O que é um serviço de rede. Serviços de rede e serviços de rede

Conceito rede de computadores.

Redes de computadores são sistemas de computadores unidos por canais de transmissão de dados que garantem o fornecimento eficaz de vários serviços de informação e computação aos usuários por meio da implementação de acesso conveniente e confiável aos recursos da rede.

Os sistemas de informação que usam os recursos das redes de computadores fornecem as seguintes tarefas:

Armazenamento e processamento de dados

Organização do acesso do usuário aos dados

Transferência de dados e resultados de processamento para usuários

A eficiência de resolver as tarefas listadas é garantida por:

Acesso remoto de usuários a recursos de hardware, software e informações

Alta confiabilidade do sistema

A capacidade de redistribuir rapidamente a carga

Especialização de nós de rede individuais para resolver uma certa classe de problemas

· Decisão tarefas complexas esforços conjuntos de vários nós da rede

A capacidade de realizar o controle operacional de todos os nós da rede

Se considerarmos a estrutura de uma rede de computadores, três elementos básicos podem ser distinguidos nela:

Instalações e serviços de rede

Portadores de dados

Protocolos de rede.

Instalações e serviços de rede. Se considerarmos uma rede de computadores, então, por recursos e serviços de rede, entendemos tudo o que uma rede é capaz. Numerosas combinações de hardware e software são usadas para organizar serviços.

O termo "provedor de serviços" deve ser entendido como a combinação de hardware e software que executa um serviço específico. Este termo não deve ser entendido como um computador, uma vez que os computadores podem realizar diferentes serviços e pode haver vários provedores de serviços em um computador ao mesmo tempo.

O termo "consumidor de um serviço" (solicitante do serviço) significa qualquer entidade que usa este serviço.

Existem três tipos de provedores de serviços e consumidores com base nas funções que desempenham na rede:

Servidor

Cliente

Cliente-servidor (par).

O servidor só pode fornecer serviços. O cliente só pode consumir os serviços. Um cliente-servidor pode fornecer e consumir serviços simultaneamente.

Muitas vezes, esses conceitos são erroneamente ligados de forma rígida a qualquer computador, mas deve-se observar que a função de um computador depende do software instalado e, dependendo do software, um computador pode ser um servidor, um cliente ou um cliente. servidor.

Por estrutura, as redes de computadores podem ser divididas em dois tipos:

Baseado em servidor

Pessoa para pessoa

Os membros de uma rede ponto a ponto podem ser consumidores e provedores de serviços ao mesmo tempo. O software instalado em cada um dos computadores da rede ponto a ponto geralmente fornece a mesma gama de serviços.

Redes ponto a ponto também são chamadas de grupos de trabalho. Na maioria das vezes, essas redes não têm mais do que 10 computadores. Essas redes são baratas porque não têm um computador servidor dedicado. Os próprios usuários agem como administradores e protegem as informações. Este tipo de rede é caracterizado por uma estrutura de informação caótica. Com um grande número de clientes, a rede ponto a ponto torna-se impossível de gerenciar.

Vantagens.

Fácil de instalar e configurar

Os usuários controlam seus próprios recursos

Não são necessários recursos adicionais (hardware e administrador) - a segurança da rede é instalada para cada recurso separadamente

desvantagens

Você precisa se lembrar de tantas senhas quanto de recursos

Os backups são realizados em todos os computadores para proteger os dados compartilhados

Baixa produtividade dos provedores de serviço

Nenhum esquema centralizado para pesquisar e gerenciar o acesso aos dados

Em redes baseadas em servidor, os clientes consomem serviços e os servidores fornecem serviços. Além disso, essas relações estão estritamente sujeitas a regras administrativas. Os servidores podem ser classificados de acordo com o tipo de serviço que prestam, o que será feito posteriormente. As redes baseadas em servidor são de longe o tipo de rede mais popular.

Os computadores que atuam como servidores geralmente possuem um hardware poderoso. Eles são especialmente projetados para desempenho um grande número pedidos do cliente. A chave para a segurança de tal rede é restringir fisicamente o acesso ao servidor. Pessoa especial- administrador - forma uma política de segurança de rede unificada. Os arquivos compartilhados geralmente são armazenados em um local, facilitando o backup. Essas redes também se adaptam melhor e podem servir de alguns a dezenas de milhares de usuários.

Vantagens

Gerenciamento centralizado de contas de usuário, segurança e acesso

Prestadores de serviços mais produtivos

O usuário só precisa de uma senha

desvantagens

Backup de dados centralizado - falha do servidor pode tornar a rede inutilizável

Requer pessoal qualificado para o serviço, o que aumenta o custo

Custo alto - devido ao equipamento especial

A escolha da implementação de qualquer tipo de rede pode ser feita de acordo com as seguintes condições.

Rede ponto a ponto:

Não há mais de 10 usuários de rede (de preferência cinco)

Todas as máquinas da rede estão compactamente localizadas para serem combinadas em uma rede local

Fundos limitados

Não há necessidade de provedores de serviços de alto desempenho

A questão da segurança não é decisiva.

Rede baseada em servidor:

Mais de 10 usuários estão planejados na rede

Obrigatório gerenciamento centralizado, segurança, gerenciamento de recursos ou cópia de segurança

Há uma necessidade de provedores de serviços de alto desempenho

Acesso a rede global ou usando a internetwork

Um meio de transmissão de dados é um meio pelo qual as informações são transmitidas. Mídia de computador refere-se à tecnologia de cabo ou sem fio. A transportadora não garante que a mensagem será recebida pelo destinatário, apenas garante o seu correto envio.

Os protocolos de rede garantem que os membros da rede se entendam. Um protocolo é um conjunto de regras e padrões pelos quais vários dispositivos interagem.

Facilidades e serviços de rede: conceito, exemplos e finalidade dos serviços básicos de rede .

Serviços de rede e serviços de rede

Um serviço de rede é um conjunto de partes de servidor e cliente do sistema operacional que fornecem acesso a um tipo específico de recurso de computador na rede.

Diz-se que um serviço de rede fornece um conjunto de serviços aos usuários da rede. Às vezes, esses serviços também são chamados de serviço de rede (do termo em inglês "serviço"). Ainda no texto, por "serviço" entendemos um componente de rede que implementa um determinado conjunto de serviços e por "serviço" - uma descrição do conjunto de serviços que são fornecidos por este serviço. Assim, um serviço é uma interface entre um consumidor de serviço e um provedor de serviço (serviço).

Serviço - uma descrição de um conjunto de serviços fornecidos por um serviço de rede

Cada serviço está associado a um tipo específico de recurso de rede e / ou a uma forma específica de acesso a esses recursos. Por exemplo, um serviço de impressão permite que os usuários da rede acessem impressoras compartilhadas em uma rede e fornece um serviço de impressão, enquanto um serviço postal fornece acesso a um recurso de informação da rede - emails... A forma de acessar recursos difere, por exemplo, um serviço acesso remoto- fornece aos usuários de uma rede de computadores acesso a todos os seus recursos por meio de canais telefônicos dial-up. Para obter acesso remoto a um recurso específico, como uma impressora, o serviço de acesso remoto interage com o serviço de impressão. Os mais importantes para os usuários do sistema operacional de rede são o serviço de arquivos e o serviço de impressão.

Dentre os serviços de rede, pode-se distinguir aqueles que estão voltados não para um simples usuário, mas para um administrador. Esses serviços são usados para organizar a operação da rede. Por exemplo, o serviço Bindery do sistema operacional Novell NetWare 3.x permite que um administrador mantenha um banco de dados de usuários da rede no computador em que o sistema operacional está sendo executado. Uma abordagem mais progressiva é criar um help desk centralizado, ou, em outras palavras, um serviço de diretório, que é projetado para manter um banco de dados não apenas sobre todos os usuários da rede, mas também sobre todos os seus componentes de software e hardware. O NDS da Novell e o StreetTalk da Banyan são freqüentemente citados como exemplos de serviços de diretório. Outros exemplos de serviços de rede que fornecem um serviço a um administrador são um serviço de monitoramento de rede que captura e analisa o tráfego da rede, um serviço de segurança que pode incluir, mas não está limitado a, um logon com verificação de senha, um serviço de backup e arquivamento.

O rico conjunto de serviços oferecidos pelo sistema operacional para usuários finais, aplicativos e administradores de rede determina sua posição na gama geral de sistemas operacionais de rede.

Os serviços de rede são, por natureza, sistemas cliente-servidor. Uma vez que, ao implementar qualquer serviço de rede, surgem naturalmente uma fonte de solicitações (cliente) e um solicitante (servidor), então qualquer serviço de rede contém duas partes assimétricas - cliente e servidor. Um serviço de rede pode ser representado no sistema operacional por ambas as partes (cliente e servidor) ou apenas uma delas.

A diferença fundamental entre o cliente e o servidor é que o cliente é sempre o iniciador do serviço de rede e o servidor está sempre no modo de espera passiva por solicitações.

Normalmente, a interação entre as partes do cliente e do servidor é padronizada, de modo que um tipo de servidor pode ser projetado para funcionar com diferentes tipos de clientes implementados jeitos diferentes e talvez por fabricantes diferentes. A única condição para isso é que os clientes e o servidor devem oferecer suporte a um protocolo de comunicação padrão comum.

Os desenvolvedores de sistema operacional de rede acharam mais eficiente pensar e projetar o sistema operacional de rede desde o início de seu trabalho na rede. As funções de rede desses sistemas operacionais estão profundamente embutidas nos principais módulos do sistema, o que garante sua harmonia lógica, facilidade de uso e modificação, além de alto desempenho. É importante que não haja redundância com essa abordagem. Se todos os serviços de rede estiverem bem integrados, ou seja, são considerados partes integrantes do sistema operacional, então todos os mecanismos internos de tal sistema operacional podem ser otimizados para executar funções de rede. Por exemplo, Windows NT Microsoft devido às instalações de rede integradas, ele fornece maior desempenho e segurança da informação em comparação com o sistema operacional de rede LAN Manager da mesma empresa, que é um complemento do sistema operacional OS / 2 local. Outros exemplos de sistemas operacionais de rede com serviços de rede integrados são todos versões modernas UNIX, NetWare, OS / 2 Warp.

Outra opção para implementar serviços de rede é combiná-los na forma de um conjunto (shell), enquanto todos os serviços de tal conjunto devem ser consistentes entre si, ou seja, em seu trabalho, eles podem se referir uns aos outros, eles podem incluir componentes comuns, por exemplo, um subsistema de autenticação de usuário comum ou uma única interface de usuário. Para que o shell funcione, é necessário que haja algum sistema operacional local que execute as funções usuais necessárias para controlar o hardware do computador, e no ambiente em que seriam executados os serviços de rede que compõem este shell. O shell é um independente Programas e, como qualquer produto, possui um nome, número de versão e outras características relevantes. Exemplos de shells de rede incluem LAN Server e LAN Manager. Os sistemas operacionais de rede mais famosos são Novell NetWare e Windows NT.

Serviços de rede compartilhada

Os mais comuns são os seguintes serviços de rede:

Serviços de arquivo

Serviços de impressão

Serviços de mensagens

Ferramentas de Aplicação

Ferramentas de banco de dados.

Ferramentas de gerenciamento remoto para sistemas operacionais UNIX, Windows NT e NetWare.

Quando as pessoas falam sobre gerenciamento remoto, geralmente se referem a plataformas de gerenciamento de rede baseadas em SNMP. Entre as plataformas mais comuns estão HP OpenView, Microsoft SMS, Novell ManageWise e outras.No entanto, seus recursos são bastante limitados: eles são adequados para monitorar dispositivos de rede, mas muito pior - para gerenciamento direto de servidores e SO. Por exemplo, usando uma plataforma de gerenciamento de rede, você não pode criar uma conta de usuário, executar um programa em um servidor, escrever um script executável e muito mais. Portanto, em vez de "plataforma de gerenciamento", seria mais correto usar o termo "plataforma de monitoramento".

É bem sabido que a ferramenta de administração de servidor mais conveniente é seu console. ( Sistema operacional O NetWare apresenta um caso especial, que consideraremos separadamente.) No console, o administrador pode monitorar qualquer atividade no servidor, bem como gerenciar os recursos do sistema operacional da rede. No entanto, o administrador nem sempre pode estar atrás do console UNIX ou Windows NT.

Embora agora seja uma prática comum hospedar servidores em salas de servidores dedicados, os administradores de rede relutam em se mudar para essas salas. Primeiro, as salas de servidores são preenchidas não apenas com servidores, mas também com equipamentos de rede ativos, fontes poderosas Fonte de energia ininterrupta, wiring closets, recursos de backup, etc. Devido ao fundo eletromagnético desfavorável, a presença constante de pessoal na sala do servidor é indesejável. Em segundo lugar, o nível de ruído nessas salas é bastante alto, o que às vezes torna difícil até mesmo o uso de um telefone. Depois de 8 horas de trabalho nessas condições, a pessoa se sente completamente sobrecarregada. Terceiro, pode haver várias salas de servidores em uma grande organização. Por esses motivos, o administrador gostaria de ter local de trabalho fora da sala do servidor, mas aproveite todos os benefícios de um console.

Além disso, os usuários têm constantemente certos problemas e o administrador é forçado a visitar os sites dos clientes. Nesses casos, é importante para ele ser capaz de controle remoto sistema operacional de rede, por exemplo, para atribuir direitos de acesso, criar uma nova conta de usuário, aumentar o tamanho do sistema de arquivos, etc.

Por fim, podem surgir problemas fora do horário comercial, quando o administrador está em casa. Nesses casos, é desejável que ele, usando seu computador doméstico e modem, possa identificar e consertar o problema remotamente, e não se precipitar para o escritório.

Todos os sistemas operacionais de rede possuem ferramentas de administração remota, integradas ou fornecidas por terceiros. Alguns deles implementam o conceito de um console remoto (ou terminal remoto), alguns fornecem ferramentas de administração dispersas destinadas a resolver apenas algumas tarefas específicas.

SISTEMAS OPERACIONAIS E ADMINISTRAÇÃO

Antes de falarmos sobre gerenciamento remoto de sistemas operacionais de rede, revisaremos brevemente os princípios de administração dos sistemas operacionais mais populares: Windows NT, UNIX e NetWare. Talvez o sistema mais poderoso, não apenas em termos de parâmetros funcionais, mas também em termos de recursos de administração, seja o sistema operacional UNIX. No UNIX, o kernel é separado do shell gráfico, enquanto o servidor não precisa de um shell gráfico, embora seja usado com bastante frequência. A interação interativa entre o usuário e o sistema operacional é realizada através do shell de comando. Ele tem várias implementações, sendo as mais populares o shell Bourne (sh), o shell C (csh), o shell Korn (ksh) e o shell Bourne again (bash). Cada um dos shells tem sua própria linguagem de programação para escrever programas de script. Além disso, o UNIX é famoso pelo mais rico conjunto de utilitários de aplicativos, incluindo utilitários para classificação, pesquisa, edição de streaming, análise lexical, processamento de macro, filtros e muitos outros. Usando o shell, utilitários do sistema, programas aplicativos e pipelines, o UNIX permite que você crie programas de administração extremamente flexíveis.

O UNIX usa o shell gráfico do X Window System (X11). Ao contrário de shells semelhantes encontrados no Microsoft Windows e Apple MacOS, o X11 está conectado em rede e separado do kernel. Ou seja, do ponto de vista do kernel, o sistema X11 é apenas um programa de usuário normal. No X11, qualquer máquina UNIX (com as permissões adequadas) pode atuar como um cliente ou servidor X11. Deve-se ter em mente que, ao contrário da prática comum, servidor X11 refere-se ao computador em cujo display a imagem é exibida, e o cliente é a máquina na qual o programa é executado. O software de servidor X11 existe para muitos sistemas operacionais comuns, incluindo Windows, MacOS e outros, enquanto o software cliente é implementado principalmente no UNIX.

No UNIX moderno, utilitários com três tipos de interfaces são usados para tarefas de gerenciamento: linha de comando, texto e gráficos interativos. No entanto, os recursos do sistema operacional mais poderosos e abrangentes são os utilitários de linha de comando. Esses programas são amplamente usados para realizar operações repetitivas, como criar conta usuário ou atribuição de direitos de acesso. Texto interativo e utilitários gráficos surgiram no UNIX há relativamente pouco tempo, mas devido à natureza interativa da comunicação, os benefícios de usá-los em programas shell estão longe de serem óbvios. Esses utilitários são usados principalmente para ajustes ocasionais e precisos do sistema operacional e do hardware. Portanto, qualquer emulador de terminal de texto funcionará para a administração do UNIX.

Apesar de sua ampla adoção, o Microsoft Windows NT não pode competir com o UNIX em termos de administração. Para facilidade de administração, sim, mas não por seus recursos. Como você sabe, o shell gráfico do Windows é inseparável do kernel do sistema. Embora do ponto de vista da confiabilidade, isso não seja a melhor maneira, tal implementação permite que você alcance um desempenho extremamente alto em operações gráficas. Outra coisa é que no servidor NT isso é pouco útil - o objetivo do servidor não é de forma alguma exibir informações gráficas rapidamente. A Microsoft realmente levou os usuários a um canto ao oferecer essencialmente o mesmo sistema que um cliente (NT Workstation) e um servidor (NT Server). Além disso, gráfico Ambiente Windows não está em rede.

Vários utilitários de administração baseados em linha de comando estão disponíveis para Windows NT. No entanto, seu conjunto é bastante limitado e, além disso, as capacidades do processador de comando embutido não podem ser comparadas com o shell do UNIX. O Windows NT Server também vem com uma série de dispositivos remotos gerenciamento de usuários, domínios, direitos de acesso, etc. Esses programas podem ser instalados em Computadores Windows 9x e NT. No entanto, muitos aplicativos de rede, especialmente aplicativos de terceiros, não possuem recursos de controle remoto. Portanto, para gerenciar totalmente o ambiente de rede, o administrador é forçado a sentar-se no console ou emular o console usando programas especializados.

A estrutura de gerenciamento do NetWare é fundamentalmente diferente da de outros sistemas operacionais de rede. Todas as operações de configuração do servidor, incluindo o lançamento de aplicativos, são realizadas a partir do console. Ao mesmo tempo, o gerenciamento de contas, impressoras, arquivos e o serviço de diretório NDS é feito a partir de sites clientes. Verdade, em última versão O NetWare 5 tem um único console de gerenciamento de rede, ConsoleOne, a partir do qual o administrador pode gerenciar recursos de rede de qualquer lugar da rede, incluindo do console. No entanto, os recursos do ConsoleOne ainda são muito limitados e são lentos porque foram escritos em Java. Além disso, a participação do NetWare 5 no mercado de sistemas operacionais de rede é insignificante, já que a maioria das redes Novell é baseada no NetWare 4.x. O console do NetWare opera em modo de texto (o servidor também oferece suporte ao modo gráfico no NetWare 5), portanto, é gerenciado usando programas de linha de comando e uma interface de texto interativa. A linguagem de comando do NetWare é bastante fraca, mas o sistema operacional inclui interpretadores Basic e Perl que permitem criar programas bastante sérios. O programa de console remoto incluído no NetWare fornece acesso ao console do servidor pela rede a partir de máquinas clientes DOS, Windows, MacOS, UNIX.

Programas gráficos e interativos baseados em texto estão disponíveis para gerenciar NDS, contas, impressoras, permissões e muito mais, para operação do lado do cliente. Existem poucos utilitários de linha de comando disponíveis e seus recursos são limitados. Resumindo, do ponto de vista do gerenciamento do NDS, os utilitários gráficos (e principalmente o Administrador do NetWare) têm os recursos mais poderosos, seguidos por programas de texto interativos (NETADMIN, PCONSOLE, etc.) e somente então os utilitários de linha de comando.

Tendo revisado os principais recursos da estrutura de gerenciamento do sistema operacional de rede, podemos agora nos familiarizar com as ferramentas de gerenciamento remoto mais comuns.

TELNET

Talvez o mais programa famoso controle remoto UNIX é telnet, especialmente porque está incluído em quase todos os sistemas operacionais modernos. telnet é um programa de emulação de terminal que usa o protocolo de aplicativo proprietário TELNET. Para suportar o serviço telnet, o servidor deve estar em execução programa do sistema(chamado de daemon no UNIX) telnetd, que trata das solicitações do cliente telnet. O servidor telnet pode servir vários clientes ao mesmo tempo, enquanto Protocolo TELNET usa TCP (porta 23) como protocolo de transporte.

O Telnet pode ser usado para controlar não apenas computadores UNIX, mas também dispositivos de rede, como roteadores, switches, servidores de acesso remoto, etc. telnet também pode ser usado para administrar o Windows NT (o software de servidor para este serviço está disponível em vários programas comerciais gratuitos ), mas apenas no modo de linha de comando. O Telnet permite que o usuário se conecte a um servidor remoto de seu local e trabalhe com ele em modo texto. Isso cria uma ilusão completa para o usuário de que ele está sentado no terminal de texto deste servidor.

O Telnet é ótimo para redes heterogêneas porque se baseia no conceito de Terminal Virtual de Rede (NVT). Sabe-se que diferentes sistemas operacionais e hardwares possuem características específicas relacionadas à entrada / saída e processamento de informações. Por exemplo, o UNIX usa LF como quebra de linha, enquanto o MS-DOS e o Windows usam um par de caracteres CR-LF. O terminal virtual de rede NVT permite que você abstraia os recursos de equipamentos específicos usando conjunto padrão personagens. O cliente telnet é responsável por converter os códigos do cliente em códigos NVT, e o servidor faz o oposto (consulte a Figura 1).

O Telnet fornece um mecanismo de configuração de parâmetros, no qual o cliente e o servidor podem concordar com certas opções, incluindo codificação de dados (7 ou 8 bits), modo de transmissão (half-duplex, caractere por caractere, linha por linha ), tipo de terminal e alguns outros. Comandos e dados em telnet são transmitidos independentemente um do outro. Para fazer isso, usando um código especial, o telnet é alterado do modo de transferência de dados para o modo de transferência de comandos e vice-versa. Comandos são informações usadas para controlar o serviço telnet, enquanto dados são dados de entrada / saída por meio de drivers de terminal (cliente) ou pseudo-terminal (servidor).

Telnet é um programa de gerenciamento remoto poderoso o suficiente, mas tem uma série de desvantagens fundamentais. O mais importante é que todos os dados, incluindo senhas, sejam transferidos entre computadores em texto não criptografado. Uma vez conectado à rede, qualquer pessoa que use o analisador de protocolo mais simples pode não apenas ler as informações, mas até obter uma senha para acesso não autorizado. Em uma rede local, a probabilidade de tais ataques pode ser reduzida usando switches (hubs de comutação). Obviamente, em uma rede local, o uso em larga escala de switches é muito caro, mas é melhor conectar as estações de trabalho do administrador por meio deles. No entanto, ao acessar pela Internet, principalmente quando o administrador trabalha em casa, o problema persiste. No entanto, você pode fornecer acesso a servidores por meio de servidores de acesso remoto usando protocolos de autenticação, como CHAP, em vez de ISPs. Infelizmente, essa abordagem não é aceitável para todas as organizações.

O segundo problema que eu chamaria é de graça programas cliente o telnet incluído nos sistemas operacionais tem recursos limitados. Muitas vezes acontece que programa de texto não pode nem iniciar porque o cliente telnet não suporta o tipo de terminal do servidor e programa interativo não deseja trabalhar com os tipos de terminais incluídos no cliente telnet.

No entanto, apesar dessas deficiências, o telnet continua sendo o programa de controle remoto mais amplamente usado.

RLOGIN

Apresentado pela primeira vez com 4.2BSD UNIX, o rlogin já foi extremamente popular no ambiente UNIX. Como meio de acesso de terminal, o rlogin é muito semelhante ao telnet, mas devido à sua estreita integração com o sistema operacional, seu uso é muito limitado em outros sistemas. Rlogin carece de muitas das opções inerentes ao telnet, em particular o modo de negociação de parâmetros entre o cliente e o servidor: tipo de terminal, codificação de dados, etc. Portanto, o tamanho do código do programa rlogin é quase dez vezes menor que o de telnet. No entanto, o rlogin fornece relações de confiança entre hosts: no servidor rlogin, em arquivos de sistema especiais (geralmente /etc/hosts.equiv e $ HOME / .rhosts), o administrador pode listar os computadores que terão acesso a este servidor sem um senha. Os usuários de outros computadores (não listados nesses arquivos) podem se conectar ao servidor somente após inserir uma senha.

Outra versão do rlogin, conhecida como rsh, permite executar programas em uma máquina remota com entrada e saída na máquina local. Outro programa, o rcp, é projetado para copiar arquivos entre computadores na rede. Os utilitários rlogin, rsh e rcp costumam ser chamados coletivamente de comandos r.

Infelizmente, a experiência mostrou que as relações de confiança baseadas no nome do host são extremamente perigosas porque abrem a porta para o acesso não autorizado. O uso generalizado de tecnologia de spoofing de IP e DNS por hackers torna o serviço r-command inseguro. Isso é verdadeiro mesmo quando a relação de confiança entre os hosts não é estabelecida. Portanto, no momento, o serviço rlogin encontrou uso apenas em redes que estão completamente fechadas para a Internet. Assim como o telnet, os dados e as senhas (na ausência de uma relação de confiança) são transmitidos em texto não criptografado.

Além disso, o software cliente para comandos r em plataformas DOS e Windows é menos comum do que para telnet e está disponível principalmente em produtos comerciais razoavelmente caros.

CAPSULA SEGURA

Obviamente, a transmissão de dados e, especialmente, senhas pela rede em texto não criptografado em programas telnet e rlogin não podem satisfazer nem mesmo Requerimentos mínimos para segurança. Proteger Sistemas de informação Existem várias maneiras de se proteger contra ataques maliciosos. Alguns deles fornecem proteção por senha, enquanto outros visam criptografar todo o fluxo de informações. Entre estes últimos, o mais popular é Programa seguro shell (ssh), parte de qualquer suíte de acesso seguro ao terminal UNIX para cavalheiros. A versão não comercial do Secure shell pode ser baixada do servidor do autor do programa T. Yalonen ( http://www.ssh.fi) mas versão gratuita ssh está disponível apenas para UNIX. Data Fellows ( http://www.datafellows.com) fornece ssh comercial aprimorado, inclusive para a plataforma Windows.

O shell seguro oferece recursos semelhantes aos dos comandos telnet e r, incluindo não apenas o acesso ao terminal, mas também meios de cópia entre computadores. Mas, ao contrário deles, o ssh também fornece uma conexão X11 segura.

A segurança do programa ssh é alcançada através do uso do protocolo da camada de transporte, do protocolo de autenticação e do protocolo de conexão. O protocolo da camada de transporte é responsável pela autenticação do servidor, o protocolo de autenticação é pela forte identificação e autenticação do cliente. O protocolo de conexão forma um canal de transferência de informações criptografadas.

Como já foi mencionado, o Secure shell se tornou uma espécie de padrão para acesso seguro, inclusive na Rússia. Este é um produto muito interessante, do qual podemos falar por muito tempo. No entanto, não faremos isso (informações mais detalhadas sobre o shell seguro podem ser encontradas no artigo de M. Kuzminsky "Ssh - um meio diário de trabalho seguro" na revista "Open Systems" No. 2, 1999). O fato é que este produto, como muitos outros, está proibido para uso na Rússia.

De acordo com o Decreto do Presidente da Federação Russa No. 334 datado de 04/03/95, indivíduos e quaisquer organizações, incluindo sociedades públicas, privadas e por ações, estão proibidos de operar sistemas de criptografia que não tenham sido certificados pela FAPSI. O Secure Shell é exatamente esse sistema. No entanto, você não deve se ofender com nossos serviços especiais - não estamos sozinhos no mundo, em alguns países, por exemplo, na França, as regras são ainda mais rígidas (para ser justo, deve-se notar que na França, desde março de este ano, as restrições aos sistemas de criptografia foram significativamente enfraquecidas). Você também não deve pensar que eles estão tentando nos impedir de proteger informações confidenciais: as organizações não apenas podem, mas são obrigadas a proteger informações importantes. Somente para isso devem utilizar ferramentas certificadas, e não distribuídas gratuitamente na Internet. Claro, programas baseados em ssh, SSL, PGP, etc. são onipresentes em nosso país, mas deve ser lembrado que seu uso é repleto de problemas consideráveis. Os usuários de tais programas estão potencialmente sob risco de investigação por agências de inteligência. Em qualquer caso, não temos o direito nem o desejo de promover tal abordagem.

AUTENTICAÇÃO SEGURA

Na maioria das tarefas de gerenciamento, os administradores não estão interessados na proteção dos dados transmitidos, mas na autenticação confiável do usuário, para que um invasor não possa interceptar e usar a senha do administrador. Pode haver várias soluções. Em primeiro lugar, esta é a tecnologia Kerberos baseada na emissão de tickets (tickets). (Na verdade, o Kerberos fornece não apenas autenticação, mas também criptografia de comunicações de rede, que, novamente, se enquadra no Decreto Presidencial.) No entanto, devido às restrições de exportação do governo dos EUA, o mecanismo de criptografia é significativamente enfraquecido. Em sistemas dial-up corporativos, podem ser usados serviços de autenticação robustos, como RADIUS, TACACS + e XTACACS. Mas todos esses serviços (incluindo Kerberos) envolvem um redesenho em grande escala da infraestrutura de rede, o que acarreta altos custos. Isso dificilmente se justifica se a gama de tarefas de acesso remoto for limitada apenas pelos problemas de gerenciamento de sistemas operacionais de rede.

As ferramentas de senha única (OTP) são mais adequadas para essas tarefas. A essência de tais sistemas é que a senha do usuário transmitida pela rede é válida para apenas uma sessão de comunicação. Ou seja, mesmo que um invasor consiga interceptar a senha, não conseguirá utilizá-la, pois a senha já será alterada na próxima sessão.

Para habilitar o OTP no servidor, os daemons telnet, rlogin, ftp terão que ser substituídos (é claro, novos serviços podem ser iniciados seletivamente, por exemplo, use o telnetd atualizado, mas mantenha o ftpd "nativo"). Nesse caso, o software cliente não precisa ser atualizado, o que é muito conveniente. Um sistema OTP viável foi lançado pela Bell Core (agora Telcordia Technologies) em 1991 com o nome S / Key. Um recurso importante do S / Key é que ele era originalmente um produto não comercial que funciona com muitas versões do UNIX. Agora, os mais populares são próximas versões Sistemas OTP (todos eles, exceto para S / Key versão 2.0 e superior, são distribuídos gratuitamente):

S / Key da Telcordia Technologies (ftp://ftp.bellcore.com);
OPIE US Navy Research Laboratory (ftp://ftp.nrl.navy.mil);
LogDaemon, desenvolvido por Vietse (ftp://ftp.porcupine.org/pub/security).

Os sistemas listados são compatíveis com versões anteriores do S / Key 1.0. As implementações OTP atuais são baseadas em algoritmos de hash MD4 e MD5 (S / Key 1.0 usado exclusivamente MD4).

Como funcionam os sistemas OTP? Ao inicializar OTP no servidor, cada usuário atribui dois parâmetros: uma chave secreta (não é transmitida pela rede) e o número de iterações, ou seja, o número de logins durante os quais essa chave secreta será válida. O servidor aplica o algoritmo MD4 ou MD5 à chave privada e lembra do valor hash. Depois disso, o usuário pode trabalhar com o servidor pela rede por meio do telnet, ftp, etc.

A autenticação do usuário para acesso ao terminal é realizada da seguinte forma. Depois de inserir o nome de usuário, ele recebe o número da próxima iteração e uma determinada fonte (semente). O início do procedimento de autenticação do usuário é mostrado na Figura 2. Aqui, o número da iteração é 967 e a origem é jar564. No campo Senha, o usuário deve inserir não sua própria chave secreta, mas uma frase secreta composta por seis palavras. Esta frase é gerada com base na chave secreta, número da iteração e fonte usando uma calculadora especial (consulte a Figura 3). Para obter uma frase-senha, o usuário insere o número da iteração, a fonte e sua chave secreta (no exemplo dado, a frase-senha final se parece com: "NO HUFF ODE HUNK DOG RAY").

Em seguida, a frase secreta é inserida no campo Senha do programa de acesso ao terminal, após o qual o usuário é identificado pelo servidor. Deve-se ter em mente que durante a próxima autenticação, o número da iteração diminuirá em um, a fonte não mudará e a frase-senha será completamente diferente. Assim, interceptar uma frase secreta não dará nada a um invasor, uma vez que o sistema não o identifica quando ele tenta se cadastrar. O principal componente de segurança é a chave privada e nunca é transmitida pela rede. Devido ao uso dos algoritmos MD4 e MD5, é quase impossível calcular a chave secreta a partir da frase-senha, número da iteração e fonte.

Quando o número da iteração chega a zero, a conta do usuário deve ser reinicializada.

Pode parecer que o principal inconveniente para o usuário seja a calculadora. Mas isso não é totalmente verdade, pois a calculadora é um programa muito pequeno que não requer nenhuma configuração. Essas calculadoras estão disponíveis gratuitamente para todas as plataformas populares, incluindo MS-DOS, Windows, Macintosh e UNIX. Além disso, as frases-senha podem ser memorizadas (ou escritas) com antecedência, para várias sessões de acesso ao terminal à frente, diminuindo sequencialmente o número da iteração. Assim, para gerenciar o servidor remotamente, o administrador não precisa instalar a calculadora em todos os locais do cliente onde possa trabalhar.

SISTEMA DE JANELA X

Embora praticamente todas as tarefas de gerenciamento do UNIX possam ser executadas em modo de texto, os administradores geralmente preferem uma interface gráfica por ser mais amigável. Além disso, alguns dos aplicativos UNIX que estão atualmente no mercado só podem ser operados em um ambiente gráfico. O software de saída gráfica do servidor X está disponível para uma variedade de plataformas, incluindo DOS, Windows, Macintosh, UNIX e assim por diante.No entanto, na maioria dos casos (exceto UNIX), ele vem com produtos comerciais caros. Como clientes X11 (como já descrito, o conceito de cliente e servidor no X Window System não é uma prática comum) são principalmente servidores UNIX.

Deve-se ter em mente que o uso do X Window System requer uma largura de banda de rede bastante grande. O sistema funciona bem em redes locais, mas muito lentamente - em canais globais. Portanto, ao usar o X Window System no computador doméstico de um administrador, é melhor controlá-lo por meio de utilitários de terminal como o xterm, em vez de utilitários gráficos.

Quando conectado a um servidor UNIX (executando clientes X11), a autenticação pode ser feita de duas maneiras: por meio de utilitários de terminal (telnet, rlogin, etc.) e por meio do X Display Manager (xdm). Na primeira variante, a transmissão da senha em texto não criptografado pode ser evitada usando os programas já mencionados ssh e OTP em vez de telnet e rlogin. No caso do X Display Manager, as senhas são transmitidas em texto claro por padrão. Portanto, você não deve usar o xdm ao gerenciar remotamente um servidor UNIX em redes públicas.

Os administradores devem ter muito cuidado ao usar um servidor UNIX como servidor X (ou seja, em linguagem simples, executando o shell gráfico X11 em um servidor UNIX). O Sistema X Window é projetado para que um usuário possa executar um cliente X de sua máquina em servidor remoto X e interceptar informações de entrada / saída nele. Como resultado, um invasor ganha a capacidade de ler informações confidenciais do servidor X, incluindo senhas inseridas pelo usuário no servidor X (embora o emulador de terminal xterm permita que você bloqueie a interceptação de senha, esta oportunidade raramente é usada por alguém).

Os servidores X usam dois esquemas de autenticação de cliente: por nome de host e por pãezinhos mágicos (MIT-MAGIC-COOKIE-1). A autenticação de nome de host cria arquivos de sistema no servidor X listando os hosts a partir dos quais os programas cliente X podem ser executados este servidor X. Mas essa proteção não é de forma alguma suficiente, uma vez que um invasor pode atacar o X11 falsificando endereços IP ou nomes de domínio. Ao usar o esquema de "pãezinhos mágicos" (seu suporte é embutido no protocolo XDMCP, com base no qual as funções do X Display Manager), a autenticação é realizada com base nas contas do usuário. Para ser capaz de executar um cliente em um servidor X, um usuário no diretório inicial da máquina cliente X11 deve ter arquivo de sistema com o código secreto do servidor X. Este código secreto é chamado de pão mágico. O único problema é que o bun é transmitido pela rede de forma aberta, portanto este método também dificilmente seguro.

O X Window System 11 versão 5 adiciona mais dois esquemas (XDM-AUTHORIZATION-1 e SUN-DES-1), semelhante ao esquema MIT-MAGIC-COOKIE-1, mas usando o algoritmo de criptografia DES. No entanto, devido a restrições de exportação, tais esquemas não estão incluídos no X Window System. Com base nas considerações acima, você só pode executar o software do servidor X11 em um servidor UNIX quando os clientes X11 tiverem o acesso negado de outros computadores.

Tudo o que foi dito sobre a falta de segurança de um servidor X baseado em um servidor UNIX se aplica totalmente às máquinas clientes administrativas nas quais o X Window System está sendo executado.

SERVIDOR WINDOWS NT

Ao instalar o Microsoft Windows NT Server, presume-se que o sistema operacional será administrado a partir do console do servidor. No entanto, o kit do NT Server também contém utilitários de gerenciamento remoto. Eles estão localizados na distribuição do Windows NT Server no diretório \ Clients \ Srvtools. Esses utilitários podem ser instalados no Windows NT Workstation e no Windows 9x (consulte a Figura 4). Com a ajuda deles, você pode administrar contas de usuários e grupos, direitos e privilégios, domínios NT, monitorar logs de eventos em servidores e estações de trabalho. Os utilitários funcionam em modo gráfico, semelhante aos utilitários de gerenciamento "nativos" do NT Server. Embora os utilitários de gerenciamento remoto permitam que você faça a maior parte do trabalho de administração do sistema, vários programas importantes estão ausentes neste conjunto. Por exemplo, eles não podem ser usados para realizar configuração de hardware de servidor, backups, gerenciamento de licenças, monitoramento de desempenho e assim por diante.Além disso, muitos aplicativos de servidor de terceiros não têm nenhum software de controle remoto.

O Windows NT Server Resource Kit, fornecido pela Microsoft, inclui vários programas adicionais administração, incluindo baseada em linha de comando. Os mais importantes são ADDUSER.EXE (criando novas contas de usuário e grupo), CACLS.EXE (gerenciando direitos de acesso), DUMPEL.EXE (exibindo informações sobre eventos de logs de eventos para a tela ou arquivo), RMTSHARE (gerenciando recursos de rede ) Mesmo usando um processador de comandos NT fraco, não será difícil para um administrador escrever um programa típico para criar uma nova conta com atribuição automática de direitos e privilégios.

Existem também vários programas para Windows NT que implementam o servidor telnet. Ele permite que um administrador acesse remotamente o servidor NT e execute programas baseados em linha de comando. Novamente, lembre-se de que a maioria das implementações de telnet passa a senha em texto não criptografado.

Mas, como já foi observado, os utilitários de acesso remoto e os programas de linha de comando não podem resolver todas as tarefas administrativas. Portanto, algumas soluções assumem emulação de GUI Servidor Windows NT em um computador remoto.

Em primeiro lugar, gostaria de citar os produtos WinFrame da Citrix e Windows Terminal Server (WTS) da Microsoft. De acordo com a arquitetura desses produtos, os aplicativos são executados no servidor NT e a E / S ocorre nos computadores clientes. De acordo com seus fabricantes, WinFrame e WTS já são aceitáveis a 28 Kbps, então você pode até mesmo gerenciar seus servidores de casa. Para usar essas ferramentas, a parte do software do servidor deve ser colocada no servidor NT e o software cliente deve ser colocado nas estações de trabalho do administrador. WinFrame e WTS não transmitem senhas em texto não criptografado.

Para fins de justiça, deve-se dizer que tais soluções são redundantes para tarefas de administração. O WinFrame e o WTS requerem que vários clientes se conectem ao servidor. (Normalmente, o administrador precisa apenas de um acesso ao servidor.) Por isso, as soluções baseadas nesses produtos são bastante caras. Por exemplo, conectar um cliente a um servidor WinFrame custará entre $ 200 e $ 400, o que é muito caro porque uma organização pode ter mais de um servidor e mais de um administrador.

Mais adequados, em minha opinião, para administração remota são pacotes especializados de gerenciamento remoto, como pcANYWHERE da Symantec e ReachOut da Stac. Ao usar esses produtos, o conteúdo da tela do servidor NT é duplicado no display computador local, a informação é inserida a partir do teclado (e mouse) do computador local e é transmitida ao remoto (em este caso- para o servidor NT). Tudo parece que o administrador está sentado no console do servidor. pcANYWHERE e outros produtos semelhantes funcionam bem não apenas em uma rede local, mas também em linhas dial-up lentas. No entanto, eles têm um limite no número de conexões simultâneas para o servidor (geralmente apenas uma conexão). Os produtos PcANYWHERE têm criptografia integrada, portanto, é improvável que a senha seja interceptada.

Desvantagens comuns controlo remoto Gestão do Windows NT é a necessidade de instalar produtos de software adicionais nos sites clientes dos administradores.

NETWARE

Devido à arquitetura exclusiva do Novell NetWare, os problemas de acesso ao console remoto devem ser separados dos problemas de gerenciamento de recursos de rede.

O gerenciamento de contas de usuários, grupos, objetos NDS e direitos de acesso no NetWare é feito a partir de sites de clientes, portanto, a administração é inicialmente remota. No entanto, os administradores podem enfrentar um obstáculo: antes do NetWare 5, o IPX / SPX era o protocolo de rede principal. Isso criou e continua sendo um grande problema no gerenciamento de servidores NetWare na Internet. Se um administrador precisar controlar o sistema operacional da rede a partir de um computador doméstico, ele deve considerar a conexão com uma rede local por meio de um servidor de acesso remoto que suporte protocolos IPX / SPX. Felizmente, a maioria dos servidores de hardware oferece suporte a esse modo.

No entanto, os custos de criação da infraestrutura necessária podem ser inaceitáveis, portanto, muitas vezes os computadores domésticos dos administradores são conectados à rede local através da Internet. Em tal situação, você pode oferecer a seguinte opção: instalar o programa pcANYWHERE (ou similar) em um dos computadores da rede local e computador de casa através deste elo intermediário. Essa abordagem, a propósito, pode acabar sendo mais atraente do ponto de vista do desempenho, porque os programas de gerenciamento de rede (especialmente o Administrador do NetWare) são executados muito lentamente em links dial-up. Outra maneira é atualizar o NetWare para a versão 5 (ou instalar o NetWare / IP).

Para acesso remoto ao console, o NetWare inclui o utilitário Rconsole para acessar o console a partir de uma estação de trabalho da rede. No entanto, ele tem duas limitações: em primeiro lugar, a senha do console é transmitida em texto não criptografado e, em segundo lugar, o IPX / SPX é usado como protocolo. Utilitários de terceiros que fornecem acesso remoto seguro ao console permitem que você evite passar senhas em texto não criptografado. O mais famoso entre eles é o programa comercial SecureConsole for NetWare da Protocom Development Systems ( http://www.serversystems.com) Ele usa a senha criptografada do administrador ao acessar.

Como em outros casos, o obstáculo na forma de protocolos IPX / SPX pode ser removido usando programas como pcANYWHERE (ou seja, usando um dos computadores na rede local como um link de transmissão). Outra forma é utilizar o programa xconsole, que fornece acesso ao console através do X Window System, ou seja, sobre TCP / IP. O utilitário de acesso remoto Java RConsoleJ no NetWare 5 também usa TCP / IP como seu transporte. No entanto, os programas xconsole e RConsoleJ passam a senha em texto não criptografado. Em resumo, recomendamos que você use ferramentas especializadas como pcANYWHERE para gerenciar remotamente o NetWare.

TECNOLOGIA DA WEB

A tecnologia da Web está influenciando cada vez mais o gerenciamento do ambiente de rede. Muitos roteadores, switches e impressoras de rede já podem ser gerenciados por meio de navegadores da web. Mas essa lista está longe de se esgotar por eles, a Web também invade a esfera de gerenciamento de sistemas operacionais de rede. No início, apenas os servidores HTTP e FTP podiam ser controlados da Web, mas essa lista está em constante expansão e agora inclui DBMS, sistemas de arquivos, firewalls, serviços de rede DNS, DHCP e muito mais. Até mesmo o serviço de diretório NDS pode ser gerenciado por meio de navegadores usando software comercial especial. Apesar do acima exposto, as tecnologias baseadas na Web ainda não estão maduras o suficiente para gerenciar totalmente todo o ambiente de rede. O problema é agravado pelo fato de que para muitos aplicativos e, principalmente, dispositivos de rede, a senha é transmitida por HTTP em texto não criptografado.

CONCLUSÃO

Ao organizar o gerenciamento remoto de servidores, é necessário levar em consideração muitos fatores, em primeiro lugar, as características do sistema operacional da rede, o desempenho das linhas de comunicação e as questões de autenticação segura. O conjunto mais completo de ferramentas de gerenciamento é fornecido pelo UNIX, no entanto, com a abordagem certa, Administradores do Windows NT e NetWare também não são motivo de preocupação.

E a porta do servidor, como resultado da qual é estabelecida uma conexão que permite que dois computadores se comuniquem usando o protocolo de aplicativo de rede apropriado.

Números de porta

O número da porta para "vincular" um serviço é selecionado com base em sua funcionalidade. A IANA é responsável por atribuir números de porta a serviços de rede específicos. Os números das portas variam de 0 a 65535 e são divididos em 3 categorias:

Números de porta	Categoria	Descrição
0 - 1023	Portas conhecidas	Os números de porta são atribuídos pela IANA e na maioria dos sistemas só podem ser usados por processos do sistema (ou o usuário raiz) ou programas de aplicação executado por usuários privilegiados. Não deve ser usado sem o registro da IANA. O procedimento de registro é definido na Seção 19.9 do RFC 4340.
1024 - 49151	Portas registradas	Os números de porta estão incluídos no catálogo da IANA e, na maioria dos sistemas, podem ser usados por processos de usuários regulares ou programas iniciados por usuários regulares. Não deve ser usado sem o registro da IANA. O procedimento de registro é definido na seção 19.9 do RFC 4340.
49152 - 65535	Portas usadas dinamicamente e / ou portas usadas dentro de redes fechadas (privadas)	Destinado a uso temporário - como portas de cliente, portas usadas por negociação para serviços privados e para testar aplicativos antes de registrar portas dedicadas. Essas portas não pode ser registrado .

Lista de correspondência entre serviços de rede e números de porta

A IANA mantém uma lista oficial de correspondências entre os serviços de rede e os números das portas.

Histórico de regulamentação de conformidade

As questões de unificar a correspondência de serviços de rede para números de soquete (porta) foram levantadas nas RFCs 322 e 349, as primeiras tentativas de regulamentação foram feitas por John Postel nas RFCs 433 e 503.

Lista atual

netstat -an

Em sistemas operacionais Windows, o resultado desse comando é assim:

Conexões ativas Nome Endereço local Endereço externo Status do TCP 0.0.0.0:135 0.0.0.0 0 LISTENING TCP 0.0.0.0:445 0.0.0.0 0 LISTENING TCP 127.0.0.1:1026 0.0.0.0 0 LISTENING TCP 127.0.0.1:12025 0.0.0.0 0 OUVINDO TCP 127.0.0.1:12080 0.0.0.0 0 OUVIR TCP 127.0.0.1:12110 0.0.0.0 0 OUVIR TCP 127.0.0.1:12119 0.0.0.0 0 OUVIR TCP 127.0.0.1:12143 0.0. 0.0: 0 OUVIR TCP 192.168. 0,16: 139 0.0.0.0 0 LISTENING TCP 192.168.0.16:1572 213.180.204.20:80 CLOSE_WAIT TCP 192.168.0.16:1573 213.180.204.35:80 ESTABLISHED UDP 0.0.0.0:445 *: * UDP 0.0.0.0:500 *: * UDP 0.0.0.0:1025 *: * UDP 0.0.0.0:1056 *: * UDP 0.0.0.0:1057 *: * UDP 0.0.0.0:1066 *: * UDP 0.0.0.0:4500 *: * UDP 127.0.0.1: 123 *: * UDP 127.0.0.1:1900 *: * UDP 192.168.0.16:123 *: * UDP 192.168.0.16:137 *: * UDP 192.168.0.16:138 *: * UDP 192.168 .0.16: 1900 *: *

No sistema operacional semelhante ao UNIX, o resultado do comando netstat -an se parece com isso:

Conexões de Internet ativas (servidores e estabelecidas) Proto Recv-Q Send-Q Endereço local Endereço estrangeiro Estado tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2601 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2604 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2605 0.0. 0.0: * ESCUTE tcp 0 0 0.0.0.0:13 0.0.0.0:* ESCUTE tcp 0 0 0.0.0.0:179 0.0.0.0:* ESCUTE tcp 0 0 0.0.0.0:21 0.0.0.0:* ESCUTE tcp 0 0 0.0 .0.0: 22 0.0.0.0:* ESCUTE tcp 0 0 0.0.0.0:1723 0.0.0.0:* ESCUTE tcp 0 0 10.0.0.254:1723 10.0.0.243:2441 ESTABELECIDO tcp 0 0 192.168.19.34:179 192.168.19.33: 33793 ESTABELECIDO tcp 1 0 192.168.18.250:37 192.168.18.243:3723 CLOSE_WAIT tcp 0 0 10.0.0.254:1723 10.0.0.218:1066 ESTABELECIDO tcp 1 0 192.168.18.250:37 192.168.18.243:2371 10.0 tcp_W: 1723.01 10.0 tcp_W: 1723 : 4346 ESTABELECIDO tcp 0 0 10.0.0.254:1723 10.0.0.30:2965 ESTABELECIDO tcp 0 48 192.168.19.34:22 192.168.18.18:43645 ESTABELECIDO tcp 0 0 10.0.0.254:38562 10.0.0.243:22 ESTABELECIDO ISHED tcp 0 0 10.50.1.254:1723 10.50.1.2:57355 ESTABELECIDO tcp 0 0 10.50.0.254:1723 10.50.0.174:1090 ESTABELECIDO tcp 0 0 192.168.10.254:1723 192.168.13.104:65535 ESTABELECIDO tcp 0 0 10.0.0.254: 1723 10.0.0.144:65535 ESTABELECIDO tcp 0 0 10.0.0.254:1723 10.0.0.169:2607 ESTABELECIDO tcp 0 0 10.0.0.254:1723 10.0.0.205:1034 ESTABELECIDO udp 0 0 0.0.0.0:1812 0.0.0.0:* udp 0 0 0.0.0.0:1813 0.0.0.0:* udp 0 0 0.0.0.0:161 0.0.0.0:* udp 0 0 0.0.0.0:323 0.0.0.0:* udp 0 0 0.0.0.0:123 0.0.0.0:* bruto 0 0 192.168.10.254:47 192.168.13.104:* 1 bruto 0 0 10.0.0.254:47 10.0.0.120:* 1 bruto 0 0 10.10.204.20:47 10.10.16.110:* 1 bruto 0 0 192.168.10.254:47 192.168.11.72:* 1 bruto 0 0 10.0.0.254:47 10.0.0.144:* 1 bruto 0 0 10.0.0.254:47 10.0.0.205:* 1 bruto 0 0 10.50.0.254:47 10.50.0.174:* 1 bruto 0 0 10.0.0.254:47 10.0.0.170:* 1 bruto 0 0 10.0.0.254:47 10.0.0.179:* 1

Estado ESCUTAR (OUVINDO) shows conexões abertas passivamente (Tomadas de escuta) Eles são os únicos que fornecem serviços de rede. ESTABELECIDO- isto é conexões estabelecidas, ou seja, serviços de rede no processo de usá-los.

Verificar a disponibilidade de serviços de rede

Se forem detectados problemas com um serviço de rede específico, várias ferramentas de diagnóstico são usadas para verificar sua disponibilidade, dependendo de sua presença em determinado sistema operacional.

Uma das ferramentas mais convenientes é o comando tcptraceroute (utilitário) (um tipo de traceroute), que usa pacotes TCP para abrir uma conexão (SYN | ACK) com o serviço especificado (por padrão - servidor web, porta 80) do host de interesse e mostra informações sobre o tempo de trânsito deste tipo de pacotes TCP por meio de roteadores, bem como informações sobre a disponibilidade do serviço no host de interesse, ou, em caso de problemas com a entrega dos pacotes, onde ocorreram no caminho.

Alternativamente, pode ser usado separadamente

traceroute para diagnosticar a rota de entrega de pacotes (a desvantagem é o uso de pacotes UDP para diagnósticos) e
telnet ou netcat à porta do serviço problemático para verificar sua resposta.

Notas (editar)

Veja também

Links

Números de soquete conhecidos RFC 322
Números de soquete padrão propostos RFC 349 (RFC 433 cancelado)
Lista de números de soquete RFC 433 (cancelada por RFC 503)
Lista de números de soquete RFC 503 (cancelado por RFC 739)
NÚMEROS ATRIBUÍDOS RFC 739 (a primeira lista de números atribuídos foi substituída por uma série de RFCs, a última das quais é RFC 1700)
Protocolo de datagrama do usuário RFC 768
PROTOCOLO DE CONTROLE DE TRANSMISSÃO RFC 793
NÚMEROS ATRIBUÍDOS RFC 1700 ( última lista números atribuídos, cancelados por RFC 3232)
Números atribuídos RFC 3232: RFC 1700 foi substituído por um banco de dados on-line
RFC 4340 Protocolo de Controle de Congestionamento de Datagramas (DCCP) - PADRÃO PROPOSTO

Fundação Wikimedia. 2010.

Niflo, Isidore
Saladas de berinjela e caviar

Veja o que é "Serviços de rede" em outros dicionários:

Serviços de rede social- O serviço de rede social é uma plataforma virtual que conecta pessoas a comunidades em rede por meio de software, computadores, rede (Internet) e rede de documentos (World Wide Web). Serviços sociais em rede na ... ... Wikipedia

serviços da Internet- serviços prestados na Internet a usuários, programas, sistemas, níveis, blocos funcionais. Na Internet, os serviços são fornecidos por serviços de rede. Os serviços de Internet mais comuns são: armazenamento de dados; transmissão ... ... Vocabulário financeiro

Porta (protocolos de rede)- A porta de rede é um parâmetro do protocolo UDP que determina o destino dos pacotes de dados no formato. Este é um número condicional de 0 a 65535, permitindo que vários programas em execução no mesmo host recebam dados independentemente uns dos outros (eles fornecem isso ... ... Wikipedia

Kernel (sistema operacional)- Este termo possui outros significados, consulte Core. Kernel é a parte central de um sistema operacional (SO) que fornece aplicativos com acesso coordenado aos recursos do computador, como tempo de CPU, memória e hardware externo ... ... Wikipedia

Microkernel- Este termo tem outros significados, consulte Micronúcleo (citologia). A arquitetura do microkernel é baseada em programas de servidor em modo usuário ... Wikipedia

Sistema operacional microkernel- A arquitetura do microkernel é baseada nos programas dos servidores em modo usuário, sendo o microkernel a implementação mínima das funções do kernel do sistema operacional. Os microkernels clássicos fornecem apenas um conjunto muito pequeno de primitivos de baixo nível ... Wikipedia

Protocolo de descoberta de serviço simples- Nome SSDP: Nível de protocolo de descoberta de serviço simples (de acordo com o modelo OSI): Família de sessão: TCP / IP Porta / ID: 1900 / UDP Protocolo de descoberta de serviço simples (SSDP ... Wikipedia

Letopisi.ru- Esta página requer uma revisão significativa. Talvez precise ser wikificado, complementado ou reescrito. Explicação das razões e discussão na página da Wikipedia: Para melhorias / 16 de maio de 2012. Data da preparação para melhorias 16 de maio de 2012 ... Wikipedia

Varredura de rede- ataque à rede. Descrição O objetivo deste ataque é descobrir quais computadores estão conectados à rede e quais serviços de rede estão sendo executados neles. A primeira tarefa é resolvida enviando mensagens de eco do protocolo ICMP usando o ping c ... ... Wikipedia

7ya.ru- Editora ALP Media Editor-in-Chief Elena Konstantinovna Polyaeva Foundation data 2000 Certificado de registro de mass media El No. FS77 35954 Language ... Wikipedia

Livros

Jogos multijogador. Desenvolvimento de aplicativos online, Glazer Joshua, Jogos multijogador online é um negócio de bilhões de dólares que atrai dezenas de milhões de jogadores. Este livro, usando exemplos reais, fala sobre as características do desenvolvimento de tais jogos e ... Categoria:

E a porta do servidor, como resultado da qual é estabelecida uma conexão que permite que dois computadores se comuniquem usando o protocolo de aplicativo de rede apropriado.

Números de porta

Números de porta	Categoria	Descrição
0 - 1023	Portas conhecidas	Os números de porta são atribuídos pela IANA e, na maioria dos sistemas, só podem ser usados por processos no sistema (ou pelo usuário root) ou aplicativos executados por usuários privilegiados. Não deve ser usado sem o registro da IANA. O procedimento de registro é definido na Seção 19.9 do RFC 4340.
1024 - 49151	Portas registradas	Os números de porta estão incluídos no catálogo da IANA e, na maioria dos sistemas, podem ser usados por processos de usuários regulares ou programas iniciados por usuários regulares. Não deve ser usado sem o registro da IANA. O procedimento de registro é definido na seção 19.9 do RFC 4340.
49152 - 65535	Portas usadas dinamicamente e / ou portas usadas dentro de redes fechadas (privadas)	Destinado a uso temporário - como portas de cliente, portas usadas por negociação para serviços privados e para testar aplicativos antes de registrar portas dedicadas. Essas portas não pode ser registrado .

Lista de correspondência entre serviços de rede e números de porta

A IANA mantém uma lista oficial de correspondências entre os serviços de rede e os números das portas.

Histórico de regulamentação de conformidade

Lista atual

netstat -an

Em sistemas operacionais Windows, o resultado desse comando é assim:

No sistema operacional semelhante ao UNIX, o resultado do comando netstat -an se parece com isso:

Estado ESCUTAR (OUVINDO) shows conexões abertas passivamente (Tomadas de escuta) Eles são os únicos que fornecem serviços de rede. ESTABELECIDO- São conexões estabelecidas, ou seja, serviços de rede no decorrer de sua utilização.

Verificar a disponibilidade de serviços de rede

Alternativamente, pode ser usado separadamente

traceroute para diagnosticar a rota de entrega de pacotes (a desvantagem é o uso de pacotes UDP para diagnósticos) e
telnet ou netcat à porta do serviço problemático para verificar sua resposta.

Notas (editar)

Veja também

Links

Números de soquete conhecidos RFC 322
Números de soquete padrão propostos RFC 349 (RFC 433 cancelado)
Lista de números de soquete RFC 433 (cancelada por RFC 503)
Lista de números de soquete RFC 503 (cancelado por RFC 739)
NÚMEROS ATRIBUÍDOS RFC 739 (a primeira lista de números atribuídos foi substituída por uma série de RFCs, a última das quais é RFC 1700)
Protocolo de datagrama do usuário RFC 768
PROTOCOLO DE CONTROLE DE TRANSMISSÃO RFC 793
NÚMEROS ATRIBUÍDOS RFC 1700
Números atribuídos RFC 3232: RFC 1700 foi substituído por um banco de dados on-line
RFC 4340 Protocolo de Controle de Congestionamento de Datagramas (DCCP) - PADRÃO PROPOSTO

Fundação Wikimedia. 2010.

Niflo, Isidore
Saladas de berinjela e caviar

Veja o que é "Serviços de rede" em outros dicionários:

Microkernel- Este termo tem outros significados, consulte Micronúcleo (citologia). A arquitetura do microkernel é baseada em programas de servidor em modo usuário ... Wikipedia

7ya.ru- Editora ALP Media Editor-in-Chief Elena Konstantinovna Polyaeva Foundation data 2000 Certificado de registro de mass media El No. FS77 35954 Language ... Wikipedia

Livros

Jogos multijogador. Desenvolvimento de aplicativos online, Glazer Joshua, Jogos multijogador online é um negócio de bilhões de dólares que atrai dezenas de milhões de jogadores. Este livro, usando exemplos reais, fala sobre as características do desenvolvimento de tais jogos e ... Categoria:

Nome do parâmetro	Significado
Tópico do artigo:	Serviços de rede
Rubrica (categoria temática)	Tecnologias

Núcleo do sistema

Sala de operação Sistema Linuxé produto do trabalho humano e, como você sabe, é comum que cometam erros, até mesmo no código do kernel. Daí a primeira ameaça à segurança - erros no kernel do sistema. Erros como esse não são descobertos com tanta frequência quanto erros em todo o resto. Programas, no entanto, isso acontece. A proteção aqui é a mesma (a mesma para todos esses problemas) - monitoramento constante das informações de segurança (por exemplo, uma boa fonte de informações, além da lista de discussão do fabricante do kit de distribuição, é o site www.securityfocus.com e suas listas de mala direta) e leituras do servidor.

No entanto, existem patches para o kernel que permitem aumentar a segurança do sistema em geral e do kernel em particular. A principal atenção em tais patches (incluindo os cumulativos) é dada à capacidade de resistir ao sistema de ataques gerais a programas com um erro de buffer overflows, de ataques a programas com criação incorreta de arquivos temporários e também à capacidade de reduzir o quantidade de informações que um invasor pode obter sobre o sistema (http://www.openwall.com/).

Existem também patches especializados no aspecto de rede do kernel do sistema operacional. Suas tarefas incluem embutir proteção anti-scan no kernel do sistema (http://www.lids.org), bem como a função de dificultar a determinação da versão do sistema operacional usando scanners de rede como o nmap.

Quando todos esses patches são combinados, o kernel do sistema é obtido; ele será capaz de proteger independentemente o sistema da maioria dos tipos de ataques conhecidos: ataques de estouro de buffer, ataques a programas com trabalho impróprio com arquivos temporários, varredura de rede da máquina em ordem para determinar as portas abertas e a versão do sistema operacional.

Na maioria dos casos, por razões desconhecidas do autor, quase todos os serviços possíveis são iniciados por padrão no servidor “recém-instalado” (por exemplo, a 7ª porta, que é completamente desnecessária hoje, o serviço de eco).

Novos erros de programação no software são encontrados quase todos os dias. No caso de ser encontrado um erro no serviço em execução no servidor, depois de um curto (não muito longo) tempo, será possível esperar por quem deseja copiar o servidor (já que, por exemplo, erros de estouro de buffer fazem é possível executar qualquer código com direitos de servidor, que muitas vezes têm direitos de superusuário - root). Você pode se proteger desses problemas:

primeiro, monitorando regularmente os eventos de segurança (e novamente www.securityfocus.com será talvez a fonte de informações mais confiável e completa);

em segundo lugar, “engordando” um pouco o kernel do sistema (com vários patches de segurança, conforme descrito acima);

em terceiro lugar, simplesmente usando servidores que são escritos com muito cuidado e levando em consideração os requisitos de segurança e, claro, sem usar serviços desnecessários.

Vamos começar com serviços desnecessários. As tarefas, claro, para cada servidor são específicas, mas ainda podemos dizer que na maioria dos casos as portas (com os serviços correspondentes) do primeiro ao décimo nono inclusive são desnecessários e em alguns aspectos simplesmente perigosos. Alguns deles são úteis, mas a maioria deles não é usada agora. Você não deve abrir portas como 37 (tempo), 69 (tftp), 79 (dedo), 111 (sunrpc), 512 (TCP - exec; UDP - biff), 513 (TCP - login; UDP - quem), 514 (TCP - cmd; UDP - syslog), 517 (conversa), 525 (servidor de tempo).

Agora, para os serviços mais comumente usados, a saber: HTTP / HTTPS, FTP, Telnet / SSH, SMTP, POP3 / IMAP e serviços de proxy. Vamos considerar cada serviço em detalhes.

Serviços de rede - conceito e tipos. Classificação e características da categoria "Serviços de rede" 2017, 2018.