Ce este un serviciu de rețea. Servicii de rețea și servicii de rețea

Concept rețea de calculatoare.

Rețelele de calculatoare sunt sisteme de calculatoare unite prin canale de transmisie a datelor care asigură furnizarea eficientă a diverselor servicii de informare și de calcul către utilizatori prin implementarea unui acces convenabil și fiabil la resursele rețelei.

Sistemele informatice care utilizează capabilitățile rețelelor de calculatoare asigură următoarele sarcini:

Stocarea si prelucrarea datelor

Organizarea accesului utilizatorilor la date

Transferul datelor și rezultatele prelucrării către utilizatori

Eficacitatea rezolvării sarcinilor enumerate este asigurată de:

Accesul de la distanță al utilizatorilor la resurse hardware, software și informaționale

Fiabilitate ridicată a sistemului

Capacitatea de a redistribui rapid sarcina

Specializarea nodurilor de rețea individuale pentru rezolvarea unei anumite clase de probleme

· Decizie sarcini dificile eforturi comune ale mai multor noduri de rețea

Capacitatea de a efectua controlul operațional al tuturor nodurilor de rețea

Dacă luăm în considerare structura unei rețele de calculatoare, atunci pot fi distinse trei elemente de bază în ea:

Facilități și servicii de rețea

Purtători de date

Protocoale de rețea.

Facilități și servicii de rețea. Dacă luăm în considerare o rețea de calculatoare, atunci prin facilități și servicii de rețea înțelegem tot ceea ce este capabilă o rețea. Pentru organizarea serviciilor sunt folosite numeroase combinații de hardware și software.

Termenul „furnizor de servicii” ar trebui înțeles ca o combinație de hardware și software care realizează un anumit serviciu. Acest termen nu trebuie înțeles ca un computer, deoarece computerele pot efectua diferite servicii și pot exista mai mulți furnizori de servicii pe un computer în același timp.

Termenul „consumator al unui serviciu” (solicitantul serviciului) înseamnă orice entitate care utilizează acest serviciu.

Există trei tipuri de furnizori de servicii și consumatori în funcție de rolurile pe care le joacă în rețea:

Server

Client

Client-server (peer).

Serverul poate oferi doar servicii. Clientul poate consuma doar serviciile. Un client-server poate furniza și consuma simultan servicii.

Foarte des, aceste concepte sunt greșit legate rigid de orice computer, dar trebuie remarcat că rolul unui computer depinde de software-ul instalat și, în funcție de software, un computer poate fi un server, un client sau un client- Server.

După structură, rețelele de calculatoare pot fi împărțite în două tipuri:

Bazat pe server

De la persoană la persoană

Membrii unei rețele peer-to-peer pot fi atât consumatori, cât și furnizori de servicii în același timp. Software-ul instalat pe fiecare dintre computerele rețelei peer-to-peer oferă de obicei aceeași gamă de servicii.

Rețelele peer-to-peer se mai numesc și grupuri de lucru. Cel mai adesea, astfel de rețele conțin nu mai mult de 10 computere. Astfel de rețele sunt ieftine deoarece nu au un computer server dedicat. Utilizatorii înșiși acționează ca administratori și protejează informațiile. Acest tip de rețea se caracterizează prin structura informațională haotică. Cu un număr mare de clienți, rețeaua peer-to-peer devine imposibil de gestionat.

Avantaje.

Ușor de instalat și configurat

Utilizatorii își controlează propriile resurse

Nu sunt necesare resurse suplimentare (echipament și administrator) - securitatea rețelei este instalată separat pentru fiecare resursă

Defecte

Trebuie să vă amintiți atâtea parole câte resurse există

Copiile de rezervă sunt efectuate pe toate computerele pentru a proteja datele partajate

Productivitate scăzută a furnizorilor de servicii

Nu există o schemă centralizată pentru căutarea și gestionarea accesului la date

În rețelele bazate pe server, clienții consumă servicii, iar serverele oferă servicii. Mai mult, aceste relații sunt supuse strict regulilor administrative. Serverele pot fi clasificate in functie de tipul de serviciu pe care il ofera, care se va face ulterior. Rețelele bazate pe server sunt de departe cel mai popular tip de rețea.

Calculatoarele care acționează ca servere au de obicei hardware puternic. Sunt special concepute pentru performanță un numar mare cererile clientului. Cheia securității unei astfel de rețele este restricționarea fizică a accesului la server. Persoana speciala- administrator - formează o politică unificată de securitate a rețelei. Fișierele partajate sunt de obicei stocate într-o singură locație, ceea ce face ușoară copierea de rezervă. De asemenea, astfel de rețele se scalează mai bine și pot servi de la câțiva la zeci de mii de utilizatori.

Avantaje

Gestionarea centralizată a conturilor de utilizator, securitate și acces

Furnizori de servicii mai productivi

Utilizatorul are nevoie de o singură parolă

Defecte

Copiere de rezervă centralizată a datelor - defecțiunea serverului poate face rețeaua inutilizabilă

Necesită personal calificat pentru service, ceea ce crește costul

Cost ridicat - datorită echipamentelor speciale

Alegerea implementarii oricarui tip de retea se poate face in functie de urmatoarele conditii.

Rețea peer-to-peer:

Nu există mai mult de 10 utilizatori de rețea (de preferință cinci)

Toate mașinile din rețea sunt amplasate compact pentru a fi combinate într-o singură rețea locală

Fonduri limitate

Nu este nevoie de furnizori de servicii de înaltă performanță

Problema de securitate nu este decisivă.

Rețea bazată pe server:

Peste 10 utilizatori sunt planificați în rețea

Necesar management centralizat, securitate, managementul resurselor sau backup

Este nevoie de furnizori de servicii de înaltă performanță

Acces la retea globala sau folosind internetwork

Un mediu de transmisie a datelor este un mediu pe care sunt transmise informații. Media de computer se referă fie la tehnologie prin cablu, fie la tehnologie fără fir. Transportatorul nu garantează că mesajul va fi primit de către destinatar, garantează doar transmiterea corectă a acestuia.

Protocoalele de rețea asigură faptul că membrii rețelei se înțeleg între ei. Un protocol este un set de reguli și standarde prin care diferite dispozitive interacționează.

Facilități și servicii de rețea: concept, exemple și scopul serviciilor de rețea de bază .

Servicii de rețeași servicii de rețea

Un serviciu de rețea este o colecție de părți server și client ale sistemului de operare care oferă acces la un anumit tip de resursă computer prin rețea.

Se spune că un serviciu de rețea oferă un set de servicii utilizatorilor rețelei. Aceste servicii sunt uneori denumite și servicii de rețea (de la termenul englezesc „serviciu”). Mai departe în text prin „serviciu” înțelegem o componentă de rețea care implementează un anumit set de servicii, iar prin „serviciu” - o descriere a setului de servicii care sunt furnizate de acest serviciu. Astfel, un serviciu este o interfață între un consumator de servicii și un furnizor de servicii (serviciu).

Serviciu - o descriere a unui set de servicii care sunt furnizate de un serviciu de rețea

Fiecare serviciu este asociat cu un anumit tip de resursă de rețea și/sau un mod specific de accesare a acestor resurse. De exemplu, un serviciu de imprimare permite utilizatorilor de rețea să acceseze imprimante partajate într-o rețea și oferă un serviciu de imprimare, în timp ce un serviciu poștal oferă acces la resursa de informații a rețelei - e-mailuri... Modul de accesare a resurselor diferă, de exemplu, un serviciu acces de la distanță- oferă utilizatorilor unei rețele de calculatoare acces la toate resursele acesteia prin canale telefonice dial-up. Pentru a obține acces de la distanță la o anumită resursă, cum ar fi o imprimantă, serviciul de acces la distanță interacționează cu serviciul de imprimare. Cele mai importante pentru utilizatorii sistemului de operare în rețea sunt serviciul de fișiere și serviciul de imprimare.

Dintre serviciile de rețea, se pot distinge pe cele care nu se concentrează pe un simplu utilizator, ci pe un administrator. Astfel de servicii sunt folosite pentru a organiza funcționarea rețelei. De exemplu, serviciul Bindery al sistemului de operare Novell NetWare 3.x permite unui administrator să mențină o bază de date cu utilizatorii rețelei pe computerul pe care rulează sistemul de operare. O abordare mai progresivă este crearea unui birou de asistență centralizat, sau, cu alte cuvinte, un serviciu de director, care este conceput pentru a menține o bază de date nu numai despre toți utilizatorii rețelei, ci și despre toate componentele software și hardware ale acesteia. NDS de la Novell și StreetTalk de la Banyan sunt adesea citate ca exemple de servicii de directoare. Alte exemple de servicii de rețea care oferă un serviciu unui administrator sunt un serviciu de monitorizare a rețelei care captează și analizează traficul de rețea, un serviciu de securitate care poate include, dar nu se limitează la, o conectare cu verificarea parolei, un serviciu de backup și arhivare.

Setul bogat de servicii oferite de sistemul de operare utilizatorilor finali, aplicatiilor si administratorilor de retea determina pozitia acestuia in gama generala a sistemelor de operare in retea.

Serviciile de rețea sunt, prin însăși natura lor, sisteme client-server. Deoarece la implementarea oricărui serviciu de rețea apar în mod natural o sursă de solicitări (client) și un executant de solicitări (server), atunci orice serviciu de rețea conține și două părți asimetrice - client și server. Un serviciu de rețea poate fi reprezentat în sistemul de operare fie prin ambele părți (client și server), fie doar prin una dintre ele.

Diferența fundamentală dintre client și server este că clientul este întotdeauna inițiatorul serviciului de rețea, iar serverul este întotdeauna în modul de așteptare pasivă pentru cereri.

De obicei, interacțiunea dintre părțile client și server este standardizată, astfel încât un tip de server poate fi proiectat să funcționeze cu diferite tipuri de clienți implementați căi diferiteși poate de diferiți producători. Singura condiție pentru aceasta este ca clienții și serverul să suporte un protocol de comunicare standard comun.

Dezvoltatorii sistemului de operare de rețea au considerat că este mai eficient să se gândească și să proiecteze sistemul de operare de rețea încă de la începutul lucrării la acesta pentru a funcționa în rețea. Funcțiile de rețea ale acestor sisteme de operare sunt profund încorporate în modulele principale ale sistemului, ceea ce asigură armonia logică a acestuia, ușurința în utilizare și modificare, precum și performanță ridicată. Este important să nu existe redundanță cu această abordare. Dacă toate serviciile de rețea sunt bine integrate, de ex. sunt considerate părți integrante ale sistemului de operare, atunci toate mecanismele interne ale unui astfel de sistem de operare pot fi optimizate pentru a îndeplini funcții de rețea. De exemplu, Windows NT Microsoft datorită facilităților de rețea încorporate, oferă indicatori de performanță și securitate a informațiilor mai mari în comparație cu sistemul de operare de rețea LAN Manager al aceleiași companii, care este un add-on peste sistemul de operare local OS / 2. Alte exemple de sisteme de operare în rețea cu servicii de rețea încorporate sunt toate versiuni moderne UNIX, NetWare, OS / 2 Warp.

O altă opțiune pentru implementarea serviciilor de rețea este să le combinați sub forma unui anumit set (shell), în timp ce toate serviciile unui astfel de set trebuie să fie consecvente între ele, adică. în activitatea lor, se pot referi unul la altul, pot include componente comune, de exemplu, un subsistem comun de autentificare a utilizatorului sau o singură interfață cu utilizatorul. Pentru ca shell-ul să funcționeze, este necesar să existe un sistem de operare local care să îndeplinească funcțiile obișnuite necesare controlului hardware-ului computerului și în mediul căruia să fie executate serviciile de rețea care alcătuiesc acest shell. Cochilia este independentă softwareși, ca orice produs, are un nume, un număr de versiune și alte caracteristici relevante. Exemple de shell-uri de rețea includ LAN Server și LAN Manager. Cele mai cunoscute sisteme de operare în rețea sunt Novell NetWare și Windows NT.

Servicii de rețea partajate

Cele mai comune sunt următoarele servicii de rețea:

Servicii de fișiere

Servicii de imprimare

Servicii de mesagerie

Instrumente de aplicare

Instrumente de bază de date.

Instrumente de management de la distanță pentru sistemele de operare UNIX, Windows NT și NetWare.

Când oamenii vorbesc despre managementul de la distanță, de obicei se referă la platforme de gestionare a rețelei bazate pe SNMP. Printre cele mai comune platforme se numără HP OpenView, Microsoft SMS, Novell ManageWise și altele.Totuși, capacitățile lor sunt destul de limitate: sunt bine potrivite pentru monitorizarea dispozitivelor din rețea, dar mult mai rău pentru gestionarea directă a serverelor și a sistemului de operare. De exemplu, folosind Platforma de gestionare a rețelei, nu puteți crea un cont de utilizator, nu puteți rula un program pe un server, nu puteți scrie un script executabil și multe altele. Prin urmare, în loc de „platformă de management” ar fi mai corect să folosim termenul de „platformă de monitorizare”.

Este bine cunoscut faptul că cel mai convenabil instrument de administrare a serverului este consola sa. ( Sistem de operare NetWare prezintă un caz special pe care îl vom lua în considerare separat.) Din consolă, administratorul poate monitoriza orice activitate pe server, precum și gestiona resursele sistemului de operare al rețelei. Cu toate acestea, administratorul nu poate fi întotdeauna la consola UNIX sau Windows NT.

Deși acum este o practică obișnuită să găzduiești servere în săli de servere dedicate, administratorii de rețea sunt reticenți să se mute în astfel de camere. În primul rând, camerele de servere sunt pline nu numai cu servere, ci și cu echipamente de rețea active, surse puternice sursă de alimentare neîntreruptibilă, dulapuri de cablare, facilități de rezervă etc. Din cauza fondului electromagnetic nefavorabil, prezența constantă a personalului în camera serverului este nedorită. În al doilea rând, în astfel de încăperi nivelul de zgomot este destul de ridicat, motiv pentru care uneori este dificil să folosești chiar și un telefon. După 8 ore de muncă în astfel de condiții, o persoană se simte complet copleșită. În al treilea rând, pot exista mai multe camere de server într-o organizație mare. Din aceste motive, administratorul ar dori să aibă la locul de muncăîn afara camerei serverului, dar bucurați-vă de toate beneficiile unei console.

În plus, utilizatorii au în mod constant anumite probleme, iar administratorul este obligat să viziteze site-urile clienților. În astfel de cazuri, este important ca el să poată telecomandă sistemul de operare al rețelei, de exemplu pentru a atribui drepturi de acces, pentru a crea un nou cont de utilizator, pentru a crește dimensiunea sistemului de fișiere etc.

În fine, problemele pot apărea în afara orelor de program, când administratorul este acasă. În astfel de cazuri, este de dorit ca el, folosind computerul și modemul de acasă, să poată identifica și remedia problema de la distanță și să nu se grăbească cu capul în birou.

Toate sistemele de operare în rețea au instrumente de administrare la distanță, fie încorporate, fie furnizate de terți. Unele dintre ele implementează conceptul de consolă la distanță (sau terminal la distanță), altele oferă instrumente de administrare împrăștiate care vizează rezolvarea doar a unor sarcini specifice.

SISTEME DE OPERARE SI ADMINISTRATIE

Înainte de a vorbi despre gestionarea de la distanță a sistemelor de operare în rețea, vom trece în revistă pe scurt principiile de administrare a celor mai populare sisteme de operare: Windows NT, UNIX și NetWare. Poate cel mai puternic sistem, nu numai în ceea ce privește parametrii funcționali, ci și în ceea ce privește capabilitățile de administrare, este sistemul de operare UNIX. În UNIX, nucleul este separat de shell-ul grafic, în timp ce serverul nu are nevoie de un shell grafic, deși este folosit destul de des. Interacțiunea interactivă între utilizator și sistemul de operare se realizează prin intermediul shell-ului. Are mai multe implementări, cele mai populare fiind shell-ul Bourne (sh), shell-ul C (csh), shell-ul Korn (ksh) și shell-ul Bourne again (bash). Fiecare dintre shell-uri are propriul său limbaj de programare pentru scrierea programelor de scripting. În plus, UNIX este renumit pentru cel mai bogat set de utilități, inclusiv sortare, căutare, editare în flux, analiză lexicală, procesare macro, filtre și multe altele. Folosind shell, utilitare de sistem, programe de aplicație și conducte, UNIX vă permite să creați programe de administrare extrem de flexibile.

UNIX folosește shell-ul grafic X Window System (X11). Spre deosebire de shell-uri similare găsite în Microsoft Windows și Apple MacOS, X11 este conectat în rețea și separat de kernel. Adică, din punctul de vedere al nucleului, sistemul X11 este doar un program de utilizator normal. Cu X11, orice mașină UNIX (cu permisiunile corespunzătoare) poate acționa ca un client sau server X11. Trebuie avut în vedere că, contrar practicii obișnuite, un server X11 se referă la computerul pe care este afișată imaginea, iar clientul este mașina pe care rulează programul. Software-ul server X11 există pentru multe sisteme de operare comune, inclusiv Windows, MacOS și altele, în timp ce software-ul client este implementat în principal pe UNIX.

În UNIX modern, utilitarele cu trei tipuri de interfețe sunt folosite pentru sarcini de management: Linie de comanda, text interactiv și grafică. Cu toate acestea, cele mai puternice și cuprinzătoare capacități ale sistemului de operare sunt utilitarele din linia de comandă. Astfel de programe sunt utilizate pe scară largă pentru a efectua operațiuni repetitive, cum ar fi crearea cont utilizator sau atribuirea drepturilor de acces. Utilitarele interactive de text și grafice sunt relativ noi pentru UNIX, dar datorită naturii interactive a comunicării, beneficiile utilizării lor în programele shell sunt departe de a fi evidente. Astfel de utilități sunt utilizate în principal pentru reglarea ocazională și fină a sistemului de operare și hardware. Astfel, orice emulator de terminal text va funcționa pentru administrarea UNIX.

În ciuda adoptării pe scară largă, Microsoft Windows NT nu poate concura cu UNIX în ceea ce privește administrarea. Pentru ușurința în administrare, da, dar nu pentru capacitățile sale. După cum știți, shell-ul grafic Windows este inseparabil de kernel-ul sistemului. Deși din punct de vedere al fiabilității, acest lucru nu este cel mai bun mod, o astfel de implementare vă permite să obțineți indicatori de performanță extrem de înalți la operațiunile grafice. Un alt lucru este că pe un server NT nu se folosește foarte mult acest lucru - scopul serverului nu este în niciun fel de a afișa rapid informații grafice. Microsoft a condus de fapt utilizatorii într-un colț, oferind în esență același sistem ca un client (NT Workstation) și un server (NT Server). În plus, grafic Mediul Windows nu este conectat în rețea.

Mai multe utilitare de administrare bazate pe linie de comandă sunt disponibile pentru Windows NT. Cu toate acestea, setul lor este destul de limitat și, în plus, capacitățile procesorului de comandă încorporat nu pot fi comparate cu shell-ul UNIX. Windows NT Server este livrat cu o serie de telecomandă managementul utilizatorilor, domenii, drepturi de acces etc. Astfel de programe pot fi instalate pe calculatoare Windows 9x și NT. Cu toate acestea, multe aplicații de rețea, în special aplicațiile de la terți, nu dispun de capabilități de control de la distanță. Prin urmare, pentru a gestiona pe deplin mediul de rețea, administratorul este forțat să stea la consolă sau să emuleze consola folosind programe specializate.

Structura de management a NetWare este fundamental diferită de cea a altor sisteme de operare în rețea. Toate operațiunile de configurare a serverului, inclusiv lansarea aplicațiilor, sunt efectuate din consolă. Totodată, gestionarea conturilor, imprimantelor, fișierelor și a serviciului de directoare NDS se face de pe site-urile clienților. Adevărat, în ultima versiune NetWare 5 are o singură consolă de gestionare a rețelei, ConsoleOne, de la care administratorul se poate gestiona resursele rețelei de oriunde din rețea, inclusiv de pe consolă. Cu toate acestea, capacitățile ConsoleOne sunt încă prea limitate și este lent deoarece este scris în Java. În plus, ponderea NetWare 5 pe piața sistemelor de operare în rețea este neglijabilă, deoarece majoritatea rețelelor Novell sunt bazate pe NetWare 4.x. Consola NetWare funcționează în modul text (serverul acceptă și modul grafic în NetWare 5), deci este gestionată folosind programe de linie de comandă și o interfață text interactivă. Limbajul de comandă NetWare este destul de slab, dar sistemul de operare include interpreți Basic și Perl care vă permit să creați programe destul de serioase. Programul de consolă la distanță inclus cu NetWare oferă acces la consola server prin rețea de la mașini client DOS, Windows, MacOS, UNIX.

Sunt disponibile programe grafice și interactive bazate pe text pentru a gestiona NDS, conturi, imprimante, permisiuni și multe altele, pentru operarea pe partea clientului. Există puține utilitare de linie de comandă disponibile și capabilitățile lor sunt limitate. Pe scurt, din punctul de vedere al managementului NDS, utilitatile grafice (si in primul rand NetWare Administrator) au cele mai puternice capacitati, urmate de programele text interactive (NETADMIN, PCONSOLE etc.), si abia apoi utilitarele din linia de comanda.

După ce am trecut în revistă principalele caracteristici ale structurii de management a sistemelor de operare în rețea, putem trece acum la familiarizarea cu cele mai comune instrumente de management de la distanță.

TELNET

Poate cel mai mult program celebru Telecomanda UNIX este telnet, mai ales că este inclusă cu aproape orice sistem de operare modern. telnet este un program de emulare a terminalului care utilizează protocolul de aplicație proprietar TELNET. Pentru a suporta serviciul telnet, serverul trebuie să ruleze program de sistem(numit demonul pe UNIX) telnetd, care se ocupă de solicitările clientului telnet. Serverul telnet poate deservi mai mulți clienți simultan, în timp ce Protocolul TELNET folosește TCP (portul 23) ca protocol de transport.

Telnet poate fi folosit pentru a controla nu numai computerele UNIX, ci și dispozitivele de rețea precum routere, comutatoare, servere de acces la distanță etc. telnet poate fi folosit pentru a administra Windows NT (software-ul de server pentru acest serviciu este disponibil în mai multe programe gratuite și comerciale) , dar numai în modul linie de comandă. Telnet permite utilizatorului să se conecteze la un server la distanță de la locul său și să lucreze cu acesta în modul text. Acest lucru creează o iluzie completă pentru utilizator că stă la terminalul text al acestui server.

Telnet este excelent pentru rețele eterogene, deoarece se bazează pe conceptul unui terminal virtual de rețea (NVT). Este cunoscut faptul că diverse sisteme de operare și hardware au caracteristici specifice legate de intrare/ieșire și procesare a informațiilor. De exemplu, UNIX folosește LF ca întrerupere de linie, în timp ce MS-DOS și Windows folosesc o pereche de caractere CR-LF. Terminalul virtual de rețea NVT vă permite să faceți abstracție de la caracteristicile echipamentelor specifice utilizând set standard personaje. Clientul telnet este responsabil pentru conversia codurilor client în coduri NVT, iar serverul face opusul (vezi Figura 1).

Telnet oferă un mecanism de configurare a parametrilor, în care clientul și serverul pot conveni asupra anumitor opțiuni, inclusiv codificarea datelor (7 sau 8 biți), modul de transmisie (half-duplex, caracter cu caracter, linie cu linie). ), tipul terminalului și altele. Comenzile și datele din telnet sunt transmise independent unele de altele. Pentru a face acest lucru, folosind un cod special, telnet este comutat din modul de transfer de date în modul de transfer de comandă și invers. Comenzile sunt informații utilizate pentru a controla serviciul telnet, în timp ce datele sunt ceea ce este introdus/ieșit prin driverele terminale (client) sau pseudo-terminale (server).

Telnet este un program de management de la distanță destul de puternic, dar are o serie de dezavantaje fundamentale. Cel mai important este că toate datele, inclusiv parolele, sunt transferate între computere în text clar. Odată conectat la rețea, oricine folosește cel mai simplu analizor de protocol nu poate doar să citească informații, ci chiar să obțină o parolă pentru acces neautorizat. Într-o rețea locală, probabilitatea unor astfel de atacuri poate fi redusă prin utilizarea comutatoarelor (hub-uri de comutare). Desigur, într-o rețea locală, utilizarea pe scară largă a comutatoarelor este foarte costisitoare, dar este mai bine să conectați stațiile de lucru ale administratorului prin intermediul acestora. Cu toate acestea, atunci când accesați prin Internet, în special atunci când administratorul lucrează acasă, problema rămâne. Cu toate acestea, puteți oferi acces la servere prin servere de acces la distanță folosind protocoale de autentificare precum CHAP, mai degrabă decât folosind ISP-uri. Din păcate, această abordare nu este acceptabilă pentru toate organizațiile.

A doua problemă aș numi faptul că este gratuită programe client telnetul inclus cu sistemele de operare are capacități limitate. Se întâmplă adesea că interactiv program text nici măcar nu poate porni pentru că clientul telnet nu suportă tipul de terminal al serverului și program interactiv nu dorește să lucreze cu tipurile de terminale care sunt incluse în clientul telnet.

Cu toate acestea, în ciuda acestor neajunsuri, telnet rămâne cel mai utilizat program de telecomandă.

RLOGIN

Introdus pentru prima dată cu 4.2BSD UNIX, rlogin a fost la un moment dat extrem de popular în mediul UNIX. Ca mijloc de acces la terminal, rlogin este foarte asemănător cu telnetul, dar datorită integrării sale strânse cu sistemul de operare, a găsit o utilizare foarte limitată în alte sisteme. Rlogin îi lipsesc multe dintre opțiunile inerente telnetului, în special modul de negociere a parametrilor între client și server: tipul terminalului, codificarea datelor etc. Prin urmare, dimensiunea codului programului rlogin este de aproape zece ori mai mică decât cea a lui. telnet. Cu toate acestea, rlogin prevede relații de încredere între gazde: pe serverul rlogin, în fișierele de sistem speciale (de obicei /etc/hosts.equiv și $ HOME / .rhosts), administratorul poate lista computerele cărora li se va permite accesul la acest server fără un parola. Utilizatorii altor computere (nu sunt enumerate în aceste fișiere) se pot conecta la server numai după introducerea unei parole.

O altă versiune de rlogin, cunoscută sub numele de rsh, vă permite să rulați programe pe o mașină la distanță cu intrare și ieșire pe mașina locală. Un alt program, rcp, este conceput pentru a copia fișiere între computere din rețea. Utilitarele rlogin, rsh și rcp sunt adesea denumite colectiv comenzi r.

Din păcate, experiența a arătat că încrederile bazate pe nume de gazdă sunt extrem de periculoase, deoarece deschid ușa accesului neautorizat. Utilizarea pe scară largă a tehnologiei IP-spoofing și DNS-spoofing de către hackeri face ca serviciul r-command să fie nesigur. Acest lucru este adevărat chiar și atunci când relația de încredere între gazde nu este stabilită deloc. Prin urmare, în prezent, serviciul rlogin și-a găsit utilizare numai în rețelele care sunt complet închise de la Internet. La fel ca telnet, datele și parolele (în absența unei relații de încredere) sunt transmise în text clar.

În plus, software-ul client pentru comenzile r pe platformele DOS și Windows este mai puțin răspândit decât pentru telnet și, în general, este disponibil doar în produsele comerciale destul de scumpe.

CARCASA SIGURĂ

Evident, transmiterea datelor și mai ales a parolelor prin rețea în text clar în programele telnet și rlogin nu poate satisface nici măcar Cerințe minime pentru siguranță. Proteja Sisteme de informare există mai multe modalități de a vă proteja împotriva atacurilor rău intenționate. Unele dintre ele asigură protecția prin parolă, în timp ce altele au ca scop criptarea întregului flux de informații. Dintre acestea din urmă, cel mai popular este Program securizat shell (ssh), parte din suita oricărui gentleman de acces securizat la terminale UNIX. Versiunea non-comercială a Secure shell poate fi descărcată de pe serverul autorului programului T. Yalonen ( http://www.ssh.fi). dar versiune gratuită ssh este disponibil numai pentru UNIX. Data Fellows ( http://www.datafellows.com) oferă ssh comercial, îmbunătățit, inclusiv pentru platforma Windows.

Shell-ul securizat oferă capabilități similare cu comenzile telnet și r, incluzând nu numai accesul la terminal, ci și mijloacele de copiere între computere. Dar, spre deosebire de ei, ssh oferă și o conexiune X11 sigură.

Securitatea programului ssh se realizează prin utilizarea protocolului de nivel de transport, a protocolului de autentificare și a protocolului de conectare. Protocolul stratului de transport este responsabil pentru autentificarea serverului, protocolul de autentificare este pentru identificarea puternică și autentificarea clientului. Protocolul de conectare formează un canal de transfer de informații criptat.

După cum sa menționat deja, Secure shell a devenit un fel de standard pentru accesul securizat, inclusiv în Rusia. Acesta este un produs foarte interesant despre care se poate vorbi foarte mult timp. Cu toate acestea, nu vom face acest lucru (informații mai detaliate despre Secure shell pot fi găsite în articolul lui M. Kuzminsky „Ssh - un mijloc de zi cu zi de lucru sigur” din revista „Open Systems” nr. 2, 1999). Chestia este că acest produs, ca multe altele, este interzis pentru utilizare în Rusia.

Conform Decretului Președintelui Federației Ruse nr. 334 din 04/03/95, persoanelor fizice și oricăror organizații, inclusiv societăți de stat, private și pe acțiuni, le este interzis să opereze sisteme de criptare care nu au fost certificate de FAPSI. . Secure shell este doar un astfel de sistem. Cu toate acestea, nu ar trebui să fiți jignit de serviciile noastre speciale - nu suntem singuri în lume, în unele țări, de exemplu, în Franța, regulile sunt și mai stricte (în dreptate, trebuie menționat că în Franța, din martie anul acesta, restricțiile privind sistemele de criptare au fost slăbite semnificativ). De asemenea, nu ar trebui să vă gândiți că încearcă să ne împiedice să protejăm informațiile confidențiale: organizațiile nu numai că pot, dar sunt obligate să protejeze informațiile importante. Numai pentru aceasta trebuie să folosească instrumente certificate și nu distribuite gratuit pe Internet. Desigur, programele bazate pe ssh, SSL, PGP etc. sunt omniprezente în țara noastră, dar trebuie amintit că utilizarea lor este plină de probleme considerabile. Utilizatorii unor astfel de programe riscă să fie investigați de către agențiile de informații. În orice caz, nu avem niciun drept și nicio dorință să promovăm o astfel de abordare.

AUTENTICARE SIGURĂ

În majoritatea sarcinilor de management, administratorii nu sunt interesați de protecția datelor transmise, ci de autentificarea fiabilă a utilizatorului, astfel încât un atacator să nu poată intercepta și utiliza parola de administrator. Pot exista mai multe soluții. În primul rând, este tehnologia Kerberos bazată pe emiterea de bilete (bilete). (De fapt, Kerberos oferă nu numai autentificare, ci și criptare a comunicațiilor de rețea, care, din nou, intră sub incidența decretului prezidențial.) Cu toate acestea, din cauza restricțiilor de export ale guvernului SUA, mecanismul de criptare este slăbit semnificativ. În sistemele de dial-up corporative, pot fi utilizate servicii de autentificare robuste, cum ar fi RADIUS, TACACS + și XTACACS. Dar toate aceste servicii (inclusiv Kerberos) presupun reproiectarea pe scară largă a infrastructurii de rețea, ceea ce implică costuri ridicate. Acest lucru este greu justificat dacă gama de sarcini de acces la distanță este limitată doar de problemele de gestionare a sistemelor de operare în rețea.

Suportul pentru parolă unică (OTP) este mai potrivit pentru astfel de sarcini. Esența unor astfel de sisteme este că parola utilizatorului transmisă prin rețea este valabilă pentru o singură sesiune de comunicare. Adică, chiar dacă atacatorul a reușit să intercepteze parola, nu o va putea folosi, deoarece parola va fi deja schimbată în următoarea sesiune.

Pentru a activa OTP pe server, demonii telnet, rlogin, ftp vor trebui înlocuiți (desigur, serviciile noi pot fi pornite selectiv, de exemplu, utilizați telnetd-ul actualizat, dar păstrați ftpd-ul „nativ”). În acest caz, software-ul client nu trebuie actualizat, ceea ce este foarte convenabil. Un sistem OTP funcțional a fost lansat pentru prima dată de Bell Core (acum Telcordia Technologies) în 1991 sub numele S / Key. O caracteristică importantă a S / Key este că inițial a fost un produs necomercial care funcționează cu multe versiuni UNIX. Acum cele mai populare sunt versiunile următoare Sistemele OTP (toate, cu excepția versiunii S/Key 2.0 și superioare, sunt distribuite gratuit):

S / Key of Telcordia Technologies (ftp://ftp.bellcore.com);
OPIE US Navy Research Laboratory (ftp://ftp.nrl.navy.mil);
LogDaemon, dezvoltat de Vietse (ftp://ftp.porcupine.org/pub/security).

Sistemele enumerate sunt compatibile cu S / Key 1.0. Implementările OTP actuale se bazează pe algoritmi de hashing MD4 și MD5 (S / Key 1.0 folosit exclusiv MD4).

Cum funcționează sistemele OTP? La inițializarea OTP pe server, fiecare utilizator atribuie doi parametri: o cheie secretă (nu este transmisă prin rețea) și numărul de iterații, adică numărul de autentificări în timpul cărora această cheie secretă va fi valabilă. Serverul aplică algoritmul MD4 sau MD5 cheii private și își amintește valoarea hashing. După aceea, utilizatorul poate lucra cu serverul prin rețea prin telnet obișnuit, ftp etc.

Autentificarea utilizatorului pentru accesul la terminal se realizează după cum urmează. După introducerea numelui de utilizator, i se dă numărul următoarei iterații și o anumită sursă (seed). Începutul procedurii de autentificare a utilizatorului este prezentat în Figura 2. Aici numărul iterației este 967, iar originea este jar564. În câmpul Parolă, utilizatorul trebuie să introducă nu propria sa cheie secretă, ci o expresie de acces formată din șase cuvinte. Această expresie este generată pe baza cheii secrete, a numărului de iterație și a sursei folosind un calculator special (vezi Figura 3). Pentru a obține o expresie de acces, utilizatorul introduce numărul de iterație, sursa și propria sa cheie secretă (în exemplul dat, expresia de acces finală arată astfel: „NO HUFF ODE HUNK DOG RAY”).

Apoi fraza de acces este introdusă în câmpul Parolă al programului de acces la terminal, după care utilizatorul este identificat de server. Trebuie avut în vedere că în timpul următoarei autentificări, numărul de iterație va scădea cu unul, sursa nu se va schimba, iar fraza de acces va fi complet diferită. Astfel, interceptarea unei fraze de acces nu va oferi nimic unui atacator, deoarece sistemul nu îl identifică atunci când încearcă să se înregistreze. Componenta principală a securității este cheia secretă și nu este niciodată transmisă prin rețea. Datorită utilizării algoritmilor MD4 și MD5, este aproape imposibil să se calculeze cheia secretă din fraza de acces, numărul de iterație și sursa.

Când numărul de iterație ajunge la zero, contul de utilizator trebuie reinițializat.

Poate părea că principalul inconvenient pentru utilizator este calculatorul. Dar acest lucru nu este în întregime adevărat, deoarece calculatorul este un program foarte mic care nu necesită setări. Aceste calculatoare sunt disponibile gratuit pentru toate platformele populare, inclusiv MS-DOS, Windows, Macintosh și UNIX. Mai mult, frazele de acces pot fi memorate (sau notate) în avans, pentru mai multe sesiuni de acces la terminale înainte, scăzând secvenţial numărul de iteraţii. Astfel, pentru a gestiona de la distanță serverul, administratorul nu are nevoie să instaleze calculatorul pe toate locațiile client în care ar putea avea nevoie să lucreze.

SISTEM DE FEREASTRĂ X

Deși practic toate sarcinile de management UNIX pot fi efectuate în modul text, administratorii preferă adesea o interfață grafică, deoarece este mai ușor de utilizat. În plus, unele noi aplicații UNIX de pe piață pot fi rulate doar într-un mediu grafic. Software-ul de ieșire grafică X-server este disponibil pentru o varietate de platforme, inclusiv DOS, Windows, Macintosh, UNIX și așa mai departe.Totuși, în majoritatea cazurilor (cu excepția UNIX), vine cu produse comerciale scumpe. Deoarece clienții X11 (după cum sa subliniat deja, conceptul de client și server în sistemul X Window nu este o practică obișnuită) sunt în principal servere UNIX.

Trebuie avut în vedere faptul că utilizarea sistemului X Window necesită o lățime de bandă a rețelei destul de mare. Sistemul funcționează bine pe rețelele locale, dar foarte lent - pe canalele globale. Prin urmare, atunci când utilizați X Window System pe computerul de acasă al administratorului, este mai bine să îl controlați prin utilități terminale precum xterm, mai degrabă decât prin utilități grafice.

Când este conectat la un server UNIX (care rulează clienți X11), autentificarea se poate face în două moduri: prin utilități terminale (telnet, rlogin, etc.) și prin X Display Manager (xdm). În prima opțiune, transmiterea parolei în text clar poate fi evitată folosind programele ssh și OTP deja menționate în locul telnet și rlogin. În cazul X Display Manager, parolele sunt transmise implicit în text clar. Prin urmare, nu ar trebui să utilizați xdm atunci când gestionați de la distanță un server UNIX prin rețele publice.

Administratorii ar trebui să fie foarte atenți la utilizarea unui server UNIX ca server X (adică, în limbaj simplu, rulează shell-ul grafic X11 pe un server UNIX). Sistemul X Window este proiectat astfel încât un utilizator să poată rula un client X de pe mașina lui server la distanta X și interceptați informațiile de intrare/ieșire pe acesta. Ca urmare, un atacator dobândește capacitatea de a citi informații confidențiale de pe serverul X, inclusiv parolele introduse de utilizator pe serverul X (deși emulatorul de terminal xterm vă permite să blocați interceptarea parolelor, această caracteristică este rar folosită de oricine).

Serverele X folosesc două scheme de autentificare a clientului: după nume de gazdă și prin magic buns (MIT-MAGIC-COOKIE-1). Autentificarea numelui de gazdă creează fișiere de sistem pe serverul X care listează gazdele de pe care programele client X au permisiunea de a rula acest server X. Dar o astfel de protecție nu este deloc suficientă, deoarece un atacator poate ataca X11 prin falsificarea adreselor IP sau a numelor de domenii. Când se utilizează schema de „chile magice” (suportul lor este încorporat în protocolul XDMCP, pe baza căruia funcționează X Display Manager), autentificarea se realizează pe baza conturilor de utilizator. Pentru a putea rula un client pe un server X, un utilizator din directorul său principal al mașinii client X11 trebuie să aibă fișier de sistem cu codul secret al serverului X notat. Acest cod secret se numește cocul magic. Singura problemă este că cocul este transmis prin rețea într-o formă deschisă, prin urmare aceasta metoda de asemenea cu greu sigure.

X Window System 11 Release 5 adaugă încă două scheme (XDM-AUTHORIZATION-1 și SUN-DES-1), similare cu schema MIT-MAGIC-COOKIE-1, dar folosind algoritmul de criptare DES. Cu toate acestea, din cauza restricțiilor de export, astfel de scheme nu sunt incluse în sistemul X Window. Pe baza considerațiilor de mai sus, puteți rula software-ul server X11 pe un server UNIX numai atunci când alte computere nu au voie să acceseze clienții X11.

Tot ceea ce s-a spus despre securitatea slabă a unui server X bazat pe un server UNIX se aplică pe deplin mașinilor client administrative pe care rulează X Window System.

SERVER WINDOWS NT

Când instalați Microsoft Windows NT Server, se presupune că sistemul de operare va fi administrat de pe consola serverului. Cu toate acestea, kitul NT Server conține și utilitare de gestionare la distanță. Acestea se află în distribuția Windows NT Server în directorul \ Clients \ Srvtools. Aceste utilitare pot fi instalate atât pe Windows NT Workstation, cât și pe Windows 9x (vezi Figura 4). Cu ajutorul lor, puteți administra conturi de utilizator și de grup, drepturi și privilegii, domenii NT, puteți monitoriza jurnalele de evenimente pe servere și stații de lucru. Utilitarele funcționează în modul grafic, similar cu utilitățile native de gestionare a serverului NT. În timp ce utilitățile de gestionare la distanță vă permit să faceți cea mai mare parte a administrării sistemului, din acest set lipsesc o serie de programe importante. De exemplu, acestea nu pot fi utilizate pentru a efectua configurarea hardware-ului serverului, backup-uri, gestionarea licențelor, monitorizarea performanței și așa mai departe. În plus, multe aplicații de server terțe nu au niciun software de control de la distanță.

Kitul de resurse Windows NT Server, furnizat de Microsoft, include o serie de programe suplimentare administrare, inclusiv bazată pe linia de comandă. Cele mai importante dintre acestea sunt ADDUSER.EXE (crearea de noi conturi de utilizator și de grup), CACLS.EXE (gestionarea drepturilor de acces), DUMPEL.EXE (afișarea informațiilor despre evenimente din jurnalele de evenimente pe ecran sau fișier), RMTSHARE (gestionarea resurselor de rețea). ). Folosind chiar și un procesor de comandă NT slab, nu este dificil pentru un administrator să scrie un program tipic pentru crearea unui cont nou cu atribuire automată de drepturi și privilegii.

Există, de asemenea, câteva programe pentru Windows NT care implementează serverul telnet. Acesta permite unui administrator să acceseze de la distanță serverul NT și să ruleze programe bazate pe linia de comandă. Din nou, amintiți-vă că majoritatea implementărilor telnet transmit parola în text clar.

Dar, după cum sa menționat deja, utilitarele de acces la distanță și programele de linie de comandă nu pot rezolva toate sarcinile administrative. Prin urmare, unele soluții presupun emularea GUI Windows Server NT pe un computer la distanță.

În primul rând, aș dori să menționez produsele WinFrame de la Citrix și Windows Terminal Server (WTS) de la Microsoft. În conformitate cu arhitectura acestor produse, aplicațiile rulează pe serverul NT și I/O au loc pe computerele client. Potrivit producătorilor lor, WinFrame și WTS funcționează deja în mod rezonabil la 28 Kbps, așa că vă puteți gestiona chiar și serverele de acasă. Pentru a utiliza aceste instrumente, partea de server a software-ului trebuie să fie localizată pe serverul NT, iar software-ul client trebuie să fie localizat la stațiile de lucru ale administratorului. WinFrame și WTS nu transmit parole în text clar.

Din motive de corectitudine, trebuie spus că astfel de soluții sunt redundante pentru sarcinile administrative. Tehnologia WinFrame și WTS implică conectarea mai multor clienți la server. (De obicei, administratorul are nevoie de un singur acces la server.) Din această cauză, soluțiile bazate pe aceste produse sunt destul de scumpe. De exemplu, conectarea unui client la un server WinFrame va costa între 200 USD și 400 USD, ceea ce este foarte scump deoarece o organizație poate avea mai mult de un server și mai mult de un administrator.

Mai potrivite, după părerea mea, pentru administrarea la distanță sunt pachetele specializate de management de la distanță precum pcANYWHERE de la Symantec și ReachOut de la Stac. Când utilizați aceste produse, conținutul ecranului serverului NT este duplicat pe afișaj calculator local, informațiile sunt introduse de la tastatura (și mouse-ul) computerului local și sunt transmise la telecomandă (în în acest caz- către serverul NT). Totul arată ca și cum administratorul stă la consola serverului. pcANYWHERE și alte produse similare funcționează bine nu numai într-o rețea locală, ci și pe linii de linie telefonică lente. Cu toate acestea, au o limită a numărului de conexiuni simultane la server (de obicei o singură conexiune). Produsele PcANYWHERE au criptare încorporată, deci este puțin probabil ca parola să fie interceptată.

Dezavantaje comune la distanta Gestionare Windows NT este necesitatea de a instala produse software suplimentare pe site-urile client ale administratorilor.

NETWARE

Datorită arhitecturii unice a Novell NetWare, problemele de acces la consolă de la distanță ar trebui separate de problemele de gestionare a resurselor de rețea.

Gestionarea conturilor de utilizatori, a grupurilor, a obiectelor NDS, a drepturilor de acces în NetWare se realizează de pe site-urile clientului, astfel încât administrarea este inițial la distanță. Cu toate acestea, administratorii se pot confrunta cu un singur obstacol: înainte de NetWare 5, IPX / SPX era protocolul de rețea principal. Acest lucru a creat și continuă să fie o problemă majoră la gestionarea serverelor NetWare prin Internet. Dacă un administrator trebuie să poată controla sistemul de operare al rețelei de pe un computer de acasă, atunci ar trebui să ia în considerare conectarea la o rețea locală printr-un server de acces la distanță care acceptă protocoale IPX / SPX. Din fericire, majoritatea serverelor hardware acceptă acest mod.

Cu toate acestea, costurile creării infrastructurii necesare pot fi inacceptabile, așa că adesea computerele de acasă ale administratorilor sunt conectate la rețeaua locală prin Internet. Într-o astfel de situație, puteți oferi următoarea opțiune: instalați programul pcANYWHERE (sau unul similar) pe unul dintre computerele din rețeaua locală și computer de acasă să efectueze prin această legătură intermediară. Această abordare, apropo, se poate dovedi a fi mai atractivă din punct de vedere al performanței, deoarece programele de gestionare a rețelei (în special NetWare Administrator) rulează foarte lent prin conexiuni dial-up. O altă modalitate este să actualizați NetWare la versiunea 5 (sau să instalați NetWare / IP).

Pentru accesul la consolă de la distanță, NetWare include utilitarul Rconsole pentru accesarea consolei de la o stație de lucru în rețea. Cu toate acestea, are două limitări: în primul rând, parola consolei este transmisă în text clar, iar în al doilea rând, IPX / SPX este utilizat ca protocol. Utilitare de la terți care oferă acces securizat de la distanță la consolă vă permit să evitați transmiterea parolelor în text clar. Cel mai faimos dintre ele este programul comercial SecureConsole pentru NetWare de la Protocom Development Systems ( http://www.serversystems.com). Utilizează parola de administrator criptată la accesare.

Ca și în alte cazuri, obstacolul sub forma protocoalelor IPX / SPX poate fi înlăturat prin utilizarea unor programe precum pcANYWHERE (adică folosind unul dintre computerele din rețeaua locală ca legătură de transmisie). O altă modalitate este să folosiți programul xconsole, care oferă acces la consolă prin sistemul X Window, adică prin TCP/IP. Utilitarul de acces la distanță Java RConsoleJ din NetWare 5 folosește, de asemenea, TCP / IP ca transport. Cu toate acestea, programele xconsole și RConsoleJ transmit parola în text clar. Pe scurt, vă recomandăm să utilizați instrumente specializate precum pcANYWHERE pentru a gestiona NetWare de la distanță.

TEHNOLOGIA WEB

Tehnologia web influențează din ce în ce mai mult controalele mediului de rețea. Deja, multe routere, comutatoare, imprimante de rețea pot fi gestionate prin intermediul browserelor Web. Dar această listă este departe de a fi epuizată de ei, Web-ul invadând și sfera managementului sistemelor de operare în rețea. La început, numai serverele HTTP și FTP puteau fi controlate de pe Web, dar această listă este în continuă extindere și acum include DBMS, sisteme de fișiere, firewall-uri, servicii de rețea DNS, DHCP și multe altele. Chiar și NDS poate fi gestionat prin browsere folosind software comercial proprietar. În ciuda celor de mai sus, tehnologiile bazate pe web nu sunt încă suficient de mature pentru a gestiona pe deplin întregul mediu de rețea. Problema este agravată de faptul că pentru multe aplicații și, mai ales, dispozitive de rețea, parola este transmisă prin HTTP în text clar.

CONCLUZIE

Atunci când organizați managementul serverului de la distanță, este necesar să luați în considerare mulți factori, în primul rând, caracteristicile sistemului de operare în rețea, performanța liniilor de comunicație și problemele de autentificare securizată. Cel mai complet set de instrumente de management este furnizat de UNIX, cu toate acestea, cu abordarea corectă, Administratorii Windows De asemenea, NT și NetWare nu sunt motive de îngrijorare.

Și portul serverului, în urma căruia se stabilește o conexiune care permite a două computere să comunice folosind protocolul de aplicație de rețea adecvat.

Numerele portului

Numărul portului pentru „legarea” unui serviciu este selectat în funcție de funcționalitatea acestuia. IANA este responsabilă pentru alocarea numerelor de port anumitor servicii de rețea. Numerele porturilor variază de la 0 la 65535 și sunt împărțite în 3 categorii:

Numerele portului	Categorie	Descriere
0 - 1023	Porturi cunoscute	Numerele de port sunt atribuite de IANA și pe majoritatea sistemelor pot fi utilizate numai de procesele de sistem (sau utilizatorul root) sau programe de aplicație condus de utilizatori privilegiați. Nu trebuie folosit fără înregistrare IANA. Procedura de înregistrare este definită în secțiunea 19.9 din RFC 4340.
1024 - 49151	Porturi înregistrate	Numerele porturilor sunt listate în directorul IANA și pe majoritatea sistemelor pot fi utilizate de către procesele utilizatorului obișnuit sau programele rulate de utilizatori obișnuiți. Nu trebuie folosit fără înregistrare IANA. Procedura de înregistrare este definită în secțiunea 19.9 din RFC 4340.
49152 - 65535	Porturi utilizate dinamic și/sau porturi utilizate în interiorul rețelelor închise (private).	Destinat utilizării temporare - ca porturi client, porturi utilizate prin negociere pentru servicii private și pentru testarea aplicațiilor înainte de înregistrarea porturi dedicate. Aceste porturi nu poate fi înregistrată .

Lista corespondenței dintre serviciile de rețea și numerele de porturi

IANA menține o listă oficială a corespondențelor dintre serviciile de rețea și numerele de port.

Istoricul reglementărilor de conformitate

Problemele unificării corespondenței serviciilor de rețea cu numerele de socket (port) au fost ridicate în RFC-urile 322 și 349, primele încercări de reglementare au fost făcute de John Postel în RFC-urile 433 și 503.

Lista curentă

netstat -an

În sistemele de operare Windows, rezultatul acestei comenzi arată astfel:

Conexiuni active Nume Adresă locală Adresă externă Stare TCP 0.0.0.0:135 0.0.0.0 0 ASCULTARE TCP 0.0.0.0:445 0.0.0.0 0 ASCULTARE TCP 127.0.0.1:1026 0.0.0.0.0 0.0.0.0.02 0.0.0.0.02 0.0.0.0.02.0.02. 0 ASCULTARE TCP 127.0.0.1:12080 0.0.0.0 0 ASCULTARE TCP 127.0.0.1:12110 0.0.0.0 0 ASCULTARE TCP 127.0.0.1:12119 0.0.0.0.0 0.0.0.0.0 CP 0.0.0.0.1:12110 . 0.16:139 0.0.0.0 0 ASCULTARE TCP 192.168.0.16:1572 213.180.204.20:80 CLOSE_WAIT TCP 192.168.0.16:1573 213.180.204.20:80 * UDP:0.040.040.040.040.040.0.040.0.040. UDP 0.0.0.0:1025 *: * UDP 0.0.0.0:1056 *: * UDP 0.0.0.0:1057 *: * UDP 0.0.0.0:1066 *: * UDP 0.0.0.0:4500 *: * UDP 121:. 123 *: * UDP 127.0.0.1:1900 *: * UDP 192.168.0.16:123 *: * UDP 192.168.0.16:137 *: * UDP 192.168.0.16:138 *: * UDP 192.168.0.16:137 *: * UDP 192.168.0.16:138 *: * UDP 192.168.0.16:138 *: * UDP 192.168.0.16:138 *: * UDP 192.168.0.16:138 *: *

În sistemul de operare asemănător UNIX, rezultatul comenzii netstat -an arata asa:

Conexiuni la Internet active (servere și stabilite) Proto Recv-Q Send-Q Adresă locală Adresă străină Stare tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2601 0.0.0.0:* ASCULTAT tcp 0 0 0.0.0.0:3306 0.0.0.0:* ASCULTAT tcp 0 0 0.0.0.0:2604 0.0.0.0:* ASCULTAȚI tcp 0.0.0.0.0 0.0.0.0 . 0.0: * ASCULTAT tcp 0 0 0.0.0.0:13 0.0.0.0:* ASCULTAT tcp 0 0 0.0.0.0:179 0.0.0.0:* ASCULTAT tcp 0 0 0.0.0.0.0:21 0.0.0.0.0:* .0.00. .0.0: 22 0.0.0.0:* ASCULTAT tcp 0 0 0.0.0.0:1723 0.0.0.0:* ASCULTAT tcp 0 0 10.0.0.254:1723 10.0.0.243:2441 . 33793 STABILIT tcp 1 0 192.168.18.250:37 192.168.18.243:3723 CLOSE_WAIT tcp 0 0 10.0.0.254:1723 10.0.0.218:1066 STABILIT tcp 1 0 192.168.18.250:37 192.168.18.243:2371 CLOSE_W: 1723 10.0.0.201: 4346 ESTABLISHED tcp 0 0 10.0.0.254:1723 10.0.0.30:2965 STABILIT tcp 0 48 192.168.19.34:22 192.168.18.18:43645 STABILIT tcp 0 0 10.0.0.254:38562 10.0.0.243:22 STABILITĂ tcp minate 0 0 10.50.1.254:1723 10.50.1.2:57355 tcp STABILIT 0 0 10.50.0.254:1723 10.50.0.174:1090 STABILIT tcp 0 0 192.168.10.254:1723 192.168.13.104:65535 STABILIT tcp 0 0 10.0.0.254: 1723 10.0.0.144:65535 STABILIT tcp 0 0 10.0.0.254:1723 10.0.0.169:2607 STABILIT tcp 0 0 10.0.0.254:1723 10.0.0.205:1034 STABILIT udp 0 0 0.0.0.0:1812 0.0.0.0:* udp 0 0 0.0.0.0:1813 0.0.0.0:* udp 0 0 0.0.0.0:161 0.0.0.0:* udp 0 0 0.0.0.0:323 0.0.0.0:* udp 0 0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. brut 0 0 192.168.10.254:47 192.168.13.104:* 1 crud 0 0 10.0.0.254:47 10.0.0.120:* 1 crud 0 0 10.10.204.04:10.10.204.14:10.0.254:47 192.168.11.72:* 1 brut 0 0 10.0.0.254:47 10.0.0.144:* 1 brut 0 0 10.0.0.254:47 10.0.0.205:* 1 brut 0 0.0.0.14.04:* 0 10.0.0.254:47 10.0.0.170:* 1 brut 0 0 10.0.0.254:47 10.0.0.179:* 1

Stat ASCULTARE (ASCULTARE) spectacole conexiuni deschise pasiv (Prize de ascultare). Ei sunt cei care oferă servicii de rețea. STABILIT- aceasta legături stabilite, adică servicii de rețea în curs de utilizare.

Verificarea disponibilității serviciilor de rețea

Dacă sunt detectate probleme cu un anumit serviciu de rețea, se folosesc diverse instrumente de diagnosticare pentru a verifica disponibilitatea acestuia, în funcție de prezența acestora în sistemul de operare dat.

Unul dintre cele mai convenabile instrumente este comanda (utilitatea) tcptraceroute (un fel de traceroute), care folosește pachete TCP pentru a deschide o conexiune (SYN | ACK) cu serviciul specificat (în mod implicit, un server web, portul 80) al gazda de interes și afișează informații despre timpul de tranzit al acestui tip de pachete TCP prin routere, precum și informații despre disponibilitatea serviciului pe gazda de interes sau, în caz de probleme cu livrarea pachetelor, unde au apărut acestea. în potecă.

Alternativ poate fi folosit separat

traceroute pentru diagnosticarea rutei de livrare a pachetelor (dezavantajul este utilizarea pachetelor UDP pentru diagnosticare) și
telnet sau netcat la portul serviciului problematic pentru a-i testa răspunsul.

Note (editare)

Vezi si

Legături

Numere cunoscute de socket RFC 322
Numere de soclu standard propuse RFC 349 (RFC 433 anulat)
Lista numerelor de socket RFC 433 (anulată de RFC 503)
Lista numerelor de socket RFC 503 (ștersă de RFC 739)
RFC 739 NUMERE ATRIBUITE (prima listă de numere atribuite a fost înlocuită cu un număr de RFC-uri, ultima dintre acestea fiind RFC 1700)
Protocolul RFC 768 User Datagram
RFC 793 PROTOCOL DE CONTROL A TRANSMISIEI
NUMERE ASIGNATE RFC 1700 ( ultima lista numere atribuite, abrogate prin RFC 3232)
Numere atribuite RFC 3232: RFC 1700 este înlocuit de o bază de date on-line
RFC 4340 Datagram Congestion Control Protocol (DCCP) - STANDARD PROPUS

Fundația Wikimedia. 2010.

Niflo, Isidor
Salate de vinete si caviar

Vedeți ce înseamnă „Servicii de rețea” în alte dicționare:

Servicii de rețele sociale- Serviciul de rețele sociale este o platformă virtuală care conectează oamenii la comunități în rețea folosind software, computere, rețea (Internet) și rețea de documente (World Wide Web). Servicii sociale în rețea în ... ... Wikipedia

Servicii de internet- servicii furnizate pe internet utilizatorilor, programe, sisteme, niveluri, blocuri functionale. Pe Internet, serviciile sunt furnizate de servicii de rețea. Cele mai comune servicii de Internet sunt: stocarea datelor; transmitere ... ... Vocabular financiar

Port (protocoale de rețea)- Portul de rețea este un parametru de protocol UDP care determină destinația pachetelor de date în formatul Acesta este un număr condiționat de la 0 la 65535, permițând diferitelor programe care rulează pe aceeași gazdă să primească date independent unul de celălalt (ele oferă acest... ... Wikipedia

Kernel (sistem de operare)- Acest termen are alte semnificații, vezi Core. Kernel-ul este partea centrală a unui sistem de operare (OS) care oferă aplicațiilor acces coordonat la resursele computerului, cum ar fi timpul procesorului, memoria și hardware-ul extern ... ... Wikipedia

Microkernel- Acest termen are alte semnificații, vezi Micronucleu (citologie). Arhitectura microkernel-ului se bazează pe programe de server în modul utilizator... Wikipedia

Sistem de operare Microkernel- Arhitectura microkernel-ului se bazează pe programe server în modul utilizator.Microkernel-ul este implementarea minimă a funcțiilor nucleului sistemului de operare. Microkernel-urile clasice oferă doar un set foarte mic de primitive de nivel scăzut... Wikipedia

Protocol simplu de descoperire a serviciului- Nume SSDP: Nivelul protocolului de descoperire a serviciului simplu (conform modelului OSI): Familie de sesiuni: Port TCP / IP / ID: 1900 / Protocolul de descoperire a serviciului simplu UDP (SSDP... Wikipedia...

Letopisi.ru- Această pagină necesită o revizuire semnificativă. Poate fi necesar să fie wikificat, completat sau rescris. Explicarea motivelor și discuție pe pagina Wikipedia: Pentru îmbunătățire / 16 mai 2012. Data punerii în scenă pentru îmbunătățire 16 mai 2012 ... Wikipedia

Scanarea rețelei- atac de rețea. Descriere Scopul acestui atac este de a afla ce computere sunt conectate la rețea și ce servicii de rețea rulează pe ele. Prima sarcină este rezolvată prin trimiterea de mesaje Echo ale protocolului ICMP folosind ping c ...... Wikipedia

7ya.ru- Editor ALP Media Editor-șef Elena Konstantinovna Polyaeva Fundația Data 2000 Certificat de înregistrare în mass-media El Nr. FS77 35954 Limba ... Wikipedia

Cărți

Jocuri multiplayer. Online Application Development, Glazer Joshua, Online Multiplayer Games este o afacere de mai multe miliarde de dolari care atrage zeci de milioane de jucători. Această carte, folosind exemple reale, vorbește despre caracteristicile dezvoltării unor astfel de jocuri și... Categorie:

Și portul serverului, în urma căruia se stabilește o conexiune care permite a două computere să comunice folosind protocolul de aplicație de rețea adecvat.

Numerele portului

Numerele portului	Categorie	Descriere
0 - 1023	Porturi cunoscute	Numerele de port sunt atribuite de IANA și, pe majoritatea sistemelor, pot fi utilizate numai de procesele din sistem (sau de utilizatorul root) sau de aplicațiile rulate de utilizatori privilegiați. Nu trebuie folosit fără înregistrare IANA. Procedura de înregistrare este definită în secțiunea 19.9 din RFC 4340.
1024 - 49151	Porturi înregistrate	Numerele porturilor sunt listate în directorul IANA și pe majoritatea sistemelor pot fi utilizate de către procesele utilizatorului obișnuit sau programele rulate de utilizatori obișnuiți. Nu trebuie folosit fără înregistrare IANA. Procedura de înregistrare este definită în secțiunea 19.9 din RFC 4340.
49152 - 65535	Porturi utilizate dinamic și/sau porturi utilizate în interiorul rețelelor închise (private).	Destinat utilizării temporare - ca porturi client, porturi utilizate prin negociere pentru servicii private și pentru testarea aplicațiilor înainte de înregistrarea porturi dedicate. Aceste porturi nu poate fi înregistrată .

Lista corespondenței dintre serviciile de rețea și numerele de porturi

IANA menține o listă oficială a corespondențelor dintre serviciile de rețea și numerele de port.

Istoricul reglementărilor de conformitate

Lista curentă

netstat -an

În sistemele de operare Windows, rezultatul acestei comenzi arată astfel:

În sistemul de operare asemănător UNIX, rezultatul comenzii netstat -an arata asa:

Stat ASCULTARE (ASCULTARE) spectacole conexiuni deschise pasiv (Prize de ascultare). Ei sunt cei care oferă servicii de rețea. STABILIT- Acestea sunt conexiuni stabilite, adică servicii de rețea în cursul utilizării lor.

Verificarea disponibilității serviciilor de rețea

Alternativ poate fi folosit separat

traceroute pentru diagnosticarea rutei de livrare a pachetelor (dezavantajul este utilizarea pachetelor UDP pentru diagnosticare) și
telnet sau netcat la portul serviciului problematic pentru a-i testa răspunsul.

Note (editare)

Vezi si

Legături

Numere cunoscute de socket RFC 322
Numere de soclu standard propuse RFC 349 (RFC 433 anulat)
Lista numerelor de socket RFC 433 (anulată de RFC 503)
Lista numerelor de socket RFC 503 (ștersă de RFC 739)
RFC 739 NUMERE ATRIBUITE (prima listă de numere atribuite a fost înlocuită cu un număr de RFC-uri, ultima dintre acestea fiind RFC 1700)
Protocolul RFC 768 User Datagram
RFC 793 PROTOCOL DE CONTROL A TRANSMISIEI
RFC 1700 NUMERE ASIGNATE
Numere atribuite RFC 3232: RFC 1700 este înlocuit de o bază de date on-line
RFC 4340 Datagram Congestion Control Protocol (DCCP) - STANDARD PROPUS

Fundația Wikimedia. 2010.

Niflo, Isidor
Salate de vinete si caviar

Vedeți ce înseamnă „Servicii de rețea” în alte dicționare:

Microkernel- Acest termen are alte semnificații, vezi Micronucleu (citologie). Arhitectura microkernel-ului se bazează pe programe de server în modul utilizator... Wikipedia

7ya.ru- Editor ALP Media Editor-șef Elena Konstantinovna Polyaeva Fundația Data 2000 Certificat de înregistrare în mass-media El Nr. FS77 35954 Limba ... Wikipedia

Cărți

Jocuri multiplayer. Online Application Development, Glazer Joshua, Online Multiplayer Games este o afacere de mai multe miliarde de dolari care atrage zeci de milioane de jucători. Această carte, folosind exemple reale, vorbește despre caracteristicile dezvoltării unor astfel de jocuri și... Categorie:

Nume parametru	Sens
Subiectul articolului:	Servicii de rețea
Categorie (categorie tematică)	Tehnologii

Miezul sistemului

Sala de operatie sistem Linux este produsul muncii umane și, după cum știți, este obișnuit ca aceștia să facă greșeli, chiar și în codul nucleului. De aici și prima amenințare de securitate - erori în nucleul sistemului. Erorile de acest fel nu sunt descoperite la fel de des ca erorile în orice altceva. software, totuși, se întâmplă. Protecția aici este aceeași (aceeași pentru toate astfel de probleme) - monitorizarea constantă a informațiilor de securitate (de exemplu, o bună sursă de informații, pe lângă lista de corespondență de la producătorul kitului de distribuție, este site-ul www.securityfocus .com și listele sale de corespondență) și citirile de server.

Cu toate acestea, există patch-uri pentru nucleu care vă permit să creșteți securitatea sistemului în general și a nucleului în special. Atenția principală în astfel de patch-uri (inclusiv cele cumulative) este acordată capacității de a rezista sistemului de la atacurile generale asupra programelor cu o eroare la depășirile de buffer, de la atacurile asupra programelor cu crearea incorectă de fișiere temporare și, de asemenea, asupra capacității de a reduce cantitatea de informații pe care un atacator o poate obține despre sistem ( http://www.openwall.com/).

Există, de asemenea, patch-uri specializate în aspectul de rețea al nucleului OS. Sarcinile lor includ încorporarea protecției anti-scanare în nucleul sistemului (http://www.lids.org), precum și funcția de a face dificilă determinarea versiunii sistemului de operare folosind scanere de rețea, cum ar fi nmap.

Când toate aceste patch-uri sunt combinate, se obține nucleul de sistem; acesta va putea în mod independent să protejeze sistemul de majoritatea tipurilor de atacuri cunoscute: atacuri de depășire a tamponului, atacuri asupra programelor cu lucru necorespunzător cu fișiere temporare, scanarea în rețea a mașinii în ordine. pentru a determina porturile deschise și versiunea sistemului de operare.

În majoritatea cazurilor, din motive necunoscute autorului, aproape toate serviciile posibile sunt lansate implicit pe serverul „proaspăt instalat” (de exemplu, al 7-lea port, care este complet inutil astăzi, serviciul echo).

Noi erori de programare în software sunt găsite aproape în fiecare zi. În cazul în care se găsește o eroare în serviciul care rulează pe server, atunci după un timp scurt (nu foarte lung) va fi posibil să aștepte cei care doresc să copieze serverul (deoarece, de exemplu, erorile de depășire a tamponului fac este posibil să se execute orice cod cu drepturi de server, care au adesea drepturi de superutilizator - root). Vă puteți proteja de astfel de probleme:

în primul rând, prin monitorizarea regulată a evenimentelor de securitate (și din nou www.securityfocus.com va fi probabil cea mai autorizată și completă sursă de informații);

în al doilea rând, „încălțând” puțin nucleul sistemului (cu diverse patch-uri de securitate, așa cum este descris mai sus);

în al treilea rând, pur și simplu folosind servere care sunt scrise cu mare grijă și ținând cont de cerințele de securitate și, bineînțeles, fără a utiliza servicii inutile.

Să începem cu serviciile inutile. Sarcinile, desigur, pentru fiecare server sunt specifice, dar totuși putem spune că în majoritatea cazurilor porturile (cu serviciile corespunzătoare) de la primul până la al nouăsprezecelea inclusiv sunt inutile și, în unele privințe, pur și simplu periculoase. Unele dintre ele sunt utile, dar majoritatea nu sunt folosite acum. Nu ar trebui să deschideți porturi precum 37 (timp), 69 (tftp), 79 (deget), 111 (sunrpc), 512 (TCP - exec; UDP - biff), 513 (TCP - autentificare; UDP - cine), 514 (TCP - cmd; UDP - syslog), 517 (vorbire), 525 (server de timp).

Acum pentru cele mai frecvent utilizate servicii, și anume: HTTP / HTTPS, FTP, Telnet / SSH, SMTP, POP3 / IMAP și servicii proxy. Să luăm în considerare fiecare serviciu în detaliu.

Servicii de rețea - concept și tipuri. Clasificarea și caracteristicile categoriei „Servicii de rețea” 2017, 2018.