Структура сетевых сервисов. Сетевые службы и сетевые сервисы Запросу менеджер сервиса сетевых и

Структура сетевых сервисов. Сетевые службы и сетевые сервисы Запросу менеджер сервиса сетевых и

Средства удаленного управления операционными системами UNIX, Windows NT и NetWare.

Когда говорят про удаленное управление, обычно имеют в виду платформы сетевого управления на базе протокола SNMP. Среди наиболее распространенных платформ можно назвать HP OpenView, Microsoft SMS, Novell ManageWise и др. Однако их возможности достаточно ограничены: они хорошо подходят для мониторинга сетевых устройств, но гораздо хуже - для непосредственного управления работой серверов и ОС. Так, с помощью платформы сетевого управления невозможно создать учетную запись пользователя, запустить на сервере программу, написать исполняемый сценарий и многое другое. Поэтому вместо «платформа управления» правильнее было бы употребить термин «платформа мониторинга».

Общеизвестно, что самое удобное средство администрирования сервера - это его консоль. (Операционная система NetWare представляет особый случай, который мы рассмотрим отдельно.) С консоли администратор может отслеживать любую активность на сервере, а также управлять ресурсами сетевой ОС. Однако администратор не всегда имеет возможность находиться за консолью UNIX или Windows NT.

Хотя сейчас повседневным явлением стало размещение серверов в специальных серверных комнатах, сетевые администраторы не стремятся перебираться в такие помещения. Во-первых, серверные комнаты заполнены не только серверами, но и активным сетевым оборудованием, мощными источниками бесперебойного питания, коммутационными шкафами, средствами резервного копирования и т. д. Из-за неблагоприятного электромагнитного фона постоянное нахождение персонала в серверной комнате нежелательно. Во-вторых, в таких комнатах достаточно высок уровень шума, из-за чего иногда затруднительно пользоваться даже телефоном. После 8 часов работы в подобных условиях человек чувствует себя совершенно разбитым. В-третьих, серверных комнат в большой организации может быть несколько. По указанным причинам администратор хотел бы иметь рабочее место вне серверной комнаты, но пользоваться всеми преимуществами консоли.

Кроме того, у пользователей постоянно возникают те или иные проблемы, и администратор вынужден посещать клиентские места. В таких случаях ему важно иметь возможность удаленного управления сетевой ОС, например для назначения прав доступа, создания новой учетной записи пользователя, увеличения размера файловой системы и т. д.

Наконец, проблемы могут возникнуть и во внерабочее время, когда администратор находится дома. В таких случаях желательно, чтобы он, используя свой домашний компьютер и модем, мог удаленно идентифицировать и исправить проблему, а не мчаться сломя голову в офис.

Все сетевые операционные системы имеют средства удаленного администрирования, либо встроенные, либо поставляемые независимыми компаниями. Часть из них реализует концепцию удаленной консоли (или удаленного терминала), часть предоставляет разрозненные средства администрирования, направленные на решение только некоторых конкретных задач.

ОПЕРАЦИОННЫЕ СИСТЕМЫ И АДМИНИСТРИРОВАНИЕ

Прежде чем говорить об удаленном управлении сетевыми ОС, мы кратко рассмотрим принципы администрирования самых популярных операционных систем: Windows NT, UNIX и NetWare. Пожалуй, самой мощной системой не только по функциональным параметрам, но и по возможностям администрирования является ОС UNIX. В UNIX ядро отделено от графической оболочки, при этом для работы сервера графическая оболочка не нужна, хотя и используется довольно часто. Интерактивное взаимодействие между пользователем и ОС осуществляется через командную оболочку shell. Она имеет несколько реализаций, причем особой популярностью пользуются Bourne shell (sh), C shell (csh), Korn shell (ksh) и Bourne again shell (bash). Каждая из командных оболочек имеет свой собственный язык программирования для написания программ-сценариев. Кроме того, UNIX славится богатейшим набором прикладных утилит, в том числе утилит сортировки, поиска, потокового редактирования, лексического анализа, обработки макросов, фильтров и множеством других. С помощью shell, системных утилит, прикладных программ и конвейеров UNIX позволяет создавать необычайно гибкие программы администрирования.

В UNIX используется графическая оболочка X Window System (X11). В отличие от подобных оболочек в составе Microsoft Windows и Apple MacOS, среда X11 является сетевой и отделена от ядра. Т. е. с точки зрения ядра система X11 представляет собой обычную пользовательскую программу. В рамках X11 любой компьютер UNIX (при наличии соответствующих прав) может выступать в качестве клиента или сервера X11. Следует иметь в виду, что, вразрез с общепринятой практикой, сервером X11 называют компьютер, на дисплее которого выводится изображение, а клиентом - машину, на которой запускается программа. Серверное ПО X11 существует для многих распространенных ОС, включая Windows, MacOS и др., тогда как клиентское ПО реализовано в основном на UNIX.

В современных UNIX для задач управления задействуют утилиты с тремя типами интерфейсов: командной строки, интерактивным текстовым и графическим. Тем не менее наиболее мощными и покрывающими все возможности ОС являются утилиты на базе командной строки. Подобные программы активно используются для выполнения повторяющихся операций вроде создания учетной записи пользователя или назначения прав доступа. Интерактивные текстовые и графические утилиты появились в составе UNIX сравнительно недавно, но из-за интерактивного характера общения выгода от их применения в составе программ на shell далеко неочевидна. Подобные утилиты применяются, главным образом, для эпизодических и тонких настроек ОС и оборудования. Таким образом, для администрирования UNIX подойдет любой эмулятор текстового терминала.

Несмотря на свое широкое распространение, Microsoft Windows NT не может тягаться с UNIX в вопросах администрирования. По удобству администрирования - да, но никак не по его возможностям. Как известно, графическая оболочка Windows неотделима от ядра системы. Хотя с точки зрения надежности это не лучший вариант, подобная реализация позволяет добиваться исключительно высоких показателей производительности на графических операциях. Другое дело, что на сервере NT проку от этого немного - назначение сервера состоит никак не в быстром выводе графической информации. Компания Microsoft фактически загнала пользователей в угол, предложив в качестве клиента (NT Workstation) и сервера (NT Server) по сути одну и ту же систему. Вдобавок, графическая среда Windows не является сетевой.

Для Windows NT имеется несколько утилит администрирования на базе командной строки. Однако их набор достаточно ограничен, к тому же возможности встроенного командного процессора не идут ни в какое сравнение с shell из UNIX. В комплекте с Windows NT Server поставляется также ряд программ удаленного управления пользователями, доменами, правами доступа и т. д. Такие программы можно инсталлировать на компьютеры Windows 9x и NT. Тем не менее многие сетевые приложения, особенно независимых разработчиков, не имеют средств удаленного управления. Поэтому для полноценного управления сетевой средой администратор вынужден садиться за консоль либо эмулировать консоль с помощью специализированных программ.

Структура управления NetWare кардинальным образом отличается от принятой в других сетевых ОС. Все операции настройки сервера, включая запуск приложений, осуществляются с консоли. В то же время, управление учетными записями, принтерами, файлами, службой каталогов NDS производится с клиентских мест. Правда, в последней версии NetWare 5 имеется единая консоль управления сетью ConsoleOne, с помощью которой администратор может управлять сетевыми ресурсами из любой точки сети, в том числе и с консоли. Однако возможности ConsoleOne пока слишком ограничены, да и работает она медленно, поскольку написана на Java. Вдобавок, доля NetWare 5 на рынке сетевых ОС пренебрежимо мала, так как основная часть сетей Novell создана на базе NetWare версий 4.x. Консоль NetWare работает в текстовом режиме (в NetWare 5 сервер поддерживает и графический режим), поэтому управление осуществляется с помощью программ с командной строкой и интерактивным текстовым интерфейсом. Командный язык NetWare достаточно слаб, но в составе ОС имеются интерпретаторы Basic и Perl, позволяющие создавать вполне серьезные программы. Входящая в состав NetWare программа удаленной консоли обеспечивает доступ к консоли сервера по сети с клиентских машин DOS, Windows, MacOS, UNIX.

Для управления NDS, учетными записями, принтерами, правами доступа и т. д. имеются графические и интерактивные текстовые программы, предназначенные для работы на клиентских местах. Число имеющихся утилит на базе командной строки невелико, а их возможности ограничены. Если говорить кратко, то с точки зрения управления NDS наиболее мощными возможностями обладают графические утилиты (и в первую очередь - NetWare Administrator), далее идут интерактивные текстовые программы (NETADMIN, PCONSOLE и др.) и лишь затем утилиты командной строки.

Рассмотрев основные особенности структуры управления сетевыми ОС, мы можем теперь перейти к знакомству с наиболее распространенными средствами удаленного управления.

TELNET

Пожалуй, самой известной программой удаленного управления UNIX является telnet, тем более что она входит в комплект поставки практически любой современной операционной системы. telnet представляет собой программу эмуляции терминала, использующую собственный протокол прикладного уровня TELNET. Для поддержки сервиса telnet на сервере должна быть запущена системная программа (называемая в UNIX демоном) telnetd, которая обрабатывает запросы клиентов telnet. Сервер telnet может обслуживать сразу несколько клиентов, при этом протокол TELNET использует в качестве транспортного протокол TCP (порт 23).

С помощью telnet можно управлять не только компьютерами UNIX, но и такими сетевыми устройствами, как маршрутизаторы, коммутаторы, серверы удаленного доступа и т. д. telnet можно использовать и для администрирования Windows NT (серверное ПО для этой службы имеется в виде нескольких бесплатных и коммерческих программ), но только в режиме командной строки. Telnet дает пользователю возможность со своего места подключаться к удаленному серверу и работать с ним в текстовом режиме. При этом для пользователя создается полная иллюзия, что он сидит за текстовым терминалом данного сервера.

Telnet прекрасно подходит для гетерогенных сетей, поскольку опирается на концепцию сетевого виртуального терминала (Network Virtual Terminal, NVT). Известно, что различные операционные системы и аппаратные средства имеют специфические особенности, связанные со вводом/выводом и обработкой информации. Так, в UNIX в качестве символа перехода на другую строку используется LF, в то время как в MS-DOS и Windows - пара символов CR-LF. Сетевой виртуальный терминал NVT позволяет абстрагироваться от особенностей конкретного оборудования за счет использования стандартного набора символов. Клиент telnet отвечает за преобразование кодов клиента в коды NVT, а сервер делает обратное преобразование (см. Рисунок 1).

Telnet предусматривает механизм конфигурирования параметров, при котором клиент и сервер могут договариваться об определенных опциях, в том числе о кодировке данных (7- или 8-битовая), режиме передачи (полудуплексный, посимвольный, построчный), типе терминала и некоторых других. Команды и данные в telnet передаются независимо друг от друга. Для этого с помощью специального кода telnet переводится из режима передачи данных в режим передачи команд, и наоборот. Команды - это информация, служащая для управления сервисом telnet, тогда как данные - это то, что вводится/выводится через драйверы терминала (клиента) или псевдотерминала (сервера).

Telnet является достаточно мощной программой удаленного управления, но у нее есть ряд принципиальных недостатков. Самый главный - в том, что все данные, включая пароли, передаются между компьютерами в открытом виде. Подключившись к сети, любой человек с помощью самого простого анализатора протокола может не только прочитать информацию, но даже завладеть паролем для несанкционированного доступа. В локальной сети вероятность таких атак можно уменьшить посредством применения коммутаторов (коммутирующих концентраторов). Конечно, в локальной сети широкомасштабное использование коммутаторов весьма накладно, но рабочие места администраторов лучше подключать через них. Однако при доступе через сеть Internet, в частности, когда администратор работает дома, проблема остается. Впрочем, можно организовать доступ к серверам через серверы удаленного доступа, применяя такие протоколы аутентификации, как CHAP, а не задействовать каналы связи провайдеров Internet. К сожалению, такой подход приемлем не для всех организаций.

Второй проблемой я бы назвал то, что бесплатные клиентские программы telnet, входящие в состав операционных систем, имеют ограниченные возможности. Нередко бывает так, что интерактивную текстовую программу не удается даже запустить, поскольку клиент telnet не поддерживает тип терминала сервера, а интерактивная программа не хочет работать с теми типами терминалов, что имеются в составе клиента telnet.

Тем не менее, несмотря на указанные недостатки, telnet остается самой распространенной программой удаленного управления.

RLOGIN

Впервые появившаяся в составе 4.2BSD UNIX, программа rlogin одно время была исключительно популярной в среде UNIX. В качестве средства терминального доступа rlogin очень похожа на telnet, но из-за тесной интеграции с ОС нашла весьма ограниченное применение в других системах. В rlogin отсутствуют многие опции, свойственные telnet, в частности режим согласования параметров между клиентом и сервером: тип терминала, кодировка данных и т. д. Поэтому размер кода программы rlogin почти в десять раз меньше, чем у telnet. Однако rlogin предусматривает доверительные отношения между хостами: на сервере rlogin в специальных системных файлах (обычно /etc/hosts.equiv и $HOME/.rhosts) администратор может перечислить компьютеры, доступ с которых к данному серверу будет разрешен без пароля. Пользователи других компьютеров (не перечисленных в этих файлах) могут войти на сервер лишь после ввода пароля.

Другой вариант программы rlogin, известный как rsh, позволяет запускать программы на удаленной машине, причем ввод и вывод осуществляются на локальном компьютере. Еще одна программа - rcp - предназначается для копирования файлов между компьютерами сети. Утилиты rlogin, rsh и rcp часто объединяют под общим названием r-команд.

К сожалению, как показала практика, доверительные отношения на основе имен хостов представляют крайнюю опасность, поскольку открывают возможность для несанкционированного доступа. Широкое использование хакерами технологии подмены IP-адресов (IP-spoofing) и доменных имен (DNS-spoofing) делает сервис r-команд незащищенным. Это справедливо, даже когда доверительные отношения между хостами не установлены вовсе. Поэтому в настоящее время сервис rlogin нашел применение лишь в сетях, полностью закрытых от Internet. Так же, как и у telnet, данные и пароли (при отсутствии доверительных отношений) передаются в открытом виде.

Кроме того, клиентское ПО для r-команд на платформах DOS и Windows распространено меньше, чем для telnet, и в основном оно имеется только в составе достаточно дорогих коммерческих продуктов.

SECURE SHELL

Очевидно, что передача данных и особенно паролей по сети в открытом виде в программах telnet и rlogin не может удовлетворить даже минимальным требованиям к безопасности. Защитить информационные системы от атак злоумышленников можно несколькими способами. Некоторые из них предусматривают защиту паролей, тогда как другие направлены на шифрование всего потока информации. Среди последних наибольшей популярностью пользуется программа Secure shell (ssh), входящая в любой джентльменский набор для безопасного терминального доступа UNIX. Некоммерческую версию Secure shell можно загрузить с сервера автора программы Т. Ялонена (http://www.ssh.fi ). Однако бесплатная версия ssh имеется только для UNIX. Компания Data Fellows (http://www.datafellows.com ) поставляет коммерческий, усовершенствованный вариант ssh, в том числе для платформы Windows.

Secure shell предоставляет возможности, аналогичные имеющимся у telnet и r-команд, включая не только терминальный доступ, но и средства копирования между компьютерами. Но, в отличие от них, ssh обеспечивает также безопасное подключение по X11.

Безопасность работы программы ssh достигается за счет использования протокола транспортного уровня, протокола аутентификации и протокола соединения. Протокол транспортного уровня отвечает за аутентификацию сервера, протокол аутентификации - за надежную идентификацию и аутентификацию клиента. Протокол соединения формирует шифрованный канал передачи информации.

Как уже было сказано, Secure shell стал своего рода стандартом для безопасного доступа, в том числе и в России. Это весьма интересный продукт, о котором можно говорить очень долго. Однако мы этого делать не будем (более подробную информацию о Secure shell можно почерпнуть в статье М. Кузьминского «Ssh - повседневное средство безопасной работы» в журнале «Открытые системы» №2 за 1999 год). Все дело в том, что данный продукт так же, как многие подобные, запрещен для использования в России.

Согласно Указу Президента Российской Федерации № 334 от 03.04.95 физическим лицам и любым организациям, включая государственные, частные и акционерные, запрещена эксплуатация систем криптографии, не прошедших сертификации в ФАПСИ. А Secure shell является именно такой системой. Однако обижаться на наши спецслужбы не стоит - мы в мире не одни такие, в некоторых странах, например во Франции, правила еще более жесткие (справедливости ради стоит отметить, что во Франции с марта этого года ограничения в области систем шифрования значительно ослаблены). Не стоит также думать, что нам пытаются запретить защищать конфиденциальную информацию: организации не только могут, но и обязаны защищать важную информацию. Только для этого они должны применять сертифицированные средства, а не свободно распространяемые в Internet. Конечно, программы на основе ssh, SSL, PGP и т. п. распространены у нас повсеместно, но следует помнить, что их использование чревато немалыми неприятностями. Пользователи подобных программ потенциально подвергаются риску разбирательства со стороны спецслужб. Во всяком случае мы не имеем права и желания пропагандировать такой подход.

БЕЗОПАСНАЯ АУТЕНТИФИКАЦИЯ

В большинстве задач управления администраторов интересует не защита передаваемых данных, а надежная аутентификация пользователей, чтобы злоумышленник не мог перехватить и воспользоваться паролем администратора. Решений может быть несколько. Прежде всего, это технология Kerberos, основанная на выдаче мандатов (ticket). (На самом деле, Kerberos обеспечивает не только аутентификацию, но и шифрование сетевых коммуникаций, что, опять же, подпадает под действие Указа Президента.) Правда, из-за экспортных ограничений правительства США механизм шифрования значительно ослаблен. В корпоративных системах коммутируемого доступа могут использоваться такие надежные сервисы аутентификации, как RADIUS, TACACS+ и XTACACS. Но все эти службы (включая Kerberos) подразумевают широкомасштабную перекройку сетевой инфраструктуры, влекущую за собой большие затраты. Вряд ли это оправдано, если круг задач удаленного доступа ограничен лишь проблемами управления сетевыми ОС.

Для таких задач больше подходят средства поддержки одноразовых паролей (One-Time Password, OTP). Суть подобных систем состоит в том, что передаваемый по сети пароль пользователя действителен в течение только одного сеанса связи. Т. е. даже если злоумышленнику удалось перехватить пароль, то воспользоваться им он не сможет, поскольку при следующем сеансе пароль будет уже изменен.

Чтобы задействовать OTP на сервере, демоны telnet, rlogin, ftp придется заменить (разумеется, новые сервисы можно запускать выборочно, например использовать модернизированный telnetd, но оставить «родной» ftpd). При этом клиентское ПО обновлять не нужно, что очень удобно. Впервые работоспособная система OTP была выпущена компанией Bell Core (сейчас Telcordia Technologies) в 1991 году под названием S/Key. Важной особенностью S/Key является то, что вначале это был некоммерческий продукт, работающий со множеством версий UNIX. Сейчас наиболее популярными являются следующие версии систем OTP (все они, кроме S/Key версии 2.0 и выше, распространяются бесплатно):

  • S/Key компании Telcordia Technologies (ftp://ftp.bellcore.com);
  • OPIE исследовательской лаборатории ВМС США (ftp://ftp.nrl.navy.mil);
  • LogDaemon, разработанный Виетсе (ftp://ftp.porcupine.org/pub/security).

Перечисленные системы обратно совместимы с S/Key 1.0. Текущие реализации OTP основаны на алгоритмах хэширования MD4 и MD5 (в S/Key 1.0 использовался исключительно MD4).

Как работают системы OTP? При инициализации OTP на сервере каждый пользователь назначает два параметра: секретный ключ (он не передается по сети) и количество итераций, т. е. количество входов в систему, при которых будет действовать этот секретный ключ. На сервере к секретному ключу применяется алгоритм MD4 или MD5, а хэшированное значение запоминается. После этого пользователь может работать с сервером по сети через обычные telnet, ftp и т. д.

Аутентификация пользователя при терминальном доступе осуществляется следующим образом. После ввода имени пользователя ему выдается номер очередной итерации и некий источник (seed). Начало процедуры аутентификации пользователя показано на Рисунке 2. Здесь номер итерации равен 967, а источник - jar564. В поле Password пользователь должен ввести не свой секретный ключ, а парольную фразу, состоящую из шести слов. Эта фраза формируется на основе секретного ключа, номера итерации и источника с помощью специального калькулятора (см. Рисунок 3). Для получения парольной фразы пользователь вводит номер итерации, источник и свой секретный ключ (в приводимом примере итоговая парольная фраза имеет вид: «NO HUFF ODE HUNK DOG RAY»).

Затем парольная фраза вводится в поле Password программы терминального доступа, после чего пользователь идентифицируется сервером. Следует иметь в виду, что при следующей аутентификации номер итерации уменьшится на единицу, источник не изменится, а парольная фраза будет совершенно иной. Таким образом, перехват парольной фразы злоумышленнику ничего не даст, так как при попытке регистрации система его не идентифицирует. Главным компонентом безопасности является секретный ключ, а он никогда не передается по сети. Из-за использования алгоритмов MD4 и MD5 вычислить секретный ключ по парольной фразе, номеру итерации и источнику практически невозможно.

При достижении номером итерации нулевого значения учетную запись пользователя необходимо инициализировать заново.

Может показаться, что основным неудобством для пользователя является калькулятор. Но это не совсем так, поскольку калькулятор представляет собой очень небольшую программу, не требующую каких-либо настроек. Такие калькуляторы свободно распространяются для всех популярных платформ, включая MS-DOS, Windows, Macintosh и UNIX. Более того, парольные фразы можно запомнить (или записать) заранее, на несколько сеансов терминального доступа вперед, последовательно уменьшая номер итерации. Таким образом, для удаленного управления сервером администратору нет необходимости устанавливать калькулятор на все клиентские места, на которых ему, возможно, придется работать.

X WINDOW SYSTEM

Хотя практически все задачи управления UNIX могут выполняться в текстовом режиме, администраторы нередко предпочитают графический интерфейс, как более удобный. Вдобавок, некоторыми появившимися на рынке приложениями UNIX можно управлять только в графической среде. Программное обеспечение X-server, отвечающее за вывод графической информации, имеется для множества платформ, включая DOS, Windows, Macintosh, UNIX и т. д. Однако в большинстве случаев (за исключением UNIX) оно поставляется вместе с дорогими коммерческими продуктами. В качестве клиентов X11 (как уже было подчеркнуто, понятие клиента и сервера в X Window System не соответствует общепринятой практике) используются, главным образом, серверы UNIX.

Следует иметь в виду, что применение X Window System предполагает наличие достаточно большой пропускной способности сети. Система прекрасно работает в локальных сетях, но очень медленно - по глобальным каналам. Поэтому при использовании X Window System на домашнем компьютере администратора управление лучше осуществлять через терминальные утилиты наподобие xterm, а не посредством графических утилит.

При подключении к серверу UNIX (на котором запускаются клиенты X11) аутентификация может осуществляться двумя методами: через терминальные утилиты (telnet, rlogin и т. п.) и через менеджер дисплеев X (X Display Manager, xdm). В первом варианте передачи пароля в открытом виде можно избежать, применяя вместо telnet и rlogin уже упоминавшиеся программы ssh и OTP. В случае X Display Manager пароли по умолчанию передаются в открытом виде. Поэтому при удаленном управлении сервером UNIX по общедоступным сетям xdm пользоваться не стоит.

Очень осторожно администраторы должны подходить к вопросу использования сервера UNIX в качестве сервера X (т. е., говоря понятным языком, к запуску графической оболочки X11 на сервере UNIX). X Window System устроена так, что пользователь может со своей машины запустить клиента X на удаленном сервере X и перехватывать на нем ввод/вывод информации. В результате злоумышленник получает возможность считывать конфиденциальную информацию с сервера X, включая пароли, вводимые пользователем на сервере X (хотя эмулятор терминала xterm позволяет блокировать перехват пароля, этой возможностью редко кто пользуется).

На серверах X применяются две схемы аутентификации клиентов: по имени хоста и с помощью «магических плюшек» (MIT-MAGIC-COOKIE-1). При аутентификации по имени хоста на сервере X создаются системные файлы, где перечисляются хосты, откуда разрешено запускать клиентские программы X на данном сервере X. Но подобную защиту никак не назовешь достаточной, так как с помощью подмены IP-адресов или доменных имен злоумышленник может провести атаку на X11. При использовании же схемы «магических плюшек» (их поддержка встроена в протокол XDMCP, на основе которого функционирует X Display Manager) аутентификация осуществляется на основании учетных записей пользователей. Чтобы иметь право запустить клиента на сервере X, пользователь в своем домашнем каталоге машины-клиента X11 должен иметь системный файл с записанным секретным кодом сервера X. Этот секретный код и называется магической плюшкой. Беда только в том, что плюшка передается по сети в открытом виде, поэтому данный метод также вряд ли можно считать безопасным.

В X Window System 11 Release 5 добавлены еще две схемы (XDM-AUTHORIZATION-1 и SUN-DES-1), напоминающие схему MIT-MAGIC-COOKIE-1, но использующие алгоритм шифрования DES. Однако из-за экспортных ограничений такие схемы в комплект поставки X Window System не включают. Исходя из вышеприведенных соображений, запускать серверное ПО X11 на сервере UNIX можно лишь в том случае, когда запрещен доступ клиентов X11 с других компьютеров.

Все, что говорилось о невысокой безопасности сервера X на базе сервера UNIX, в полной мере относится и к клиентским машинам администратора, на которых функционирует X Window System.

WINDOWS NT SERVER

При инсталляции Microsoft Windows NT Server предполагается, что администрирование ОС будет осуществляться с консоли сервера. Тем не менее комплект NT Server содержит и утилиты удаленного управления. Они находятся на дистрибутиве Windows NT Server в каталоге \Clients\Srvtools. Эти утилиты можно установить как на Windows NT Workstation, так и на Windows 9x (см. Рисунок 4). С их помощью можно выполнять администрирование учетных записей пользователей и групп, прав и привилегий, доменов NT, контролировать журналы событий на серверах и рабочих станциях. Утилиты работают в графическом режиме, аналогично «родным» утилитам управления NT Server. Хотя утилиты удаленного управления позволяют выполнять большую часть работ по администрированию системы, в данном наборе отсутствует ряд важных программ. Например, с их помощью невозможно осуществлять аппаратную настройку сервера, резервное копирование, управление лицензиями, мониторинг производительности и т. д. Вдобавок, немало серверных приложений третьих фирм не имеют никаких программ удаленного управления.

В комплект Windows NT Server Resource Kit, поставляемый компанией Microsoft, входит ряд дополнительных программ администрирования, в том числе на базе командной строки. Наиболее важными из них являются ADDUSER.EXE (создание новых учетных записей пользователей и групп), CACLS.EXE (управление правами доступа), DUMPEL.EXE (вывод на экран или в файл информации о событиях из журналов событий), RMTSHARE (управление сетевыми ресурсами). Используя даже слабый командный процессор NT, администратору не составит труда написать типовую программу создания новой учетной записи с автоматическим назначением прав и привилегий.

Для Windows NT имеется также несколько программ, реализующих сервер telnet. С его помощью администратор может получить удаленный доступ к серверу NT и запустить программы на базе командной строки. Опять же, следует помнить, что в большинстве реализаций telnet пароль передается в открытом виде.

Но, как уже было отмечено, утилиты удаленного доступа и программы на базе командной строки не могут решить всех задач администрирования. Поэтому некоторые решения предполагают эмуляцию графического интерфейса сервера Windows NT на удаленном компьютере.

В первую очередь, я хотел бы отметить продукты WinFrame компании Citrix и Windows Terminal Server (WTS) компании Microsoft. В соответствии с архитектурой этих продуктов, приложения выполняются на сервере NT, а ввод/вывод информации осуществляется на клиентских компьютерах. По утверждению их производителей, WinFrame и WTS приемлемо работают уже на скоростях 28 Кбит/с, поэтому управлять серверами можно даже из дома. Для использования этих средств на сервере NT необходимо разместить серверную часть ПО, а на рабочих местах администраторов - клиентское ПО. WinFrame и WTS не передают пароли в открытом виде.

Справедливости ради стоит сказать, что для задач администрирования подобные решения оказываются избыточны. Технология WinFrame и WTS подразумевают подключение к серверу нескольких клиентов. (Обычно же администратору достаточно, чтобы доступ к серверу имел лишь он один.) Из-за этого решения на базе указанных продуктов довольно дороги. Например, подключение клиента к серверу WinFrame обойдется в сумму от 200 до 400 долларов, что очень накладно, поскольку в организации может быть не один сервер и не один администратор.

Более подходящими, на мой взгляд, для удаленного администрирования являются специализированные пакеты удаленного управления, такие, как pcANYWHERE компании Symantec и ReachOut компании Stac. При использовании таких продуктов содержимое экрана сервера NT дублируется на дисплее локального компьютера, ввод информации осуществляется с клавиатуры (и мыши) локального компьютера и передается на удаленный (в данном случае - на сервер NT). Все выглядит так, как будто администратор сидит за консолью сервера. pcANYWHERE и другие подобные продукты неплохо функционируют не только в локальной сети, но и по медленным коммутируемым линиям. Однако они имеют ограничение на количество одновременных подключений к серверу (обычно лишь одно подключение). Продукты категории pcANYWHERE имеют встроенные средства шифрования, поэтому возможность перехвата пароля маловероятна.

Общими недостатками средств удаленного управления Windows NT является необходимость установки на клиентские места администраторов дополнительных программных продуктов.

NETWARE

Из-за своеобразия архитектуры Novell NetWare проблемы удаленного доступа к консоли следует отделить от проблем управления ресурсами сети.

Управление учетными записями пользователей, групп, объектами NDS, правами доступа в NetWare осуществляется с клиентских мест, поэтому администрирование изначально является удаленным. Тем не менее администраторы могут столкнуться с одним препятствием: до пятой версии NetWare основным сетевым протоколом был IPX/SPX. Это создавало и создает большие проблемы при управлении серверами NetWare через Internet. Если администратор должен иметь возможность управления сетевой ОС с домашнего компьютера, то ему стоит подумать о подключении к локальной сети через сервер удаленного доступа, поддерживающий протоколы IPX/SPX. К счастью, большинство аппаратных серверов поддерживают такой режим.

Однако затраты на создание необходимой инфраструктуры могут оказаться неприемлемыми, поэтому нередко домашние компьютеры администраторов подключаются к локальной сети через Internet. В такой ситуации можно предложить следующий вариант: установить на один из компьютеров локальной сети программу pcANYWHERE (или аналогичную), а управление сетью с домашнего компьютера осуществлять через это промежуточное звено. Такой подход, кстати, может оказаться и более привлекательным с точки зрения производительности, поскольку по коммутируемым каналам связи программы управления сетью (особенно NetWare Administrator) работают очень медленно. Еще один способ - модернизировать NetWare до пятой версии (или инсталлировать NetWare/IP).

Что касается удаленного доступа к консоли, то в состав NetWare входит утилита Rconsole для доступа к консоли с рабочей станции сети. Однако у нее есть два ограничения: во-первых, пароль консоли передается в открытом виде, во-вторых, в качестве протокола используется IPX/SPX. Избежать передачи паролей в открытом виде позволяют утилиты независимых производителей, реализующие безопасный удаленный доступ к консоли. Среди них наибольшей известностью пользуется коммерческая программа SecureConsole for NetWare компании Protocom Development Systems (http://www.serversystems.com ). При доступе она задействует зашифрованный пароль администратора.

Как и в других случаях, препятствие в виде протоколов IPX/SPX можно устранить за счет применения программ типа pcANYWHERE (т. е. использовать один из компьютеров локальной сети в качестве передаточного звена). Еще один способ состоит в применении программы xconsole, реализующей доступ к консоли через X Window System, т. е. по TCP/IP. Написанная на Java утилита удаленного доступа RConsoleJ в составе NetWare 5 также использует в качестве транспорта TCP/IP. Однако программами xconsole и RConsoleJ пароль передается в открытом виде. Подводя итоги, можно сказать, что для удаленного управления NetWare рекомендуется использовать специализированные средства наподобие pcANYWHERE.

ТЕХНОЛОГИЯ WEB

Технология Web оказывает все большее влияние на средства управления сетевой средой. Уже сейчас многие маршрутизаторы, коммутаторы, сетевые принтеры допускают управление через браузеры Web. Но список этот далеко не исчерпывается ими, Web вторгается и в сферу управления сетевыми ОС. Вначале из Web можно было управлять лишь серверами HTTP и FTP, но этот список постоянно расширяется и охватывает теперь СУБД, файловые системы, межсетевые экраны, сетевые службы DNS, DHCP и многое другое. Даже службой каталогов NDS можно управляться через браузеры с помощью специальных коммерческих программ. Несмотря на вышеизложенное, до полноценного управления всей сетевой средой технологии на базе Web еще не доросли. Проблему обостряет и то, что для многих приложений и, особенно, сетевых устройств пароль по HTTP передается в открытом виде.

ЗАКЛЮЧЕНИЕ

При организации удаленного управления серверами необходимо принимать во внимание множество факторов, в первую очередь, характеристики сетевой ОС, производительность линий связи, вопросы безопасной аутентификации. Наиболее полный набор средств управления предоставляет UNIX, однако, при грамотном подходе, администраторам Windows NT и NetWare также нет основания для беспокойства.

Совокупность серверной и клиентской частей ОС, предоставляющих доступ к конкретному типу ресурса через сеть, называется сетевой службой. Сетевая служба предоставляет пользователям сети некоторый набор услуг (иначе - сетевой сервис – от англ. Service). Часто под службой понимается сетевой компонент, а под сервисом - набор услуг, который предоставляется этой службой. Таким образом, сервис - это интерфейс между потребителем услуг и поставщиком услуг (службой).

Каждая служба связана с определенным типом сетевых ресурсов и/или определенным способом доступа к этим ресурсам. Например, служба печати обеспечивает доступ пользователей сети к разделяемым принтерам и предоставляет сервис печати, а почтовая служба предоставляет доступ к информационному ресурсу сети - электронным письмам. Способом доступа к ресурсам отличается, например, служба удаленного доступа: она предоставляет пользователям компьютерной сети доступ ко всем ее ресурсам через коммутируемые телефонные каналы. Наиболее важными для пользователей сетевых ОС являются файловая служба и служба печати.

Среди служб можно выделить такие, которые ориентированы не на пользователя, а на администратора. Такие службы используются для организации работы сети. Сюда относятся служба мониторинга сети, позволяющая анализировать сетевой трафик, служба безопасности, контролирующая выполнение процедуры логического входа в сеть, служба резервного копирования и архивирования и др. Чем богаче набор услуг, предлагаемый сетевой ОС, тем выше ее рейтинг в общем ряду сетевых операционных систем.

Сетевые службы по своей природе являются клиент-серверными системами.

Поскольку при реализации любого сетевого сервиса позволяются источник запросов (клиент) и исполнитель запросов (сервер), то и любая сетевая служба содержит в своем составе две несимметричные части - клиентскую и серверную. Обычно говорят, что сервер предоставляет свои ресурсы клиенту, а клиент ими пользуется. Однако предоставление услуги связано с использованием ресурсов не только сервера, но и клиента, который может затрачивать свои ресурсы на поддержание работы сетевой службы.

Принципиальной разницей между клиентом и сервером является то, что инициатором выполнения работы сетевой службы всегда выступает клиент, а сервер всегда находится в режиме пассивного ожидания запросов.

На практике сложилось несколько подходов к построению сетевых ОС, различающихся глубиной внедрения сетевых служб в операционную систему:

Рисунок 5.4

Сетевые службы глубоко встроены в ОС (рис. 5.4, а);

Сетевые службы объединены в виде некоторого набора - оболочки (рис. 5.4, б);

Сетевые службы производятся и поставляются в виде отдельного продукта (рис. 5.4, в).

Первые сетевые ОС представляют собой совокупность уже существующей локальной ОС и надстроенной над ней сетевой оболочки. При этом в локальную ОС встраивался минимум сетевых функций, необходимых для работы сетевой оболочки, которая выполняла основные сетевые функции.

Однако в дальнейшем разработчики сетевых ОС посчитали более эффективным подход, при котором ОС сразу проектируется для работы в сети. Сетевые функции у таких ОС встраиваются в основные модули системы, что обеспечивает ее логическую стройность, простоту эксплуатации и модификации, а также высокую производительность. При таком подходе отсутствует избыточность, все внутренние механизмы такой ОС могут быть оптимизированы для выполнения сетевых функций. Например, ОС Windows NT за счет встроенных сетевых средств обеспечивает более высокие показатели производительности и защищенности информации по сравнению с сетевой ОС LAN Manager (тоже Microsoft), являющейся надстройкой над ОС OS/2.

Другой вариант реализации сетевых служб - объединение их в виде некоторого набора (оболочки), при этом все службы такого набора должны быть согласованы между собой, могут иметь в своем составе общие компоненты, например единый пользовательский интерфейс. Для работы оболочки необходимо наличие некоторой локальной операционной системы, в среде которой выполнялись бы сетевые службы, составляющие эту оболочку. Оболочка представляет собой самостоятельный программный продукт, имеет название, номер версии и другие соответствующие характеристики. В качестве примера можно указать LAN Server и LAN Manager.

Одна и та же оболочка может предназначаться для работы над совершенно разными операционными системами. При этом она должна строиться с учетом специфики той ОС, над которой она будет работать. Так, LAN Server, например, существует в различных вариантах: для работы над операционными системами VAX, VMS, VM, OS/400, AIX, OS/2.

Сетевые оболочки часто подразделяются на клиентские и серверные. Например, типичным набором программного обеспечения рабочей станции в сети NetWare является система MS DOS с установленной над ней клиентской оболочкой NetWare, состоящей из клиентских частей файловой службы печати, а также компонента, поддерживающего пользовательский интерфейс.

Серверная сетевая оболочка, например LAN Server, NetWare for UNIX, File and Print Services for NetWare, ориентирована на выполнение серверных функций. Она как минимум содержит серверные компоненты двух основных сетевых служб - файловой и печати. Некоторые сетевые оболочки содержат настолько широкий набор сетевых служб, что их называют сетевыми операционными системами.

Существует и третий способ реализации сетевой службы - в виде отдельного продукта. Например, сервер удаленного управления Win Frame - продукт компании Citrix - предназначен для работы в среде Windows NT. Он дополняет возможности встроенного Windows NT сервера удаленного доступа Remote Access Server. Аналогичную службу удаленного доступа для NetWare также можно приобрести отдельно, купив программный продукт NetWare Connect.

Понятие компьютерной сети.

Компьютерные сети – это системы компьютеров, объединенных каналами передачи данных, обеспечивающие эффективное предоставление различных информационно-вычислительных услуг пользователям посредством реализации удобного и надежного доступа к ресурсам сети.

Информационные системы, использующие возможности компьютерных сетей, обеспечивают выполнение следующих задач:

· Хранение и обработка данных

· Организация доступа пользователей к данным

· Передача данных и результатов обработки пользователям

Эффективность решения перечисленных задач обеспечивается:

· Дистанционным доступом пользователей к аппаратным, программным и информационным ресурсам

· Высокой надежностью системы

· возможностью оперативного перераспределения нагрузки

· специализацией отдельных узлов сети для решения определенного класса задач

· решением сложных задач совместными усилиями нескольких узлов сети

· возможностью осуществления оперативного контроля всех узлов сети

Если рассмотреть структуру компьютерной сети, то в ней можно выделить три базовых элемента:

Сетевые средства и службы

Носители для передачи данных

Сетевые протоколы.

Сетевые средства и службы. Если мы рассмотрим компьютерную сеть, то под сетевыми средствами и службами подразумевается все то, на что способна сеть. Для организации служб используются многочисленные комбинации аппаратного и программного обеспечения.

Под термином «поставщик услуги» (service provider) следует понимать комбинацию аппаратного и программного обеспечения, которая выполняет определенную услугу. Не следует понимать под этим термином компьютер, так как компьютеры могут выполнять различные услуги и на одном компьютере может быть несколько поставщиков услуг одновременно



Под термином «потребитель услуги» (service requestor) понимают какого-либо субъекта, использующего данную услугу.

В зависимости от выполняемых ролей в сети различают три типа поставщиков и потребителей услуг:

Сервер (server)

Клиент (client)

Клиент-сервер (peer).

Сервер может только предоставлять услуги. Клиент может только потреблять услуги. А клиент-сервер может одновременно и предоставлять, и потреблять услуги.

Очень часто эти понятия ошибочно жестко привязывают к какому-либо компьютеру, но следует отметить что роль компьютера зависит от установленного программного обеспечения, и в зависимости от ПО компьютер может быть и сервером, и клиентом, и клиент-сервером.

Компьютерные сети по структуре можно разделить на два вида:

На основе сервера (Server based)

Одноранговые (peer-to-peer)

Члены одноранговой сети могут быть и потребителями и поставщиками услуг одновременно. Установленное на каждом из компьютеров одноранговой сети ПО как правило предоставляет одинаковый комплекс услуг.

Одноранговые сети также называют рабочими группами. Чаще всего в таких сетях находится не более 10 компьютеров. Такие сети дешевы, так как не имеют выделенного под сервер компьютера. Пользователи сами выступают в роли администраторов и обеспечивают защиту информации. Этот тип сети отличается хаотичность информационной структуры. При большом количестве клиентов одноранговая сеть становится малоуправляемой.

Преимущества.

Просты в установке и настройке

Пользователи сами контрлируют свои ресурсы

Не нужно дополнительных ресурсов (оборудования и администратора) - сетевая безопасность устанавливается к каждому ресурсу отдельно

Недостатки

Нужно помнить столько паролей сколько есть ресурсов

Резервное копирование производится на всех компьютерах чтобы защитить общие данные

Малая производительность поставщиков услуг

Нет централизованной схемы для поиска и управления доступом к данным

В сетях на основе сервера клиенты потребляют услуги а серверы предоставляют услуги. Причем эти отношения жестко подчиняются административным правилам. Серверы можно классифицировать по видам предоставляемых услуг, что будет сделано позднее. Сейчас сети на основе сервера являются самым популярным видом сетей.

Компьютеры, выполняющие роль серверов, как правило имеют мощное аппаратное оснащение. Они специально рассчитаны на исполнение большого количества запросов клиентов. Ключевым моментом безопасности такой сети является физическое ограничение доступа к серверу. Специальный человек – администратор – формирует единую политику безопасности сети. Общие файлы как правило хранятся в одном месте, что упрощает их резервирование. Такие сети также лучше масштабируются и могут обслуживать от единиц до десятка тысяч пользователей.

Преимущества

Централизованное управление учет-ными записями пользователей, безопасностью и доступом

Более производительные поставщики услуг

Пользователю нужен только один пароль

Недостатки

Централизованное резервирование данных - неисправность сервера может сделать сеть неработоспособной

Требуется квалифицированный персонал для обслуживания что увеличивает стоимость

Высокая стоимость – из-за специального оборудования

Выбор реализации какого-либо типа сети можно сделать по следующим условиям.

Одноранговая сеть:

Имеется не более 10 сетевых пользователей (желательно пять)

Все машины в сети компактно расположены для объединения в одну локальную сеть

Ограниченность в средствах

Нет потребности в высокопроизводительных поставщиках услуг

Вопрос безопасности не является решающим.

Сеть на основе сервера:

В сети планируется более 10 пользователей

Требуется централизованное управление, безопасность, управление ресурсами или резервное копирование

Существует потребность в высокопроизводительных поставщиках услуг

Требуется доступ к глобальной сети или используется объединенная сеть

Носитель для передачи данных – это среда, по которой происходит передача информации. Под компьютерным носителем подразумевают либо кабель, либо технологии беспроводной связи. Носитель не гарантирует что сообщение будет принято адресатом, он лишь гарантирует его правильную передачу.

Сетевые протоколы гарантируют что члены сети будут понимать друг друга. Протокол – это свод правил и стандартов по которым взаимодействуют различные устройства.

Сетевые средства и службы: понятие, примеры и назначение основных сетевых служб .

Сетевые службы и сетевые сервисы

Сетевая служба - совокупность серверной и клиентской частей ОС, предоставляющих доступ к конкретному типу ресурса компьютера через сеть.

Говорят, что сетевая служба предоставляет пользователям сети некоторый набор услуг. Эти услуги иногда называют также сетевым сервисом (от англоязычного термина "service"). Далее в тексте под "службой" мы будем понимать сетевой компонент, который реализует некоторый набор услуг, а под "сервисом" - описание того набора услуг, который предоставляется данной службой. Таким образом, сервис - это интерфейс между потребителем услуг и поставщиком услуг (службой).

Сервис - описание набора услуг, которые предоставляется сетевой службой

Каждая служба связана с определенным типом сетевых ресурсов и/или определенным способом доступа к этим ресурсам. Например, служба печати обеспечивает доступ пользователей сети к разделяемым принтерам сети и предоставляет сервис печати, а почтовая служба предоставляет доступ к информационному ресурсу сети - электронным письмам. Способом доступа к ресурсам отличается, например, служба удаленного доступа - она предоставляет пользователям компьютерной сети доступ ко всем ее ресурсам через коммутируемые телефонные каналы. Для получения удаленного доступа к конкретному ресурсу, например, к принтеру, служба удаленного доступа взаимодействует со службой печати. Наиболее важными для пользователей сетевых ОС являются файловая служба и служба печати.

Среди сетевых служб можно выделить такие, которые ориентированы не на простого пользователя, а на администратора. Такие службы используются для организации работы сети. Например, служба Bindery операционной системы Novell NetWare 3.x позволяет администратору вести базу данных о сетевых пользователях компьютера, на котором работает эта ОС. Более прогрессивным является подход с созданием централизованной справочной службы, или, по-другому, службы каталогов, которая предназначена для ведения базы данных не только обо всех пользователях сети, но и обо всех ее программных и аппаратных компонентах. В качестве примеров службы каталогов часто приводятся NDS компании Novell и StreetTalk компании Banyan. Другими примерами сетевых служб, предоставляющих сервис администратору, являются служба мониторинга сети, позволяющая захватывать и анализировать сетевой трафик, служба безопасности, в функции которой может входить, в частности, выполнение процедуры логического входа с проверкой пароля, служба резервного копирования и архивирования.

От того, насколько богатый набор услуг предлагает операционная система конечным пользователям, приложениям и администраторам сети, зависит ее позиция в общем ряду сетевых ОС.

Сетевые службы по своей природе являются клиент-серверными системами. Поскольку при реализации любого сетевого сервиса естественно возникает источник запросов (клиент) и исполнитель запросов (сервер), то и любая сетевая служба содержит в своем составе две несимметричные части - клиентскую и серверную. Сетевая служба может быть представлена в операционной системе либо обеими (клиентской и серверной) частями, либо только одной из них.

Принципиальной же разницей между клиентом и сервером является то, что инициатором выполнения работы сетевой службой всегда выступает клиент, а сервер всегда находится в режиме пассивного ожидания запросов.

Обычно взаимодействие между клиентской и серверной частями стандартизуется, так что один тип сервера может быть рассчитан на работу с клиентами разного типа, реализованными различными способами и, может быть, разными производителями. Единственное условие для этого - клиенты и сервер должны поддерживать общий стандартный протокол взаимодействия.

разработчики сетевых ОС посчитали более эффективным подход, при котором сетевая ОС с самого начала работы над ней задумывается и проектируется специально для работы в сети. Сетевые функции у этих ОС глубоко встраиваются в основные модули системы, что обеспечивает ее логическую стройность, простоту в эксплуатации и модификации, а также высокую производительность. Важно, что при таком подходе отсутствует избыточность. Если все сетевые службы хорошо интегрированы, т.е. рассматриваются как неотъемлемые части ОС, то все внутренние механизмы такой операционной системы могут быть оптимизированы для выполнения сетевых функций. Например, ОС Windows NT компании Microsoft за счет встроенности сетевых средств обеспечивает более высокие показатели производительности и защищенности информации по сравнению с сетевой ОС LAN Manager той же компании, являющейся надстройкой над локальной операционной системой OS/2. Другими примерами сетевых ОС со встроенными сетевыми службами являются все современные версии UNIX, NetWare, OS/2 Warp.

Другой вариант реализации сетевых служб - объединение их в виде некоторого набора (оболочки), при этом все службы такого набора должны быть между собой согласованы, т.е. в своей работе они могут обращаться друг к другу, могут иметь в своем составе общие компоненты, например, общую подсистему аутентификации пользователей или единый пользовательский интерфейс. Для работы оболочки необходимо наличие некоторой локальной операционной системы, которая бы выполняла обычные функции, необходимые для управления аппаратурой компьютера, и в среде которой выполнялись бы сетевые службы, составляющие эту оболочку. Оболочка представляет собой самостоятельный программный продукт и, как всякий продукт, имеет название, номер версии и другие соответствующие характеристики. В качестве примеров сетевой оболочки можно указать, в частности, LAN Server и LAN Manager. Самые известные сетевые ОС – это Novell NetWare и Windows NT.

Общие сетевые службы

Самыми распространенными являются следующие сетевые службы:

Файловые службы

Службы печати

Службы передачи сообщений

Средства приложений

Средства баз данных.

Совокупность серверной и клиентской частей ОС, предоставляющих доступ к конкретному типу ресурса компьютера через сеть, называется сетевой службой. В приведенном выше примере клиентская и серверная части ОС, которые совместно обеспечивают доступ через сеть к файловой системе компьютера, образуют файловую службу.

Говорят, что сетевая служба предоставляет пользователям сети некоторый набор услуг. Эти услуги иногда называют также сетевым сервисом (от англоязычного термина «service»). Необходимо отметить, что этот термин в технической литературе переводится и как «сервис», и как «услуга», и как «служба». Хотя указанные термины иногда используются как синонимы, следует иметь в виду, что в некоторых случаях различие в значениях этих терминов носит принципиальный характер. Далее в тексте под «службой» мы будем понимать сетевой компонент, который реализует некоторый набор услуг, а под «сервисом» -- описание того набора услуг, который предоставляется данной службой. Таким образом, сервис -- это интерфейс между потребителем услуг и поставщиком услуг (службой).

Каждая служба связана с определенным типом сетевых ресурсов и/или определенным способом доступа к этим ресурсам. Например, служба печати обеспечивает доступ пользователей сети к разделяемым принтерам сети и предоставляет сервис печати, а почтовая служба предоставляет доступ к информационному ресурсу сети -- электронным письмам. Способом доступа к ресурсам отличается, например, служба удаленного доступа -- она предоставляет пользователям компьютерной сети доступ ко всем ее ресурсам через коммутируемые телефонные каналы. Для получения удаленного доступа к конкретному ресурсу, например к принтеру, служба удаленного доступа взаимодействует со службой печати. Наиболее важными для пользователей сетевых ОС являются файловая служба и служба печати.

Среди сетевых служб можно выделить такие, которые ориентированы не на простого пользователя, а на администратора. Такие службы используются для организации работы сети. Например, служба Bindery операционной системы Novell NetWare 3.x позволяет администратору вести базу данных о сетевых пользователях компьютера, на котором работает эта ОС. Более прогрессивным является подход с созданием централизованной справочной службы, или, по-другому, службы каталогов, которая предназначена для ведения базы данных не только обо всех пользователях сети, но и обо всех ее программных и аппаратных компонентах. В качестве примеров службы каталогов часто приводятся NDS компании Novell и StreetTalk компании Banyan. Другими примерами сетевых служб, предоставляющих сервис администратору, являются служба мониторинга сети, позволяющая захватывать и анализировать сетевой трафик, служба безопасности, в функции которой может входить, в частности, выполнение процедуры логического входа с проверкой пароля, служба резервного копирования и архивирования. От того, насколько богатый набор услуг предлагает операционная система конечным пользователям, приложениям и администраторам сети, зависит ее позиция в общем ряду сетевых ОС.

Сетевые службы по своей природе являются клиент- серверными системами. Поскольку при реализации любого сетевого сервиса естественно возникает источник запросов (клиент) и исполнитель запросов (сервер), то и любая сетевая служба содержит в своем составе две несимметричные части -- клиентскую и серверную (рис. 2.2). Сетевая служба может быть представлена в операционной системе либо обеими (клиентской и серверной) частями, либо только одной из них.

Рис. 2.2

Обычно говорят, что сервер предоставляет свои ресурсы клиенту, а клиент ими пользуется. Необходимо отметить, что при предоставлении сетевой службой некоторой услуги используются ресурсы не только сервера, но и клиента. Клиент может затрачивать значительную часть своих ресурсов (дискового пространства, процессорного времени и т. п.) на поддержание работы сетевой службы. Например, при реализации почтовой службы на диске клиента может храниться локальная копия базы данных, содержащей его обширную переписку. В этом случае клиент выполняет большую работу при формировании сообщений в различных форматах, в том числе и сложном мультимедийном, поддерживает ведение адресной книги и выполняет еще много различных вспомогательных работ. Принципиальной же разницей между клиентом и сервером является то, что инициатором выполнения работы сетевой службой всегда выступает клиент, а сервер всегда находится в режиме пассивного ожидания запросов. Например, почтовый сервер осуществляет доставку почты на компьютер пользователя только при поступлении запроса от почтового клиента.

Обычно взаимодействие между клиентской и серверной частями стандартизуется, так что один тип сервера может быть рассчитан на работу с клиентами разного типа, реализованными различными способами и, может быть, разными производителями. Единственное условие для этого -- клиенты и сервер должны поддерживать общий стандартный протокол взаимодействия.

В условиях высокой конкуренции бизнес ожидает от ИТ-подразделения, а следовательно, и ИТ-руководителя, обеспечения высокой доступности ИТ-систем и сервисов, а также их развития в соответствии с меняющимися и не всегда прогнозируемыми требованиями. Поскольку сети и сетевые сервисы (собственно передача данных, а также телефония, видео-конференц-связь, доступ к корпоративным ИТ-ресурсам с удаленных площадок и т.д.) критически важны для функционирования ИТ в целом, задача обеспечения их надежности приобретает особую важность.

Риски

Первая череда препятствий - это риски. Полностью избежать их невозможно, тем не менее ими можно и нужно управлять и минимизировать их.

Технические риски . Даже самая совершенная техника может отказать. Необходимо оценить возможные последствия отказа для бизнеса и принять меры по их нивелированию или минимизации.

Человеческие риски . Текучесть кадров, временная недоступность нужного сотрудника, недостаточная квалификация того или иного специалиста могут затруднить или сделать невозможным выполнение ИТ-подразделением своих функций в критический момент.

Финансовые риски . Решение непредвиденных задач, таких как масштабные сбои, устранение последствий интернет-атак, срочное расширение или внедрение информационных систем или сервисов не всегда подкреплено достаточными бюджетными резервами, в том числе капитальными.

Организационные риски . Предприятию сложно, да и не выгодно организовывать и поддерживать редко применяемые сложные процессы, такие как устранение масштабных сбоев или массовые миграции. Часто встречаются недостатки в рабочих процессах и документации, что также обычно связано с экономией средств.

Управление

Сеть и сетевые сервисы можно рассматривать как объект управления, в рамках которого ИТ-руководитель организует и контролирует множество функций, включая:

  • управление сетевым оборудованием и сервисами (администрирование);
  • локальную поддержку оборудования и пользователей сервисов, в частности на удаленных площадках. Зачастую локальная поддержка производится силами внешних по отношению к ИТ-подразделению ресурсов, что дополнительно усложняет задачу управления;
  • снабжение и логистику;
  • развитие сети - планирование, проектирование, внедрение;
  • управление третьими сторонами (вендорами, подрядчиками, провайдерами интернета и телефонии), координацию их действий с внутренней ИТ-командой и между собой;
  • бюджетирование, включая прогнозирование расходных статей и контроль расходования бюджета, а также действия по корректировке бюджета при возникновении непредвиденных расходов;
  • управление персоналом. Подбор, обучение, развитие, удержание сотрудников - функции не только отдела по работе с персоналом, они требуют больших затрат сил и времени и от линейных руководителей.

Управление - процесс затратный. Он требует привлечения ресурсов независимо от того, как они контролируются и оцениваются ли соответствующие затраты. Хорошо, если для управления различными процессами и функциями назначаются менеджеры или координаторы, в худшем случае для этого от основной деятельности отвлекаются технические специалисты и руководители. Возникает риск свести управление к микроменеджменту и фрагментации управленческих задач и процессов. Результатом становится рост непроизводительных затрат.

Ресурсы

Ресурсы всегда ограниченны, с каждым годом ограничения становятся все жестче, и ИТ-руководителю приходится искать пути решения перечисленных задач с учетом этих ограничений.

Бюджета никогда не хватает. Редкий ИТ-руководитель считает ИТ-бюджет достаточным, а текущая экономическая ситуация и ухудшение финансовых показателей компаний приводят к еще большим сокращениям затрат. Повысившиеся в последние годы курсы мировых валют, наоборот, толкают затраты вверх - валютная составляющая ИТ-затрат неизменно высока.

Ограниченны человеческие ресурсы. Причем это касается как внутренних ресурсов - штатных и внештатных сотрудников, так и ресурсов рынка труда, особенно за пределами крупных городов. Со специалистами высокого уровня или редкого профиля ситуация еще сложнее.

Ряд компаний столкнулись с санкционными ограничениями со стороны США и ЕС, сделавшими недоступной для них поддержку от многих вендоров сетевого оборудования и ПО.

Решение - сервис

Что делать, когда перед вами череда препятствий и клубок проблем: риски, затраты, нехватка ресурсов, - и все это при неизменно высоких требованиях со стороны бизнеса? Наверное, можно мобилизовать все ресурсы ИТ-подразделения для решения перечисленных проблем, но будет ли этого достаточно, хватит ли у сотрудников опыта и квалификации? Есть ли более подходящий выход?

Таким выходом может стать использование сетевых сервисов со стороны квалифицированного подрядчика. Сегодня на рынке есть сервисные предложения, предполагающие разную степень вовлеченности подрядчика в развитие и поддержку функционирования сетевой инфраструктуры и сервисов заказчика. Нужно только выбрать те, которые подходят именно вам.

Объектами сервиса могут быть корпоративная сеть передачи данных, в том числе территориально распределенная, системы голосовой и видеосвязи, конференц-системы. Если речь идет о решениях операторского класса, можно поручить подрядчику внедрение и поддержку таких технологий, как DPI (Deep Packet Inspection, глубокий анализ трафика), DSR (Diameter Signaling Router, система маршрутизации сигнального трафика для сетей 3G/4G) и др. На рынке есть предложения по квалифицированной интеграции и поддержке для большинства аппаратных и программных решений ведущих мировых производителей.

Структура сетевых сервисов

Рассмотрим структуру предложений сетевых сервисов и их уровни, представленные на рисунке 1.


Базовые сервисы

Сервисы этого уровня включают базовую техподдержку, которая предусматривает ремонт или замену отказавших устройств либо их компонентов в случае обращения заказчика. Объектом обслуживания в данном случае является отдельное устройство, даже если на поддержке находится множество устройств. В отличие от гарантии базовые сервисы предоставляются в соответствии со SLA, т.е. в рамках согласованных сроков реакции на обращение и выполнение ремонтных работ.

Стоимость базовых сервисов минимальна, однако минимальна и их ценность для заказчика. Базовые сервисы не предусматривают поддержания функциональности систем на время устранения отказа, в частности поиска и применения обходных решений либо подмены оборудования. Кроме того, они не обеспечивают возврат конфигурации и настроек систем к состоянию до отказа. Сетевые сервисы базового уровня не избавляют заказчика от необходимости иметь собственный квалифицированный персонал, а также управлять всеми эксплуатационными процессами.

Расширенная поддержка

Расширенная поддержка включает ряд сервисов в дополнение к базовым:

Устранение инцидентов;

Экспертную поддержку;

Мониторинг.

Устранение инцидентов подразумевает весь комплекс работ по восстановлению функционирования систем и ПО, а не только физическую замену или ремонт устройств и компонентов. Для скорейшего устранения инцидента и восстановления функциональности систем и сервисов может применяться временное изменение конфигураций и настроек с возвратом к первоначальному состоянию по завершении всех ремонтных мероприятий. На время работ по восстановлению предоставляется подменное оборудование.

Экспертная поддержка предусматривает подключение к решению сложных и пограничных (смежных) вопросов экспертов самого высокого уровня (3-й линии поддержки), она обеспечивает решение всех эксплуатационных задач, за исключением тех, которые требуют подключения вендора. В рамках этого вида поддержки заказчику предоставляются также консультации экспертного уровня.

Мониторинг систем и сервисов включает непрерывное отслеживание их состояния, а также периодический контроль статистических показателей. Это позволяет предотвратить возникновение критических отказов либо ускорить их устранение.

В качестве объекта обслуживания в данном случае выступает уже целая подсистема сетевой инфраструктуры заказчика: сеть передачи данных, система телефонии, система видео-конференц-связи, - а не отдельные устройства. Подрядчик несет ответственность за работоспособность системы в целом, поэтому в SLA предусматриваются сроки устранения отказа либо показатели доступности соответствующих сервисов.

Расширенная поддержка позволяет уменьшить количество критических отказов и время простоев системы, снижает риски за счет создания единой зоны ответственности за функционирование систем, сокращает потребности заказчика в квалифицированном персонале и затраты на управление.

Эксплуатационная поддержка

В рамках эксплуатационной поддержки предоставляются все сервисы расширенной поддержки плюс, в дополнение к ним, услуги управления системами и сервисами, управления ИТ-процессами, а также управления третьими сторонами.

Управление системами и сервисами подразумевает выполнение рутинных операций, таких как резервное копирование, тестирование, профилактические осмотры и т.д., текущее реконфигурирование систем и внесение текущих изменений, управление сетевыми сервисами, поддержку проведения аудиовизуальных мероприятий и т.п.

Управление ИТ-процессами направлено на упорядочение необходимых ИТ-функций и может быть описано в терминах ITIL/ITSM. Эта категория услуг включает, например, управление конфигурациями (configuration management), управление мощностями (capacity management), управление изменениями (change management).

Управление третьими сторонами предусматривает управление и координацию действий с другими подрядчиками, а также провайдерами Интернета и телефонии.

С заказчика снимается основной объем трудозатрат по эксплуатации сети, уменьшается потребность в собственном квалифицированном персонале. Как следствие, на долю заказчика приходится значительно меньше задач по управлению персоналом, его развитию, обучению и сертификации. Заказчик концентрируется на постановке задач и контроле исполнения.

Эксплуатационная поддержка создает единую точку ответственности за состояние и функционирование сетей и сервисов, а также снижает затраты заказчика на управление, укрупняя постановку задач. Упрощается и ускоряется расследование и устранение пограничныхсбоев.

Аутсорсинг

Аутсорсинг предполагает предоставление ресурсов сети и сетевых сервисов как услуги, оборудование и лицензии на ПО находятся на балансе аутсорсера. Заказчик платит за фактическое пользование ресурсами и сервисами в течение определенного периода времени. Объем потребляемых ресурсов и сервисов, а соответственно, и затрат заказчика, может меняться в сторону как увеличения, так и уменьшения.

Управление третьими сторонами, в частности телефонными и интернет-провайдерами, осуществляет аутсорсер; обновление оборудования и версий ПО происходят прозрачно для бизнес-пользователей и без капитальных затрат со стороны заказчика.

Профессиональные сервисы

Профессиональные сервисы не ориентированы на поддержание текущей операционной готовности и доступности сетей и сервисов. Они направлены на выявление путей и способов совершенствования функционирования сетей и сервисов заказчика, а также на детальное планирование и реализацию этих способов.

Аудит сетевой инфраструктуры проводится с целью определения текущего состояния сетей и сервисов, а также для утилизации физических ресурсов и лицензий. Результатами аудита являются точный «диагноз» для сети заказчика, восстановленная техническая и эксплуатационная документация, рекомендации по исправлению выявленных недостатков.

Оптимизация сети проводится с целью снижения затрат на обслуживание инфраструктуры и ПО. Кроме того, в рамках оптимизации исправляются некорректные либо неоптимальные конфигурации и настройки.

Поддержка заказчика в развитии систем и сервисов подразумевает разработку и реализацию средне- и долгосрочного планов развития сетевой инфраструктуры и сервисов, которые выполняются в соответствии с бизнес-планами заказчика и совместно с заказчиком.

Когда и как это работает

Итак, заказчик решил прибегнуть к сетевым сервисам со стороны подрядчика, чтобы повысить надежность сетей и сетевых сервисов и эффективность управления рисками. Чего он вправе ожидать от подрядчика, каких действий и результатов? Основываясь на опыте нашей компании, отметим основные задачи, которые должен решить подрядчик.

Реорганизация инфраструктуры . Прежде всего должны быть выявлены узкие места и потенциальные единые точки отказа, после чего подрядчик помогает заказчику перейти к отказоустойчивым конфигурациям его систем и исправляет обнаруженные ошибки конфигурации.

Проактивная поддержка, мониторинг сетей и сервисов . Имея возможность заранее узнавать о вероятных отказах, подрядчик может существенно уменьшить их количество и влияние на бизнес заказчика. А выстроенные процедуры реагирования позволяют сократить сроки устранения сбоев.

Повышение доли удаленной поддержки . Практика показывает, что до 90 и более процентов работ по поддержке и управлению оборудованием и сервисами могут быть выполнены удаленно. Поскольку инженерам и экспертам подрядчика не приходится тратить время на дорогу, сроки устранения инцидентов сокращаются, в то же время подрядчик может более рационально планировать загрузку своих специалистов. Это положительно сказывается на скорости выполнения работ и стоимости услуг для заказчика.

Рациональная организация локальной поддержки . Поддержка на местах также должна быть доступна. В каждом конкретном случае и для каждой площадки заказчика можно спланировать и организовать наименее затратный способ локальной поддержки, которая оказывается либо силами самого подрядчика, либо с привлечением доверенных партнеров-субподрядчиков, а иногда даже с помощью непрофильного персонала заказчика на местах после прохождения необходимого инструктажа.

Минимизация человеческого фактора . Квалифицированный подрядчик берет на себя все задачи, связанные с подбором/обучением/управлением/удержанием персонала, а также обеспечивает схемы эскалации проблем и необходимую доступность человеческих ресурсов.

Снижение финансовых рисков заказчика . Стоимость сервиса фиксируется на срок контракта, а затраты заказчика оптимизируются исходя из соотношения объема задач и имеющегося бюджета.

Привлечение дополнительной экспертизы . Опытныйподрядчик имеет возможность привлекать при необходимости специалистов смежных профилей и более высокого уровня компетенции. Это позволяет ему не просто выполнять предусмотренные договором действия, но и работать на результат, помогая заказчику решать актуальные бизнес-задачи.

Совершенствование процессов . Координации на уровне исполнителей и штатных процедур бывает недостаточно для решения нестандартных вопросов. Все процедуры и регламенты взаимодействия должны быть продуманы и согласованы заранее, при необходимости - восстановлена недостающая документация. Для организации взаимодействия заказчика и исполнителей назначается выделенный сервисный менеджер.

Источники экономии

Использование сетевых сервисных возможностей подрядчика позволяет обеспечить требуемые параметры функционирования сети, эффективно управлять всеми видами рисков и при этом сократить затраты.

Продление срока жизни существующего оборудования и сервисов . Даже в случае, если оборудование устарело или уже не находится на поддержке вендора, опытный подрядчик сможет обеспечить его поддержку с использованием ЗИП. Ряд компаний применяют комбинированный подход, обновляя только критичные компоненты сетевой инфраструктуры, например, ядро, и оставляя в использовании не новые, но еще достаточно надежные и работоспособные устройства уровня доступа.

Оптимизация уровней поддержки . ИТ-бюджет может не позволять оплачивать те уровни поддержки оборудования, которые традиционно использует заказчик. Для такого случая подрядчик совместно с заказчиком может разработать новый план поддержки с учетом реальной критичности и возможностей обеспечения отказоустойчивости - заказчик будет платить только за то, что реально необходимо.

Отсутствие необходимости содержать дорогостоящих уникальных экспертов . Функции, выполняемые экспертами заказчика, могут быть предоставлены в необходимом объеме в виде сервиса. Устраняются риски заказчика, связанные с увольнением эксперта или его временной недоступностью (отпуском, болезнью). Некоторые крупные компании уже много лет пользуются услугами подрядчиков для обеспечения сетевых сервисов. Например, известная сеть медицинских лабораторий имеет в штате всего одного специалиста по компьютерным сетям, который отвечает за их перспективное развитие и контролирует подрядчиков.

Снижение затрат на вендорскую поддержку . Необходимый объем дорогостоящей вендорской поддержки можно уменьшить, если подрядчик готов обеспечить требуемый уровень SLA за счет добавления собственных работ, а также предоставления подменного оборудования. Возможен даже полный отказ от вендорского сервиса, что актуально для заказчиков, попавших под действие санкций. Дополнительный эффект - снижение валютной составляющей текущих затрат.

Упрощение управления и контроля . Укрупнение сервисных задач позволяет упростить задачу управления и контроля - функции координации передаются подрядчику, задачи управления персоналом и микроменеджмента сводятся к минимуму, уменьшается набор параметров SLA и объем отчетности. Соответственно, сокращаются связанные с управлением затраты заказчика.

Повышение осведомленности о состоянии сети. Чем лучше заказчик знает свою сеть, тем меньше он на нее тратит. Аудит имеющихся физических ресурсов и лицензий на ПО, а также постоянное отслеживание их использования поможет свести затраты на их поддержку только к самым необходимым. Например, часть неиспользуемых устройств можно задействовать как ЗИП. В российском офисе одной из глобальных технологических компаний аудит позволил выявить практически двукратное превышение количества сетевых портов на сети доступа над количеством реально подключенных сетевых устройств.

Отказ от капитальных затрат . Заказчик может столкнуться с необходимостью внедрения нового или модернизации имеющегося сетевого решения, когда капитальный бюджет недостаточен либо отсутствует. Решение проблемы - переход на сервисную модель получения требуемых ресурсов и/или сервисов с повременной оплатой. Арендуемый ресурс может быть размещен на площадке заказчика либо предоставлен из облака.

С чего начать?

Предположим, вы оценили потенциальные преимущества использования различных видов сетевого сервиса. Как подойти к практической реализации изложенных в этой статье подходов?

Начинайте работу с худшего . Какой сегмент сетевой инфраструктуры или сетевой сервис генерирует наибольшее количество отказов, нареканий, неудобств в эксплуатации? Найдите самую проблемную область. Риск ухудшить функционирование и без того проблемного сегмента сравнительно невысок, а положительный эффект может быть значительным.

Ставьте задачу вместе . Правильное построение сетевого сервиса начинается с правильной постановки задачи - сделанные на этом этапе ошибки в дальнейшем могут обойтись очень дорого. Не стоит пренебрегать опытом сервисного партнера: пригласите технологических и сервисных экспертов для формулирования целей сетевого сервиса и постановки задачи.

Обследуйте объект обслуживания . Верное представление об объекте обслуживания, его состоянии и применяемых эксплуатационных процедурах позволит избежать конфликтов и появления «серых» зон в процессах. Обследование лучше проводить вместе с сервисным партнером - результат будет точнее и обойдется дешевле.

Разработайте совместно с исполнителем модель предоставления сервиса . При одних и тех же исходных условиях можно применять разные модели обслуживания - по объему обязательств подрядчика, уровню SLA, разделению ролей, схемам взаимодействия и пр. Модель сервиса разрабатывается совместно с сервисным партнером и адаптируется с учетом возможностей и ограничений заказчика.

("
Понравилось? Лайкни нас на Facebook