1070

Сетевое администрирование

Шпаргалка

Информатика, кибернетика и программирование

Планирование сетевой инфраструктуры. Разработка механизма распространения политик безопасности на всю организацию. Выбор протоколов при планировании сетевой инфраструктуры. Планирование адресного пространства. Интеграция DNS зон и WINS. Защита сетей. Информационная безопасность.

Русский

2013-01-06

411.5 KB

30 чел.

  1.  Планирование сетевой инфраструктуры.

Сетевая инфраструктура  - это набор физических и логических компонентов, которые обеспечивают соединения, безопасность, маршрутизацию, управление, доступ и др. возможности сети.

На этапе планирования:

  1.  Выбираются аппаратные и программные  компоненты из которых создается сетевая инфраструктура.
  2.  Определяется конкретное местоположение ПК
  3.  Описывается каким образом будет установлен и сконфигурирован каждый объект.

Сеть очень редко строится с нуля, без влияния уже существующей инфраструктуры.

Реализация сетевой инфраструктуры – это процесс оценки, приобретения и сборки указанных компонентов, а так же их установки, согласно проекту.

Процесс реализации:

  •  Установка аппаратной инфраструктуры – кабель, коммутатор, ПУ  и т.д.
  •  Установка ОС и По

Существуют 2 элементы сетевой инфраструктуры:

  •  Физическая
  •  Логическая

Процесс проектирования рассматривается как синтез этих 2-х процессов.

Физическая инфраструктура:

Топология – схема расположения и соединения всех устройств.

Физическая среда – это кабель и воздух.

Сетевое устройство – Маршрутизатор, коммутатор, концентратор.

Маршрутизатор — сетевое устройство, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) между различными сегментами сети.

Сетевой коммутатор или свитч  — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.

Сетевой концентратор или Хаб — сетевое устройство, предназначенное для объединения нескольких устройств Ethernet в общий сегмент сети. Устройства подключаются при помощи витой пары, коаксиального кабеля или оптоволокна.

Выбираемая физическая инфраструктура часто на прямую зависит от логической инфраструктуры.

Логическая инфраструктура:

Состоит из программных элементов, с помощью которых происходит соединение, управление или защита хостов сети.

Осуществляется связь между ПК через каналы, описанные в физической инфраструктуре.

Содержит следующие абстрактные программные элементы:

-) сетевые протоколы TCP/IP

-) Технологии безопасности IPSec

-) Протоколы сетевой маршрутизации

Затем нужно определить ПО, реализующее абстрактное понятие – Windows 2003 Server

Определения требований при построении сети:

  •  Создать план сети, который будет использоваться как на этапе реализации, так и последующего обслуживания.
  •  Для составления правильного плана необходимо учесть все требования от пользователей сети, от владельцев сети, аппаратные и программные компоненты сети.
  •  Требования пользования сети:
  •  Типы информации
  •  Информационные потоки
  •  Использование ПО
  •  Учесть использования сетевых служб

Проектирование сетевой безопасности:

  •  Предусмотреть возможные источники опасности
  •  Спланировать меры защиты

Реализация сетевой инфраструктуры:

  •  построение компонентов физической инфраструктуры
  •  установка ОС и ПО
  •  конфигурация конкретных сетевых сервисов

  1.  Безопасность сетевой инфраструктуры:

Структура безопасности – это логический структурированный процесс выполнения следующих или аналогичных задач.

  •  Оценка риска безопасности
  •  Определение требований безопасности
  •  Выбор структуры безопасности
  •  Применение политик безопасности
  •  Проектирование шагов по развертыванию безопасности
  •  Описание политик управления безопасностью.

Определить  ответственных  за проектирование, реализацию и подтверждение политики безопасности.

Учесть требования как технических специалистов, так и руководства.

Учесть экономические затраты и влияние политик безопасности на производство и психологическое состояние работников.

Организовать группу сотрудников, которые смогут руководить следующими вопросами:

  1.  Наиболее важные для организации ресурсы
  2.  Потенциальные угрозы для ресурсов
  3.  Ресурсы подверженные большему риску
  4.  Последствия при компрометации определенным ресурсам
  5.  Существующие на банный момент средства безопасности
  6.  Перечень средств безопасности наиболее подходящих для защиты определенных ресурсов
  7.  Как обеспечить достаточный уровень защиты?
  8.  Из чего состоит реализация средств безопасности?
  9.  Влияние средств безопасности на пользователя, админа, руководства.

Жизненный цикл:

О безопасности нужно заботиться постоянно!!!

Этапы: проектирование, реализация средств безопасности, управление безопасностью.

Проектирование информационной безопасности:

  •  Определение ресурсов, которые нужно защищать
  •  Оценка потенциальной безопасности
  •  Создания плана защиты

Типичный план защиты:

  •  Аутентификация – проверка опознавательных данных пользователя, прежде чем ему будет предоставлен доступ к защитным ресурсам.
  •  Управление доступом – предоставление определенных уровней доступа в соответствии с идентификацией пользователя. Обычно встраиваются в ОС и приложения
  •  Шифрование – процесс защиты данных путем логических алгоритмов, которые имеют для шифрования и дешифрования данных. Прочность основывается на типе алгоритма количестве и типов ключей и методе распространения ключей.
  •  Межсетевые экраны -  система, предотвращающая несанкционированный внешний доступ частной сети. (Используются фильтрация пакетов, преобразование сетевых адресов т.д.)
  •  Аудит – процесс. По средствам которого админы следят за системой, действиями, который происходят в сети.

Реализация средств безопасности:

  1.  Разработка плана реализации механизмов  политик безопасности:
  •  Перечень определенных процедур
  •  Временной график процессов оценки, приобретения, установки. Настройки аппаратных и программных средств безопасности.
  1.  Согласование и утверждение плана.
  2.  Разработка механизма распространения политик безопасности на всю организацию.

Управление безопасностью:

  •  Проверка журнала аудита
  •  Проверка состояния сетевых ресурсов
  •  Мониторинг сетевого трафика
  •  Обновление ПО безопасности
  •  Мониторинг появления новых ресурсов и наложение на них общих правил
  •  Мониторинг появления новых угроз

  1.  
    Выбор протоколов при планировании сетевой инфраструктуры:

Сетевая модель OSI (Open Systems Interconnection Basic Reference Model) — абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Представляет уровневый подход к сети. Каждый уровень обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее.

В настоящее время основным используемым семейством протоколов является TCP/IP, разработка которого не была связана с моделью OSI.

Канальный уровень  -  предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть. Полученные с физического уровня данные он упаковывает во фреймы, проверяет на целостность, если нужно исправляет ошибки (посылает повторный запрос поврежденного кадра) и отправляет на сетевой уровень. Канальный уровень может взаимодействовать с одним или несколькими физическими уровнями, контролируя и управляя этим взаимодействием. Спецификация IEEE 802 разделяет этот уровень на 2 подуровня — MAC (Media Access Control) регулирует доступ к разделяемой физической среде, LLC (Logical Link Control) обеспечивает обслуживание сетевого уровня.

PPP (англ. Point-to-Point Protocol) — протокол точка-точка, механизм для создания и запуска IP (Internet Protocol) и других сетевых протоколов на последовательных линиях . Используя PPP, можно подключить компьютер к PPP-серверу и получить доступ к ресурсам сети, к которой подключён сервер так, как будто вы подключены непосредственно к этой сети.

Протокол РРР является основой для всех протоколов канального (2-го) уровня. Связь по протоколу РРР состоит из четырёх стадий: установление связи посредством LCP (осуществляется выбор протоколов аутентификации, шифрования, сжатия и устанавливаются параметры соединения), установление подлинности пользователя (реализуются алгоритмы аутентификации, на основе протоколов РАР, СНАР или MS-CHAP), контроль повторного вызова РРР (необязательная стадия, в которой подтверждается подлинность удалённого клиента), вызов протокола сетевого уровня (реализация протоколов, установленных на первой стадии). PPP включает IP, IPX и NetBEUI пакеты внутри PPP кадров.

Обычно используется для установки прямых соединений между двумя узлами. Широко применяется для соединения компьютеров с помощью телефонной линии. Также используется поверх широкополосных соединений. Многие интернет-провайдеры используют PPP для предоставления коммутируемого доступа в Интернет.

Сетевой уровень - 3-й уровень сетевой модели OSI предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети. На этом уровне работает такое сетевое устройство, как Маршрутизатор. Протоколы сетевого уровня маршрутизируют данные от источника к получателю.

Протокол сетевого уровня (англ. Network layer) — протокол 3-его уровня сетевой модели OSI, предназначается для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети. На этом уровне работает такое сетевое устройство, как маршрутизатор.

Протоколы сетевого уровня маршрутизируют данные от источника к получателю и могут быть разделены на два класса: протоколы с установкой соединения и без него.

Протоколы этого класса начинают передачу данных с вызова или установки маршрута следования пакетов от источника к получателю. После чего начинают последовательную передачу данных и затем по окончании передачи разрывают связь.

Протоколы без установки соединения, которые посылают данные, содержащие полную адресную информацию в каждом пакете, работают аналогично почтовой системе. Каждое письмо или пакет содержит адрес отправителя и получателя. Далее каждый промежуточный почтамт или сетевое устройство считывает адресную информацию и принимает решение о маршрутизации данных. Письмо или пакет данных передается от одного промежуточного устройства к другому до тех пор, пока не будет доставлено получателю. Протоколы без установки соединения не гарантируют поступление информации получателю в том порядке, в котором она была отправлена. За установку данных в соответствующем порядке при использовании сетевых протоколов без установки соединения отвечают транспортные протоколы.

Транспортный уровень - 4-й уровень модели предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты, размер которых зависит от протокола, короткие объединяет в один, а длинные разбивает.

Transmission Control Protocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернет, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.

Выполняет функции протокола транспортного уровня модели OSI.

TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP, гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь.

Реализация TCP, как правило, встроена в ядро системы, хотя есть и реализации TCP в контексте приложения.

Когда осуществляется передача от компьютера к компьютеру через Интернет, TCP работает на верхнем уровне между двумя конечными системами, например, Интернет-браузер и Интернет-сервер. Также TCP осуществляет надежную передачу потока байт от одной программы на некотором компьютере в другую программу на другом компьютере. Программы для электронной почты и обмена файлами используют TCP. TCP контролирует длину сообщения, скорость обмена сообщениями, сетевой трафик.

UDP (англ. User Datagram Protocol — протокол пользовательских датаграмм) — это транспортный протокол для передачи данных в сетях IP без установления соединения. Он является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор — 0x11.

В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol (протокол ненадёжных датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных.

  1.   Планирование адресного пространства

Ip-адрес – это 32х битное двоичное значение, которое обычно выражается в виде 4-х 8-ми битных десятичных чисел, разделенных точками. Это называется десятичным представлением.

Каждое из 4-ч 8-ми битных чисел называется октетом

Компоненты Ip-адреса .

Ip-адрес идентифицирует конкретное устройство – хост. Так же Ip-адрес идентифицирует сеть, в котором находится данное устройство. Это возможно т.к. Ip-адрес состоит из 2-х частей: идентификатора сети и идентификатора хоста.

Идентификатор сети стоит перед идентификатором хоста, но «линии раздела» могут находится между любыми битами 32-х битного пространства.

Именно такая 2-х уровневая организация характерна для Интернета. Каждый Пк в Инете должен иметь уникальный Ip-адрес.

Разделение адресов на сети и хосты позволяет осуществить Ip – маршрутизацию. Маршрутизатор не должен знать где находится конкретный хост, он должен знать где находится нужная сеть.

Сетевая маска – это 32-х битное двоичное значение. Определяет сколько бит Ip-адрес относится к Ip-сети, а сколько к Ip-хоста. 1 к сети, 0 к хосту.

 

Классы адресов:

А,В,С – основные

D,Е – дополнительные

D – адреса для групповой рассылки, идентифицирует какую-либо группу ПК по общему признаку

Е – экспериментальный, пока не используется

Существует 2 типа адресов:

-) зарегистрированные (общие)

-могут использоваться в интернете

- регулируются организацией IANA

-) не регистрированные (частные)

- могут использоваться только в частных сетях

-могут использоваться в совместимых схемах нумерации

Ip- адрес  используется для идентификации ПК в сети. Каждый пакет передаваемый в сети Ip содержит адрес получателя. Маршрутизатор использует этот адрес для пересылки пакета в точку назначения. Для правильного функционирования Ip-адреса должны быть уникальны. В частных сетях за уникальность Ip отвечает админ.

Сеть Интернет много  больше и процессом распределения ID управляет IANA – официальный регистратор сетевых адресов.

IANA – выделяет большие куски ID адресного пространства региональным, национальным регистратором, которые в свою очередь выделяют конкретные сети ISD – провайдер услуг Интернет.

Использование зарегистрированных адресов: используются только для ПК, которые должны быть доступны в Интернете. Защита ПК с общими адресами – очень важный процесс для админа. Если в сети есть ПК с открытыми и частными Ip, то рекомендуется выделить ПК с открытым Ip в отдельный сегмент сети – демилитаризованная зона.

Использование не зарегистрированных адресов: для работы внутри сети рекомендуется использовать частные Ip адреса, которые не регистрируются в IANA => невидимы доя Интернета, их нельзя атаковать => они более защищены, но подвержены другим видам атак.

Планирование IP адресации:

  1.  Определить тип доступа к сети Интернет – если пользователь является только клиентом интернета, то используются частные адреса в сочетании с технологиями NAT иPROXY
  2.  Определить  количество сегментов в сети и способов их соединения. Если сеть состоит из нескольких сегментов , то для каждого сегмента нужно использовать различные подсети. Если сегмент соединяется коммутаторами, то мы получаем одну большую подсеть с большим количеством хостов =>нужно правильно подобрать класс ID, который будет использоваться для сети.

Получение сетевых адресов: сетевые адреса можно получить у вашего ISD – провайдер услуг Интернет.

Если ПК надо взаимодействовать между собой, то потребуется выделение подсети. Если вам нужно вывести в Интернет много устройств, то тогда потребуется отдельная сеть.

Разбитие IPадресов на подсети:

Определив  типы Ip адресов, число сегментов и способы их соединения можно приступать к расчету Ip адресного пространства.

Разбитие на подсети – процесс создания адресов отдельных сетей из адреса большой сети. Позволяет более рационально использовать адресное пространство, например класса А=16 млн. хостов.

  1.  Служба DHCP. Установка.

С момента появления TCP/ IP было разработано несколько решений для настройки сетевых реквизитов для множества рабочих мест. Для бездисковых дистанций, хранивших свои параметры TCP/IP в постоянной памяти, был разработан протокол RARP – протокол обратного разрешения адресов.

RARP – клиенты через широковещательные рассылки передают МАС – адреса.

RARP – серверы отвечает на широковещательные пакеты IP-адресом соответствующего клиентского ПК.

Широковещательные рассылки – метод обмена данными, в котором информация рассылается сразу всем узлам ЛВС.

Протокол RARP – это антипод (обратное преобразование) протокола разрешения адресов – ARP.

ARP – клиенты – широковещательными рассылками передают IP – адреса, для выяснения соответствующий им аппаратный адрес.

DHCPоткрытый, основанный на промышленных стандартных протоколов. Снижающий сложность администрирования TCP/ IP сетей.

Описан в RFC 2131 и RFC 2132 – так называемые «Запросы комментариев».

В сети каждый хост имеет как минимум 1 сетевой интерфейс, который должен иметь и общие сетевые настройки (IP адрес, маска, шлюз.)

Чем больше сеть, тем выгоднее использовать DHCP.

«+»

  1.  Централизованное администрирование и конфигурирование хостов.
  2.  Динамическое конфигурирование хостов
  3.  Автоматическая настройка IP
  4.  Гибкость
  5.  Масштабируемость

Принцип работы: ключевая функция DHCP – назначение адресов.

Главная характеристика этого процесса – эта динамичность, возможность настройки сетевых параметров для любого сетевого устройства подключенного к любому участку сети. Это возможно благодаря обмену сообщениями на прикладном уровне.

Все DHCP-сообщения передаются с использованием протокола UDP.

Типы сообщений:

  1.  DHCPDiscover – клиенты передают это сообщение широковещанием DHCP серверу. Могут содержать значение    сетевого адреса и срока аренды.
  2.  DHCPoffer – отправляет DHCP серверами к DHCP-клиенту в ответ на сообщение DHCPDiscover
  3.  DHCP - request  - DHCP-клиент передает это сообщение в подтверждении того, что он принял предложенные ему сетевые параметры, которые были переданы в сообщении DHCPoffer. В IP стоит адрес сервера, которому клиент отвечает, но оно передается широковещательным способом.
  4.  DHCPdecline – клиент передает это сообщение DHCP-серверу, информируя, что предложенный им IP адрес отклонен. Передается в том случае, когда клиент обнаружил, что предложенный адрес уже занят.
  5.  DHCPackпередается DHCP – сервером клиенту как подтверждение сетевых настроек.
  6.  DHCPnack –передается  DHCP – сервером DHCP-клиенту если сервер отвечает отказом на запрос клиента DHCP - request  . Это возможно, когда был запрошен неверный адрес, например после переведения клиента в другую сеть. Сервер не может продлить срок аренды. После получения этого сообщения клиент заново инициализирует процесс получения.
  7.  DHCPreleaseпередается клиентом серверу, который предоставил аренду для освобождения сетевых настроек и отмену аренды, если она не закончилась.
  8.  DHCPinform – передается клиентом серверу для запросов дополнительных параметров. Это сообщение так же используется для поиска не авторизованных DHCPсерверов.

Получение аренды:

DHCP – клиент получает аренду в следующих случаях:

  1.  Во время загрузки
  2.  После освобождения IP адреса и нового запроса
  3.  После получения сообщения DHCPnack при попытке обновления аренды.

При получении аренды DHCP – клиент обменивается с DHCP – сервером сообщениями : DHCPDiscover,  DHCPoffer, DHCP - request  , DHCPack.

Чтобы найти с DHCP – сервер клиент передает широковещательное сообщение  DHCPDiscover. Т.к. у клиента нет IP адреса, то он передает  сообщения от адреса 0.0.0.0 на адрес  255.255.255.255

DHCPDiscoverэто запрос на обнаружения DHCP – сервера. В запрос включен  МАС-адрес и имя ПК клиента, что бы все сервера знали от кого пришел сигнал.

Все DHCP – серверы, получившие сообщение DHCPDiscover и настроенные на ответ данному клиенту. Передают ему сообщения DHCPoffer со следующей информацией:

  •  IP адрес отправителя (DHCP – сервера)
  •  IP адрес получателя (255.255.255.255)
  •  Предлагаемый IP адрес
  •  Аппаратный адрес клиента
  •  Маска подсети
  •  Срок аренды
  •  Идентификатор сервера – (IP адрес сервера предлагающего аренду)

После передачи сообщения DHCPDiscover клиент ждет 1 сек. Если ответа нет, то клиент трижды повторяет запрос с интервалом 9, 13 и 16 секунд + случайное время в диапазоне 0-1 с. Если ответа нет, то клиент повторяет свои запросы непрерывно каждые 5 минут. Если после 4-го запроса нет ответа, то Windows   совместимые ОС прибегают APIPA для динамического получения сетевых реквизитов  Win XP и Win2k3 могут использовать альтернативную конфигурацию, которая загружается автоматически.

После получения предложения хотя бы от одного DHCP – сервера клиент передает широковещательное сообщение  DHCP - request   всем DHCP – серверам со следующей информацией:

  1.  IP адрес DHCP – сервера, выбранного клиентом
  2.  IP адрес, предлагаемый для клиента
  3.  Список запрошенных параметров (имя домена, маска, шлюз)
  4.  DHCP – сервера. Чьи предложения не были приняты, отзывают их

DHCP – сервера, чье предложение было принято отправляет клиенту подтверждение в виде сообщения DHCPack, которое содержит:

  •  Допустимый IP- адрес
  •  Сроки обновления Т1 и Т2
  •  Срок аренды

Срок аренды адреса конечен, поэтому клиенты периодически должны обновлять полученную ранее аренду. Клиенты пытаются обновить аренду при перезагрузке и через регулярные интервалы, заданные при получении аренды.

Для обновле6ния  аренды достаточно 2-х сообщений: DHCP - request    и DHCPack,. Если обновления происходят во время загрузки, то DHCP - request     - это широковещательные IP пакеты. Если обновления происходит во время работы клиента, то общение происходит одноадресными (направленные конкретному хосту) сообщениями.

Срок аренды определяется админом. Если уменьшить время аренды, то клиенты будут часто обновляться. Это удобно в том случае, если конфигурация области часто меняется или требует быстрого освобождения IP адреса.

Первый раз клиент  пытается обновить арену по прошествии срока половины аренды (время Т1). Клиент получает значения Т1 и Т2  из значения DHCPack, подтверждающего аренду адреса. Если аренду обновить не удалось, то по истечению времени аренды клиент сразу освобождает адрес и пытается получить новую аренду.

Если клиент запрашивает аренду сообщениями DHCP - request   , а сервер не может ее предоставить (например, если ПК переключили к другой подсети), тогда сервер посылает клиенту сообщения DHCPnack. После этого клиент заново проходит процесс получения адреса, через рассылку сообщениями DHCPDiscover.

Авторизация DHCP – Сервера:

Сервер должен быть активирован в службе AD,  прежде  чем он сможет обслуживать DHCP-клиентов.

Во время инициализации DHCP – сервер связывается с AD, чтобы определить, находится ли он в списке серверов, которым разрешено обслуживать клиентов. Возможно следующее:

  •  Если DHCP-сервер авторизован, запускается служба DHCP-сервера.
  •  Если не авторизирован, служба DHCP-сервера записывает в журнал событий Система ошибку и не запускается.

Если DHCP – сервер авторизован:

  •  Инициализируется  и определяет входит ли он в домен
  •  Связывается со службой каталога и проверяет авторизован ли он
  •  Получив подтверждение сервер рассылает широковещательное сообщение DHCPinform в поисках других служб каталога и повторяет процесс авторизации в каждой найденной службе.
  •  Завершив авторизацию сервер приступает к обслуживанию клиентов.

Если DHCP – сервер  НЕ авторизован:

  •  Сервер не входит в домен
  •  Во время инициализации он проверяет наличие DHCP – серверов входящих в домен

-если таковых нет, то он начинает обслуживать DHCP – клиентов, продолжая проверять наличие DHCP– серверов, рассылая сообщение DHCPinform каждые 5 минут.

- если найдется сервер, который входит в состав домена, то сервер останавливает службу и прекращает обслуживать клиентов.

Для активации разрешенных и блокирования неуполномоченных DHCPсерверов нужна служба AD, без нее авторизация не выполнится.

Защита рабочих мест от неавторизированных DHCP – серверов

При инициализации DHCPсервера, не являющимся членом домена происходит следующее:

  •  Сервер рассылает широковещательное сообщение DHCPinform
  •  Каждый сервер, получивший данное сообщение, отвечает сообщением DHCPack, с именем домена, в который он входит.
  •  Если DHCP– сервер обнаружит  другой сервер, который входит в домен, DHCP– сервер считает что он не авторизован и завершит работу.
  •  Если DHCP– сервер обнаружит другой сервер, не принадлежащий домену, он его игнорирует.

В отсутствие AD может быть несколько активных серверов.

  1.  Служба DHCP. Управление.

Задачи:

  1.  Создание и модификация областей – требуются при установки клиентов, которые не входят в текущие области или при увеличении клиентов
  2.  Настройка и изменение параметров: при изменении настройки в сетевой инфраструктуре.
  3.  Настройка агентов ретрансляции – при  добавлении новых физических подсетей.
  4.  Резервное копирование БД DHCP  - выполняется автоматически каждый час либо в ручном режиме.
  5.  Восстановление БД DHCP   - при повреждении БД
  6.  Сжатие БД DHCP   - для оптимизации скорости работы или когда нужно освободить место.
  7.  Согласование DHCP   - областей  -выполняется при обнаружении несогласованности областей.

Управление БД DHCP  

Необходимость управления обусловлена изменчивостью сетевой инфраструктуры. В процессе управления решаются следующие задачи:

  1.  Резервное копирование и восстановление БД
  2.  Согласование данных внутри БД
  3.  Сжатие данных
  4.  Удаление ненужных данных из БД
  5.  Определение сетевых конфликтов.

БД DHCP  -сервера является динамической (изменяемой), обновляемой DHCP – клиентами при назначении и освобождении параметров TCP/IP конфигурации.

БД DHCP  не  является распределенной (сосредоточена в одном месте) => ее легче обслуживать.

Содержимое БД хранится в нескольких файлах на одном сервере.

При установке службы  DHCP БД находится в каталоге %systemroot%/windows/system32/ DHCP

DHCP.MDBфайл БД DHCP  

TMP.edb – для временного хранения индекса БД (при сжатии, резервировании).

J50.log – журнал БД DHCP   - для восстановления данных

J50.chk – файл контрольной точки – указывает положение последних данных, успешно перенесенных из журнала транзакции в БД .

Res*.log – файл журналов – для записи транзакций при исчерпании свободного места на дисках.

Резервное копирование:

DHCP – серверы поддерживают автономное и ручное копирование.

Резервная копия увеличивает отказоустойчивость системы и позволяет восстановить при сбое .

При резервном копировании создаются копии БД:

  •  Области групповых адресов
  •  Резервирование
  •  Записи аренды
  •  Параметры (уровня, сервера, области)

Автоматическое резервирование БД:

Выполняется каждые 60 минут. Резервные копии хранятся в каталоге Back Up. Админ может изменить место для хранения. Резервная копия, созданная автоматически поддерживает только автоматическую процедуру восстановления.

Ручное резервирование БД:

По умолчанию  - папка Back Up. Резервные копии сделанные в ручную поддерживают только ручное восстановление.

Можно скопировать БД в ручную даже во время работы DHCP. Рекомендуется размещать ручные копии на отдельном носителе.

Автоматическое восстановление:

Если при запуске DHCP не может запустится, она пытается автоматически восстановить БД из резервной копии с локального диска.

Если это не удалось, то возможно ручное восстановление.

Согласование  БД DHCP:

Согласование – это процесс сверки значений в БД DHCP с соответствующими значениями в реестре.

Согласование требуется, если:

  1.  Значение в БД верны, но неверно отображаются консолью.
  2.  Если после восстановления БД не удалось загрузить последнее значение.

Сжатие БД DHCP

Применяется для освобождения дискового пространства.

Удаление неиспользованного пространства внутри БД:

  1.  Сжатие происходит динамически в фоновом режиме во время бездействия службы.
  2.  Ручное – освобождает более эффективно место внутри БД.

В крупных сетях рекомендуется делать сжатие 1 раз в месяц.

Рекомендуется использовать сжатие, если размер файла превышает 30 Мб.

Обнаружение конфликтов сервера (только ws2003):

Эта функция проверяет, не занят ли IP адрес, прежде чем предложить его в аренду.

Клиенты на базе ws2003, xp b win 2000 умеют сами проверять занятость IP адреса.

Во избежание лишнего роста сетевого трафика данную функцию рекомендуют включать только при наличии проблемы. (напр. Клиенты более старые чем win 2000)

  1.   Служба DHCP. Мониторинг.

Мониторинг – это сбор и анализ данных о работе службы DHCP.

Для эффективного мониторинга  нужно знать какой уровень производительности является приемлемым. Для этого  необходимо опытным путем зафиксировать эталонный уровень производительности DHCP. – сервера. Регистрировать  эталонный уровень следует при типичной нагрузке.

Отклонение от эталонного уровня означает, что присутствует проблема.  Эталонный уровень так же используется как ориентир для расширения сети.

Инструменты для работы  DHCP.

  1.  Статистика консоли DHCP – для отображения статистики DHCP сервера (время запуска и остановки службы, число доступных IP, число активных клиентов и т.д.)
  2.  Журнал аудита, просмотр событий – предоставление информации о событиях (ошибка и авторизация службы, время запуска и остановки службы.)
  3.  Консоль производительности – поддерживает набор счетчиков производительности, позволяющих вести мониторинг  ( число обновлений аренды, размер места на диске, число конфликтов IP адресов.)

Использование статистики DHCP:

Статистика DHCP – это данные, собранные на уровне сервера или области, с момента последнего запуска DHCP.

Может отображаться в реальном времени, может использоваться локальная сводная статистика по всем областям за определенный период времени.

При помощи консоли DHCP можно просматривать статистику:

Для сервера:

  1.  Время запуска
  2.  Время работы
  3.  Число отправленных сообщений DHCPoffer
  4.  Число полученных сообщений DHCP requests
  5.  Число отправленных сообщений DHCPack
  6.  Число отправленных сообщений DHCPnack
  7.  Число полученных сообщений DHCP declines
  8.  Число полученных сообщений DHCP release
  9.  Общее число областей
  10.  Общее число IP адресов
  11.  Число IP адресованных в настоящее время
  12.  Число доступных для аренды адресов

Для области:

  1.  Общее число IP адресов
  2.  Число IP адресованных в настоящее время
  3.  Число доступных для аренды адресов

Использование журнала аудита:

Журнал  DHCP – сервера – позволяет собирать информацию о работе службы. Информация собирается за сутки.

Информация используется для принятия решений об установке дополнительных серверов или устранения каких-либо неполадок.

Регистрируются следующие события:

  1.  Запуск и остановка службы
  2.  Проверка и авторизация
  3.  Аренда, ее обновления, отказ в обновлении IP адреса

Имя файла – DHCPsrvlog – “day” log

Day – текущий день недели.

Файл журнала – это текстовый файл, который содержит значение, разделенные запятыми, разбитые на строки.

Код события, дата и время занесения записи журнала,  описание события, IP- адрес клиента, хост имя клиента, масс адрес сетевой платы клиента.

Мониторинг при помощи консоли производительности:

Сетевой мониторинг – графический отчет по использованию выделенных параметров – объектов производительности – логический набор счетчиков, связанный с некоторыми ресурсами или службой.

Счетчик производительности – элемент данных, связанный с объектом производительности.

Рекомендации по созданию оповещений DHCP:

  1.  Определить верхнее и нижнее значение параметров при достижении которых счетчик DHCP должен генерировать оповещения. Для этого мы должны определится с эталонной моделью.
  2.  Оповещение можно использовать со сценариями, которые позволяют автоматически, заранее запланированным образом отреагировать на сложившуюся ситуацию. Для этого используются компоненты netsh. (Netsh помимо прочих возможностей также позволяет пользователю менять IP-адрес на его машине.)

Automatic Private IP Addressing (APIPA), позволяет пользователям соединять компьютеры, сетевые принтеры и другие устройства вместе и получать работающую сеть.

  1.   Служба DNS.  Установка.

DNS (Domain Name System — система доменных имён) — распределённая система (распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP.

Сетевые устройства должны взаимодействовать между собой => должны находит друг  друга. Для этого используют IP-адреса., но удобней работать с символами.

Разрешение имен – это процедура преобразования имени ПК в соответствующее данному имени.

Пока сеть арпенет не выросла и не превратилась в Интернет преобразование имен выполнялось с помощью использования текстовых файлов (hosts.txt), расположенных на каждом ПК. При добавлении новых хостов hosts .txt обновляли на всех ПК. Структура была простой и имена должны были быть уникальными.

Росло количество ПК, рос hosts.txt и каждый ПК должен выполнять всю работу по разрешению имени => не эффективно.

1984 –когда количество хостов в арпанет было больше 1000 был предоставлен DNS, распределенная иерархия БД, работающая в сетях любого размера.

DNS позволяет разделить нагрузку по разрешению имени между многими ПК. Большинство ПО для работы в интернете использует DNS.

«+»

  1.  Масштабируемость – т.к. DNS поддерживает распределение нагрузки по обработки БД между ПК, она способна справится с любой нагрузкой по разрешению имени.
  2.  Постоянство – имя хоста остается неизменным даже при изменении связанных с ним IP адресов, что облегчает поиск сетевых ресурсов.
  3.  Простота в использовании - пользователи могут обращаться к ПК по понятным для них именам.
  4.  Пользователям достаточно освоить одни правила именования, чтобы успешно находить ресурсы как в интернете так и в корпоративных сетях.

Пространство доменных имен – это иерархическое древовидное пространство имен с неименованным корнем, которое используется во всех операциях DNS.

В пространстве имен DNS каждый узел/ объект-лист представляет именованный домен. У каждого домена могут быть  дополнительно вложенные  (дочерние ) домены, их имена уникальны.

Существуют 3 типа доменов верхнего уровня:

  1.  Общие – используются в Интернете
  2.  Национальные -  принадлежат отдельным странам
  3.  Инфраструктурные – используются для сетевых  целей

Домены верхнего уровня регистрируются организацией IANA

В DNS хост имена составляются с IP адресами при помощи полных доменов имени FQDN

Домены второго уровня:

Могут регистрироваться как организацией, так и физическими лицами.

В DNS-домене 2-го уровня может быть множество вложенных доменов, а в любом домене множество хостов.

Хост – это ПК или сервер или сетевое устройство, расположенное в домене.

Иерархическая структура позволяет:

  •  иметь хосты с одинаковыми именами, расположенные в различных доменах.
  •  Распределить нагрузку по обработке DNS-запросов между ПК.

Зона DNS -  это группа пар «хост – имя IPадрес», охватывающая  пространство имен DNS.

В зоне могут хранится записи ресурсов для одного или нескольких доменов. Домены должны быть смежными, т.е. связаны прямыми родственными связями.

Типы зон:

  1.  Основная – хранит основную информацию, можно редактировать
  2.  Дополнительная – копирует основную информацию, нельзя редактировать.
  3.  Заглушки – содержит записи ресурсов, необходимые для поиска DNS-сервера, полномочного для этой зоны.

DNS-сервер может хранить 4  дополнительные зоны, зоны заглушки или не иметь зон в общем.

Основной DNS-сервер – сервер, на котором находится основная зона.

Доп. DNS-сервер – сервер, на котором находится дополнительная зона.

Рекомендуется все зоны создавать на отдельных серверах.

Стандартные зоны:

  1.  Основные стандартные – содержат копию  DNS-данных, доступных для чтения и записи. Осеществляют создание и управление записями ресурсов. Только сервер с основной зоны принимает динамические обновления и позволяет вносить изменения в данные зоны.
  2.  Дополнительная стандартная – содержит копию DNS-данных только для чтения.  Могут хранится на нескольких серверах для обеспечения отказоустойчивости и балансирования нагрузки.

Создается в результате передачи зоны на доп. сервер, где нужно указать IP адрес, хранящего мастер копию зоны. Данные доп. зоны  постоянно обновляются с основного сервера.

  1.  Зоны in-addr.arpa – большинство DNS запросов – это запросы на определение IP адреса по известному DNS имени – прямой просмотр.

DNS так же поддерживает обратный просмотр – определение DNS имени по известному адресу.

FQDN – читает слева направо и мы идем от более частых компонентов к более общим.

IP адрес читается слева направо, но мы идем от более общих к более частным.

С точки зрения DNS первое правильное и для реверс зон имя состоит следующим образом:

IP адрес сети обращается и сцепляется с именем домена in-addr.arpa.

Т.О. зона обратного просмотра для сети  192.168.100.0 будет называться 100.168.192. in-addr.arpa.

  1.  Зона заглушки :
  •  копия зоны, которая содержит записи, необходимые для поиска DNS-сервера, ответствующего за эту зону.
  •  Это ссылка на DNS сервер, отвечающий за эту зону, применяется для повышения эффективности разрешения имен DNS.
  •  Не может быть модифицирован, изменения вносятся через соответствующую основную зону.

Типы зон, интегрированных в AD:

  1.  Зоны прямого просмотра – используют децентрализованную репликацию, изменения можно вносить в любую копию зоны =>смысл в дополнительных зонах пропадает.
  2.  Зоны обратного просмотра - используют децентрализованную репликацию, изменения можно вносить в любую копию зоны =>смысл в дополнительных зонах пропадает.

«+»Зон, интегрированных в AD:

  1.  Отказоустойчивость – информация DNS хранится на нескольких серверах
  2.  Безопасность – используется список управления избирательным доступом.
  3.  Децентрализованная модификация – AD позволяет хранить зону на разных серверах, а не только на основном. Изменения можно вносить в зону с любого сервера, которые переносятся на другие контроллеры домена средствами AD.
  4.  Эффективная репликация :
  •  На все контроллеры домена
  •  На все контроллеры домена, которые являются DNS серверами и обслуживают локальный домен.
  •  На все контроллеры домена, которые являются DNS-серверами и обслуживают весь лес.
  1.  Дополнительные зоны  –  зоны, хранимые в AD можно передавать на стандартные дополнительные сервера DNS.

Корневые ссылки:

DNS- сервера обслуживают DNS – запросы, используя локальные данные зон, для которых они уполномочены, и данные КЭШа. Если сервер не содержит запрошенных данных, то он либо выполнил рекурсивный запрос, либо  вернет клиенту ссылку на другой DNS сервер.

Рекурсивный запрос – это такой запрос, при котором сервер в следствие отсутствия полномочий перенаправляет вызов более старшему серверу.

В параметрах службы DNS сервера должны быть указаны корневые ссылки, необходимые для разрешения запросов имен, для которых наш сервер не уполномочен.

Расположен сети интернет %systemroot%/system32/ DNS/cache.dns

Наличие этой информации и механизм рекурсивных запросов позволяет любому DNS серверу находить сервера, уполномоченные для других доменов DNS, расположенных на любом уровне пространства имен.

При настройке DNS сервера мастер отправляет запрос на получение корневого домена, своему предпочитаемому DNS серверу. Ответ записывается в файл корневых ссылок сервера.  Если ответа нет, то тот же запрос отправляется корневым DNS серверам сети Интернет (cache.dns). Если ответа нет, то наш DNS сервер становится корневым, либо можно указать корневую ссылку вручную.

Типы DNS -серверов:

  1.  Основной сервер имен:
  •  содержит одну или несколько основных зон
  •  вносит изменения в данные зоны
  •  инициирует процедуру репликации
  •  обслуживает запросы клиентов
  1.  Дополнительный сервер :
  •  Содержит одну или несколько дополнительных  зон
  •  Обслуживает запросы клиентов
  1.  Главный сервер имен:
  •  Выполняет рассылку обновленных копий БД DNS другим серверам имен.
  •  Может быть как и основным, так и дополнительным
  1.  Сервер кэширования:
  •  Не содержит зон, не уполномочен для конкретного домена
  •  Начинает работать с пустым КЭШем и постепенно заполняет его записями ресурсов, присланными в ответ на запросы пользователей.
  •  Кэширование данных используется для исполнения других запросов
  •  Удобен в небольших сетях

Записи ресурсов DNS

Запись ресурса – это некий элемент данных, связанный с DNS зоной (в записи ресурсов узла содержится его IP). Предоставлены в текстовом виде.

Большинство записей однострочные, если запись не умещается на одной строке, то она заключается в круглые скобки.

Owner [TTL]Class Type RDATA

Owner – определяет хост или DNS домен, которому принадлежит запись ресурсов.

TTL – 32-х разрядное целое число, предоставляет максимальное время в течение которого DNS сервер и DNS клиенты хранят ее в своем КЭШе, прежде чем отбросить.

Class определяет использующее семейство протоколов.

Type – определяет тип записей ресурсов, направляет тип А хранит сведенья о адресах хостов.

RDATA содержит сведения : строку с описанием ресурса.

Типы записей ресурсов DNS:

  1.  БД  DNS содержит записи ресурсов с данными различных типов
  2.  Запись ресурсов может идентифицировать определенный сетевой ресурс, либо службу работающую на хосте.

SOA – начало авторизированного пространства.

NS – определяет DNS сервер, отвечающий за данную зону.

А-хост адрес, связывает FQDN c IP адресом.

PTR – указатель- выполняет функции обратные функции записи типа А

Cname – определяет псевдоним для FQDN

MX -  отвечает за почтовый сервер.

Процедура разрешения имени:

  1.  DNS сервер проверяет свой кэш
  2.  Запрашивает Бд зоны
  3.  Затем сервера пересылки
  4.  Пытается разрешить имя через корневые сервера

  1.  Служба DNS.Настройка.

Для понятия принципов работы нужно разобраться с компонентами DNS:

  •  Пространство доменных имен
  •  DNS-зоны
  •  типы DNS-серверов
  •  записи ресурсов

1)Пространство доменных имен - это иерархическое древовидное пространство имен с неименованным корнем,который исп-ся во всех операциях DNS.В пространстве имен DNS каждый узел или каждый объект-лист представляет именованный домен. У каждого домена могут быть доплнительно вложенные домены.Имена всех доменов уникальны.

2) DNS-зоны -это группа пар «хост-имя-IPадрес»,охватывающая непрерывную часть пространства имен DNS.В зоне могут храниться записи ресурсов для одного или нескольких доменов.Домены должны быть смежными,т.е. связанны прямыми «родственными» связями.

3)Тип DNS-сервера определяется типом хранимых зон и функциями, которые они выполняют.

  •  Основной сервер имен- содержит одну или несколько основных зон
  •  Дополнительный сервер имен - содержит одну или несколько доп.зон
  •  Главный  сервер имен- выполняет рассылку обновлений, мб основным и дополнительным
  •  Сервер кэширования-  не содержит зон, неуполномочен для конкретного домена, удобен в небольших сетях.

4)Записи ресурсов DNS-это элемент данных, связанный с  DNS-доменом. Они представлены в текстовом виде. Большинство записей однострочные. Если запись не умещается на основной строке, то она заключается в круглые скобки.

Типы DNS-запросов.

DNS-клиент, которому необходимо разрешить имя ,генерирует DNS-запрос, содержащий сл информацию:

  •  DNS-домен
  •  тип требуемой записи
  •  класс имен DNS-домена

Этот запрос передается локальной комплексной службе DNS-распознавания. Если локально разрешить не удалось, то запрос передается основному DNS-серверу. Если сервер не находит в КЭШе запрошенные данные, то клиент направляет DNS-серверу либо итеративный, либо рекурсивный запрос разрешения имени.

Итеративный запрос-это запрос DNS-клиента к DNS-серверу, на который сервер должен ответить, исп-я только собственные данные(не обращаться за помощью к другим DNS-серверам)

Итеративный запрос исп-ся

  •  Клиент присылает рекурсивный запрос ,но рекурсия на сервере отключена
  •  клиент присылает итеративный запрос
  •  клиент требует немедленного ответа от сервере с использованием только своих данных

Рекурсивный запрос -присылают запрос на свой DNS-сервер.Используется с целью централизованной обработки DNS-запросов и для снижения трафика. Интервалы при рекурсии равняются 3сек.Период ожидания(время, когда запрос неудачен)15сек.(настройки по умолчанию в WS’2003)

Типы DNS-ответов:

  •  полномочный- это положительный ответ, полученный клиентом от сервера, в котором установлен бит полномочий, который означает, что данный сервер непосредственно уполномочен обрабатывать запросы данной зоны.
  •  положительный -содержит запрошенную запись ресурса, либо список записей, которые соответствуют запрошенному имени DNS и типу запроса .Положительные ответы не обязательно являются полномочными.
  •  Ссылка -  содержит дополнительную запись ресуров, не указанных в запросе.
  •  отрицательный ответ - если имя не существует; сервер сообщил ,что имя существует, но тип записи не соответствует запрошенному.

Кэширующий сервер имен.

По мере выполнения запросов от клиентов сервера, временно сохраняют(кэшируют)записи ресурсов. Кэш-записи содержат инфу от DNS-серверов уполномоченных для конкретных DNS=зон, от ранее выполненных запросов. При другом обращении за преобразованием имени в IP-адрес DNS-сервер может испытать результат КЭШа. Это ускоряет повторные процессы преобоазования, часто запрашиваемых имен и снижает DNS-траффик. Всем кэш-записям назначается время жизни(TTL).Пока оно не истекло исп-ся значение из КЭШа.

Делегирование зон.

Изначально зона содержит инфу об 1ом домене DNS.

При добавлении новых доменов сущ-ет 2 варианта развития событий:

-новые домены включают в ту же зону

-можно делегировать новую зону.

Подключение ЛВС к Интернет.

Разрешение имен внутренних ресурсов

-клиент отправляет запрос на разрешение имени внутреннему DNS-серверу, DNS-сервер                                ,возвращает клиенту IPадреса, клиент инициирует подключение к данному ресурсу.

-выход в интернет, клиент:

А)разрешение имен ч/з внутренний DNSсервер

Б)внутренний DNSсервер передает запрос DNSсерверу провайдера

В)сервер провайдера проверяет свой кэш

Если имя не обнаружено, не удалось, то он инициирует итеративные запросы корневым серверам, получает ответ-ссылку на сервере верхнего уровня. Такой же запрос на разрешение имени серверу зоны com.

DNSсервер провайдера посылает запрос на преобр-е имени, серверу, который отвечает за зону  Microsoft.com => DNSсервер получает  ответ преоб-я этого имени и заносит его в кэш и отсылает ответ внутреннему  DNS серверу.. который посылает ответ клиенту.

  1.  Служба DNS. Управление.

1)Пространство доменных имен - это иерархическое древовидное пространство имен с неименованным корнем, который исп-ся во всех операциях DNS.В пространстве имен DNS каждый узел или каждый объект-лист представляет именованный домен. У каждого домена могут быть дополнительно вложенные домены. Имена всех доменов уникальны.

2) DNS-зоны -это группа пар «хост-имя-IPадрес»,охватывающая непрерывную часть пространства имен DNS.В зоне могут храниться записи ресурсов для одного или нескольких доменов. Домены должны быть смежными, т.е. связанны прямыми «родственными» связями.

3)Тип DNS-сервера определяется типом хранимых зон и функциями, которые они выполняют.

  •  Основной сервер имен- содержит одну или несколько основных зон
  •  Дополнительный сервер имен - содержит одну или несколько доп.зон
  •  Главный  сервер имен- выполняет рассылку обновлений, мб основным и дополнительным
  •  Сервер кэширования-  не содержит зон, неуполномочен для конкретного домена, удобен в небольших сетях.

4)Записи ресурсов DNS-это элемент данных, связанный с  DNS-доменом. Они представлены в текстовом виде. Большинство записей однострочные. Если запись не умещается на основной строке, то она заключается в круглые скобки.


Инструменты для управления DNS.

  •  консоль  DNS-основной инструмент для настройки DNS
  •  Nslookup-утилита применяемая для запроса зонных данных, предназначена для проверки конфигурации записей ресурсов.
  •  DNS lind-средство, которое исп-ся для проверки согласования наборов DNSзаписей, которые обслуживаются группой DNSсерверов
  •  DNS cmd-утилита позволяющая выполнять в командной строке большинство задач
  •  журналы DNS сервера, которые  можно просматривать при помощи консоли DNS.Хранимые в журналах данные так же можно использовать как средства отладки при решении возникающих проблем.

Введение в динамическую  DNS

Реализация DNS WS’2003 поддерживает протокол динамического обновления DNS,который позволяет динамически обновлять записи ресурсов DNS.Динамическое обновление может выполнять dhcp –сервер при конфигурировании клиентов. Это снижает затраты на ручное администрирование зон.

Применение безопасного динамического обновления.

Более защищенный способ обновления DNSресурсов - это использование технологии безопасного динамического обновления. Сервер выполняет обновления только в том случае, когда клиент подтвердит свою подлинность. Безопасное динамическое обновление доступно только при исп-ии AD и зон интегрированных в AD.

Дополнительные свойства DNS сервера:

  1.  отключение рекурсии – по умолчанию отключена, рекурсия разрешена.  Если параметр включен, то служба DNS сервера не будет отвечать на запросы разрешения имен, для которого сервер не уполномочен, либо имен, результаты которого не были кэшированы. Если к серверу приходит рекурсивный запрос, то он возвращает клиенту ссылку на другой DNS сервер, предоставляющий возможность выполнить итеративный запрос.
  2.  Серверы BIN D-по умолчанию включен, управляет использованием формата DNS данных для ускоренной передачи во время передачи зон. Использование этого параметра позволяет поддерживать сжатие данных и передачу нескольких записей ресурсов в одном сообщении.
  3.  Защита от загрузки ошибочных данных зон – по умолчанию выключена

Устранение и отчистка просроченных записей  ресурсов.

Динамическое обновление позволяет автоматически создавать записи в зонах. По умолчанию запись создается при загрузке клиента и через каждые 24 часа подтверждается. Динамическое обновление обеспечивает актуальность записи ресурсов и защищают от неопытных администраторов.

В БД DNS могут накапливаться безопасные записи ресурсов, при аварийном отключении ПК от сети, эти записи предоставляют неверную информацию.

WS’2003 добавляет к записям ресурсов (динамически созданных) для кот. имеется время жизни, некоторую отметку. Записи ресурсов, созданные в ручную получают нулевую временную  отметку. Нулевая временная отметка показывает, что эти записи не устаревают никогда =>должны игнорироваться механизмом очистки.

  1.  Служба DNS. Мониторинг.

Монитор репликации применяется для принудительной репликации.DNS-данных,м.у заданным множеством серверов.  Выявление сбоев сбоев репликации между серверами. Отображения топологии репликации. Опроса параметра репликации и генерации индивидуальных журналов успехов и отказов репликации. отображение еще не реплицируется модификаций наблюдение за состоянием репликаций. Отображение еще не реплицируется модификаций, наблюдение за состоянием репликации на контроллерах доменов и различных лесов.  

Утилита входит в состав W support tools называется Real  mon контроллеры доменов, которые являются серверами с интегрированной в AD зонами по умолчанию  содержат следeдующие реплики:

  1.  Имя домена- содержит объекты пользователей из локального обмена(+ хранение информации по совместимости серверов различных Windows
  2.   CN-схема сод. Информации, о том какие типы объектов сущ. в лесу АД.

Domain dns zones , имя домена. Данный раздел реплицируется по всем контроллерам домена, который является днс-сервером. Для того, чтобы днс-зона попала в этот раздел необходимо в консоли днс-сервера выбрать область репликации «все днс сервера домена АД»

Forest DNS Zones, имя домена.Реплицируется по всем контрольным доменам, которые являются днс-серверами, чтобы дна зона могла в этот домен неободимо выбрать область репликации.

Принудительное интегрирование зон репликации в АД. Можно выполнить с помощью мониторинга репликации. Для этого выберете соответствующий раздел в дереве консоли мониторинга репликации. Правой-контекстное меню и выберите» синхронизировать этот раздел для всех серверов» Служба WINS.

WINS (Windows Internet Name Service) - служба определения адресов, преобразующая имена компьютеров в сети (NetBIOS) в адреса IP. имен (то есть преобразование символьного имени в IP-адрес и наоборот).

NetBIOS (Network Basic Input/Output System) — протокол для работы в локальных сетях на персональных ЭВМ типа IBM/PC, разработан в виде интерфейса, он включает в себя интерфейс сеансового уровня (NetBIOS interface), в качестве транспортных протоколов использует TCP  иUDP. Особенностью NetBIOS является возможность его работы поверх разных протоколов, самыми распространёнными и известными из которых являются NetBEUI, IPX и стек протоколов TCP/IP. Интерфейс NetBIOS представляет собой стандартный интерфейс разработки приложений (API) для обеспечения сетевых операций ввода/вывода и управления нижележащим транспортным протоколом.  NetBIOS также определяет протокол, функционирующий на сеансовом и транспортном уровнях модели OSI.

История WINS 

Первоначально WINS был разработан для преобразования имен в сетях Microsoft. Если бы Windows была единственной операционной системой, то возможно, DNS мы так бы и не создали — был бы только WINS. Но так как Microsoft не удалось завоевать все сети мира, в операционных системах Microsoft есть программы резолверы, которые используют службы DNS и WINS, выпущен сервер DNS от Microsoft, чтобы серверные операционные системы Microsoft ничем не уступали другим операционным система по функциональности.  Возникает   вопрос: «А чем же эти имена отличаются от имен DNS?»  практически ничем, просто  кампания Microsoft создала службу WINS, которая во многом напоминает службу DNS. Но только это «свой» DNS, от Microsoft.  Если не настроить WINS ничего особенного не произойдет. Если  сеть строиться с нуля,  то одной службы  DNS вполне хватит.

Разрешение имени при помощи WINS

В службе WINS применяются стандартные методы регистрации, обновления и освобождения имен.

Способ, используемый WINS для разрешения и сбора имен NetBIOS, аналогичен способу, применяемому в режиме В-узла. Метод обновления имен специфичен для режимов работы узлов NetBIOS, использующих сервер имен NetBIOS. Служба WINS представляет собой расширение стандарта, описанного в документах RFC 1001 и 1002.

Регистрация имени

В  параметрах каждого клиента WINS указан IP-адрес главного и, возможно, резервного серверов WINS. При запуске клиент WINS регистрирует на сервере WINS свои NetBIOS-имя и IP-адрес. В базе данных сервера сохраняются все зарегистрированные соответствия имен NetBIOS и IP-адресов.

Обновление имени

Все имена NetBIOS регистрируются временно. Это означает, что любое имя может быть присвоено другому узлу после того, как предыдущий владелец откажется от него.

Освобождение имени

Все клиенты W1NS сами ответственны за продление аренды своего имени. Если имя больше не используется, например, при выключении компьютера, то клиент WINS посылает серверу WINS сообщение с предложением освободить имя.

Распознавание имени

После регистрации своего имени NetBIOS и IP-адреса на сервере WINS клиент WINS может взаимодействовать с другими узлами, получая IP-адреса, соответствующие их NetBIOS-именам, от сервера WINS.

Все сетевые сообщения, необходимые для работы WINS, передаются по протоколу UDP на порт 137.

Регистрация имени

В отличие от реализации NetBIOS поверх TCP/IP в режиме В-узла, когда имена регистрируются средствами широковещания, клиенты WINS регистрируют свои NetBIOS-имена на серверах WINS.

При инициализации клиент WINS посылает запрос о регистрации имени NetBIOS непосредственно на сервер WINS, заданный в конфигурации клиента. Имена NetBIOS регистрируются при запуске сетевых служб или приложений.

Если сервер WINS доступен и запрошенное имя не используется другим клиентом WINS, то данный клиент получит сообщение об успешной регистрации имени. В нем будет указано время жизни — TTL (Time To Live) имени клиента.

Требования к серверу WINS

В сети, использующей протокол TCP/IP, служба сервера WINS должна быть установлена как минимум на одном компьютере,(не обязательно контроллере домена).На сервере необходимо задать IP-адрес, маску подсети, шлюз по умолчанию и другие параметры TCP/IP. Их можно получить от сервера DHCP, но лучше использовать статически назначенные параметры.

Требования к клиенту WINS

Внедрение WINS — это настройка клиентов, а также установка и конфигурирование службы WINS Server.

Клиенту необходимо указать IP-адрес основного сервера WINS, а адрес резервного сервера может быть указан дополнительно.

Поддержка  баз данных

Просмотр содержимого баз данных WINS и поиск заданных записей осуществляется с помощью утилиты WINS Manager.

Настройка сервера WINS

Базу данных каждого сервера WINS необходимо периодически очищать от записей, которые были освобождены или перерегистрированы на другом сервере WINS, но не были удалены.

Резервное копирование и восстановление базы данных

Резервное копирование базы данных WINS очень важно. Оно позволит восстановить данные при сбое системы или повреждении данных. Когда Вы зададите каталог для резервного копирования, база данных WINS будет автоматически копироваться в него каждые 24 часа.

Рекомендуется периодически проводить резервное копирование записей реестра, относящихся к службе WINS.

Восстановление поврежденной базы данных WINS

В случае повреждения базы данных WINS используется один из следующих методов для восстановления ее содержимого:

• остановите и перезапустите службу WINS Server, если служба обнаружит повреждение в базе данных, она автоматически восстановит данные с резервной копии;

• Восстановление  базы данных с  помощью резервной копии.

Файлы базы данных WINS

Файлы расположены в каталоге \sytemroot\System32\W`ins.

Wins.mdb Файл базы данных

Winstmp.mdb Временный файл, который создается при установке сервера WINS. Он может остаться в каталоге \Wins после программного или аппаратного сбоя

J50.1og Журнал всех транзакций, произведенных с базой данных. Этот файл при необходимости используется службой WINS для восстановления данных

J50.chk Файл контрольной точки

Внимание! Поскольку эти файлы необходимы для поддержки базы данных WINS. Их нельзя  изменять и  переносить, за исключением случая ручного восстановления поврежденной базы данных WINS.

Сжатие базы данных WINS

Поскольку Windows Server 2003  может автоматически сжимать базу данных WINS, то не нужно вручную выполнять эти действия. Динамическое сжатие базы данных на WINS-сервере происходит после обновления базы как автоматический фоновый процесс во время простоя. Однако при необходимости Вы можете использовать утилиту Jetpack, чтобы сжать базу данных WINS.

Сжатие можно также выполнить вручную (использовать утилиту Jetpack) и в  автономном режиме

Интеграция DNS зон и  WINS

Службу WINS проще эксплуатировать, чем DNS, поскольку она динамически регистрирует соответствия имен и IP-адресов.

База данных DNS, содержащая соответствия имен и IP-адресов, является статической, и изменения в нее вносятся вручную. В DNS реализована иерархическая модель, что позволяет разбить на зоны администрирование и репликацию базы данных.

 С другой стороны, WINS позволяет компьютерам динамически регистрировать для себя соответствия имени и IP-адреса, что упрощает эксплуатацию. Но пространство имен WINS — одноуровневое, и кроме того, необходимо репликацией обеспечить хранение полной базы данных на каждом WINS сервере.

Запись WINS

Новый тип записи — WINS — определен как часть файла базы данных и применяется только в Microsoft DNS. Для этого в корневой домен зоны вводится новая запись, сохраняемая в файле базы данных. Теперь, если в файле базы данных не найдено соответствие имени и IP-адреса, то DNS обратится к базе данных сервера WINS.

1. Клиент связывается со своим DNS-сервером и запрашивает IP-адрес другого узла.

DNS-сервер просматривает свою базу данных и не находит записи, содержащей IP-адрес этого узла.

2. Поскольку в файле базы данных есть запись типа WINS, то DNS-сервер преобразует имя узла в NetBIOS-имя и посылает запрос на это имя серверу WINS.

3. Если сервер WINS может разрешить это имя, то он возвращает DNS-серверу IP-адрес.

4. DNS-сервер передает этот IP-адрес запрашивающему клиенту, серверы ответственные за эту зону, должны быть настроены на использование WINS.

Время жизни для сервиса WINS

Значение WINS TTL можно задать на странице Advanced, которая вызывается с вкладки WINS Lookup окна свойств зоны. Когда сервер WINS успешно разрешает соответствие имени и IP-адреса, то IP-адрес сохраняется в кэше в течение времени Cache Timeout Value. По умолчанию это значение равно 10 минутам. Если этот IP-адрес пересылается другому DNS-серверу, то вместе с ним передается и TTL.

  1.  Защита сетей. Информационная безопасность.

Внедрение протоколов:

Использование для управления и защиты процедур аутентификации и авторизации и для организации передачи конфиденциальной информации, реализации целостности данных, а так же подтверждение прав участников по взаимодействию.

Протоколы:

  •  Kerberos - это компьютерный сетевой протокол аутентификации, позволяющий безопасно передавать данные через незащищённые сети для безопасной идентификации. Также является набором бесплатного ПО от Массачусетского Технологического Института (Massachusetts Institute of Technology (MIT)), разработавшего этот протокол. Ее организация направлена в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию - оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак.

Kerberos основан на симметричной криптосистеме и требует третье доверенное лицо (сервер). Расширение Kerberos позволяет использовать открытые ключи в процессе аутентификации.

  •  NTLM (NT LAN Manager) — Является протоколом сетевой аутентификации, разработанной фирмой Microsoft для Windows NT
  •  IPsec (IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Управление правами пользователей:

Права определяют операции, разрешенные пользователю в системах. Разрешение определяет уровень доступа уровень доступа пользователя к объекту. Типы разрешений зависят от типа объекта.

Категории прав:

  1.  Привилегии – направление ведения аудита безопасности.
  2.  Право на вход – подключение к ПК и к пользовательским ресурсам.

Права назначаются группам, можно задавать права и отдельному пользователю.

Наследование прав:

Т.е. передача прав объектам – контейнерам к листу. Наследование прав носит добавочный характер т.е. если пользователь входит в 2 группы с разными правами, то они складываются.

Общие права пользователей:

  1.  Локальный вход в систему – позволяет пользователю входить в систему через консоль как ПК, так и любого ПК домена
  2.  Изменение системного времени
  3.  Выключение системы – позволяет завершить пользователю работу на локальном ПК
  4.  Доступ к ПК из сети – право доступа к ПК из любого ПК в сети
  5.  Разрешение входа в систему через службу терминала.

Различия между разрешениями:

Разрешения определяют тип доступа, который пользователь или группа получают в отношении объекта или его свойств. Пользователям можно добавлять разрешения на доступ к защищаемым объектам (например AD).

Разрешения на доступ могут назначаться:

  1.  Группам, пользователям локального домена
  2.  Группам, пользователям доверенных доменов
  3.  Локальным группам и пользователям, где находится объект.

Назначения прав пользователей – права в домене обычно назначаются на контроллере домена с использованием групповых политик.

Встроенные локальные группы:

  1.  Админы
  2.  Операторы архива
  3.  Пользователи с расширенными правами
  4.  Разрешение на удаленный доступ
  5.  Гости
  6.  Пользователи

19 Защита сетей. Администрирование ИБ.

WS2003 поддерживает много функций, политик безопасности, защищенных атрибутов, параметров, которые требуют настройки.

Для организации правильной политики информационной безопасности необходимо создать базовые конфигурации, которые в дальнейшем можно было бы расширить.

Базовые конфигурации:

  1.  Выявить роль различных ПК в сети
  2.  Создать подходящие шаблоны безопасности для каждой роли
  3.  Создать эталонный шаблон безопасности подходящий для всех ПК
  4.  Разработать добавочные шаблоны специфичные для различных ролей
  5.  Сочетание шаблона добавочного и эталонного позволяет определить конфигурацию, специфичную для конкретной роли.

Журнал аудита:

В журнале содержится описание событий, регистрация которых предусмотрена в политике аудита. Содержимое можно фильтровать, экспортировать и просматривать.

Каждая запись журнала содержит информацию о подлежащих аудиту  событиях (успех/неудача, дата, время,  категория события, имя Пк и имя пользователя.)

Реакция:

  1.  Затирать старые события по необходимости
  2.  Затирать события старше определенного периода.
  3.  Не затирать события вообще.

Применение принципа наименования привилегий:

При проектировании политик безопасности и назначении прав и разрешений необходимо придерживаться принципа наименование привилегий.

Принцип наименования привилегий – пользователь или объект должен иметь как минимум необходимые ему привилегии на доступ к информационным ресурсам.

Необходимо регулярно анализировать права и привилегии пользователей, проверять их на соответствие полномочий. Принцип наименование привилегий относится и к админу => админу рекомендуется работать под пользователем и использовать  RUNAS.

Применение шаблонов безопасности:

Шаблоны безопасности – это файл, содержащий значение для всех защищаемых параметров системы.

В WS20003 есть единый интерфейс для генерации шаблонов безопасности, применение их и импортирование в объекты групповых политик.

Каждый шаблон хранится в информационном файле, а оснастка это всего лишь интерфейс для модийикации шаблонов %systemroot%security/temp plates/

Анализ политик из шаблонов:

Каждый шаблон содержит атрибуты для 7 разделов:

  1.  Политики учетных записей: содержит параметры – политика паролей, блокировки учетной записи.
  2.  Локальные политики – содержат политики, определяющее право доступа к ПК, а так же способы аудита (политики аудита, назначение прав пользователей, параметры безопасности)
  3.  Журнал событий – содержит атрибуты и параметры, определяющие работу журналов.
  4.  Группы с ограниченным доступом -  - содержат параметры защиты управления встроенными группами, в которых могут быть определены права по умолчанию, можно определить привилегированные группы путем расширения прав.
  5.  Системные службы -  шаблоны содержат атрибуты защиты служб, для локальных пользователей.
  6.  Реестр – защиты разделов реестра (аудит или доступ к реестру)
  7.  Файловая система – позволяет настраивать разрешения на доступ к файлам, дискам на локальном ПК.

Применение готовых шаблонов:

WS2003  содержит набор готовых шаблонов безопасности, которые можно изменять. Эти шаблоны обеспечивают различные уровни безопасности для ПК с типичными функциями.

Шаблон безопасности для защищенных систем:

  1.  Secure ws – для рабочих станций и серверов
  2.  Secure ds – для защищенных контроллеров домена.

Шаблоны безопасности высокозащищенных систем:

  1.  Hisecws – для рабочих станций
  2.  Hisecds – для контроллеров домена

Активировать защиту серверных и клиентских пакетов с цифровой подписью, позволяет защитить информацию через сеть.

Не совместим со старыми ОС до win2000.

Блокируется группа  пользователей с расширенными правами.

Шаблон безопасности обеспечивающий совместимость:

Compact ws – обеспечивает совместимость рабочих станций и серверов.

Членам группы «пользователей» разрешенных запускать приложения, сертифицированных для Windows.

Для группы «опытные пользователи», разрешено запускать любые приложения.

По умолчанию – Setup security - Система имеет после установки.

Применение шаблонов безопасности – применяются путем импорта их в GPO.

При использовании шаблонов безопасности нужно придерживаться следующих привил, которые определяют привилегии:

  1.  Назначая права пользователей по отдельности сведите количество прав к минимуму.
  2.  Назначать права через группу.
  3.  Для защиты от несанкционированного доступа используйте строгую политику паролей
  4.  Используйте листы доступа при определении доступа к файлу или реестру.
  5.  Отключите ненужные службы и ограничьте круг лиц, которые могут управлять службами
  6.  Используйте политики аудита для наблюдения за важными политиками в системе.

20  Защита сетей. ФС EFS.

EFS –средство, которое обеспечивает шифрование файлов на томах NTFS, который выполняются незаметно для пользователя.

Для шифрования используются открытые ключи.

По умолчанию файлы не шифруются. Если включено шифрование файла, то при передачи файлы не шифруются.

Шифровать и расшифровать может только владелец файла. Владелец имеет доступ к закрытому ключу. Если ключа нет =>то отказ к зашифрованному ресурсу.

В  WS2003 есть  механизм восстановления зашифрованных данных, для этого надо использовать спец. Политику – управление политикой восстановления. Управление можно передать отдельным лицам. При восстановлении данных можно прочесть только данные, ключ прочитать не удастся.

Пользователь может шифровать как отдельные файлы, так и папки.  Если файл переносится в зашифрованную папку, то он так же шифруется.

Архивные и резервированные копии можно шифровать только на томах NTFS.

Функции EFS:

  1.  Шифрование прозрачно для пользователей
  2.  Надежная защита шифрованных ключей. Ключи имеют высокую степень надежности => используют для шифрования ключа, в которой был зашифрован файл, который хранится совместно с файлом. Для расшифровки необходим ключ владельца, известный только ему.
  3.  Наличие встроенной системы восстановления данных – если мы определяем агента восстановления каждому объекту добавляется симметричный ключ агента восстановления.
  4.  Защита временных страничных файлов: многие системы  создают временные файлы во время редактирования документа.

Т.О. – W.S. 2003  - ключи для шифрования обрабатываются в ядре ОС, хранятся в невыгружаемом пуле памяти => никогда не вытесняются т.е. защищены высоким приоритетом.

Шифрование файлов и папок:

  1.  Файлы шифруются блоками, для каждого блока используется свой симметричный ключ, который так же шифруется и сохраняется в спец. Заголовке файла:
  •   Поле шифрования данных, которым пользуется пользователь
  •  Поле данных восстановления, которым пользуется агент восстановления.
  1.  При копировании  зашифрованного файла в не зашифрованную папку, файл остается зашифрованным.

Восстановление зашифрованных файлов:

Зашифрованные файлы можно восстанавливать с  помощью ключа агентов восстановления. При необходимости восстановления рекомендуется перенести файлы в то место, где хранится ключ, а не наоборот.

По умолчанию агентом восстановления является админ.

Инструменты для настройки системы безопасности:

Предназначены для облегчения работы админа при защите информационных ресурсов и сети.

Предоставляют функции анализа и аудитов защиты:

  •  Утилиты cmd
  •  Mmc – консоль:
  •  Анализ и настройка безопасности
  •  Шаблоны безопасности
  •  Групповая политика

К параметрам защиты относят:

  1.  Политики безопасности (локальные политики и политики учетных записей)
  2.  Политики управления доступом – к службам, файлам, разделам реестра
  3.  Журналы событий
  4.  IPSec и открытые ключи

23 Защита сетевого трафика. Протокол IPSec.

IPSec-это набор крипто-служб для защиты  IP-пакетов, обеспечивающий сквозную защиту. Промежуточные  сетевые устройства пересылают IP-адрес пакета, как обычно, защиту обеспечивают ПК -участники взаимодействия .

IPSec применяются:

-внутри локальных сетей

-в глобальных сетях

-в сетях с удаленным доступом

На каждом участке взаимодействия необходимо определять настройки IPSec,предназначенные для защиты данных, которыми обмениваются ПК.

Основным требованием, которое предъявляют к корпоративным сетям, является организация защиты данных и их передач, обычно при организации защиты основное внимание уделяется защите периметра. Организуя защиту сети необходимо решать задачу комплексно, защищая как периметр сети, так и сеть изнутри.

Назначение IPSec.

Заголовки протоколов ip,tcp,udp содержат  контрольную сумму, которая исп-ся для проверки целостности пакета. Несовпадение контрольной суммы говорит о поврежденных данных.Алгоритм проверки контрольной суммы- открытый алгоритм, т.е. им может воспользоваться любой. При перехвате пакетов злоумышленник может внести изменения и пересчитать контрольную сумму для нового содержания пакета. Ни отправитель, ни получатель об этом не узнают.

IPSec представляет собой пакет протоколов и криптоалгоритмов, которые обеспечивают защиту данных на сетевом уровне и не зависят от защитных механизмов приложений.  IPSec –это единый стандарт защиты и его применение прозрачно для приложений.

Цели IPSec:

  1.  защита содержимого IP-пакета
  2.  защита от взлома сети, путем перехвата пакетов

Обе цели достигаются за счет использования крипто служб и механизма динамического обновления ключами.

Типы атак:

  1.  Перехват пакетов - выполняется программой  или устройством - сетевой анализатор позволяет захватывать сетевые пакеты и читать их содержимое. Защита осущ-ся за счет исп-я протокола шифрования ESP.
  2.  Модификация данных -перехват сообщения на пути от отправителя к получателю. Внесение в пакет несанкционированных изменений В результате получатель будет дезинформирован. IPSec использует криптоключи которые известны ПК  отправителю и ПК  получателю, крипто ключи генерируют контрольную сумму для каждого пакета, этот механизм не известен другим пользователям.
  3.  Подделка удостоверений -атакующий может подделать удостоверение с помощью специальной программы, путем генерации IP-пакетов, которые будут имитировать пакеты с допустимыми адресами из доверенной сети. С помощью IPSec можно осуществить взаимную проверку подлинности отправителя и получателя, путем установки достоверного канала ,после этого IPSecиспользует криптоключи, которые известны только двум ПК и генерирует криптосуммы для каждого IP-пакета.
  4.  Атака типа «посредник»-между двумя ПК внедряется субъект, ведущий мониторинг, перехват и управление данными ПК незаметно для отправителей и получателей. Борьба- IPSec предотвращает атаки, сочетая процедуры аутентификации и шифрования.
  5.  Отказ в обслуживании (DOS-атака) –вывод из строя сет.ресурса за счет генерации большого объема трафика на жертву.  IPSec представляет механизм фильтрации IP-пакетов ,который позволяет разрешать,блокировать и запрещать передачу пакетов по сл. Критериям:
  •  IP-адрес источника
  •  тип протокола
  •  номер порта TCP  или UDP

Защитные функции IPSec

  1.  IPSec использует протокол управления ключами ISAKMP, который обеспечивает динамическое согласование взаимных требований к защите участников взаимодействия.
  2.  Фильтрация IP-пакетов позволяет выборочно блокировать передачу данных на основе IP-адреса,  типа протокола либо номера порта.
  3.  Реализует защиту на сетевом уровне =>прозрачна для любых приложений.
  4.  Взаимная аутентификация IPSec проверяет удостоверение участника взаимодействия перед отправкой данных. Это происходит на основе общих открытых ключей.
  5.  Подтверждение отправителя- не позволяет злоумышленнику подменять истинных отправителей за счет добавления к каждому IPSec –пакету контрольной криптосуммы, которая вычисляется по ключу.

Ключ –это хэш функция, это ассиметричный крипто-алгоритм для вычисления по данным хэш значений фиксированной суммы.

  1.  обеспечение целостности данных с помощью контрольной криптосуммы.
  2.  Обеспечение конфиденциальности данных -пересылаемые данные шифруются с помощью алгоритмов с общим секретным ключом.
  3.  защита от атак повтором выполняется путем присваивания пакету порядкового номера.
  4.  Управление ключами для аутентификации, отправки и получения исп-ся общий секретный ключ, IPSec предотвращает перехват ключа путем периодической смены этих ключей.

Режимы IPSec

  1.  транспортный - используется, когда необходима сквозная защита между двумя клиентами
  2.  туннельный - исп-ся для защиты межсайтовых коммуникаций, между двумя ЛВС

Сопоставление безопасности.

  1.  Сопоставление безопасности главного режима -исп-ся во время согласования параметров IPSec,создается в результате согласования шифропакета для дальнейшей защиты трафика протокола   ISAKMP.Защищаются не только данные, но и процесс выбора защитных алгоритмов, кот IPSec исп-ет .В дальнейшем незашифрованные данные передаются в процедуре согласования шифропакетов только при генерации первоначального ключа ISAKMP,все остальное идет шифрованное.

IPSec SA сопоставление безопасности быстрого режима.

  1.  Исп-ся для защиты данных, которыми обмениваются хосты, исп-ие IPSec.Согласование IPSec SA защищено протоколом ISAKMP.Для каждого  использующего IPSec  протокола сущ-ет 2 IPSec SA,один для входящего, другой для исходящего трафика.

Протокол IKE-протокол обмена ключами через Инет. Стандартный механизм генерации сопоставления безопасности. Этот механизм использует 2 протокола ISAKMP и OKDP. На основе этих протоколов генерируются секретные ключи OKDP использует алгоритм, который позволяет хостам –участникам взаимодействия определять секретные ключи на основе информации, которая передается через публичную сеть открытым текстом. На основе этой информации  хосты генерируют известные ключи ,кот. известны только им. Если происходит перехват открытой информации, рассчитать по ней секретные ключи злоумышленник не может. Данный процесс обмена ключами не защищен от атак типа «посредник»

Посредник может получить и сгенерировать ключи для взаимодействия с обоими хостами. Для того чтобы предотвратить атаки подобного рода выполняется проверка подлинности. WS2003  поддерживает динамическое обновление ключей через каждые 8 часов по умолчанию.

IPSec –агент политик.

Назначение службы политики IPSec –это получение политики и ее передача компонентам IPSec ,которым она необходима для осуществления защитных функций.

Агент политики IPSec –это служба, которая работает на WS и называется IPSec –сервис.

Функции:

  1.  получает политику IPSec (если назначена )из AD ,(если ПК вдалеке) из локального реестра.
  2.  собирает сведения об изменениях внесенных в политику.
  3.  передает сведения о назначенной политике IPSec ,драйверу IPSec .

Драйвер IPSec .

Драйвер IPSec получает список IP –фильтров от агента политики IPSec после этого все входящие и исходящие пакеты сравниваются со списком фильтров. IP –фильтры позволяют определять тип защищаемого трафика. Каждый список содержит один или несколько IP –фильтров, определяющих IP –адреса и типы трафика. Доступ к фильтрам осуществляется через оснастку управления политик IP –безопасности. Если пакет соответствует фильтру, то к нему применяется действие, связанное с этим фильтром. Если пакет не соответствует ни одному фильтру, он передается драйверу TCP/IP без изменений. Если действие фильтра разрешает приём -передачу, то она выполняется, если действие предписано блокировать, то пакет отбрасывается. Если действие требует согласования параметров защиты, то предпринимается попытка согласования SA для главного и быстрого режима. Согласования SA для быстрого режима определяет ключи для шифрования входящего и исходящего трафика. При соответствии исходящих пакетов фильтрам предназначенных  для согласования параметров защиты драйвер IPSec  ставит пакет в очередь, после этого  IKE начинает согласование защиты с хостом получателя. После успешного согласования драйвер IPSec  выполняет сл.действия:

  1.  получает SA с согласованным ключом, кот. определился на этапе согласования параметров защиты -ключ IKE 
  2.  ищет  в своей БД такое согласование безопасности, которое удовлетворяет требованиям запрашиваемого соединения для исходящего трафика.
  3.  подписывает и шифрует содержимое пакета.
  4.  передает пакеты на уровень  IP для передачи ПК-получателя.
  5.  При неудаче согласования драйвер IPSec отбрасывает пакеты.

Если пакет защищенный IPSec соответствует IP-фильтру, то драйвер IPSec получает сеансовый ключ IKE ,ищет в своей БД согласование безопасности для входящего трафика, проверяет цифровую подпись и расшифровывает пакеты, сопоставляет IPпакеты с фильтрами из списка, чтобы не допустить приема трафика, параметры которого не согласованны, передает пакеты TCP/IP для передачи приложения получателю. Если пришел пакет не защищенный IPSec,драйвер IPSec проверяет соответствует ли он списку фильтров, если соответствие найдено пакет пропускается, если нет блокируется и отбрасывается.

Согласование параметров защиты.

  1.  Согласование параметров для главного режима
  2.  Согласование параметров для быстрого режима
  •  хост А запрашивает защищенное взаимодействие
  •  проходит согласование защиты для главного режима(генерируется мастер ключ и сопоставление безопасности IKESA 
  •  выполняется согласование для быстрого режима и генерируются пары SA для вх/исх трафика, они предназначены для защиты прикладных данных
  •  прикладные пакеты с генерир. пакетом хоста А от драйвера TCP/IP к IPSec
  •  драйвер IPSec формирует пакеты и снабжает их крипто-защитой. После этого передает хосту В с использованием согласования безопасности для исходящего трафика.
  •  защищенные пакеты передаются через сеть
  •  драйвер IPSec хоста В расшифровывает полученные пакеты, проверяет целостность с использованием своего SA для входящего трафика. Преобразует пакеты в пакеты TCP/IP и передает их стеку протокола TCP/IP.
  •  драйвер TCP/IPпередает пакеты приложений на хост В

Согласование параметров для главного режима

Протокол Oakley позволяет сгенерировать заголовки для шифрованных ключей и обеспечивает защиту данных в главном и быстром режимах.

  •  хост А отправляет пакет хосту В
  •  драйвер IPSec хоста А сопоставляет пакет с IP-фильтрами исходящего трафика, если фильтр определяет ,что пакет должен быть защищен, то выполняется следующее действие
  •  драйвер   IPSec начинает согласование защиты IKE
  •  хост А извлекает из своей политики параметры главного режима и передает их хосту В
  •  хост А отправляет первое IKE сообщение через UDP –порт 500 на аналогичный порт получателя.
  •  хост В принимает сообщение главного режима IKE от хоста А и выполняет поиск собственного IKE фильтра по IP-адресам, взятым из принятого пакета.

  1.  Протокол IPSec. Политики.

IPSec-это набор крипто-служб для защиты  IP-пакетов, обеспечивающий сквозную защиту. Промежуточные  сетевые устройства пересылают IP-адрес пакета, как обычно, защиту обеспечивают ПК-участники взаимодействия .

IPSec применяются:

  •  внутри локальных сетей
  •  в глобальных сетях
  •  в сетях с удаленным доступом

На каждом участке взаимодействия необходимо определять настройки IPSec,предназначенные для защиты данных, которыми обмениваются ПК.

Основным требованием, которое предъявляют к корпоративным сетям, является организация защиты данных и их передач, обычно при организации защиты основное внимание уделяется защите периметра. Организуя защиту сети необходимо решать задачу комплексно, защищая как периметр сети, так и сеть изнутри.

Политика-это правило, определяющее желанный уровень защиты.

Хэш алгоритмы шифрованные алгоритмы и правила определяющие длину ключа,IP-адреса, протоколы,DNS-имена и подсети.

Политика настраивается в соответствии с требованиями, которые предъявляют к безопасности пользователь, группа, приложение, домен или организация в целом. Оснастка управления политикой IP-безопасности позволяет создавать политики IPSec  и управлять  ими локально или с исп-ем групповых политик.

Существуют готовые политики, как локальные, так и групповые. Чтобы политика вступила в силу, ее надо назначить. Политика  IPSec передается агентом политики драйверу IPSec и отправляет все параметры настроек протоколов и операций. Действующей может быть только одна политика.

Назначение политик:

  •  параметр туннеля – IP  адрес конечного туннеля
  •  тип сети – тип подключения, на которое действует политика IPSec: все сетевые подключения ЛВС или подключения удаленного доступа.
  •  список IP-фильтров – подмножество сетевого трафика выделяется по IP адресу, номеру протокола и транспортному протоколу. По фильтру драйвер IPSec определяет входящие и исходящие пакеты, которые требуют защиты.
  •  Список IP фильтров – определяют множество трафика
  •  действие фильтра  - меры, которые драйвер IPSec должен предпринять для защиты трафика.
  •  метод аутентификации – защитный алгоритм и метод аутентификации и обмена ключами.

Политики IPSec :

Для создания и настройки параметров политики IPSec используется оснастка.

  •  На компьютерах, которые не передают защищенные данные, применяется политика клиент - только ответ. Такой ПК никогда сам не начнет безопасное соединение, но может ответить на безопасное соединение от сервера, и защищаются данные которые передаются в направлении этого сервера.
  •  Сервер-запрос безопасности можно исправить на любом компьютере(клиент или сервер)который нуждается в защите сетевого взаимодействия.
  •  безопасный сервер- требования безопасности- при такой политике защищается весь IP-трафик, требуется протокол Cerberus.

Правило по умолчанию активно для всех политик, гарантирует, что ПК будет отвечать на запросы безопасного взаимодействия. Правило по умолчанию обладает сл.атрибутами:

  1.  Динамический список фильтра показывает, что фильтры автоматически не настроены и они будут автоматически создаваться на основе устанавливаемого.
  2.  Для фильтра по умолчанию настраивается только одно правило, которое называется согласование безопасности.

Постоянные политики IPSec.

Они определяют или дополняют существующие политики, хранимые в AD или на локальном ПК, данные политики исп-ся при загрузке ПК. Укрепляют защиту ПК, обеспечивая ее до применения данной политики IPSec. Хранятся в реестре локального ПК. Их можно менять, однако, изменения вступят в силу при перезапуске службы IPSec .

Развертывание IPSec через локальные политики.

Локальные политики хранятся на локальных ПК, локальные групповые политики так же хранятся на локальных ПК, не зависимо от того, входят ПК в домен или нет. В сети, где нет контроллера  домена параметры локальных групповых политик определяют работу IPSec.Они могут переопределяться групповыми политиками сайтов, доменов, подразделений,AD.Доменная политика переопределяет локальную. Локальные политики используются, когда нет AD; когда есть AD ,но в защиту необходимо установить небольшое кол-во объектов; когда не требуется централизация политик IPSec.

Развертывание IPSec через AD.

Для развертывания необходимо политики IPSec связать с групповыми политиками нужного сайта, домена или подразделения. Для управления политиками, которые храниться в AD используется консоль управление политикой безопасности и команды Netsh. Доменная политика переопределяет локальную политику IPSec и комбинируется с постоянной политикой, если она настроена.При конфликте постоянной доменной или постоянной политикой приоритет имеет постоянная политика.

Развертывание в смешанной среде.

Политики IPSec  можно настраивать как через AD,так и локально, независимо от способов настройки политик ПК необходима связь для согласования правил, которые определены в политиках.

Внедрение IPSec с использованием сертификатов.

Для защиты сетевого взаимодействия в IPSec используется взаимная аутентификация, она может выполнятся с помощью Cerberus,либо с помощью сертификатов протокола х509.Сертификат х509-это цифровой сертификат, представляет собой электронное удостоверение, применяемое для аутентификации и защиты обмена данными в публичных сетях. Основывается на использовании двух ключей, открытого и закрытого. Открытый ключ исп-ся для шифрования данных и свободно распространяется. Закрытый для расшифровки данных.Ключи работают только в паре. Сертификаты могут распространять издателей сертификата, либо центры сертификации, отдельно выделенные сервера. Сертификаты снабжаются цифровой подписью. Сертификаты выполняются для пользователей.

Роль центров сертификации:

Отвечает за проверку подлинности и доступности ключей, применяемых  для шифровки и расшифровки аутентификации.

Использование NAT вместе с IPSec .

Преобразование адресов и портов TCP и UDP ,которые используются в NAT для предоставления доступа к интернет ресурсам препятствует работе защитных служб IPSec,потому что в защищенных IPSec пакетах номера портов TCP и UDP шифруются и поэтому корректно их преобразовать невозможно. Цифровая запись применяется к пакету, включает значение IP-адреса=>при изменении IP-адреса цифровая подпись  становится недействительна.

Согласование параметров для главного режима

Протокол Oakley позволяет сгенерировать заголовки для шифрованных ключей и обеспечивает защиту данных в главном и быстром режимах.

  1.  хост А отправляет пакет хосту В
  2.  драйвер IPSec хоста А сопоставляет пакет с IP-фильтрами исходящего трафика, если фильтр определяет ,что пакет должен быть защищен, то выполняется следующее действие
  3.  драйвер   IPSec начинает согласование защиты IKE
  4.  хост А извлекает из своей политики параметры главного режима и передает их хосту В
  5.  хост А отправляет первое IKE сообщение через UDP –порт 500 на аналогичный порт получателя.
  6.  хост В принимает сообщение главного режима IKE от хоста А и выполняет поиск собственного IKE фильтра по IP-адресам, взятым из принятого пакета.

25 Протокол IPSec. Управление и мониторинг.

IPSec-это набор крипто-служб для защиты  IP-пакетов, обеспечивающий сквозную защиту. Промежуточные  сетевые устройства пересылают IP-адрес пакета, как обычно, защиту обеспечивают ПК-участники взаимодействия .

IPSec применяются:

  •  внутри локальных сетей
  •  в глобальных сетях
  •  в сетях с удаленным доступом

На каждом участке взаимодействия необходимо определять настройки IPSec,предназначенные для защиты данных, которыми обмениваются ПК.

Основным требованием, которое предъявляют к корпоративным сетям, является организация защиты данных и их передач, обычно при организации защиты основное внимание уделяется защите периметра. Организуя защиту сети необходимо решать задачу комплексно, защищая как периметр сети, так и сеть изнутри.

Инструменты для управления и мониторинга :

  •  диспетчер IP безопасности
  •  консоль просмотра событий
  •  утилиты netsh, netdiag

Диспетчер IP безопасности:

  1.  отслеживает сведенья IPSec на локальных и удаленных ПК.
  2.  Просмотр сведений об активных политиках

Мониторинг позволяет получить следующую информацию:

  1.  Имя активной политики
  2.  Сведения об активной политики
  3.  Статистику быстрого и главного режима.

Консоль просмотра событий:

Применяется для просмотра событий, связанных с IPSec. Содержит информацию о событиях агента политик  IPSec, о событиях драйверов IPSec и о событиях изменения политики IPSec.


21
Служба SUS. Установка

Одной из задач администратора и пользователя является содержание ПО в актуальном виде.

Для ОС Windows – это выполняется за счет установки обновлений, которые можно получить на сайте MS?  Можно в ручном режиме и в автоматическом, с предварительным тестированием или без.

К обновлениям относятся исправление ошибок в ПО (безопасность, ошибки  интерфейсе). Использование обновлений позволяет устранить известные уязвимости и проблемы, ведущие к нестабильной работе ОС.

SUSэто бесплатный программный продукт, предназначенный для получения, проверки развертывания обновления,  а так же для уведомления клиентов о наличии обновлений на их ПК.

Эта служба устанавливается на одном или нескольких серверах.

Если на нескольких, то «+» - балансировка нагрузки, надежность, более широкие возможности для тестирования обновлений.

Использование SUS как отдельного сервера позволяет проводить централизованную политику обновлений на наших клиентов и экономит трафик.

Виды обновлений:

  1.  Критические –исправление системы безопасности и другие важные обновления, обеспечивающие актуальность ПО и безопасность ПК и сети.

Безопасность и/или стабильность работы ПК, на котором отсутствует хотя бы одно критическое обновление, подвергается риску.

  1.  Рекомендованные обновления – последние пакеты обновлений для Windows и MS Internet Explorer.
    1.  Инструменты Windows – утилиты и другие инструменты, повышающие производительность, облегчающие модернизацию и снижающие нагрузку на сисадмина.
    2.  Обновления для средств интернета и работы с мультимедиа.
    3.  Дополнительные обновления для Windows  - обновления для модулей управляющим рабочим столом и другими компонентами ОС.
    4.  Средства многоязыковой поддержки – поддержка локализированных меню и диалоговых окон, редакторов методов ввода.
    5.  Документация –руководство по развертыванию и эксплуатации ПО

Компоненты:

  1.  Служба синхронизации – серверный компонент. Получает обновление либо с другого сервера, либо с сайта MS автономно либо в ручную.
  2.  Внутренний сервер windows Update – сервер с дружественным к пользователю интерфейсом, играющий роль виртуального сервера для клиентских ПК.
  3.  Служба автоматических обновлений на рабочих станциях и серверах – можно настроить обновления по графику.

Админ имеет возможность протестировать обновления, которые загружаются с сайта MS =>это разумно т.к. обновления могут содержать ошибки.

Служба SUS  позволяет установить обновления по графику, который определен админом.

Если служба SUS работает на нескольких серверах, то админ может определить к каким серверам может обращаться клиент через групповую политику AD или через системный реестр.

Windows Update  

Сайт Windows Update и локальные службы автоматического обновления – это компоненты. Разработанные для совместной работы (клиент - сервер) с целью обеспечения актуальности работы ОС.

Windows Update  - это веб сайт, поддерживаемый фирмой майкрософт. С помощью сайта можно выполнить сканирование системы на поиск отсутствующих обновлений, получить перечень обновлений, которые можно установить.

Автоматическое обновление:

Позволяет получать обновление с сайта Windows Update  в автоматическом режиме.

Уведомляет пользователей о новых доступных обновлениях, позволяет выбирать способ и время загрузки и установки обновлений.

Может выполнять данные задачи по графику, может работать в фоновом режиме.

Если пользователь отказывается от установки некоторых обновлений, эти обновления будут удалены с ПК, но их можно скачать заново.

Требование к железу:

  1.  Процессор Pentium 3 700МГц или более
    1.  512 мб оперативы
    2.  6 гб свободного места на жестком диске для размещения дистрибутивов и исправлений
    3.  Такой сервер способен обслуживать около 15.000 ПК

Требование к ПО:

  1.  SUS работает  под управление серверных платформ начиная с windows 2000.
  2.  SUS должен быть установлен на ФС NTFS.
  3.  Необходимо установить сервер приложений:
  •  Общие файлы
  •  Диспетчер iis
  •  Служба www
  •  Internet Explorer 5.5  и выше

Работа SUS :

SUS  состоит из:

  1.  Службы синхронизации с W.U.загружающих обновления с SUS  сервера.
  2.  Веб сайт IIS, обслуживает запросы обновлений от клиентских служб автоматических обновлений.
  3.  Административные запросы SUS 

Функции  SUS  сервера:

  1.  Синхронизация содержимого с сайтом W.U.
  2.  Распространение разрешенного содержимого в сети организации.

Синхронизация может быть выполнена в ручную или по графику.

Админ может выбирать обновления, которые разрешены для клиента.

SUS  сервера к которым обращаются клиенты, являются точками распространения.

Точки распространения:

Содержимое  SUS сервера синхронизируется сайтом W.U. с другим  SUS  сервером с точкой распространения, которая настроена в ручную.

могут хранить обновления локально, либо использовать удаленные файлы с сайта

Сайт W.U. ->брэндмауер  -> SUS сервер А  ->SUS сервера В ->Клиенты automatic Update

Для успешной синхронизации серверов А и В необходимо выполнить следующие требования:

  1.  Оба сервера должны быть настроены для локального хранения обновлений
  2.  Сервер А был настроен на поддержку всех вариантов локализованных обновлений, который сервер В запрашивает согласно настройкам на странице Set option
  3.  Сервер А был настроен на сервер В как сервер синхронизации
  4.  Сервер В поддерживает только те локальные обновления, которые поддерживает сервер А

Создание точек:

При установки SUS  на сервер автоматически создается точка прикосновения. При синхронизации содержимое автоматически обновляется с сайта W.U.

Точка распространения содержимого- это виртуальный каталог IIS, под названием Cotent.

Представляет собой ссылку на физический каталок, расположенный на жестком диске. Использование виртуального каталога удобно т.к. длина ссылки меньше длины физ. Каталога.

22.  Служба SUS. Управление и мониторинг.

Одной из задач администратора и пользователя является содержание ПО в актуальном виде.

Для ОС Windows – это выполняется за счет установки обновлений, которые можно получить на сайте MS?  Можно в ручном режиме и в автоматическом, с предварительным тестированием или без.

К обновлениям относятся исправление ошибок в ПО (безопасность, ошибки  интерфейсе). Использование обновлений позволяет устранить известные уязвимости и проблемы, ведущие к нестабильной работе ОС.

SUSэто бесплатный программный продукт, предназначенный для получения, проверки развертывания обновления,  а так же для уведомления клиентов о наличии обновлений на их ПК.

Эта служба устанавливается на одном или нескольких серверах.

Если на нескольких, то «+» - балансировка нагрузки, надежность, более широкие возможности для тестирования обновлений.

Использование SUS как отдельного сервера позволяет проводить централизованную политику обновлений на наших клиентов и экономит трафик.

Заверив установку ПО и 1ую синхронизацию необходимо поддерживать ПО ПК в актуальном состоянии.

Задачи управления сервером включают:

  1.  Проверку и настройку параметров конфигурации
  2.  авто или ручную синхронизацию сервера
  3.  Просмотр состояния обновлений,резервное копирование и восстановление сервера

Задачи управления клиентами:

  1.  Настройка параметров загрузки и установка обновлений
  2.  Управление доменными и локальными параметрами обновлений

Одна из ключевых функций SUS-сервера  -управление обновлениями и графиком их доставки.

Обновления могут находится в следующих состояниях:

  1.  New- недавно загруженные обновления, пока не разрешенные для распространения, не протестированные админом.
  2.  Approved-тестированные и разрешенные
  3.  Not approved-неразрешенные
  4.  Updated-обновления изменившиеся с момента последней синхронизации
  5.  Temporarily Unavailable -Обновления находящиеся я в том состоянии если:
  •  некоторые пакеты, необходимые для установки обновлений, недоступны.
  •  отсутствуют компоненты, от которых зависит обновление.

По каждому обновлению можно получить доп.инфу:

  1.  Список файлов обновлений. Файлы имеют расширение .cab
  2.  региональные параметры для каждого  .cab файла.
  3.  тип ОС, на которой этот .cab файл можно использовать
  4.  ссылки на  дополнительные .cab файлы, которые необходимо будет установить.

Резервное копирование.

В связи с те что объем информации, которую содержит SUS-сервер, постоянно увеличивается, необходимо выполнять резервное копирование .Это позволяет избежать повторную загрузку с сети Microsoft.Для того чтобы создать резервную копию, необходимо:

  1.  скопировать метобазу IIS,метобаза IIS используется для управления IIS-сервером и содержит его настройки.
  2.  Необходимо скопировать каталог административного  web-сайта.Для копирования можно воспользоваться встроенной утилитой резервного копирования.
  3.  необходимо скопировать каталог содержимого SUS-сервера

Восстановление SUS-сервера позволяет вернуть SUS-сервер  в состояние ,в котором он находился на момент последнего резервного копирования. Важно, что бы проги IE,IIs оставались те же, что и на момент резервного копирования.

Этапы восстановления:

  1.  Восстановление файлов SUS исходных каталогов С:/ SUS; С:/inter pub/www root
  2.  Восстановление метобазы

Для наблюдения за работой SUS-сервера используют специальную страницу админовского web-сервера, на ней отображается состояние обновлений клиентских ПК. Сведения о состоянии хранятся в памяти сервераи автоматически обновляются. Существует 2 журнала: журнал синхронизации и журнал  разрешенных обновлений.

Страница монитор-сервер.

Сведения о доступных обновлениях хранятся в КЭШе метаданных -это БД, которая хранится в памяти сервера и используется для обновлений,в этом КЭШе содержаться сл.данные:идентификаторв, предназначенные для упорядочивания обновлений. Идентификаторы заданных продуктов и инфа об установке этих обновлений. Администратор может просматривать кэш метаданных, так же он может определять число доступных обновлений для каждой из программ.

Журналы синхронизации.

SUS-сервер ведет журнал, в котором регистрируются операции синхронизации, он хранит сл.инфу:

  1.  Время последней синхронизации
  2.  уведомления об успехах и неудачах
  3.  при синхронизации по графику-время сл.синхронизации
  4.  список пакета, обновленных и загруженных, во время последней синхронизации
  5.  Список пакета, синхронизация которых закончилась неудачно.
  6.  тип синхронизации(автом. Или ручная)

Журнал разрешенных обновлений.

Ведется на каждом SUS-сервере,в нем регистрируются обновления, разрешенные и запрещенные к распространению. Этот журнал содержит сл.инфу:

  1.  время модификации списка разрешенных обновлений
  2.  список модифицированных элементов
  3.  новый список разрешенных обновлений
  4.  автора изменений(админ или служба синхронизации)

Журнал событий сервера.

Служба синхронизации заносит в журнал событий ,сообщения при каждой синхронизации, а так же при возникновении ошибок и модификации списка разрешенных обновлений.

Журнал событий клиента.

Клиентская служба автоматический обновлений регистрирует  сведения в журнале клиента. Он доступен для просмотра пользователям. Предусмотрены сл.типы событий:

-Unable to connect-клиент автоматического обновления не смог подключиться к серверу web или SUS,поэтому загрузка и установка обновлений окончилась неудачей и продолжит попытки подключения.


 

А также другие работы, которые могут Вас заинтересовать

24526. Кэш-память. Принцип функционирования кэш-памяти 127.2 KB
  Кэшпамять. Принцип функционирования кэшпамяти. Кэширование данных. Кэшпамять.
24527. Способы отображения оперативной памяти на кэш (случайное, детерминированное, комбинированное отображение) 170.7 KB
  Способы отображения оперативной памяти на кэш случайное детерминированное комбинированное отображение. Способы отображения основной памяти на КЭШ. Алгоритмы поиска и замещения данных в КЭШ непосредственно зависят от способа отображения основной памяти на КЭШпамять. При кэшировании данных из оперативной памяти широко используются две основные схемы отображения: случайное и детерминированное отображение.
24528. Физическая организация устройств ввода-вывода 13.35 KB
  Устройства вводавывода УВВ делятся на два типа: блокориентированные устройства и байториентированные устройства. Блокориентированные устройства хранят информацию в блоках фиксированного размера каждый из которых имеет свой собственный адрес. Байториентированные устройства не адресуемы и не позволяют производить операцию поиска они генерируют или потребляют последовательность байтов. Однако некоторые внешние устройства не относятся ни к одному классу например часы которые с одной стороны не адресуемы а с другой стороны не...
24529. Принципы организации программного обеспечения ввода-вывода 70.42 KB
  Принципы организации программного обеспечения вводавывода.2 Организация программного обеспечения вводавывода. Программное обеспечение вводавывода состоит из нескольких иерархических уровней. Иерархическая структура программного обеспечения позволяет учесть все особенности каждого конкретного устройства вводавывода и при этом обеспечить единое логическое представление и унифицированный интерфейс для устройств всех типов.
24530. Физическая организация файловой системы. Структура жесткого диска 108.27 KB
  Логическая организация файла. Пользователи дают файлам символьные имена при этом учитываются ограничения ОС на используемые символы и на длину имени. Например в файловой системе NTFS имя файла может содержать до 255 символов не считая завершающего нулевого символа. Чтобы приложения могли обращаться к файлам в соответствии с принятыми ранее соглашениями файловая система должна уметь предоставлять эквивалентные короткие имена псевдонимы файлам имеющим длинные имена.
24531. Физическая организация файловой системы. Структура жесткого диска 33.35 KB
  Структура жесткого диска. Файл очень часто разбросан кусочками по всему диску причем это разбиение никак не связано с логической структурой файла например его отдельная логическая запись может быть расположена в несмежных секторах диска. Рассмотрим физическую структуру жесткого диска и физическую организацию файла т. Структура жесткого диска.
24532. Физическая организация и адресация файла. Права доступа к файлу 109.92 KB
  Физическая организация и адресация файла.Физическая организация и адресация файла. Важным компонентом физической организации файловой системы является физическая организация файла то есть способ размещения файла на диске. Основными критериями эффективности физической организации файлов являются: скорость доступа к данным; объем адресной информации файла; степень фрагментации дискового пространства; максимально возможный размер файла.
24533. Общая модель файловой системы 28.03 KB
  Общая модель файловой системы Задачей символьного уровня является определение по символьному имени файла его уникального имени. В других файловых системах в которых один и тот же файл может иметь несколько символьных имен на данном уровне просматривается цепочка каталогов для определения уникального имени файла. В файловой системе UNIX например уникальным именем является номер индексного дескриптора файла inode. На следующем базовом уровне по уникальному имени файла определяются его характеристики: права доступа адрес размер и другие.
24534. Современные архитектуры файловых систем 22.75 KB
  На верхнем уровне располагается так называемый переключатель файловых систем который обеспечивает интерфейс между запросами приложения и конкретной файловой системой к которой обращается это приложение. Архитектура современной файловой системы Каждый компонент уровня файловых систем выполнен в виде драйвера соответствующей файловой системы и поддерживает определенную организацию файловой системы. Переключатель является единственным модулем который может обращаться к драйверу файловой системы. Драйвер файловой системы может быть написан в...