Корпоративные сети
образом, в системе на равных можно применять и динамически распознаваемые
имена WINS, и статические имена DNS.
Кроме того, в состав WindowsNT 4.0 вошла Web-ориентированная утилита
администрирования, открывающая доступ к средствам администрирования
WindowsNT из любого Web-браузера. Из соображений безопасности для
удаленного администрирования следует использовать Web-браузеры, способные
регистрировать пользователя непосредственно на сервере WindowsNT (т. е.
такие, как InternetExplorer) или поддерживать протокол защищенного канала
SSL.
Одно из усовершенствований связано с тем, что повышающаяся роль Internet'а
и клиент-серверных систем ведет к росту числа мобильных пользователей.
Microsoft в связи с этим улучшила RAS ( улучшила поддержку ISDN) и
предоставила средства безопасной работы с RAS через Internet. В RAS
реализованы протоколы PPTP (создает зашифрованный трафик через Internet) и
MultilinkPPP (позволяет объединять несколько каналов в один). Клиентами
могут быть WindowsNT 4.0 Workstation или Windows 95.
Использовать TCP/IP с NTServer или Workstation можно в сочетании с Point-to-
PointTunnelingProtocol. PPTP позволяет туннелировать IPX, TCP/IP и/или
NetBEUI через стандартные соединения InternetPoint-to-PointProtocol.
Содержимое пакетов (например сетевые данные) шифруется в этих соединениях
по умолчанию. В целом, PPTP дает пользователям шифрованный туннель сквозь
Internet для удаленного доступа на NTServer. В настоящее время PPTP
работает только между машинами Windows 95 и NT.
PPTP не является пока стандартным протоколом, и, хотя несколько поставщиков
вместе с Microsoft обратились с RFC в Группу инженерной поддержки Internet,
его принятие в качестве стандарта может занять от нескольких месяцев до
нескольких лет.
Распределенная модель объектной компоновки
(DistributedComponentObjectModel) - еще одно ключевое дополнение к
WindowsNTServer 4.0. Модель объектной компоновки (COM) позволяет
разработчикам программ создавать приложения, состоящие из отдельных
компонент. Распределенная модель (DCOM) в WindowsNTServer 4.0 расширяет COM
таким образом, что позволяет отдельным компонентам взаимодействовать через
Internet. DCOM является растущим стандартом Internet, опубликованным в
соответствии с форматом, определенным в спецификациях RFC 1543.
NetWare
Novell, по-прежнему являющаяся основным поставщиком серверов файлов и
печати, по-прежнему обладающая крупнейшей инсталлированной базой клиентов
службы каталогов и по-прежнему занимающая лидирующую позицию в разработке
решений по обмену сообщениями и программного обеспечения коллективной
работы,осознала важность Internet с опозданием.
Однако надо помнить, что до 1995 года компания имела крупнейшую в мире
инсталлированную базу клиентов TCP/IP - продукты LANWorkplace и
LANWorkgroup. Уже давно серверы NetWare умели маршрутизировать IP-трафик,
поэтому пользователи могли иметь доступ в Internet и выполнять приложения
Internet, даже когда они применяли IPX для доступа к файлам и печати, если
стек протоколов IPX был установлен вместе со стеком TCP/IP. Продукты Novell
поддерживали также и такие протоколы Internet, как NetworkFileSystem (NFS)
и SNMP.
Но вот появление WorldWideWeb не было оценено в полной мере. Практически
отсутствовали популярные приложения Internet для среды NetWare. Здесь
отрицательно сказалась специализированность сервера NetWare.
Несмотря на катаклизмы реорганизации и бурю критики извне, в 1996 году
Novell добилась значительных успехов в деле освоения Internet - была
представлена IntranetWare, наследница NetWare 4.1.
Пакет IntranetWare состоит из набора средств создания сетей Intranet, а
также доступа к Internet и интеграции с Unix-системами. Прежде всего,
следует упомянуть NetWareWebServer 2.51, отвечающий большинству требований,
предъявляемых к серверу Web. Novell уверяет, что по производительности
данный продукт значительно опережает аналогичные серверы компаний Microsoft
и Netscape. Обращает на себя внимание только отсутствие в составе сервера
Web некоторых важных вспомогательных средств, в частности редактора HTML.
Это тем более странно, поскольку Novell выпускает комплект
InnerWebPublisher, имеющий такие инструменты. Особенность сервера Web
компании Novell в том, что он дает возможность пользователям получать
доступ к базе NDS, правда, в режиме просмотра. Другим недостатком
NovellWebServer является отсутствие в нем поддержки протокола защищенного
канала SecureSocketLayer (SSL), используемого при организации безопасного
обмена данными между браузерами и серверами.
IntranetWare поддерживает удаленный и локальный общие шлюзовые интерфейсы
(CGI) для создания динамических страниц Web, например посредством
выполнения сценария поиска записи в базе данных. Инструментарий
IntranetWare для написания сценариев включает интерпретаторы NetBasic
(лицензирован у HiTecSoft), Perl и Basic. Набор инструментов для быстрого
установления связи IntranetWareWebServer с другой программой пока отстает
от возможностей аналогичных средств в средах NT и Unix, но все же Novell
продвинулась здесь далеко вперед.
Важное значение имеют и другие добавления к NetWare:
. Доступ клиентов NetWare к сетям TCP/IP через шлюз IPX/IP. На
клиентские машины загружается только стек IPX/SPX. Основным минусом
такой схемы является недостаточная надежность подключения к TCP/IP,
поскольку при выходе из строя шлюза клиенты лишаются Web- и FTP-
сервисов. Возможны и перегрузки шлюзов, т.к. все потоки к Web и FTP
идут через них. Кроме того, для клиентов становятся недоступны
некоторые службы сетей TCP/IP. Однако такой подход обеспечивает более
высокую, чем в других схемах, безопасность.
. Поддержка протокола динамической конфигурации хоста DHCP позволяет
системе выделять IP-адреса клиентам по мере необходимости, благодаря
чему адресное пространство используется более эффективно, а
администрирование становится проще.
. С помощью нового сервера ftp можно разделять файлы с любым клиентом
TCP/IP, а не только с клиентами IntranetWare.
. IntranetWare включает многопротокольный маршрутизатор
NetWareMultiprotocolRouter (раньше он продавался отдельно),
позволяющий серверу IntranetWare связываться непосредственно с
Internet или другими глобальными сетями.
Большие перспективы для новой жизни Novell в Internet открывает ей
справочная служба NDS. Действительно, с увеличением числа пользователей в
любой сети возрастает потребность в хорошей справочной службе, что же
говорить об Internet с ее миллионами пользователей. Весьма возможно, что
именно NDS окажется по плечу роль службы каталогов Internet. NDS может
оказаться полезной и для нахождения программных компонентов при организации
распределенных вычислений в Internet.
7. Влияние Internet на мир корпоративных сетей
Стек TCP/IP сегодня представляет собой один из самых распространенных
стеков транспортных протоколов вычислительных сетей. Стремительный рост
популярности Internet привел и к изменениям в расстановке сил в мире
коммуникационных протоколов - протоколы TCP/IP, на которых построен
Internet, стали быстро теснить бесспорного лидера прошлых лет - стек
IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на
которых установлен стек TCP/IP, сравнялось с общим количеством компьютеров,
на которых работает стек IPX/SPX, и это говорит о резком переломе в
отношении администраторов локальных сетей к протоколам, используемым на
настольных компьютерах, так как именно они составляют подавляющее число
мирового компьютерного парка и именно на них раньше почти везде работали
протоколы компании Novell, необходимые для доступа к файловым серверам
NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах
сетей продолжается и сейчас любая промышленная операционная система
обязательно включает программную реализацию этого стека в своем комплекте
поставки.
Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из
многомиллионной армады компьютеров Internet работает на основе этого стека,
однако, существует большое количество локальных, корпоративных и
территориальных сетей, непосредственно не являющихся частями Internet,
которые также используют протоколы TCP/IP. Чтобы отличать их от Internet,
эти сети называют сетями TCP/IP или просто IP-сетями.
Локальные и корпоративные сети все шире используют протоколы TCP/IP для
передачи своего внутреннего трафика. До недавнего времени это были в
основном сети, построенные на основе операционной системы Unix. Причина
заключалась в исторической связи Unix и TCP/IP - впервые протоколы стека
TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако
сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной
системе, появились локальные сети TCP/IP и на основе других операционных
систем, например, WindowsNT, Windows 95, OS/2 Warp или NetWare. Конечно,
одной из очевидных причин использования стека TCP/IP в локальных и
корпоративных сетях является легкость присоединения таких сетей к Internet
при первой необходимости. Однако, гибкость и открытость стека сами по себе
являются достаточно вескими причинами для использования протоколов TCP/IP в
автономных локальных и корпоративных сетях.
Параллельно с Internet существуют и другие публичные территориальные сети,
работающие на основе протоколов TCP/IP. Это сети крупных провайдеров
транспортных сервисов, таких как MCI, Sprint, AT&T и многих других,
предоставляющих услуги по объединению локальных IP-сетей заказчика.
Публичные IP-сети предоставляют заказчику более высокий уровень сервиса по
сравнению с Internet - более низкий уровень задержек пакетов, защиту от
несанкционированного доступа, высокий коэффициент готовности. С помощью
сервисов публичных IP-сетей предприятие может строить транспортную
магистраль своей корпоративной сети, не подвергая себя риску атак
многочисленных хакеров, работающих и живущих в Internet.
7.1. Транспорт Internet приспосабливается к новым требованиям
В начале 90-х годов, после более чем десяти лет относительно спокойной
жизни протокол IP столкнулся с серьезными проблемами. Именно в это время
началось активное промышленное использование Internet: переход к построению
сетей предприятий на основе транспорта Internet, применение Web-технологии
для получения доступа к корпоративной информации, ведение электронной
коммерции с помощью Internet, внедрение Internet в индустрию развлечений
(распространение видеофильмов, звукозаписей, интерактивные игры).
Все это привело к резкому росту числа узлов сети, изменению характера
трафика и к ужесточению требований, предъявляемых к качеству обслуживания
сетью ее пользователей.
Динамика роста Internet такова, что сегодня трудно привести вполне
достоверные сведения о числе сетей, узлов и пользователей Internet. Быстрый
рост сети усугубляет уже давно ощущаемый дефицит IP-адресов, вызывает
перегрузку маршрутизаторов, которые должны уже сегодня обрабатывать в своих
таблицах маршрутизации информацию о нескольких десятках тысяч номеров
сетей, а также ведет к резкому увеличению суммарного объема передаваемого
по Internet трафика.
Все более широкое использование Internet в качестве общемировой
широковещательной сети, заменяющей сети радио и телевидения, приводит к
изменению характера передаваемого трафика. Наряду с традиционными
компьютерными данными все большую долю трафика составляют мультимедийные
данные. Синхронный характер мультимедийного трафика предъявляет
нетрадиционные для Internet требования по качеству обслуживания -
предоставления гарантированной полосы пропускания с заданным уровнем
задержки передаваемых пакетов.
Промышленное использование Internet предполагает определенный уровень
защиты данных - аутентификацию абонентов, обеспечение конфиденциальности и
целостности данных. Особенно это важно при ведении в Internet электронной
торговли, а также при построении частных виртуальных сетей.
Рост популярности Internet привел к появлению новых категорий
пользователей. Во-первых, в сеть пришло много непрофессиональных
пользователей - сотрудников предприятий, работающих на дому, людей,
использующих Internet как средство развлечения или как неисчерпаемый
источник информации. Многие из них желали бы работать как мобильные
пользователи, не расставаясь со своим компьютером в поездках, вдали от
своей "родной" сети. В этих случаях очень важной оказывается возможность
автоконфигурирования стека TCP/IP, когда все параметры стека (в основном
это касается IP-адресов компьютера, DNS-сервера и маршрутизаторов)
автоматически сообщаются компьютеру при его подключении к сети.
Для того, чтобы в новых условиях протокол IP смог также успешно работать,
как и в предыдущие годы, сообщество Internet после достаточно долгого
обсуждения решило подвергнуть IP серьезной переработке.
7.1.1. Защита данных
Защита информации - ключевая проблема, которую нужно решить для превращения
Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения
гарантий конфиденциальности передаваемой информации бум вокруг Internet
быстро утихнет, оставив ей роль поставщика интересной информации.
Сегодня защиту информации в Internet обеспечивают различные нестандартные
средства и протоколы - firewall'ы корпоративных сетей и специальные
прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию
сторон и шифрацию передаваемых данных для какого-либо определенного
прикладного протокола, в данном случае - электронной почты.
Существуют также протоколы, которые располагаются между прикладным и
транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого
типа является протокол SSL (SecureSocketLayer), предложенный компанией
NetscapeCommunications, и широко используемый в серверах и браузерах службы
WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов
прикладного уровня, но недостаток их заключается в том, что приложения
нужно переписывать заново, если они хотят воспользоваться средствами
защиты, так как в приложения должны быть явно встроены вызовы функций
протокола защиты, расположенного непосредственно под прикладным уровнем.
Проект IPv6 предлагает встроить средства защиты данных в протокол IP.
Размещение средств защиты на сетевом уровне сделает их прозрачными для
приложений, так как между уровнем IP и приложением всегда будет работать
протокол транспортного уровня. Приложения переписывать при этом не
придется.
В протоколе IPv6 предлагается реализовать два средства защиты данных.
Первое средство использует дополнительный заголовок "AuthenticationHeader"
и позволяет выполнять аутентификацию конечных узлов и обеспечивать
целостность передаваемых данных. Второе средство использует дополнительный
заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и
конфиденциальность данных.
Разделение функций защиты на две группы вызвано практикой, применяемой во
многих странах на ограничение экспорта и/или импорта средств,
обеспечивающих конфиденциальность данных путем шифрации. Каждое из
имеющихся двух средств защиты данных может использоваться как
самостоятельно, так и одновременно с другим.
В проектах протоколов защиты данных для IPv6 нет привязки к определенным
алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы
ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"),
алгоритмы распределения ключей и алгоритмы шифрации могут использоваться
любые. Параметры, которые определяют используемые алгоритмы защиты данных,
описываются специальным полем SecurityParametersIndex, которое имеется как
в заголовке "AuthenticationHeader", так и в заголовке
"EncapsulatingSecurityPayload".
Тем не менее, для обеспечения совместимой работы оборудования и
программного обеспечения на начальной стадии реализации протокола IPv6
предложено использовать для аутентификации и целостности широко
распространенный алгоритм хеш-функции MD5 с секретным ключом, а для
шифрации сообщений - алгоритм DES.
Ниже приведен формат заголовка AuthenticationHeader.
|Следующий |Длина аутентификационных |Зарезервированное |
|заголовок |данных |поле |
|Индекс параметров безопасности (SPI) |
|Аутентификационные данные |
Протокол обеспечения конфиденциальности, основанный на заголовке
"EncapsulatingSecurityPayload", может использоваться в трех различных
схемах.
В первой схеме шифрацию и дешифрацию выполняют конечные узлы. Поэтому
заголовок пакета IPv6 остается незашифрованным, так как он нужен
маршрутизаторам для транспортировки пакетов по сети.
Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы,
которые отделяют частные сети предприятия от публичной сети Internet. Эти
маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных
узлов в исходном виде, а затем инкапсулируют (эта операция и дала название
заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они
посылают от своего имени. Информация, находящаяся в заголовке
"EncapsulatingSecurityPayload", помогает другому пограничному
маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и
направить узлу-получателю.
В третьей схеме один из узлов самостоятельно выполняет операции шифрации-
дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.
7.1.2. Гарантированная пропускная способность
Многие аналитики считают, что сеть Internet сможет приспособиться к
требованиям времени только в том случае, если она сможет предложить своим
абонентам такие же гарантии по предоставляемой пропускной способности,
которые сегодня являются обычными для пользователей сетей framerelay и ATM.
Это значит, что сети IP должны достаточно тонко различать классы трафика и,
в зависимости от класса, гарантировать либо определенную постоянную
пропускную способность (например, для голосового трафика), либо среднюю
интенсивность и максимальную пульсацию трафика (например, для передачи
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29
|