Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

1. Ведение. Основные проблемы администрирования сетей TCP/IP и информационных технологий Internet

В последнее время наблюдается быстрый рост числа сетей, подключенных к сообществу компьютерных сетей Internet. Темпы этого роста носят экспоненциальный характер. Популярность Internet определяется наличием простого в использовании программного обеспечения, отработанной технологии межсетевого обмена и большого количества информационных материалов, размещенных в сети за 25 лет ее существования.

Рис. 1.1. Рост числа машин, подключенных к сети Internet (MLotter, Network Wizards)

До 80% всех информационных ресурсов Internet расположены в США. По этой причине наиболее критичные пути доступа к информационным ресурсам Internet - это каналы, связывающие российский сектор сети с США.

Фактически, именно американский сектор Internet задает основные тенденции развития сети. По этой причине до 1995 года включительно наиболее пристально изучался трафик по опорной сети (backbone) Национального Научного Фонда США (National Scientific Foundation), который являлся основой американской части Internet. К сожалению к концу 1995 года фонд принял решение о раздаче отдельных частей этой опорной сети в частные руки, что привело к невозможности получения статистики использования информационных ресурсов сети.

Во многом такое решение было продиктовано увеличением доли коммерческого использования сети. Если в 1994 году только 30% всего трафика приходилось на коммерческие информационные ресурсы, то в 1996 году коммерческая реклама стала составлять почти 80% всех информационных материалов, размещенных в сети. Коммерческое использование технологии Internet продолжает набирать обороты, и уже привело к появлению нового термина Intranet, который обозначает применение информационных технологий Internet для нужд компаний и корпораций в качестве основы их корпоративных информационных ресурсов.

Рис. 1.2. Динамика применения различных информационных технологий Internet

Все выше сказанное заставляет сейчас говорить не просто об организации TCP/IP сетей и подключении их к Internet, но и об организации централизованного обслуживания клиентов в рамках информационных технологий Internet.

Следует заметить, что мировые тенденции использования сети не очень сильно отличаются от отечественных реалий. Достаточно сравнить использование американского backbone и статистику по использованию российской сети Freenet, чтобы убедиться в этом.

Точно также, как и в NSFNET, в российской сети наибольшая часть трафика приходится на FTP. Это можно объяснить тем, что все большую популярность приобретают программы бета-тестирования продуктов с использованием сети. Современные дистрибутивы - это файлы объемом до десятка мегабайтов. Никакой трафик World Wide Web, не может сравниться с передачей такого количества информации, хотя уже вплотную и подошел к FTP и занимает второе место.

Рис. 1.3. Структура трафика Freenet (1995)

World Wide Web - это второй после FTP ресурс, который пользуется наибольшей популярностью среди пользователей Internet. В настоящее время объем трафика World Wide Web медленно, но верно приближается к объему трафика FTP. Происходит это главным образом за счет использования графики и перехода на режим обмена информацией в рамках продолжительной сессии.

Вслед за FTP и World Wide Web следует электронная почта. В настоящее время по почте передается не только текстовая информация, но и двоичная информация, которой являются программы, графические образы, видеоматериалы и звукозаписи.

На четвертое место в 1996 году вышел режим доступа к информационным ресурсам в режиме эмуляции удаленного терминала - telnet. Информационных ресурсов, доступ к которым осуществляется в режиме удаленного терминала в Internet, за 25 лет его существования накоплена масса. Это один из наиболее простых способов переноса локальных информационных систем в технологию Internet, т.к. он не требует переделки баз данных и программного обеспечения, которое используется при доступе.

Однако, telnet стал четвертым не потому, что безудержно растет его популярность. Просто популярность другой информационной технологии, Gopher, продолжает снижаться. Gopher вытесняется из Internet World Wide Web'ом. Однако, в силу того, что многие университеты до сих пор используют Gopher, и эта система не требует применения дорогостоящего оборудования, сервис Gopher еще долго будет существовать в Сети.

В данном коротком обзоре текущего состояния и тенденций развития информационных ресурсов Internet хотелось бы остановиться еще на одном моменте - эффективности использования сети информационными технологиями.

Рис. 1.4. Пакеты и байты

В разделе 2 (Основы межсетевого обмена в сетях TCP/IP) мы подробно разберем особенности транспорта TCP/IP, здесь же хочется отметить, что различные информационные сервисы используют этот транспорт с разной эффективностью. Так, например FTP, основанный на принципе организации обмена в рамках сессии взаимодействия пользователя с сервером FTP-архива, использует транспорт TCP довольно эффективно, в то время как http, базовый протокол World Wide Web, делает это крайне неэффективно. В результате, до 30% ресурсов сети уходит не на информационный обмен, а на служебный трафик. Это хорошо заметно при рассмотрении графиков, на которых кроме байтов переданных по тому, или иному протоколу, указывается также и число пакетов. Чем больше разница, тем эффективнее работает система, т.к. меньше служебных обменов приходится на каждый переданный байт.

Однако тема данного материала, не информационные ресурсы Internet, а администрирование сети подключенной к Internet и сервисов Internet, в этой сети установленных. В рамках этой темы можно выделить несколько основных проблем, с которыми сталкивается администратор такой системы:

  • Организация сети TCP/IP;
  • Подключение локальной или корпоративной сети к Internet;
  • Определение и управление маршрутами передачи информации в этой сети, или, другими словами, проблема маршрутизации;
  • Получение доменного имени для организации, т.к. запомнить числовые адреса задача трудная и, с учетом числа машин в сети, не выполнимая. По вашему доменному имени всегда пользователи смогут добраться до информационных ресурсов вашей организации;
  • Обмен электронной почтой как внутри организации, так и с адресатами за ее пределами;
  • Организация информационного обслуживания на базе технологий Internet, плавно перетекающая в технологию Intranet;
  • Проблема безопасности сети TCP/IP.

Остановимся на каждом из этих направлений деятельности администратора системы или группы администраторов более подробно.

1.1. Организация сети TCP/IP

Прежде, чем организовывать сеть TCP/IP следует достаточно хорошо разбираться в принципах ее функционирования. В отличии от многих других сетей, в TCP/IP практически на каждой машине следует иметь массу информации необходимой для ее настройки, которая по сети не передается. В этом есть как свои преимущества, так и свои недостатки.

Недостатки сводятся к довольно большой ручной работе по настройке каждой машины, каждого сетевого интерфейса. При этом предварительно должна быть продумана топология сети, ее физическая и логическая схемы, определено оборудование. Обязательным условием для организации TCP/IP сети является получение блока адресов Internet для всего множества сетевых интерфейсов. Данную процедуру принято называть "получение сетки".

Блок адресов, обычно, выделяется провайдером, через которого локальная сеть подключается к Internet.

При организации локальной сети, которая не будет подключена к Internet можно официально никакой сетки не получать, а ее номер придумать, но если позже возникнет необходимость подключения к Internet, получить адреса все равно придется, но при этом придется также производить изменения во всех машинах локальной сети, меняя настройки сетевых интерфейсов.

После того как физическая сеть собрана, администратор должен собственноручно назначить на каждой машине адреса интерфейсам. Обычно это делается с консоли того компьютера, который настраивается для работы в сети. В последнее время появилась возможность динамической настройки с одного рабочего места всех машин сети. Однако, как и в любом деле, кроме явных преимуществ есть и срытые недостатки такого подхода. Главный из них - это учет статистики работы с каждой из машин системы. При динамическом назначении адресов машина может в разное время получать разные адреса, что не позволяет по адресу проидентифицировать машину. Многие же системы анализа трафика основываются на том, что соответствие между адресом и компьютером неизменно. Именно на этом принципе построены многие системы защиты от несанкционированного доступа.

Другой причиной, заставляющей жестко назначать адреса компьютерам сети, является необходимость организации информационных сервисов на серверах сети. TCP/IP не имеет механизма оповещения рабочих мест о месте нахождения сервиса. Широковещание вообще не очень распространено в сетях TCP/IP, в отличии от сетей Novell или Microsoft. Каждый хост знает о наличии того или иного сервиса либо из файла своей настройки (например, указываются шлюз в другие сети или сервер доменных имен), либо из файлов настроек прикладного программного обеспечения. Так, например, сервер World Wide Web не посылает никакого широковещательного сообщения о том, что он установлен на данном компьютере в данной сети.

Преимущество такого подхода заключается в низком трафике, порождаемом сетью TCP/IP. Этот трафик иногда очень значительно отличается от трафика Novell, например. Кроме этого практически любое оборудование позволяет фильтровать трафик TCP/IP, что сильно облегчает сегментацию сети и делает ее легко структурируемой.

Сеть TCP/IP обладает практически теми же базовыми сервисами, что и другие локальные сетевые технологии. Система позволяет работать в режиме удаленного терминала, организовывать распределенную файловую систему, сетевую печать и т.п.

Иногда приходится слышать, что обмен в рамках TCP/IP, например, при копировании файлов с локального диска на удаленный, смонтированный на данный локальный компьютер происходит медленнее, чем скажем в сети Microsoft или Netware. Во-первых, это сильно зависит от прикладного программного обеспечения, а во-вторых, в отличии от Netware или Microsoft для сети TCP/IP нет разницы между машинами, которые стоят в соседней комнате, или установлены на разных континентах. Для монтирования удаленной файловой системы нет необходимости в использовании межсетевого протокола для доставки протоколов локальной сети, т.к. стек TCP/IP сам по себе реализует этот межсетевой обмен.

В рамках организации сети TCP/IP в последнее время все больше внимание уделяется организации удаленных рабочих мест. Особенно это характерно для организаций, которые используют труд надомников. Здесь имеются в виду не старушки, которые вяжут носки, а потом продают их на вещевых рынках, и не телефонистки, которые принимают сообщения для мелких коммерческих организаций. Речь идет о программистах или других сотрудниках, которые используют модемную связь для оперативного обмена информацией, доступа к информационным ресурсам, или обмена электронной почтой.

Развитие средств коммуникации и наличие специального набора протоколов и программного обеспечения, их реализующего, позволяет организовать такие рабочие места в рамках сетей TCP/IP без особых проблем.

1.2. Подключениe локальной или корпоративной сети к Internet

Подключение локальной сети TCP/IP к Internet осуществляется через местного провайдера. Обычно это та же организация, у которой был получен блок адресов для локальной сети.

Администратор локальной сети должен определить, какая машина локальной сети будет выполнять функции шлюза, именно так называется устройство, которое используется для соединения двух сетей. В настоящее время, все шире и шире, вместо машин используются специальные устройства, маршрутизаторы. Маршрутизаторы - это спец. компьютеры, которые распознают массу различных протоколов и способны правильно направлять пакеты информации из одной сети в другую. Стоит маршрутизатор столько же, сколько стоит самый "накрученный" персональный компьютер. Если подключаемая сеть большая и требуется мощное устройство для обслуживания ее внешнего трафика, то приобретение маршрутизатора оправдано, если же сеть небольшая, то можно обойтись персональным компьютером, на который следует установить соответствующее программное обеспечение.

Задача подключения локальной сети довольно простая, если только это не сеть распределенная в пространстве, т.е. не Wide Area Network (WAN). Здесь проблема подключения к Internet приобретает как бы два направления:

  • Собственно подключение различных сегментов к Internet;
  • Организация сети компании средствами Internet.

Если говорить о подключении сегментов, то здесь для каждого из сегментов следует выполнить весь комплекс работ, который был описан в предыдущем разделе, т.е. получить блок адресов, сконфигурировать машины каждой из сетей, организовать сбор статистики и, если необходимо, систему динамической настройки машин.

При организации сети компании распределенной по большой площади средствами Internet, то здесь нужно позаботиться о надежной маршрутизации, своевременном обмене информацией и о защите этой информации от несанкционированного доступа. Кроме того следует организовать информационное обслуживание, единое для всех частей такой распределенной структуры.

Организация распределенной структуры может быть выполнена либо путем использования своих собственных возможностей (аренда физической сети передачи данных), либо за счет использования существующей сети российских Internet-провайдеров. При выборе того или иного решения, как правило, во внимание принимается множество факторов, главными из которых могут быть факторы, не связанные с техническими решениями.

Понимание способов обмена данными через Internet важно и в том случае, когда организуют виртуальные локальные сети на базе протоколов, отличных от TCP/IP, но когда протоколы TCP/IP используются в качестве средства транспорта исходных сообщений из одного сегмента сети в другой.

Приведенный в разделе 4 перечень Internet-провайдеров и предоставляемых ими услуг призван упорядочить представление о возможностях российского сектора Internet и определить основные направления деятельности российских компаний, которые эти возможности предоставляют.

1.3. Маршрутизация в сетях TCP/IP

До тех пор пока вся локальная сеть представляет из себя простой сегмент сети Ethernet, не возникает проблем с приемом и передачей сообщений в рамках этой сети. Однако, стоит сеть разбить на несколько сегментов и установить шлюзы между ними, как сразу возникает проблема маршрутизации сообщений в этой сети.

Здесь уместно остановиться на том факте, что сеть Internet - это сеть коммутации пакетов. Это значит, что прежде чем отправить сообщение по сети, это сообщение "нарезается" на более мелкие части, которые называются пакетами, и вот эти самые пакеты и отправляются по сети. Сеть Internet интересна тем, что информацию о месте назначения каждый пакет несет в себе самом. Решение о том, в какую сторону направлять пакет принимается шлюзом в момент прохождения пакета через этот шлюз. Если в один момент времени некоторый путь от места отправления к месту назначения существует, то шлюз отправит пакет, который в этот момент времени через него проходит по этому пути. Если в следующий момент времени путь по какой-либо причине исчезнет, то шлюз отправит пакет по другому пути. При этом оба пакета могут принадлежат одному и тому же сообщению. В месте назначения пакетов не имеет значения последовательность получения пакетов, т.к. пакеты в себе несут также и информацию о своем месте внутри сообщения.

Такое свойство Internet обеспечивает надежную доставку сообщений в любую точку сети даже при ее неустойчивой работе. Однако, все это достигается не просто так, а за счет специального механизма, который называется маршрутизация. Основа маршрутизации - это таблица маршрутов на каждом из компьютеров в сети и правила изменения этой таблицы в случае изменения состояния самой сети.

Маршрутизация - это средство не только прокладки маршрутов, но и средство блокирования маршрутов пересылки пакетов по сети. Если таблицы настроены неправильно, то в лучшем случае пакеты будут доставляться медленно, а в худшем случае они будут доставляться не туда куда следует, что может привести к нарушению безопасности сети передачи данных. Очень часто средства маршрутизации используют для атак на системы, включенные в Internet. Известны, так называемые, ICMP-штормы, когда пакеты определенного вида могут блокировать прием/передачу информации по сети.

Если администратор по тем или иным причинам должен закрыть часть своей сети от доступа с других машин Internet, то в этом случае также можно использовать таблицу маршрутов, удаляя из нее определенные пути, или блокируя их другими средствами контроля сетевого трафика.

В разделе посвященном проблемам маршрутизации мы специально подробно остановимся на понятиях внутренней сети и автономной системы, а также на различиях в дисциплине прокладки маршрутов, базирующихся на этих понятиях.

И последнее замечание о проблемах маршрутизации связано с тем, что если администратор хочет, чтобы его система была видна из Internet, т.е. чтобы информационными ресурсами данной сети можно было пользоваться как внутри сети, так и за ее пределами, он должен данную сеть прописать в таблицах маршрутов провайдеров, к которым данная сеть подключена. Это взаимодействие носит не столько технический, сколько организационный характер и может занимать гораздо больше времени, чем доставка пакета из Москвы в Нью-Йорк.

1.4. Система доменных имен

Система доменных имен занимает одно из центральных мест среди информационных сервисов Internet. Это место столь велико, что часто пользователи сети отождествляют ошибки при работе системы доменных имен с ошибками работы самой сети.

И действительно, большинство информационных ресурсов сети пользователям известны по их доменным именам. Это справедливо как для адресов электронной почты, так и для схем доступа к информационным ресурсам World Wide Web. В любом адресе центральное место занимает доменное имя компьютера, на котором ресурс расположен.

Если речь идет о маленькой сети TCP/IP, то служба доменных имен Internet в данном случае не нужна. Можно обойтись простым соответствием между доменным именем и адресом Internet. Однако для организации больших сетей или виртуальных сетей через Internet, доменные имена становятся необходимыми и проблема управления этими адресами ложится на плечи администратора сети.

Если же информационные ресурсы сети должны быть доступны из Internet, то требования к системе доменных имен становятся еще более жесткими. Сервис доменных имен должен быть согласован с администрацией домена, из которого для данной организации выделяется поддомен, и должны быть выполнены требования надежного функционирования сервиса. Это заставляет администратора искать возможность размещения дублирующих серверов данного сервиса на машинах за пределами своего домена или на машинах, имеющих независимое подключение к Internet в рамках одного и того же домена.

Сервис доменных имен допускает и разделенное управление поддоменами. Особенно это актуально для сетей, имеющих распределенную структуру. Очень трудно из одного места уследить за всем, что может твориться в филиале за сотни километров, гораздо проще часть прав по управлению удаленной частью сети возложить на местную администрацию. В этом случае происходит делегирование управления поддоменом.

От реактивности работы сервиса доменных имен зависит во многом работа всей сети в целом. Очень часто медленная скорость получения ответов на запросы к сервису доменных имен может приводить к отказам на обслуживание другими серверами информационных ресурсов Internet. Типичным примером может быть доступ в информационным страницам World Wide Web или архивам FTP. Время ожидания адреса ресурса у многих прикладных программ ограничено, и, как следствие, программы не начинают обслуживание по причине отсутствия адреса.

Сильное влияние на скорость работы сервиса доменных имен оказывает правильное планирование доменов и разбиение этих доменов на поддомены. Особое внимание при этом обычно уделяют обратному соответствию между адресами и именами, т.к. здесь разбиение более детальное, чем при определении соответствия между именами и адресами.

Для того, чтобы о вашем домене знали в сети, необходимо домен зарегистрировать. Для этого направляются специальные заявки в организацию, управляющую доменом, в который входит ваш домен. Заявки имеют определенный стандартом вид и обрабатываются роботом-автоматом, что иногда может приводить к серьезным задержкам в процедуре регистрации.

1.5. Обмен электронной почтой

Обычно все книги и руководства по управлению сетями TCP/IP сводятся к четырем вещам: настройка сетевых интерфейсов, маршрутизация, служба доменных имен и электронная почта. Таким образом, лишний раз подчеркивается важность этого средства коммуникации пользователей сети Internet.

Существование электронной почты в Internet имеет свою историю, которая очень сильно влияет на принципы администрирования этого информационного ресурса. На заре становления сети электронная почта пересылалась между машинами по протоколу UUCP (Unix-Unix-CoPy). В эту пору использовалась совсем другая форма адреса электронной почты, нежели та, к которой привыкли мы в настоящее время. После того, как скорость передачи данных по сети резко увеличилась и стало возможным передавать почту с той же скоростью, что и сообщения режима on-line, в Internet был принят другой стандарт протокола обмена электронной почтой - SMTP (Simple Mail Transfer Protocol). Кроме этого, была введена новая форма почтового адреса абонента электронной почты, основанная на доменном имени.

К сожалению, российский сектор Internet успел захватить период работы с электронной почтой, когда в качестве основного протокола использовался протокол UUCP. Сеть Relcom начинала как сеть электронной почты, где у пользователей устанавливалась программ UUPC - адаптированный вариант коммуникационной программы из системы UUCP.

Главной причиной того, что в Relcom использовался протокол UUCP называют наилучшую его приспособленность для работы по медленным телефонным линиям связи, хорошие средства управления соединением и портами в системе UNIX и возможность автоматического дозвона. На самом деле это только часть причин. Система разрабатывалась специалистами, которые до этого занимались адаптацией системы Unix для отечественных компьютеров. Для связи между Unix-системами использовалась система UUCP. Разработчики отечественного клона Unix естественным образом использовали свои знания для организации системы электронной почты, тем более, что к тому времени свободно распространялись программы для организации такого взаимодействия. В мире уже во всю разворачивались новые системы на базе протокола SMTP, а Relcom приступил к внедрению системы на основе протокола UUCP.

В настоящее время ситуация изменилась. С 1995 года в стране ведется активное внедрение режима доступа к ресурсам Internet в режиме Dial-IP, т.е. доступ по протоколам TCP/IP через телефонную сеть. В качестве, транспорта используется уже не UUCP, а SLIP (Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Если в сравнении SLIP и UUCP можно говорить о каких-то преимуществах последнего, то в случае PPP таких преимуществ у UUCP нет. Кроме того, появилась масса программного обеспечения как коммерческого, так и свободно распространяемого, которое позволяет взаимодействовать с серверами электронной почты по телефонным линиям, используя новые транспортные протоколы. Однако, в стране существует не менее 100000 пользователей, которые пользуются почто Relcom, основанной на протоколе UUCP. Причем это не только частные лица, но и целые организации. Естественно, что появляется проблема согласования рассылки почты по разным протоколам и по адресам различной формы.

Кроме того в мире существует еще не менее десятка других почтовых служб, к которым также надо обеспечить доступ из сети TCP/IP. Следовательно, администратор должен знать адреса шлюзов, на которые следует пересылать почту для этих абонентов.

Все выше перечисленные проблемы призвана решить система рассылки электронной почты на основе программы sendmail - наиболее популярного транспортного агента Internet. В Internet существуют разные транспортные агенты, например, smail или MMDF. Но в рамках этого курса мы рассмотри только sendmail. Вызвано это несколькими причинами: во-первых, send-mail - это самый популярный транспортный агент, во-вторых, даже sendmail имеет массу различий и при переходе с одной версии программы на другую следует лишний раз проверить соответствие формата файла настроек, который использовался раньше новому формату файла настроек, в-третьих, большинство провайдеров используют именно sendmail.

1.6. Организация информационного обслуживания на основе технологий Internet

В последнее время все чаще стали говорить об Intranet. При этом обычно понимают использование информационных технологий Internet для создания информационных систем внутри организации. Ядром такой системы является технология World Wide Web, расширенная возможностями подключения через программы, реализующими специальный формат обмена данными между сервером World Wide Web и системами управления базами данных, а также мобильными кодами нового языка Java, которые должны реализовать концепцию распределенной информационной системы.

Исходя из этого, концепция администрирования сетей TCP/IP расширяется администрированием серверов World Wide Web и настройкой этих серверов для работы с разными клиентами, условной генерацией ответов в зависимости от типа клиента, адреса машины и кодировки (языка).

При использовании World Wide Web для нужд организации обычно рассматривается два направления работ:

  • размещение рекламы и другой информации для пользователей Internet;
  • организация тематических интерфейсов для доступа к ресурсам сети для работников организации.

Оба направления работ тесно связаны с анализом статистики посещения информационных ресурсов сервера организации и информационных источников сети. Для этих целей применяется программное обеспечение сбора и анализа статистики и специализированные серверы, которые помогают запоминать информацию об интересах пользователей при доступе в сеть.

На основе полученной статистики происходит коррекция интерфейсных страниц пользователей и коррекция структуры навигационных страниц и их взаимосвязи между собой.

Кроме World Wide Web при работе с Internet используют и другие информационные технологии, из которых будут рассмотрены FTP-архивы и доступ в режиме удаленного терминала.

FTP-архивы Internet - это огромный распределенный архив различного сорта материалов: от программ до списков классической литературы. Как было показано ранее, трафик FTP-сервиса до 1996 года превосходил трафик любого другого информационного сервиса Internet. Для того, что бы присоединиться к этому распределенному архиву необходимо создать и поддерживать свой FTP-сервер. Для внутреннего использования FTP-архив также чрезвычайно полезен, т.к. может использоваться в качестве основного центрального депозитария материалов и программного обеспечения организации. Многие программы имеют возможность остановки через FTP. Такая процедура получила название портирования.

Режим удаленного терминала продолжает оставаться одним и главных способов первичной организации доступа к локальным информационным системам через сеть. Такое использование системы позволяет отказаться от копирования системы на каждый из компьютеров пользователей и централизованное управление информационным ресурсом.

1.7. Проблемы безопасности сетей TCP/IP

При всех своих достоинствах сети TCP/IP имеют один врожденный недостаток - отсутствие встроенных способов защиты информации от несанкционированного доступа. Дело в том, что информация при таком способе доступа как удаленный терминал, передается по сети открыто. Это означает, что если некто найдет способ просмотреть передаваемые по сети пакеты, то он может получить коллекцию идентификаторов и паролей пользователей TCP/IP сети. Способов совершить такое действие огромное множество. Аналогичные проблемы возникают и при организации доступа к архивам FTP и серверам World Wide Web. Поэтому одним из основных принципов администрирования TCP/IP сетей является выработка общей политики безопасности, которая заключается в том, что администратор определяет правила типа "кто, куда и откуда имеет право использовать те или иные информационные ресурсы".

Управление безопасностью начинается с управления таблицей маршрутов. При статическом администрировании маршрутов включение и удаление последних производится вручную, в случае динамической маршрутизации эту работу выполняют программы поддержки динамической маршрутизации.

Следующий этап - это управление системой доменных имен и определение разрешений на копирование описания домена и контроля запросов на получение IP-адресов. Нашумевшая история с сервером InfoArt - это типичная атака на этот вид информационного сервиса Internet.

Следующий барьер - это системы фильтрации TCP/IP трафика. Наиболее распространенным средством такой борьбы являются системы FireWall (межсетевые фильтры или, в просторечье, "стены"). Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определенных адресов и отправлять пакеты на также определенные адреса. Одним из нетипичных способов использования этого типа систем являются компьютерные сетевые игры, например, F-19. "Стена" позволяет поражать противника, т.к. пропускает ваши пакеты, и быть одновременно неуязвимым для противника, т.к. его пакеты отфильтровываются системой.

И, наконец, последнее средство защиты - это шифрация трафика. Для этой цели также используется масса программного обеспечения, разработанного для организации защищенного обмена через общественные сети.

В рамках нашего курса мы будем рассматривать только такие способы, которые базируются на принципах организации обмена информацией в рамках технологии TCP/IP, например, фильтрация, и не будем рассматривать способы, общие для всех систем защиты информации, например, шифрация трафика.

Кроме того, в рамках анализа способов передачи информации по сети нами будут рассмотрены средства изучения трафика, которыми обычно и пользуются злоумышленники при поиске конфиденциальной информации.

Содержание | Вперед

 

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...