:	Síťové služby
Kategorie (tematická kategorie)	Technologie

Jádro systému

Operační sál Linuxový systém je produktem lidské práce, a jak víte, je běžné, že dělají chyby, dokonce i v kódu jádra. Odtud první bezpečnostní hrozba – chyby v jádře systému. Chyby, jako je tato, nejsou objeveny tak často jako chyby ve všem ostatním. software, však se to stává. Ochrana je zde stejná (stejná pro všechny podobné problémy) - neustálé sledování bezpečnostních informací (například dobrým zdrojem informací je kromě mailing listu od výrobce distribuční sady stránka www.securityfocus.com a její seznamy adresátů) a údaje ze serveru.

Existují však záplaty pro jádro, které umožňují zvýšit bezpečnost systému obecně a jádra zvláště. Hlavní pozornost je u takových záplat (včetně kumulativních) věnována schopnosti odolat systému před obecnými útoky na programy s chybami při přetečení vyrovnávací paměti, před útoky na programy s nesprávným vytvářením dočasných souborů a také na schopnost snížit množství informací, které může útočník o systému získat (http://www.openwall.com/).

Existují také záplaty specializující se na síťový aspekt jádra operačního systému. Mezi jejich úkoly patří zabudování ochrany proti skenování do jádra systému (http://www.lids.org) a také funkce ztížení určení verze OS pomocí síťových skenerů, jako je nmap.

Když se všechny tyto záplaty zkombinují, získá se jádro systému, které bude nezávisle schopno chránit systém před většinou typů známých útoků: útoky přetečením vyrovnávací paměti, útoky na programy s nesprávnou prací s dočasnými soubory, síťové skenování stroje v pořádku k určení otevřených portů a verze operačního systému.

Ve většině případů se z neznámých důvodů na „čerstvě nainstalovaném“ serveru standardně spouštějí téměř všechny možné služby (například dnes zcela zbytečný 7. port, služba echo).

Téměř každý den se objevují nové programovací chyby v softwaru. Pokud je nalezena chyba ve službě běžící na serveru, pak po krátké (ne příliš dlouhé) době bude možné očekávat lidi, kteří chtějí server zkopírovat (protože například chyby přetečení vyrovnávací paměti umožňují spustit jakýkoli kód s právy serveru, který má často práva superuživatele - root). Před těmito problémy se můžete chránit:

za prvé pravidelným sledováním bezpečnostních událostí (a opět www.securityfocus.com bude pravděpodobně nejsměrodatnějším a nejúplnějším zdrojem informací);

za druhé, tím, že trochu „obutíš“ jádro systému (s různými bezpečnostními záplatami, jak je popsáno výše);

za třetí, stačí používat servery, které jsou napsány s velkou pečlivostí a berou v úvahu bezpečnostní požadavky, a samozřejmě bez použití zbytečných služeb.

Začněme zbytečnými službami. Úkoly pro každý server jsou samozřejmě specifické, ale přesto můžeme říci, že ve většině případů jsou porty (s odpovídajícími službami) od prvního do devatenáctého včetně zbytečné a v některých ohledech jednoduše nebezpečné. Některé z nich jsou užitečné, ale většina z nich se nyní nepoužívá. Neměli byste otevírat porty jako 37 (čas), 69 (tftp), 79 (prst), 111 (sunrpc), 512 (TCP - exec; UDP - biff), 513 (TCP - přihlášení; UDP - kdo ), 514 (TCP - cmd; UDP - syslog), 517 (hovor), 525 (časový server).

Nyní k nejčastěji používaným službám, a to: HTTP / HTTPS, FTP, Telnet / SSH, SMTP, POP3 / IMAP a proxy služby. Zvažme každou službu podrobně.

Síťové služby - koncepce a typy. Klasifikace a vlastnosti kategorie "Síťové služby" 2017, 2018.