A coleção de partes de servidor e cliente do sistema operacional que fornecem acesso a um tipo específico de recurso de computador em uma rede é chamada de serviço de rede. No exemplo acima, as partes cliente e servidor do sistema operacional, que juntas fornecem acesso de rede ao sistema de arquivos do computador, formam um serviço de arquivos.

Diz-se que um serviço de rede fornece um conjunto de serviços aos usuários da rede. Às vezes, esses serviços também são chamados de serviço de rede (do termo em inglês "serviço"). Deve-se notar que este termo na literatura técnica é traduzido como "serviço" e como "serviço" e como "serviço". Embora esses termos sejam às vezes usados ​​indistintamente, deve-se ter em mente que, em alguns casos, a diferença nos significados desses termos é fundamental. Ainda no texto, por "serviço" entendemos um componente de rede que implementa um determinado conjunto de serviços, e por "serviço" - uma descrição do conjunto de serviços que são fornecidos por este serviço. Assim, um serviço é uma interface entre um consumidor de serviço e um provedor de serviço (serviço).

Cada serviço está associado a um tipo específico de recurso de rede e / ou uma forma específica de acesso a esses recursos. Por exemplo, um serviço de impressão permite que os usuários da rede acessem impressoras compartilhadas na rede e fornece um serviço de impressão, enquanto um serviço de correio fornece acesso a recurso de informação redes - emails... A forma de acesso aos recursos difere, por exemplo, um serviço acesso remoto- fornece aos usuários rede de computadores acesso a todos os seus recursos por meio de canais telefônicos dial-up. Para obter acesso remoto a um recurso específico, como uma impressora, o serviço de Acesso Remoto interage com o serviço de impressão. Os mais importantes para os usuários de sistemas operacionais de rede são o serviço de arquivos e o serviço de impressão.

Dentre os serviços de rede, destacam-se aqueles que estão voltados não para um simples usuário, mas para um administrador. Esses serviços são usados ​​para organizar a operação da rede. Por exemplo, o serviço Bindery do sistema operacional Novell NetWare 3.x permite que um administrador mantenha um banco de dados de usuários da rede no computador em que o sistema operacional está sendo executado. Uma abordagem mais progressiva é criar um help desk centralizado, ou, em outras palavras, um serviço de diretório, que é projetado para manter um banco de dados não apenas sobre todos os usuários da rede, mas também sobre todos os seus componentes de software e hardware. O NDS da Novell e o StreetTalk da Banyan são freqüentemente citados como exemplos de serviços de diretório. Outros exemplos de serviços de rede que fornecem um serviço a um administrador são um serviço de monitoramento de rede que captura e analisa o tráfego de rede, um serviço de segurança que pode incluir, por exemplo, a realização de um procedimento de logon com verificação de senha, um serviço Cópia de reserva e arquivamento. O rico conjunto de serviços oferecidos pelo sistema operacional para usuários finais, aplicativos e administradores de rede determina sua posição na gama geral de sistemas operacionais de rede.

Os serviços de rede são, por sua própria natureza, sistemas cliente-servidor. Desde ao implementar qualquer serviço de rede naturalmente existe uma fonte de requisições (cliente) e um solicitante (servidor), então qualquer serviço de rede contém duas partes assimétricas - cliente e servidor (Fig. 2.2). Um serviço de rede pode ser representado no sistema operacional por ambas as partes (cliente e servidor) ou apenas uma delas.

Arroz. 2,2

Costuma-se dizer que o servidor fornece seus recursos ao cliente, e o cliente os utiliza. Deve-se notar que quando um serviço de rede fornece um determinado serviço, os recursos não só do servidor, mas também do cliente são utilizados. O cliente pode gastar uma parte significativa de seus recursos (espaço em disco, tempo de processador, etc.) para manter o serviço de rede. Por exemplo, ao implementar um serviço de correio, o disco de um cliente pode conter uma cópia local de um banco de dados contendo sua extensa correspondência. Neste caso, o cliente faz muito trabalho ao gerar mensagens em vários formatos, incluindo multimídia complexa, mantém uma agenda de endereços e executa muitos outros trabalhos auxiliares diferentes. A diferença fundamental entre o cliente e o servidor é que o cliente é sempre o iniciador do serviço de rede e o servidor está sempre no modo de espera passiva por solicitações. Por exemplo, servidor de e-mail entrega a correspondência ao computador do usuário somente após o recebimento de uma solicitação de cliente de e-mail.

Normalmente, a interação entre as partes do cliente e do servidor é padronizada, de modo que um tipo de servidor pode ser projetado para funcionar com diferentes tipos de clientes implementados jeitos diferentes e talvez por fabricantes diferentes. A única condição para isso é que os clientes e o servidor devem oferecer suporte a um protocolo de comunicação padrão comum.

Em um ambiente altamente competitivo, o negócio espera do departamento de TI, e portanto do CIO, garantir a alta disponibilidade dos sistemas e serviços de TI, bem como seu desenvolvimento de acordo com requisitos mutáveis ​​e nem sempre previsíveis. Uma vez que redes e serviços de rede (transferência de dados em si, bem como telefonia, videoconferência, acesso a recursos de TI corporativos de sites remotos, etc.) são essenciais para o funcionamento de TI como um todo, a tarefa de garantir sua confiabilidade torna-se especialmente importante ...

Riscos

A primeira linha de obstáculos são os riscos. É impossível evitá-los completamente, no entanto, eles podem e devem ser gerenciados e minimizados.

Riscos técnicos. Mesmo a técnica mais avançada pode falhar. É necessário avaliar as possíveis consequências do fracasso para o negócio e tomar medidas para nivelá-las ou minimizá-las.

Riscos humanos. Rotatividade de pessoal, indisponibilidade temporária do funcionário certo, qualificações insuficientes de um ou outro especialista podem tornar difícil ou impossível para um departamento de TI desempenhar suas funções em um momento crítico.

Riscos financeiros. A resolução de problemas imprevistos, como falhas em grande escala, eliminação das consequências de ataques à Internet, expansão ou implementação urgente de sistemas ou serviços de informação, nem sempre é suportada por reservas orçamentais suficientes, incluindo capital.

Riscos organizacionais ... É difícil e não lucrativo para uma empresa organizar e manter processos complexos raramente usados, como solucionar interrupções em grande escala ou migrações em massa. Freqüentemente, há falhas nos fluxos de trabalho e na documentação, que também costumam estar associadas à economia de custos.

Ao controle

Rede e serviços de rede podem ser considerados como um objeto de controle dentro do qual o líder de TI organiza e controla muitas funções, incluindo:

• gestão de equipamentos e serviços de rede (administração);
• suporte local para usuários de equipamentos e serviços, em particular em sites remotos. Freqüentemente, o suporte local é fornecido por recursos externos ao departamento de TI, o que complica ainda mais a tarefa de gerenciamento;
• abastecimento e logística;
• desenvolvimento de rede - planejamento, projeto, implementação;
• gestão de terceiros (fornecedores, contratados, provedores de Internet e telefonia), coordenação de suas ações com a equipe interna de TI e entre eles;
• elaboração de orçamentos, incluindo previsão de despesas e monitoramento de gastos orçamentários, bem como ações para ajustar o orçamento quando surgirem despesas imprevistas;
• Gestão de pessoal. Recrutamento, treinamento, desenvolvimento e retenção de funcionários não são apenas funções do departamento de RH, eles exigem muito esforço e tempo dos gerentes de linha.

A gestão é um processo caro. Requer a atração de recursos, independentemente da forma como são controlados e se os custos correspondentes são estimados. É bom que sejam designados gestores ou coordenadores para gerir vários processos e funções, no pior dos casos, para isso, os técnicos e gestores ficam distraídos das atividades principais. Existe o risco de reduzir a gestão à microgestão e fragmentar as tarefas e processos de gestão. O resultado é um aumento nas despesas gerais.

Recursos

Os recursos são sempre limitados, a cada ano que passa as restrições se tornam mais rigorosas, e o CIO deve procurar maneiras de resolver as tarefas listadas levando essas restrições em consideração.

O orçamento nunca é suficiente. Poucos CIOs consideram o orçamento de TI suficiente, e o clima econômico atual e a deterioração do desempenho financeiro das empresas estão gerando economias de custo ainda maiores. Ao contrário, as taxas das moedas mundiais que aumentaram nos últimos anos estão elevando os custos - o componente monetário dos custos de TI é invariavelmente alto.

Os recursos humanos são limitados. Além disso, isso se aplica tanto aos recursos internos - empregados de tempo integral e meio-período quanto aos recursos do mercado de trabalho, especialmente fora das grandes cidades. Com especialistas alto nível ou um perfil raro, a situação é ainda mais complicada.

Várias empresas enfrentaram restrições de sanções dos Estados Unidos e da UE, que o tornaram indisponível para o suporte de muitos fornecedores de equipamentos de rede e software.

Solução - serviço

O que fazer quando você enfrenta uma série de obstáculos e um emaranhado de problemas: riscos, custos, falta de recursos - e tudo isso com demandas consistentemente altas do negócio? Provavelmente, é possível mobilizar todos os recursos do departamento de TI para resolver os problemas listados, mas isso será suficiente, os funcionários terão experiência e qualificação suficiente? Existe uma saída melhor?

Essa saída pode ser o uso de serviços de rede por um contratante qualificado. Hoje, existem ofertas de serviços no mercado que implicam em diversos graus de envolvimento do contratante no desenvolvimento e manutenção da infraestrutura de rede e no atendimento ao cliente. Você só precisa escolher aqueles que são adequados para você.

Os objetos do serviço podem ser uma rede corporativa de transmissão de dados, incluindo uma distribuída geograficamente, sistemas de comunicação de voz e vídeo, sistemas de conferência. Quando se trata de soluções de classe de operadora, você pode instruir o contratante a implementar e suportar tecnologias como DPI (Deep Packet Inspection, deep traffic analysis), DSR (Diameter Signaling Router, sistema de roteamento de tráfego de sinalização para redes 3G / 4G), etc. No mercado existem propostas de integração e suporte qualificados para a maioria das soluções de hardware e software dos principais fabricantes mundiais.

Estrutura de serviços de rede

Considere a estrutura das ofertas de serviços de rede e seus níveis apresentados em Figura 1.

Serviços básicos

Os serviços deste nível incluem suporte técnico básico, que prevê o reparo ou substituição de dispositivos com falha ou seus componentes no caso de uma solicitação do cliente. O Objeto de serviço, neste caso, é um único dispositivo, mesmo se houver vários dispositivos com suporte. Em contraste com a garantia, os serviços básicos são prestados de acordo com o SLA, ou seja, dentro dos termos acordados de resposta ao tratamento e trabalhos de reparação.

O custo dos serviços básicos é mínimo, mas seu valor para o cliente também é mínimo. Os serviços básicos não fornecem a manutenção da funcionalidade dos sistemas durante a eliminação da falha, em particular, localizar e aplicar soluções alternativas ou substituir equipamentos. Além disso, eles não revertem a configuração e as configurações do sistema para um estado de pré-falha. Os serviços básicos de rede não dispensam o cliente da necessidade de contar com pessoal qualificado, bem como de gerir todos os processos operacionais.

Suporte estendido

O suporte estendido inclui uma série de serviços além dos básicos:

Eliminação de incidentes;

Suporte especializado;

Monitoramento.

Eliminação de incidentes implica toda a gama de trabalhos para restaurar o funcionamento de sistemas e software, e não apenas a substituição física ou reparação de dispositivos e componentes. Para eliminar o incidente o mais rápido possível e restaurar a funcionalidade dos sistemas e serviços, uma mudança temporária nas configurações e ajustes pode ser aplicada com um retorno ao estado original após a conclusão de todas as atividades de reparo. O equipamento de reposição é fornecido durante o trabalho de restauração.

Especialista Apoio, suporte prevê a conexão de especialistas do mais alto nível (3ª linha de suporte) para a solução de questões complexas e de fronteira (afins), garante a solução de todos os problemas operacionais, exceto aqueles que requerem a conexão do fornecedor. Como parte desse tipo de suporte, o cliente também recebe consultoria especializada.

Monitoramento os sistemas e serviços incluem a monitorização contínua do seu estado, bem como a monitorização periódica dos indicadores estatísticos. Isso permite prevenir a ocorrência de falhas críticas ou acelerar sua eliminação.

Nesse caso, todo um subsistema da infraestrutura de rede do cliente atua como objeto de serviço: uma rede de transmissão de dados, um sistema de telefonia, um sistema de videoconferência e não dispositivos individuais. A operabilidade do sistema como um todo é da responsabilidade do contratante, portanto, o SLA prevê o prazo para a eliminação da falha ou indicadores de disponibilidade dos serviços correspondentes.

O suporte estendido permite que você reduza o número de falhas críticas e o tempo de inatividade do sistema, reduz os riscos ao criar uma única área de responsabilidade pela operação dos sistemas e reduz a necessidade do cliente de pessoal qualificado e custos de gerenciamento.

Suporte operacional

O suporte operacional inclui todos os serviços de suporte estendido, além de sistemas e gerenciamento de serviços, gerenciamento de processos de TI e serviços de gerenciamento de terceiros.

Gestão de sistemas e serviços envolve a execução de operações de rotina, como backups, testes, inspeções de manutenção, etc., reconfiguração contínua de sistemas e fazer alterações contínuas, gerenciamento de serviços de rede, suporte a eventos audiovisuais, etc.

Gestão de processos de TI visa agilizar as funções de TI necessárias e pode ser descrito em termos de ITIL / ITSM. Esta categoria de serviço inclui, por exemplo, gerenciamento de configuração, gerenciamento de capacidade, gerenciamento de mudança.

Gestão de terceiros dispõe sobre a gestão e coordenação de atividades com outras empresas contratadas, bem como com provedores de Internet e telefonia.

O principal volume de custos de mão de obra para operação da rede é retirado do cliente, e a necessidade de seu próprio pessoal qualificado é reduzida. Como resultado, o cliente tem significativamente menos tarefas para gerenciamento de pessoal, desenvolvimento, treinamento e certificação. O cliente se concentra em definir metas e monitorar o desempenho.

O suporte operacional cria um único ponto de responsabilidade pela saúde e funcionamento das redes e serviços e também reduz os custos de gerenciamento do cliente, aumentando o escopo da tarefa. A investigação e a resolução de falhas nas fronteiras são simplificadas e aceleradas.

Terceirização

A terceirização envolve a provisão de recursos de rede e os serviços de rede como serviço, equipamentos e licenças de software estão no balanço patrimonial da terceirizada. O cliente paga pelo uso real de recursos e serviços durante um certo período Tempo. A quantidade de recursos e serviços consumidos e, consequentemente, os custos do cliente, podem variar para cima ou para baixo.

Os terceiros, em particular fornecedores de telefone e Internet, são geridos por um contratante; as atualizações de hardware e software são transparentes para usuários comerciais e sem despesas de capital por parte do cliente.

Serviços profissionais

Os serviços profissionais não se concentram em manter a atual prontidão operacional e disponibilidade de redes e serviços. Destinam-se a identificar formas e meios de melhorar o funcionamento das redes e serviços dos clientes, bem como ao planeamento detalhado e implementação destes métodos.

Auditoria A infraestrutura de rede é realizada para determinar o estado atual das redes e serviços, bem como para utilizar recursos físicos e licenças. Os resultados da auditoria são um "diagnóstico" preciso para a rede do cliente, documentação técnica e operacional restaurada, recomendações para corrigir as deficiências identificadas.

Otimização rede é realizada a fim de reduzir o custo de manutenção de infraestrutura e software. Além disso, configurações e ajustes incorretos ou abaixo do ideal são corrigidos como parte da otimização.

Apoio, suporte cliente no desenvolvimento de sistemas e serviços implica o desenvolvimento e implementação de planos de médio e longo prazo para o desenvolvimento de infra-estruturas e serviços de rede, os quais são efectuados de acordo com os planos de negócio do cliente e em conjunto com o cliente.

Quando e como funciona

Assim, o cliente decidiu usar os serviços de rede do contratante para melhorar a confiabilidade das redes e dos serviços de rede e melhorar a eficiência do gerenciamento de risco. O que ele pode esperar do contratante, quais ações e resultados? Com base na experiência da nossa empresa, iremos observar as principais tarefas que o empreiteiro deve resolver.

Reorganização da infraestrutura. Em primeiro lugar, gargalos e possíveis pontos únicos de falha devem ser identificados, após o que o contratante ajuda o cliente a mudar para configurações tolerantes a falhas de seus sistemas e corrige os erros de configuração detectados.

Suporte proativo, monitoramento de redes e serviços. Ao ser capaz de saber com antecedência sobre prováveis ​​falhas, o contratante pode reduzir significativamente seu número e o impacto nos negócios do cliente. E procedimentos de resposta bem desenvolvidos permitem que você reduza o tempo de eliminação de falhas.

Aumentando a participação do suporte remoto. A prática mostra que até 90 ou mais por cento do trabalho de suporte e gerenciamento de equipamentos e serviços pode ser executado remotamente. Como os engenheiros e especialistas do empreiteiro não precisam ficar muito tempo na estrada, o tempo para resolução de incidentes é reduzido, ao mesmo tempo que o empreiteiro pode planejar com mais eficiência a carga de trabalho de seus especialistas. Isso tem um efeito positivo na velocidade de execução do trabalho e no custo dos serviços para o cliente.

Organização enxuta de suporte local ... Suporte local também deve estar disponível. Em cada caso e para cada local do cliente, é possível planejar e organizar o método mais barato de suporte local, que é fornecido pelo próprio contratante ou com o envolvimento de parceiros subcontratados de confiança, e às vezes até com a ajuda do cliente pessoal não essencial no campo depois de passar as instruções necessárias.

Minimizando o fator humano. Um contratante qualificado assume todas as tarefas relacionadas com a seleção / formação / gestão / retenção de pessoal, bem como assegura os esquemas de escalonamento de problemas e a necessária disponibilidade de recursos humanos.

Reduzindo os riscos financeiros do cliente... O custo do serviço é fixo para a vigência do contrato, e os custos do cliente são otimizados com base na relação entre o volume de tarefas e o orçamento disponível.

Atrair experiência adicional. Um empreiteiro experiente tem a capacidade de atrair, se necessário, especialistas de perfis relacionados e um nível mais alto de competência. Isso lhe permite não só realizar as ações previstas em contrato, mas também trabalhar pelo resultado, auxiliando o cliente na solução de problemas urgentes do negócio.

Melhoria de processos. A coordenação em nível de executores e procedimentos regulares muitas vezes não é suficiente para resolver problemas fora do padrão. Todos os procedimentos e regulamentos para interação devem ser pensados ​​e acordados previamente, se necessário, a documentação faltante deve ser restaurada. Um gerente de serviço dedicado é designado para organizar a interação entre o cliente e os contratados.

Fontes de poupança

Usar as capacidades de serviço de rede do contratante permite que você garanta os parâmetros necessários para o funcionamento da rede, gerencie com eficácia todos os tipos de riscos e, ao mesmo tempo, reduza custos.

Prolongando a vida útil de equipamentos e serviços existentes. Mesmo que o equipamento esteja desatualizado ou não tenha mais suporte do fornecedor, um empreiteiro experiente poderá fornecer suporte usando peças de reposição. Várias empresas usam uma abordagem combinada, atualizando apenas componentes críticos da infraestrutura de rede, por exemplo, o núcleo, e deixando em uso dispositivos de nível de acesso não novos, mas ainda suficientemente confiáveis ​​e eficientes.

Otimizando os níveis de suporte. O orçamento de TI pode não ser capaz de pagar pelos níveis de suporte de hardware tradicionalmente usados ​​pelo cliente. Para tal, o contratante, juntamente com o cliente, pode desenvolver um novo plano de suporte levando em consideração a real criticidade e capacidades de resiliência - o cliente pagará apenas pelo que for realmente necessário.

Não há necessidade de manter especialistas exclusivos e caros ... As funções desempenhadas pelos especialistas do cliente podem ser fornecidas na medida necessária na forma de um serviço. Eliminam-se os riscos do cliente associados ao despedimento de um especialista ou à sua indisponibilidade temporária (férias, doença). Algumas grandes empresas vêm usando empreiteiros para fornecer serviços de rede há muitos anos. Por exemplo, uma rede bem conhecida de laboratórios médicos tem apenas um especialista em rede de computadores na equipe que é responsável por seus desenvolvimento de perspectiva e supervisiona empreiteiros.

Custos de suporte do fornecedor reduzidos. A quantidade necessária de suporte caro do fornecedor pode ser reduzida se o contratante estiver pronto para fornecer o nível de SLA necessário adicionando suas próprias obras, bem como fornecendo equipamento de reposição. É ainda possível recusar totalmente o serviço do fornecedor, o que é importante para os clientes que estão sujeitos a sanções. Um efeito adicional é uma redução no componente de moeda dos custos atuais.

Gerenciamento e controle simplificados. A consolidação das tarefas de serviço permite simplificar a tarefa de gestão e controlo - as funções de coordenação são transferidas para o contratante, as tarefas de gestão de pessoal e microgestão são minimizadas, o conjunto de parâmetros de SLA e o volume de relatórios são reduzidos. Conseqüentemente, os custos relacionados ao gerenciamento do cliente são reduzidos.

Conscientizar sobre o estado da rede. Quanto melhor um cliente conhece sua rede, menos ele gasta nela. Uma auditoria dos recursos físicos e licenças de software existentes, bem como o monitoramento constante de seu uso, ajudará a reduzir os custos de seu suporte apenas ao essencial. Por exemplo, a parte dispositivos não usados pode ser usado como peça sobressalente. No escritório russo de uma das empresas globais de tecnologia, a auditoria revelou um excesso quase duas vezes maior do número de portas de rede na rede de acesso em relação ao número de dispositivos de rede realmente conectados.

Renúncia de despesas de capital . O cliente pode se deparar com a necessidade de implementar uma nova solução de rede ou atualizar uma existente quando o orçamento de capital é insuficiente ou ausente. A solução para o problema é a transição para um modelo de serviço para obter os recursos necessários e / ou serviços com pagamento baseado no tempo. O recurso alugado pode ser hospedado no site do cliente ou fornecido na nuvem.

Por onde começar?

Digamos que você avaliou os benefícios potenciais de usar diferentes tipos de serviço de rede. Como abordar a implementação prática das abordagens descritas neste artigo?

Comece com o pior ... Qual segmento da infraestrutura de rede ou serviço de rede gera o maior número de falhas, reclamações, transtornos na operação? Encontre a área mais problemática. O risco de prejudicar o funcionamento de um segmento já problemático é relativamente baixo e o efeito positivo pode ser significativo.

Defina a tarefa em conjunto ... A construção correta de um serviço de rede começa com a formulação correta do problema - erros cometidos nesta fase podem ser muito caros no futuro. Não negligencie a experiência de um parceiro de serviço: convide especialistas em tecnologia e serviço para formular os objetivos do serviço de rede e definir a tarefa.

Inspecione o objeto de serviço. Ter um correto entendimento da instalação, seu estado e os procedimentos operacionais aplicados evitará conflitos e áreas cinzentas nos processos. É melhor conduzir a pesquisa junto com um parceiro de serviço - o resultado será mais preciso e barato.

Desenvolva um modelo de prestação de serviço com o contratante ... Nas mesmas condições iniciais, diferentes modelos de serviço podem ser usados ​​- em termos de obrigações do contratante, nível de SLA, divisão de funções, esquemas de interação, etc. O modelo de serviço é desenvolvido em conjunto com o parceiro de serviço e é adaptado levando em consideração as capacidades e limitações do cliente.

A necessidade de acesso a uma impressora remota pode surgir de usuários de uma ampla variedade de aplicativos: um editor de texto, um editor gráfico, um sistema de gerenciamento de banco de dados (DBMS). É óbvio que a duplicação em cada uma das aplicações das funções comuns a todas elas para organizar a impressão remota é redundante.

Uma abordagem mais eficiente parece ser quando essas funções são excluídas dos aplicativos e são projetadas como um par de módulos de software cliente e servidor de impressão especializados (Fig.), Cujas funções eram anteriormente desempenhadas pelos aplicativos A e B, respectivamente. O par cliente-servidor pode ser usado por qualquer aplicativo em execução no computador A.

Generalizando essa abordagem em relação a outros tipos de recursos compartilhados, damos as seguintes definições:

Clienteé um módulo projetado para gerar e transmitir mensagens de solicitação aos recursos de um computador remoto a partir de vários aplicativos, com o subsequente recebimento dos resultados da rede e sua transferência para os aplicativos apropriados.

Servidor- trata-se de um módulo que espera constantemente que venham da rede pedidos de clientes e, tendo aceite o pedido, tenta atendê-lo, via de regra, com a participação do SO local; um servidor pode atender às solicitações de vários clientes ao mesmo tempo (um por um ou simultaneamente).

Cliente casal- um servidor que fornece acesso a um tipo específico de recurso de computador por meio de uma rede forma um serviço de rede.

Cada serviço está associado a um tipo específico de recurso de rede. Então, na fig. Os módulos cliente e servidor que fornecem acesso remoto à impressora formam o serviço de impressão em rede.

Serviço de arquivo permite que você acesse arquivos armazenados no disco de outros computadores. O componente de servidor de um serviço de arquivos é denominado servidor de arquivos.

Para localizar e visualizar informações na Internet, é usado um serviço da web, que consiste em um servidor da web e um programa cliente denominado navegador da web. Um recurso compartilhado, neste caso, é um site, um conjunto de arquivos organizados de uma determinada maneira, contendo informações relacionadas à semântica e armazenados em armazenamento externo servidor web.

No diagrama do serviço web mostrado na figura, os dois computadores não estão diretamente conectados, como foi o caso em todos os exemplos anteriores, mas por meio de muitos computadores intermediários e outros dispositivos de rede que compõem a Internet. Para refletir este fato graficamente, colocamos uma chamada nuvem de comunicação entre dois computadores, o que nos permite abstrair de todos os detalhes do meio de transmissão da mensagem. A troca de mensagens entre as partes cliente e servidor do serviço web é realizada usando o protocolo HTTP padrão e não depende de nenhuma forma se essas mensagens são passadas de mão em mão (da interface de um computador para a interface de outro ) ou por meio de um grande número de intermediários - dispositivos de comunicação de trânsito ... Ao mesmo tempo, a complicação do meio de transmissão de mensagens leva ao surgimento de novas tarefas adicionais, cuja solução não foi projetada para o driver mais simples anteriormente mencionado da placa de interface de rede. Em vez disso, veículos de software mais sofisticados devem ser instalados em computadores que interagem.

Sistema operacional de rede

O sistema operacional de um computador é frequentemente definido como um conjunto interconectado de programas de sistema que fornece Gerenciamento efetivo recursos do computador (memória, processador, dispositivos externos, arquivos, etc.), e também fornece ao usuário interface amigável para trabalhar com hardware de computador e desenvolver aplicativos.

Quando se trata de sistemas operacionais de rede, obviamente precisamos expandir os limites dos recursos gerenciados além dos limites de um único computador.

Sistema operacional de redeé um sistema operacional de computador que, além de gerenciar recursos locais, fornece aos usuários e aplicativos a capacidade de acessar de forma eficiente e conveniente informações e recursos de hardware de outros computadores da rede.

Quase todos os sistemas operacionais atuais estão em rede.

A partir dos exemplos discutidos nas seções anteriores, podemos ver que o acesso remoto aos recursos da rede é fornecido:

· Serviços de rede;

· Meios de transporte de mensagens pela rede (no caso mais simples - placas de interface de rede e seus drivers).

Portanto, são esses módulos funcionais que devem ser adicionados ao SO para que ele possa ser chamado em rede (Fig.).

Entre os serviços de rede, distinguem-se aqueles que não se destinam ao utilizador comum, como por exemplo, o serviço de arquivo ou o serviço de impressão, mas sim o administrador. Esses serviços têm como objetivo organizar a operação da rede. Por exemplo, um help desk centralizado, ou serviço de diretório, é projetado para manter um banco de dados de usuários da rede, sobre todos os seus componentes de software e hardware *. Outros exemplos incluem um serviço de monitoramento de rede que captura e analisa o tráfego da rede, um serviço de segurança que pode incluir, mas não se limita a, um logon com verificação de senha, um serviço de backup e arquivamento.

Sua posição na gama geral de sistemas operacionais de rede depende de quão rico é um conjunto de serviços e serviços de rede que o sistema operacional oferece aos usuários finais, aplicativos e administradores de rede.

Além dos serviços de rede, o sistema operacional de rede deve incluir comunicação de software (transporte) significa que, junto com meios de comunicação de hardware, transfere mensagens que são trocadas entre o cliente e as partes do servidor dos serviços de rede. O problema de comunicação entre computadores na rede é resolvido por drivers e módulos de protocolo. Eles executam funções como gerar mensagens, dividir uma mensagem em partes (pacotes, quadros), converter nomes de computador em endereços numéricos, duplicar mensagens em caso de perda, determinar uma rota em uma rede complexa, etc.

Ambos os serviços de rede e veículos podem ser componentes integrantes do sistema operacional (embutidos) ou existir como separados produtos de software... Por exemplo, o serviço de arquivos de rede geralmente é integrado ao sistema operacional, mas o navegador da Web é geralmente adquirido separadamente. Um sistema operacional de rede típico inclui uma ampla gama de drivers e módulos de protocolo, mas o usuário, via de regra, tem a oportunidade de complementar esse conjunto de padrões com os programas de que precisa. A decisão de como implementar clientes e servidores de serviços de rede, bem como drivers e módulos de protocolo, é tomada pelos desenvolvedores levando em consideração uma variedade de considerações: técnicas, comerciais e até legais. Por exemplo, foi com base na lei antitruste dos Estados Unidos que a Microsoft foi proibida de ativar seu navegador. Internet Explorer para o sistema operacional desta empresa.

Um serviço de rede pode ser representado no sistema operacional por ambas as partes (cliente e servidor) ou apenas uma delas.

No primeiro caso, o sistema operacional, denominado ponto a ponto, não só permite o acesso aos recursos de outros computadores, mas também disponibiliza seus próprios recursos aos usuários de outros computadores. Por exemplo, se todos os computadores da rede tiverem clientes e servidores de serviço de arquivos instalados, todos os usuários da rede poderão compartilhar os arquivos uns dos outros. Os computadores que combinam funções de cliente e servidor são chamados de pares.

O sistema operacional que contém principalmente as partes do cliente dos serviços de rede é chamado de sistema operacional do cliente. Os sistemas operacionais clientes são instalados em computadores que fazem solicitações aos recursos de outros computadores da rede. Os usuários comuns trabalham por trás desses computadores, também chamados de computadores clientes. Normalmente, os computadores clientes são classificados como dispositivos relativamente simples.

Outro tipo de sistema operacional é o sistema operacional de servidor - ele se concentra no processamento de solicitações da rede para os recursos de seu computador e inclui principalmente as partes do servidor de serviços de rede. Um computador com sistema operacional de servidor instalado, que se dedica exclusivamente ao atendimento das solicitações de outros computadores, é denominado servidor dedicado na rede. Como regra, os usuários comuns não trabalham atrás de um servidor dedicado.

Aplicativos de rede

Um computador conectado à rede pode executar os seguintes tipos de aplicativos:

O aplicativo local é executado inteiramente em este computador e usa apenas recursos locais (fig.a). Este aplicativo não requer nenhuma ferramenta de rede, ele pode ser executado em um computador autônomo.

· O aplicativo de rede centralizado é executado inteiramente neste computador. mas, no curso de sua execução, refere-se aos recursos de outros computadores da rede. No exemplo da Figura b, um aplicativo em execução em um computador cliente processa dados de um arquivo armazenado em um servidor de arquivos e, a seguir, imprime os resultados em uma impressora conectada ao servidor de impressão. Obviamente, esse tipo de aplicativo não pode funcionar sem o envolvimento de serviços de rede e recursos de transporte de mensagens.

Uma aplicação distribuída (rede) consiste em várias partes interagentes, cada uma das quais executa algum trabalho final definido para resolver o problema aplicado, e cada parte pode e, como regra, é executada em um computador separado na rede (Fig. C) . Partes de um aplicativo distribuído interagem entre si usando serviços de rede e veículos de sistema operacional. Um aplicativo distribuído geralmente tem acesso a todos os recursos de uma rede de computadores.

A vantagem óbvia dos aplicativos distribuídos é a capacidade de paralelizar cálculos, bem como a especialização de computadores. Portanto, em uma aplicação destinada, digamos, à análise de mudanças climáticas, há três partes bastante independentes (ver Fig. 2.6, c) que permitem a paralelização. A primeira parte do aplicativo, rodando em um computador pessoal de baixo consumo de energia, pode suportar uma interface gráfica de usuário especializada, a segunda - para lidar com processamento estatístico dados em um mainframe de alto desempenho, e o terceiro é gerar relatórios em um servidor com um DBMS padrão instalado. Em geral, cada parte de um aplicativo distribuído pode ser representada por várias cópias em execução em computadores diferentes. Por exemplo, neste exemplo, a parte 1, que é responsável por oferecer suporte a uma interface de usuário especializada, poderia ser executada em vários computadores pessoais, o que permitiria que vários usuários trabalhassem com este aplicativo ao mesmo tempo.

No entanto, para alcançar todas as vantagens que os aplicativos distribuídos prometem, os desenvolvedores desses aplicativos têm que resolver muitos problemas, por exemplo: em quantas partes o aplicativo deve ser dividido, quais funções devem ser atribuídas a cada parte, como organizar a interação dessas peças para que em caso de falhas e falhas as demais peças concluídas funcionem corretamente, etc., etc.

Observe que todos os serviços de rede, incluindo serviço de arquivo, serviço de impressão, serviço E-mail, serviço de acesso remoto, telefonia pela Internet, etc., por definição pertencem à classe das aplicações distribuídas. Na verdade, qualquer serviço de rede inclui um cliente e um servidor, que podem e geralmente são executados em computadores diferentes.

Na fig. 2.7 ilustrando a natureza distribuída de um serviço da web, vemos diferentes tipos de dispositivos clientes - computadores pessoais, laptops e Celulares- com navegadores da web instalados neles, que se comunicam pela rede com um servidor da web. Assim, muitos - centenas ou milhares - de usuários da rede podem acessar simultaneamente o mesmo site.

Numerosos exemplos de aplicações distribuídas podem ser encontrados no campo do processamento de dados de experimentos científicos. Isso não é surpreendente, já que muitos experimentos geram grandes quantidades de dados gerados em tempo real que é simplesmente impossível processá-los em um único supercomputador, mesmo muito poderoso. Além disso, algoritmos para processamento de dados experimentais são frequentemente facilmente paralelizados, o que também é importante para o uso bem-sucedido de computadores interconectados a fim de resolver qualquer problema geral. Um dos exemplos mais recentes e aclamados de uma aplicação científica distribuída é o software de processamento de dados Large Hadron Collider (LHC), lançado em 10 de setembro de 2008 no CERN, que funciona em mais de 30.000 computadores em rede.

Ferramentas de gerenciamento remoto para sistemas operacionais UNIX, Windows NT e NetWare.

Quando as pessoas falam sobre gerenciamento remoto, geralmente se referem a plataformas de gerenciamento de rede baseadas em SNMP. Entre as plataformas mais comuns estão HP OpenView, Microsoft SMS, Novell ManageWise e outras, mas seus recursos são bastante limitados: são adequados para monitorar dispositivos de rede, mas muito piores para gerenciamento direto de servidores e SO. Por exemplo, usando uma plataforma de gerenciamento de rede, você não pode criar uma conta de usuário, executar um programa em um servidor, escrever um script executável e muito mais. Portanto, em vez de "plataforma de gerenciamento", seria mais correto usar o termo "plataforma de monitoramento".

É bem sabido que a ferramenta de administração de servidor mais conveniente é seu console. (O sistema operacional NetWare é um caso especial, que consideraremos separadamente.) No console, o administrador pode monitorar qualquer atividade no servidor, bem como gerenciar os recursos do sistema operacional da rede. No entanto, o administrador nem sempre pode estar no console do UNIX ou Windows NT.

Embora agora seja uma prática comum hospedar servidores em salas de servidores dedicados, os administradores de rede relutam em se mudar para essas salas. Primeiro, as salas de servidores são preenchidas não apenas com servidores, mas também com equipamentos de rede ativos, fontes poderosas Fonte de energia ininterrupta, wiring closets, recursos de backup, etc. Devido ao fundo eletromagnético desfavorável, a presença constante de pessoal na sala do servidor é indesejável. Em segundo lugar, o nível de ruído nessas salas é bastante alto, o que às vezes torna difícil até mesmo o uso de um telefone. Depois de 8 horas de trabalho nessas condições, a pessoa se sente completamente sobrecarregada. Terceiro, pode haver várias salas de servidores em uma grande organização. Por esses motivos, o administrador gostaria de ter um local de trabalho fora da sala do servidor, mas ainda assim desfrutar de todos os benefícios do console.

Além disso, os usuários têm constantemente certos problemas e o administrador é forçado a visitar os sites dos clientes. Nesses casos, é importante para ele ser capaz de controle remoto sistema operacional de rede, por exemplo, para atribuir direitos de acesso, criar uma nova conta de usuário, aumentar o tamanho do sistema de arquivos, etc.

Por fim, podem surgir problemas fora do horário comercial, quando o administrador está em casa. Nesses casos, é desejável que ele, usando seu computador doméstico e modem, possa identificar e consertar o problema remotamente, e não se precipitar para o escritório.

Todos os sistemas operacionais de rede possuem ferramentas de administração remota, integradas ou fornecidas por terceiros. Alguns deles implementam o conceito de um console remoto (ou terminal remoto), alguns fornecem ferramentas de administração dispersas destinadas a resolver apenas algumas tarefas específicas.

SISTEMAS OPERACIONAIS E ADMINISTRAÇÃO

Antes de falar sobre gerenciamento remoto de sistemas operacionais de rede, revisaremos brevemente os princípios de administração dos sistemas operacionais mais populares: Windows NT, UNIX e NetWare. Talvez o sistema mais poderoso, não apenas em termos de parâmetros funcionais, mas também em termos de recursos de administração, seja o sistema operacional UNIX. No UNIX, o kernel é separado do shell gráfico, enquanto o servidor não precisa de um shell gráfico, embora seja usado com bastante frequência. A interação interativa entre o usuário e o sistema operacional é realizada por meio do shell de comando. Ele possui várias implementações, sendo as mais populares o shell Bourne (sh), o shell C (csh), o shell Korn (ksh) e o shell Bourne again (bash). Cada um dos shells tem sua própria linguagem de programação para escrever programas de script. Além disso, o UNIX é famoso pelo mais rico conjunto de utilitários de aplicativos, incluindo utilitários para classificação, pesquisa, edição de streaming, análise lexical, processamento de macro, filtros e muitos outros. Usando shell, utilitários de sistema, programas de aplicação e os pipelines do UNIX permitem que você crie programas de administração extremamente flexíveis.

O UNIX usa o shell gráfico do X Window System (X11). Ao contrário de invólucros semelhantes na composição Microsoft Windows e Apple MacOS, o ambiente X11 é conectado em rede e separado do kernel. Ou seja, do ponto de vista do kernel, o sistema X11 é apenas um programa de usuário normal. Com o X11, qualquer máquina UNIX (com as permissões adequadas) pode atuar como um cliente ou servidor X11. Deve-se ter em mente que, ao contrário da prática comum, servidor X11 é o computador no qual a imagem é exibida, e o cliente é a máquina na qual o programa está sendo executado. O software de servidor X11 existe para muitos sistemas operacionais comuns, incluindo Windows, MacOS e outros, enquanto o software cliente é implementado principalmente no UNIX.

No UNIX moderno, utilitários com três tipos de interfaces são usados ​​para tarefas de gerenciamento: linha de comando, texto interativo e gráfico. No entanto, os recursos do sistema operacional mais poderosos e abrangentes são os utilitários de linha de comando. Esses programas são amplamente usados ​​para realizar operações repetitivas, como criar conta usuário ou atribuição de direitos de acesso. Texto interativo e utilitários gráficos surgiram há relativamente pouco tempo no UNIX, mas devido à natureza interativa da comunicação, os benefícios de usá-los em programas shell estão longe de serem óbvios. Esses utilitários são usados ​​principalmente para ajustes ocasionais e precisos do sistema operacional e do hardware. Portanto, qualquer emulador de terminal de texto funcionará para administração UNIX.

Apesar de sua ampla adoção, o Microsoft Windows NT não pode competir com o UNIX em termos de administração. Para facilidade de administração, sim, mas não por seus recursos. Como você sabe, o shell gráfico do Windows é inseparável do kernel do sistema. Embora do ponto de vista da confiabilidade, isso não seja A melhor opção, tal implementação permite atingir um desempenho extremamente alto em operações gráficas. Outra coisa é que há pouca utilidade disso em um servidor NT - o objetivo do servidor não é de forma alguma exibir informações gráficas rapidamente. A Microsoft realmente levou os usuários a um canto ao oferecer essencialmente o mesmo sistema que um cliente (NT Workstation) e um servidor (NT Server). Além disso, o ambiente gráfico do Windows não está conectado em rede.

Vários utilitários de administração baseados em linha de comando estão disponíveis para Windows NT. No entanto, seu conjunto é bastante limitado e, além disso, as capacidades do processador de comandos embutido não podem ser comparadas com o shell do UNIX. O Windows NT Server também vem com uma série de dispositivos remotos gerenciamento de usuários, domínios, direitos de acesso, etc. Esses programas podem ser instalados em Computadores Windows 9x e NT. No entanto, muitos aplicativos de rede, especialmente aplicativos de terceiros, não possuem recursos de controle remoto. Portanto, para gerenciar totalmente o ambiente de rede, o administrador é forçado a sentar-se no console ou emular o console usando programas especializados.

A estrutura de gerenciamento do NetWare é fundamentalmente diferente da de outros sistemas operacionais de rede. Todas as operações de configuração do servidor, incluindo o lançamento de aplicativos, são realizadas a partir do console. Ao mesmo tempo, o gerenciamento de contas, impressoras, arquivos e o serviço de diretório NDS é feito a partir de sites clientes. Verdade, em última versão O NetWare 5 fornece um único console de gerenciamento de rede ConsoleOne que permite a um administrador gerenciar recursos de rede de qualquer lugar na rede, incluindo o console. No entanto, os recursos do ConsoleOne ainda são muito limitados e são lentos porque foram escritos em Java. Além disso, a participação do NetWare 5 no mercado de sistemas operacionais de rede é insignificante, já que a maioria das redes Novell é baseada no NetWare 4.x. O console do NetWare opera em modo de texto (o servidor também oferece suporte ao modo gráfico no NetWare 5), portanto, é gerenciado por meio de programas de linha de comando e uma interface de texto interativa. A linguagem de comando do NetWare é bastante fraca, mas o sistema operacional inclui interpretadores Basic e Perl que permitem criar programas bastante sérios. O programa de console remoto incluído no NetWare fornece acesso ao console do servidor pela rede a partir de máquinas clientes DOS, Windows, MacOS, UNIX.

Programas gráficos e interativos baseados em texto estão disponíveis para gerenciar NDS, contas, impressoras, direitos de acesso e muito mais, para operação do lado do cliente. Existem poucos utilitários de linha de comando disponíveis e seus recursos são limitados. Resumindo, do ponto de vista do gerenciamento do NDS, os utilitários gráficos (e principalmente o Administrador do NetWare) têm os recursos mais poderosos, seguidos por programas de texto interativos (NETADMIN, PCONSOLE, etc.) e somente então os utilitários de linha de comando.

Após revisar os principais recursos da estrutura de gerenciamento do sistema operacional de rede, podemos agora nos familiarizar com as ferramentas de gerenciamento remoto mais comuns.

TELNET

Talvez o mais programa famoso controle remoto UNIX é telnet, especialmente porque está incluído em quase todos os sistemas operacionais modernos. telnet é um programa de emulação de terminal que usa o protocolo de aplicativo proprietário TELNET. Para suportar o serviço telnet, o servidor deve estar em execução programa do sistema(chamado de daemon no UNIX) telnetd, que trata das solicitações do cliente telnet. O servidor telnet pode servir vários clientes ao mesmo tempo, enquanto Protocolo TELNET usa TCP (porta 23) como protocolo de transporte.

O Telnet pode ser usado para controlar não apenas computadores UNIX, mas também dispositivos de rede, como roteadores, switches, servidores de acesso remoto, etc. telnet também pode ser usado para administrar o Windows NT (o software de servidor para este serviço está disponível em vários programas comerciais gratuitos ), mas apenas no modo de linha de comando. O Telnet permite que o usuário se conecte a um servidor remoto de seu local e trabalhe com ele em modo texto. Isso cria uma ilusão completa para o usuário de que ele está sentado no terminal de texto deste servidor.

O Telnet é ótimo para redes heterogêneas porque se baseia no conceito de Terminal Virtual de Rede (NVT). Sabe-se que diversos sistemas operacionais e hardwares possuem características específicas relacionadas à entrada / saída e processamento de informações. Por exemplo, o UNIX usa LF como quebra de linha, enquanto o MS-DOS e o Windows usam um par de caracteres CR-LF. O terminal virtual de rede NVT permite que você abstraia os recursos de equipamentos específicos usando conjunto padrão personagens. O cliente telnet é responsável por converter os códigos do cliente em códigos NVT, e o servidor faz o oposto (consulte a Figura 1).

O Telnet fornece um mecanismo de configuração de parâmetros, no qual o cliente e o servidor podem concordar com certas opções, incluindo codificação de dados (7 ou 8 bits), modo de transmissão (half-duplex, caractere por caractere, linha por linha ), tipo de terminal e alguns outros. Comandos e dados em telnet são transmitidos independentemente uns dos outros. Para fazer isso, usando código especial telnet é alterado do modo de transferência de dados para o modo de transferência de comandos e vice-versa. Comandos são informações usadas para controlar o serviço telnet, enquanto dados são dados de entrada / saída por meio de drivers de terminal (cliente) ou pseudo-terminal (servidor).

O Telnet é um programa de gerenciamento remoto poderoso, mas tem uma série de desvantagens fundamentais. O mais importante é que todos os dados, incluindo senhas, sejam transferidos entre computadores em texto não criptografado. Uma vez conectado à rede, qualquer pessoa que use o analisador de protocolo mais simples pode não apenas ler as informações, mas até mesmo obter uma senha para acesso não autorizado. EM rede local a probabilidade de tais ataques pode ser reduzida usando switches (hubs de comutação). Obviamente, em uma rede local, o uso em grande escala de switches é muito caro, mas é melhor conectar as estações de trabalho do administrador por meio deles. No entanto, ao acessar pela Internet, principalmente quando o administrador trabalha em casa, o problema persiste. No entanto, você pode fornecer acesso a servidores por meio de servidores de acesso remoto usando protocolos de autenticação, como CHAP, em vez de ISPs. Infelizmente, essa abordagem não é aceitável para todas as organizações.

O segundo problema que eu chamaria é de graça programas cliente o telnet incluído nos sistemas operacionais tem recursos limitados. Muitas vezes acontece que um programa de texto interativo nem consegue ser iniciado porque o cliente telnet não suporta o tipo de terminal do servidor, e programa interativo não deseja trabalhar com os tipos de terminais incluídos no cliente telnet.

No entanto, apesar dessas deficiências, o telnet continua sendo o programa de controle remoto mais amplamente usado.

RLOGIN

Apresentado pela primeira vez com 4.2BSD UNIX, o rlogin já foi extremamente popular no ambiente UNIX. Como meio de acesso de terminal, o rlogin é muito semelhante ao telnet, mas devido à sua estreita integração com o sistema operacional, seu uso é muito limitado em outros sistemas. Rlogin carece de muitas das opções inerentes ao telnet, em particular o modo de negociação de parâmetros entre o cliente e o servidor: tipo de terminal, codificação de dados, etc. Portanto, o tamanho do código do programa rlogin é quase dez vezes menor que o do telnet . No entanto, rlogin fornece relações de confiança entre hosts: no servidor rlogin, em arquivos de sistema especiais (geralmente /etc/hosts.equiv e $ HOME / .rhosts), o administrador pode listar os computadores que terão acesso a este servidor sem um senha. Os usuários de outros computadores (não listados nesses arquivos) podem fazer login no servidor somente após inserir uma senha.

Outra versão do rlogin, conhecida como rsh, permite executar programas em uma máquina remota com entrada e saída na máquina local. Outro programa, o rcp, é projetado para copiar arquivos entre computadores na rede. Os utilitários rlogin, rsh e rcp costumam ser chamados coletivamente de comandos r.

Infelizmente, a experiência mostrou que as relações de confiança baseadas no nome do host são extremamente perigosas porque abrem a porta para o acesso não autorizado. O uso difundido de tecnologia de spoofing de IP e DNS por hackers torna o serviço r-command inseguro. Isso é verdadeiro mesmo quando a relação de confiança entre os hosts não é estabelecida. Portanto, no momento, o serviço rlogin encontrou uso apenas em redes que estão completamente fechadas para a Internet. Assim como o telnet, os dados e as senhas (na ausência de uma relação de confiança) são transmitidos em texto não criptografado.

Além disso, o software cliente para comandos r em plataformas DOS e Windows é menos comum do que para telnet e, geralmente, só está disponível em produtos comerciais bastante caros.

CAPSULA SEGURA

É óbvio que a transmissão de dados e especialmente de senhas pela rede em texto não criptografado em programas telnet e rlogin não pode satisfazer nem mesmo os requisitos mínimos de segurança. Proteger Sistemas de informação Existem várias maneiras de se proteger contra ataques maliciosos. Alguns deles fornecem proteção por senha, enquanto outros visam criptografar todo o fluxo de informações. Entre estes últimos, o mais popular é Programa seguro shell (ssh), parte de qualquer suíte de acesso seguro ao terminal UNIX para cavalheiros. A versão não comercial do Secure shell pode ser baixada do servidor do autor do programa T. Yalonen ( http://www.ssh.fi) No entanto, a versão gratuita do ssh está disponível apenas para UNIX. Data Fellows ( http://www.datafellows.com) fornece ssh comercial aprimorado, inclusive para a plataforma Windows.

O shell seguro oferece recursos semelhantes aos dos comandos telnet e r, incluindo não apenas o acesso ao terminal, mas também meios de cópia entre computadores. Mas, ao contrário deles, o ssh também fornece conexões X11 seguras.

A segurança do programa ssh é alcançada através do uso do protocolo da camada de transporte, do protocolo de autenticação e do protocolo de conexão. O protocolo da camada de transporte é responsável pela autenticação do servidor, o protocolo de autenticação é responsável pela forte identificação e autenticação do cliente. O protocolo de conexão forma um canal de transferência de informações criptografadas.

Como já foi mencionado, o Secure shell se tornou uma espécie de padrão para acesso seguro, inclusive na Rússia. Este é um produto muito interessante, do qual podemos falar por muito tempo. No entanto, não faremos isso (informações mais detalhadas sobre o shell seguro podem ser encontradas no artigo de M. Kuzminsky "Ssh - um meio diário de trabalho seguro" na revista "Open Systems" No. 2, 1999). O fato é que este produto, como muitos outros, está proibido para uso na Rússia.

De acordo com o Decreto do Presidente da Federação Russa No. 334 datado de 04/03/95, indivíduos e quaisquer organizações, incluindo empresas públicas, privadas e por ações, estão proibidos de operar sistemas de criptografia que não tenham sido certificados pela FAPSI . O Secure Shell é exatamente esse sistema. No entanto, você não deve se ofender com nossos serviços especiais - não estamos sozinhos no mundo, em alguns países, por exemplo, na França, as regras são ainda mais rígidas (para ser justo, deve-se notar que na França, desde março de este ano, as restrições aos sistemas de criptografia foram significativamente enfraquecidas). Você também não deve pensar que eles estão tentando nos impedir de proteger informações confidenciais: as organizações não apenas podem, mas são obrigadas a proteger informações importantes. Somente para isso devem utilizar ferramentas certificadas, e não distribuídas gratuitamente na Internet. Claro, programas baseados em ssh, SSL, PGP, etc. são onipresentes em nosso país, mas deve ser lembrado que seu uso é repleto de problemas consideráveis. Os usuários de tais programas estão potencialmente sob risco de investigação por agências de inteligência. Em qualquer caso, não temos o direito nem o desejo de promover tal abordagem.

AUTENTICAÇÃO SEGURA

Na maioria das tarefas de gerenciamento, os administradores não estão interessados ​​na proteção dos dados transmitidos, mas na autenticação confiável do usuário, para que um invasor não possa interceptar e usar a senha do administrador. Pode haver várias soluções. Em primeiro lugar, é a tecnologia Kerberos baseada na emissão de tickets (tickets). (Na verdade, o Kerberos fornece não apenas autenticação, mas também criptografia de comunicações de rede, que, novamente, se enquadra no Decreto Presidencial.) No entanto, devido às restrições de exportação do governo dos EUA, o mecanismo de criptografia é significativamente enfraquecido. EM sistemas corporativos O acesso dial-up pode usar serviços de autenticação forte, como RADIUS, TACACS + e XTACACS. Mas todos esses serviços (incluindo Kerberos) envolvem um redesenho em grande escala da infraestrutura de rede, o que acarreta altos custos. Isso dificilmente se justifica se a gama de tarefas de acesso remoto for limitada apenas pelos problemas de gerenciamento de sistemas operacionais de rede.

O suporte para senha de uso único (OTP) é mais adequado para essas tarefas. A essência de tais sistemas é que a senha do usuário transmitida pela rede é válida para apenas uma sessão de comunicação. Ou seja, mesmo que o invasor consiga interceptar a senha, ele não conseguirá utilizá-la, pois a senha já será alterada na próxima sessão.

Para habilitar o OTP no servidor, os daemons telnet, rlogin, ftp terão que ser substituídos (é claro, novos serviços podem ser iniciados seletivamente, por exemplo, use o telnetd atualizado, mas mantenha o ftpd "nativo"). Nesse caso, o software cliente não precisa ser atualizado, o que é muito conveniente. Um sistema OTP viável foi lançado pela Bell Core (agora Telcordia Technologies) em 1991 com o nome S / Key. Um recurso importante do S / Key é que ele era originalmente um produto não comercial que funciona com muitas versões do UNIX. Agora, os mais populares são próximas versões Sistemas OTP (todos eles, exceto para S / Key versão 2.0 e superior, são distribuídos gratuitamente):

• S / Key da Telcordia Technologies (ftp://ftp.bellcore.com);
• OPIE US Navy Research Laboratory (ftp://ftp.nrl.navy.mil);
• LogDaemon, desenvolvido por Vietse (ftp://ftp.porcupine.org/pub/security).

Os sistemas listados são compatíveis com versões anteriores do S / Key 1.0. As implementações OTP atuais são baseadas em algoritmos de hash MD4 e MD5 (S / Key 1.0 usado exclusivamente MD4).

Como funcionam os sistemas OTP? Ao inicializar OTP no servidor, cada usuário atribui dois parâmetros: uma chave secreta (não é transmitida pela rede) e o número de iterações, ou seja, o número de logins durante os quais essa chave secreta será válida. O servidor aplica o algoritmo MD4 ou MD5 à chave privada e lembra do valor hash. Depois disso, o usuário pode trabalhar com o servidor pela rede via telnet comum, ftp, etc.

A autenticação do usuário para acesso ao terminal é realizada da seguinte forma. Depois de inserir o nome de usuário, ele recebe o número da próxima iteração e uma determinada fonte (semente). O início do procedimento de autenticação do usuário é mostrado na Figura 2. Aqui, o número da iteração é 967 e a origem é jar564. No campo Senha, o usuário deve inserir não sua própria chave secreta, mas uma frase secreta composta por seis palavras. Esta frase é gerada com base na chave secreta, número da iteração e fonte usando uma calculadora especial (consulte a Figura 3). Para obter uma frase-senha, o usuário insere o número da iteração, a fonte e sua chave secreta (no exemplo dado, a frase-senha final se parece com: "NO HUFF ODE HUNK DOG RAY").

Em seguida, a frase secreta é inserida no campo Senha do programa de acesso ao terminal, após o qual o usuário é identificado pelo servidor. Deve-se ter em mente que durante a próxima autenticação, o número da iteração diminuirá em um, a fonte não mudará e a frase-senha será completamente diferente. Assim, interceptar uma frase secreta não dará nada a um invasor, uma vez que o sistema não o identifica quando ele tenta se registrar. O principal componente de segurança é a chave secreta e nunca é transmitida pela rede. Devido ao uso dos algoritmos MD4 e MD5, é quase impossível calcular a chave secreta a partir da frase-senha, número da iteração e fonte.

Quando o número da iteração chega a zero, a conta do usuário deve ser reinicializada.

Pode parecer que o principal inconveniente para o usuário seja a calculadora. Mas isso não é totalmente verdade, pois a calculadora é um programa muito pequeno que não requer nenhuma configuração. Essas calculadoras estão disponíveis gratuitamente para todas as plataformas populares, incluindo MS-DOS, Windows, Macintosh e UNIX. Além disso, as frases-senha podem ser memorizadas (ou escritas) com antecedência, para várias sessões de acesso ao terminal adiante, diminuindo sequencialmente o número da iteração. Assim, para gerenciar remotamente o servidor, o administrador não precisa instalar a calculadora em todos os locais do cliente onde ele possa precisar trabalhar.

SISTEMA DE JANELA X

Embora praticamente todas as tarefas de gerenciamento do UNIX possam ser executadas em modo de texto, os administradores geralmente preferem uma interface gráfica por ser mais amigável. Além disso, alguns dos aplicativos UNIX que estão atualmente no mercado só podem ser operados em um ambiente gráfico. Programas O servidor X, que é responsável por exibir informações gráficas, está disponível para muitas plataformas, incluindo DOS, Windows, Macintosh, UNIX, etc. No entanto, na maioria dos casos (com exceção do UNIX), ele vem com produtos comerciais caros. Como clientes X11 (conforme já descrito, o conceito de cliente e servidor no X Window System não é uma prática comum) são principalmente servidores UNIX.

Deve-se ter em mente que o uso do Sistema X Window pressupõe a presença de um sistema suficientemente grande largura de banda redes. O sistema funciona bem em redes locais, mas muito lentamente - em canais globais. Portanto, ao usar o Sistema X Window no computador doméstico do administrador, é melhor controlá-lo por meio de utilitários de terminal como o xterm, em vez de utilitários gráficos.

Quando conectado a um servidor UNIX (executando clientes X11), a autenticação pode ser feita de duas maneiras: por meio de utilitários de terminal (telnet, rlogin, etc.) e por meio do X Display Manager (xdm). Na primeira variante, a transmissão da senha em texto não criptografado pode ser evitada usando os programas já mencionados ssh e OTP em vez de telnet e rlogin. No caso do X Display Manager, as senhas são transmitidas em texto claro por padrão. Portanto, se você gerencia remotamente um servidor UNIX em redes públicas, não deve usar o xdm.

Os administradores devem ter muito cuidado ao usar um servidor UNIX como servidor X (ou seja, em linguagem simples, executando o shell gráfico X11 em um servidor UNIX). O Sistema X Window é projetado para que um usuário possa executar um cliente X de sua máquina em servidor remoto X e interceptar informações de entrada / saída nele. Como resultado, um invasor ganha a capacidade de ler informações confidenciais do servidor X, incluindo senhas inseridas pelo usuário no servidor X (embora o emulador de terminal xterm permita que você bloqueie a interceptação de senha, esta oportunidade raramente é usada por alguém).

Os servidores X usam dois esquemas de autenticação de cliente: por nome de host e por pãezinhos mágicos (MIT-MAGIC-COOKIE-1). Ao usar a autenticação de nome de host no servidor X, são criados arquivos de sistema que listam os hosts a partir dos quais os programas cliente X podem ser executados neste servidor X. Mas essa proteção não pode ser considerada suficiente, uma vez que um invasor pode realizar um ataque falsificando endereços IP ou nomes de domínio no X11. Ao usar o esquema de "pãezinhos mágicos" (seu suporte é embutido no protocolo XDMCP, com base no qual as funções do X Display Manager), a autenticação é realizada com base nas contas do usuário. Para ser capaz de executar um cliente em um servidor X, um usuário no diretório inicial da máquina cliente X11 deve ter arquivo de sistema com o código secreto do servidor X. Este código secreto é chamado de pão mágico. O único problema é que o bun é transmitido pela rede sem proteção, portanto, esse método também dificilmente pode ser considerado seguro.

O X Window System 11 versão 5 adiciona mais dois esquemas (XDM-AUTHORIZATION-1 e SUN-DES-1), semelhante ao esquema MIT-MAGIC-COOKIE-1, mas usando o algoritmo de criptografia DES. No entanto, devido a restrições de exportação, tais esquemas não estão incluídos no X Window System. Com base nas considerações acima, você só pode executar o software do servidor X11 em um servidor UNIX quando os clientes X11 tiverem o acesso negado de outros computadores.

Tudo o que foi dito sobre a falta de segurança de um servidor X baseado em um servidor UNIX se aplica totalmente às máquinas clientes administrativas nas quais o X Window System está sendo executado.

SERVIDOR WINDOWS NT

Ao instalar o Microsoft Windows NT Server, presume-se que o sistema operacional será administrado a partir do console do servidor. No entanto, o kit do NT Server também contém utilitários de gerenciamento remoto. Eles estão localizados na distribuição do Windows NT Server no diretório \ Clients \ Srvtools. Esses utilitários podem ser instalados no Windows NT Workstation e no Windows 9x (consulte a Figura 4). Com a ajuda deles, você pode administrar contas de usuários e grupos, direitos e privilégios, domínios NT, monitorar logs de eventos em servidores e estações de trabalho. Os utilitários funcionam em modo gráfico, semelhante aos utilitários de gerenciamento "nativos" do NT Server. Embora os utilitários de gerenciamento remoto permitam que você faça a maior parte do trabalho de administração do sistema, vários programas importantes estão ausentes neste conjunto. Por exemplo, eles não podem ser usados ​​para realizar configuração de hardware de servidor, backups, gerenciamento de licenças, monitoramento de desempenho e assim por diante.Além disso, muitos aplicativos de servidor de terceiros não têm nenhum software de controle remoto.

O Windows NT Server Resource Kit, fornecido pela Microsoft, inclui vários programas adicionais administração, incluindo baseada em linha de comando. Os mais importantes são ADDUSER.EXE (criando novas contas de usuário e grupo), CACLS.EXE (gerenciando direitos de acesso), DUMPEL.EXE (exibindo informações sobre eventos dos logs de eventos para a tela ou arquivo), RMTSHARE (gerenciando rede recursos). Mesmo usando um processador de comando NT fraco, não será difícil para um administrador escrever um programa típico para criar uma nova conta com atribuição automática de direitos e privilégios.

Existem também vários programas para Windows NT que implementam o servidor telnet. Ele permite que um administrador acesse remotamente o servidor NT e execute programas baseados em linha de comando. Novamente, lembre-se de que a maioria das implementações de telnet passa a senha em texto não criptografado.

Mas, como já foi observado, os utilitários de acesso remoto e os programas de linha de comando não podem resolver todas as tarefas administrativas. Portanto, algumas soluções pressupõem emulação interface gráfica Servidor Windows NT em um computador remoto.

Em primeiro lugar, gostaria de citar os produtos WinFrame da Citrix e Windows Terminal Server (WTS) da Microsoft. De acordo com a arquitetura desses produtos, os aplicativos são executados no servidor NT e a E / S ocorre nos computadores clientes. De acordo com seus fabricantes, WinFrame e WTS já operam razoavelmente a 28 Kbps, então você pode até mesmo gerenciar seus servidores de casa. Para usar essas ferramentas, a parte do software do servidor deve ser colocada no servidor NT e o software cliente deve ser colocado nas estações de trabalho do administrador. WinFrame e WTS não transmitem senhas em texto não criptografado.

Para fins de justiça, deve-se dizer que tais soluções são redundantes para tarefas de administração. As tecnologias WinFrame e WTS implicam que vários clientes se conectem ao servidor. (Normalmente, o administrador precisa de apenas um acesso ao servidor.) Por isso, as soluções baseadas nesses produtos são bastante caras. Por exemplo, conectar um cliente a um servidor WinFrame custará entre $ 200 e $ 400, o que é muito caro porque uma organização pode ter mais de um servidor e mais de um administrador.

Mais adequados, em minha opinião, para administração remota são pacotes especializados de gerenciamento remoto, como pcANYWHERE da Symantec e ReachOut da Stac. Ao usar tais produtos, o conteúdo da tela do servidor NT é duplicado no display do computador local, as informações são inseridas a partir do teclado (e mouse) do computador local e transmitidas para o remoto (neste caso, para o NT servidor). Tudo parece que o administrador está sentado no console do servidor. pcANYWHERE e outros produtos semelhantes funcionam bem não apenas em uma rede local, mas também em linhas dial-up lentas. No entanto, eles têm um limite no número de conexões simultâneas para o servidor (geralmente apenas uma conexão). Os produtos PcANYWHERE têm criptografia integrada, portanto, é improvável que a senha seja interceptada.

Desvantagens comuns do controle remoto Gestão do Windows NT é a necessidade de instalar produtos de software adicionais nos sites clientes dos administradores.

NETWARE

Devido à arquitetura exclusiva do Novell NetWare, os problemas de acesso ao console remoto devem ser separados dos problemas de gerenciamento de recursos de rede.

O gerenciamento de contas de usuários, grupos, objetos NDS e direitos de acesso no NetWare é feito a partir de sites de clientes, portanto, a administração é inicialmente remota. No entanto, os administradores podem enfrentar um obstáculo: antes do NetWare 5 major protocolo de rede era IPX / SPX. Isso criou e continua sendo um grande problema no gerenciamento de servidores NetWare na Internet. Se o administrador precisar controlar o sistema operacional de rede de um computador doméstico, ele deve considerar a conexão com uma rede local por meio de um servidor de acesso remoto que suporte protocolos IPX / SPX. Felizmente, a maioria dos servidores de hardware oferece suporte a esse modo.

No entanto, os custos de criação da infra-estrutura necessária podem ser inaceitáveis, portanto, muitas vezes os computadores domésticos dos administradores são conectados à rede local através da Internet. Em tal situação, você pode oferecer a seguinte opção: instalar o programa pcANYWHERE (ou semelhante) em um dos computadores da rede local e computador de casa através deste elo intermediário. Essa abordagem, a propósito, pode se tornar mais atraente do ponto de vista do desempenho, porque os programas de gerenciamento de rede (especialmente o Administrador do NetWare) são executados muito lentamente em links dial-up. Outra maneira é atualizar o NetWare para a versão 5 (ou instalar o NetWare / IP).

Para acesso remoto ao console, o NetWare inclui o utilitário Rconsole para acessar o console a partir de posto de trabalho redes. No entanto, ele tem duas limitações: em primeiro lugar, a senha do console é transmitida em texto não criptografado e, em segundo lugar, o IPX / SPX é usado como protocolo. Utilitários de terceiros que fornecem acesso remoto seguro ao console permitem que você evite passar senhas em texto não criptografado. O mais famoso deles é o programa comercial SecureConsole for NetWare da Protocom Development Systems ( http://www.serversystems.com) Ele usa a senha criptografada do administrador ao acessar.

Como em outros casos, o obstáculo na forma de protocolos IPX / SPX pode ser removido usando programas como pcANYWHERE (ou seja, usando um dos computadores na rede local como um link de transmissão). Outra forma é utilizar o programa xconsole, que fornece acesso ao console através do X Window System, ou seja, sobre TCP / IP. O utilitário de acesso remoto Java RConsoleJ no NetWare 5 também usa TCP / IP como seu transporte. No entanto, os programas xconsole e RConsoleJ passam a senha em texto não criptografado. Em resumo, recomendamos que você use ferramentas especializadas como pcANYWHERE para gerenciar remotamente o NetWare.

TECNOLOGIA DA WEB

A tecnologia da Web está influenciando cada vez mais o gerenciamento do ambiente de rede. Muitos roteadores, switches e impressoras de rede já podem ser gerenciados por meio de navegadores da web. Mas essa lista está longe de se esgotar por eles, a Web também invade a esfera de gerenciamento de sistemas operacionais de rede. No início, apenas os servidores HTTP e FTP podiam ser controlados da Web, mas essa lista está em constante expansão e agora inclui DBMS, sistemas de arquivos, firewalls, serviços de rede DNS, DHCP e muito mais. Até mesmo o serviço de diretório do NDS pode ser gerenciado por meio de navegadores usando software comercial especial. Apesar do acima exposto, as tecnologias baseadas na Web ainda não estão maduras o suficiente para gerenciar totalmente todo o ambiente de rede. O problema é agravado pelo fato de que para muitos aplicativos e, principalmente, dispositivos de rede, a senha é transmitida por HTTP em texto não criptografado.

CONCLUSÃO

Ao organizar o gerenciamento remoto do servidor, é necessário levar em consideração muitos fatores, em primeiro lugar, as características do sistema operacional da rede, o desempenho das linhas de comunicação e as questões de autenticação segura. O conjunto mais completo de ferramentas de gerenciamento é fornecido pelo UNIX, no entanto, com a abordagem certa, Administradores do Windows NT e NetWare também não são motivo de preocupação.

A coleção de partes de servidor e cliente do sistema operacional que fornecem acesso a um tipo específico de recurso de computador em uma rede é chamada de serviço de rede. As partes cliente e servidor do sistema operacional, que juntas fornecem acesso ao sistema de arquivos do computador por meio da rede, formam um serviço de arquivos. Diz-se que um serviço de rede fornece um conjunto de serviços aos usuários da rede. Às vezes, esses serviços também são chamados de serviços de rede. Serviço é a interface entre um consumidor de serviço e um provedor de serviços (serviço). Cada serviço está associado a um tipo específico de recurso de rede e / ou uma forma específica de acesso a esses recursos. Por exemplo, um serviço de impressão permite que os usuários da rede acessem impressoras compartilhadas em uma rede e fornece um serviço de impressão, enquanto um serviço postal fornece acesso a um recurso de informação na rede - e-mails. O método de acesso a recursos difere, por exemplo, o serviço de acesso remoto - ele fornece aos usuários de uma rede de computadores acesso a todos os seus recursos por meio de canais telefônicos dial-up. Para obter acesso remoto a um recurso específico, como uma impressora, o serviço de Acesso Remoto interage com o serviço de impressão. Os mais importantes para os usuários de sistemas operacionais de rede são o serviço de arquivos e o serviço de impressão. Dentre os serviços de rede, destacam-se aqueles que estão voltados não para um simples usuário, mas para um administrador. Esses serviços são usados ​​para organizar a operação da rede. Uma abordagem mais progressiva é criar um help desk centralizado, ou, em outras palavras, um serviço de diretório, que é projetado para manter um banco de dados não apenas sobre todos os usuários da rede, mas também sobre todos os seus componentes de software e hardware. Outros exemplos de serviços de rede que fornecem um serviço a um administrador são um serviço de monitoramento de rede que captura e analisa o tráfego da rede, um serviço de segurança que pode incluir, mas não está limitado a, um logon com verificação de senha, um serviço de backup e arquivamento. O rico conjunto de serviços oferecidos pelo sistema operacional para usuários finais, aplicativos e administradores de rede determina sua posição na gama geral de sistemas operacionais de rede. Os serviços de rede são, por sua própria natureza, sistemas cliente-servidor. Uma vez que, ao implementar qualquer serviço de rede, surgem naturalmente uma fonte de solicitações (cliente) e um solicitante (servidor), então qualquer serviço de rede contém duas partes assimétricas - cliente e servidor (Fig. 2.2). Um serviço de rede pode ser representado no sistema operacional por ambas as partes (cliente e servidor) ou apenas uma delas.

Costuma-se dizer que o servidor fornece seus recursos ao cliente, e o cliente os utiliza. Deve-se notar que quando um serviço de rede fornece um determinado serviço, os recursos não só do servidor, mas também do cliente são utilizados. O cliente pode gastar uma parte significativa de seus recursos (espaço em disco, tempo de processador, etc.) para manter o serviço de rede. Por exemplo, ao implementar um serviço de correio, o disco de um cliente pode conter uma cópia local de um banco de dados contendo sua extensa correspondência. Neste caso, o cliente faz muito trabalho ao gerar mensagens em vários formatos, incluindo multimídia complexa, mantém uma agenda de endereços e executa muitos outros trabalhos auxiliares diferentes. A diferença fundamental entre o cliente e o servidor é que o cliente é sempre o iniciador do serviço de rede e o servidor está sempre no modo de espera passiva por solicitações. Por exemplo, um servidor de e-mail entrega mensagens ao computador de um usuário apenas quando recebe uma solicitação de um cliente de e-mail. Normalmente, a interação entre as partes do cliente e do servidor é padronizada, de forma que um tipo de servidor pode ser projetado para funcionar com diferentes tipos de clientes, implementados de maneiras diferentes e talvez por fabricantes diferentes. A única condição para isso é que os clientes e o servidor devem oferecer suporte a um protocolo de comunicação padrão comum.