Корпоративные сети

образом, в системе на равных можно применять и динамически распознаваемые

имена WINS, и статические имена DNS.

Кроме того, в состав WindowsNT 4.0 вошла Web-ориентированная утилита

администрирования, открывающая доступ к средствам администрирования

WindowsNT из любого Web-браузера. Из соображений безопасности для

удаленного администрирования следует использовать Web-браузеры, способные

регистрировать пользователя непосредственно на сервере WindowsNT (т. е.

такие, как InternetExplorer) или поддерживать протокол защищенного канала

SSL.

Одно из усовершенствований связано с тем, что повышающаяся роль Internet'а

и клиент-серверных систем ведет к росту числа мобильных пользователей.

Microsoft в связи с этим улучшила RAS ( улучшила поддержку ISDN) и

предоставила средства безопасной работы с RAS через Internet. В RAS

реализованы протоколы PPTP (создает зашифрованный трафик через Internet) и

MultilinkPPP (позволяет объединять несколько каналов в один). Клиентами

могут быть WindowsNT 4.0 Workstation или Windows 95.

Использовать TCP/IP с NTServer или Workstation можно в сочетании с Point-to-

PointTunnelingProtocol. PPTP позволяет туннелировать IPX, TCP/IP и/или

NetBEUI через стандартные соединения InternetPoint-to-PointProtocol.

Содержимое пакетов (например сетевые данные) шифруется в этих соединениях

по умолчанию. В целом, PPTP дает пользователям шифрованный туннель сквозь

Internet для удаленного доступа на NTServer. В настоящее время PPTP

работает только между машинами Windows 95 и NT.

PPTP не является пока стандартным протоколом, и, хотя несколько поставщиков

вместе с Microsoft обратились с RFC в Группу инженерной поддержки Internet,

его принятие в качестве стандарта может занять от нескольких месяцев до

нескольких лет.

Распределенная модель объектной компоновки

(DistributedComponentObjectModel) - еще одно ключевое дополнение к

WindowsNTServer 4.0. Модель объектной компоновки (COM) позволяет

разработчикам программ создавать приложения, состоящие из отдельных

компонент. Распределенная модель (DCOM) в WindowsNTServer 4.0 расширяет COM

таким образом, что позволяет отдельным компонентам взаимодействовать через

Internet. DCOM является растущим стандартом Internet, опубликованным в

соответствии с форматом, определенным в спецификациях RFC 1543.

NetWare

Novell, по-прежнему являющаяся основным поставщиком серверов файлов и

печати, по-прежнему обладающая крупнейшей инсталлированной базой клиентов

службы каталогов и по-прежнему занимающая лидирующую позицию в разработке

решений по обмену сообщениями и программного обеспечения коллективной

работы,осознала важность Internet с опозданием.

Однако надо помнить, что до 1995 года компания имела крупнейшую в мире

инсталлированную базу клиентов TCP/IP - продукты LANWorkplace и

LANWorkgroup. Уже давно серверы NetWare умели маршрутизировать IP-трафик,

поэтому пользователи могли иметь доступ в Internet и выполнять приложения

Internet, даже когда они применяли IPX для доступа к файлам и печати, если

стек протоколов IPX был установлен вместе со стеком TCP/IP. Продукты Novell

поддерживали также и такие протоколы Internet, как NetworkFileSystem (NFS)

и SNMP.

Но вот появление WorldWideWeb не было оценено в полной мере. Практически

отсутствовали популярные приложения Internet для среды NetWare. Здесь

отрицательно сказалась специализированность сервера NetWare.

Несмотря на катаклизмы реорганизации и бурю критики извне, в 1996 году

Novell добилась значительных успехов в деле освоения Internet - была

представлена IntranetWare, наследница NetWare 4.1.

Пакет IntranetWare состоит из набора средств создания сетей Intranet, а

также доступа к Internet и интеграции с Unix-системами. Прежде всего,

следует упомянуть NetWareWebServer 2.51, отвечающий большинству требований,

предъявляемых к серверу Web. Novell уверяет, что по производительности

данный продукт значительно опережает аналогичные серверы компаний Microsoft

и Netscape. Обращает на себя внимание только отсутствие в составе сервера

Web некоторых важных вспомогательных средств, в частности редактора HTML.

Это тем более странно, поскольку Novell выпускает комплект

InnerWebPublisher, имеющий такие инструменты. Особенность сервера Web

компании Novell в том, что он дает возможность пользователям получать

доступ к базе NDS, правда, в режиме просмотра. Другим недостатком

NovellWebServer является отсутствие в нем поддержки протокола защищенного

канала SecureSocketLayer (SSL), используемого при организации безопасного

обмена данными между браузерами и серверами.

IntranetWare поддерживает удаленный и локальный общие шлюзовые интерфейсы

(CGI) для создания динамических страниц Web, например посредством

выполнения сценария поиска записи в базе данных. Инструментарий

IntranetWare для написания сценариев включает интерпретаторы NetBasic

(лицензирован у HiTecSoft), Perl и Basic. Набор инструментов для быстрого

установления связи IntranetWareWebServer с другой программой пока отстает

от возможностей аналогичных средств в средах NT и Unix, но все же Novell

продвинулась здесь далеко вперед.

Важное значение имеют и другие добавления к NetWare:

. Доступ клиентов NetWare к сетям TCP/IP через шлюз IPX/IP. На

клиентские машины загружается только стек IPX/SPX. Основным минусом

такой схемы является недостаточная надежность подключения к TCP/IP,

поскольку при выходе из строя шлюза клиенты лишаются Web- и FTP-

сервисов. Возможны и перегрузки шлюзов, т.к. все потоки к Web и FTP

идут через них. Кроме того, для клиентов становятся недоступны

некоторые службы сетей TCP/IP. Однако такой подход обеспечивает более

высокую, чем в других схемах, безопасность.

. Поддержка протокола динамической конфигурации хоста DHCP позволяет

системе выделять IP-адреса клиентам по мере необходимости, благодаря

чему адресное пространство используется более эффективно, а

администрирование становится проще.

. С помощью нового сервера ftp можно разделять файлы с любым клиентом

TCP/IP, а не только с клиентами IntranetWare.

. IntranetWare включает многопротокольный маршрутизатор

NetWareMultiprotocolRouter (раньше он продавался отдельно),

позволяющий серверу IntranetWare связываться непосредственно с

Internet или другими глобальными сетями.

Большие перспективы для новой жизни Novell в Internet открывает ей

справочная служба NDS. Действительно, с увеличением числа пользователей в

любой сети возрастает потребность в хорошей справочной службе, что же

говорить об Internet с ее миллионами пользователей. Весьма возможно, что

именно NDS окажется по плечу роль службы каталогов Internet. NDS может

оказаться полезной и для нахождения программных компонентов при организации

распределенных вычислений в Internet.

7. Влияние Internet на мир корпоративных сетей

Стек TCP/IP сегодня представляет собой один из самых распространенных

стеков транспортных протоколов вычислительных сетей. Стремительный рост

популярности Internet привел и к изменениям в расстановке сил в мире

коммуникационных протоколов - протоколы TCP/IP, на которых построен

Internet, стали быстро теснить бесспорного лидера прошлых лет - стек

IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на

которых установлен стек TCP/IP, сравнялось с общим количеством компьютеров,

на которых работает стек IPX/SPX, и это говорит о резком переломе в

отношении администраторов локальных сетей к протоколам, используемым на

настольных компьютерах, так как именно они составляют подавляющее число

мирового компьютерного парка и именно на них раньше почти везде работали

протоколы компании Novell, необходимые для доступа к файловым серверам

NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах

сетей продолжается и сейчас любая промышленная операционная система

обязательно включает программную реализацию этого стека в своем комплекте

поставки.

Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из

многомиллионной армады компьютеров Internet работает на основе этого стека,

однако, существует большое количество локальных, корпоративных и

территориальных сетей, непосредственно не являющихся частями Internet,

которые также используют протоколы TCP/IP. Чтобы отличать их от Internet,

эти сети называют сетями TCP/IP или просто IP-сетями.

Локальные и корпоративные сети все шире используют протоколы TCP/IP для

передачи своего внутреннего трафика. До недавнего времени это были в

основном сети, построенные на основе операционной системы Unix. Причина

заключалась в исторической связи Unix и TCP/IP - впервые протоколы стека

TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако

сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной

системе, появились локальные сети TCP/IP и на основе других операционных

систем, например, WindowsNT, Windows 95, OS/2 Warp или NetWare. Конечно,

одной из очевидных причин использования стека TCP/IP в локальных и

корпоративных сетях является легкость присоединения таких сетей к Internet

при первой необходимости. Однако, гибкость и открытость стека сами по себе

являются достаточно вескими причинами для использования протоколов TCP/IP в

автономных локальных и корпоративных сетях.

Параллельно с Internet существуют и другие публичные территориальные сети,

работающие на основе протоколов TCP/IP. Это сети крупных провайдеров

транспортных сервисов, таких как MCI, Sprint, AT&T и многих других,

предоставляющих услуги по объединению локальных IP-сетей заказчика.

Публичные IP-сети предоставляют заказчику более высокий уровень сервиса по

сравнению с Internet - более низкий уровень задержек пакетов, защиту от

несанкционированного доступа, высокий коэффициент готовности. С помощью

сервисов публичных IP-сетей предприятие может строить транспортную

магистраль своей корпоративной сети, не подвергая себя риску атак

многочисленных хакеров, работающих и живущих в Internet.

7.1. Транспорт Internet приспосабливается к новым требованиям

В начале 90-х годов, после более чем десяти лет относительно спокойной

жизни протокол IP столкнулся с серьезными проблемами. Именно в это время

началось активное промышленное использование Internet: переход к построению

сетей предприятий на основе транспорта Internet, применение Web-технологии

для получения доступа к корпоративной информации, ведение электронной

коммерции с помощью Internet, внедрение Internet в индустрию развлечений

(распространение видеофильмов, звукозаписей, интерактивные игры).

Все это привело к резкому росту числа узлов сети, изменению характера

трафика и к ужесточению требований, предъявляемых к качеству обслуживания

сетью ее пользователей.

Динамика роста Internet такова, что сегодня трудно привести вполне

достоверные сведения о числе сетей, узлов и пользователей Internet. Быстрый

рост сети усугубляет уже давно ощущаемый дефицит IP-адресов, вызывает

перегрузку маршрутизаторов, которые должны уже сегодня обрабатывать в своих

таблицах маршрутизации информацию о нескольких десятках тысяч номеров

сетей, а также ведет к резкому увеличению суммарного объема передаваемого

по Internet трафика.

Все более широкое использование Internet в качестве общемировой

широковещательной сети, заменяющей сети радио и телевидения, приводит к

изменению характера передаваемого трафика. Наряду с традиционными

компьютерными данными все большую долю трафика составляют мультимедийные

данные. Синхронный характер мультимедийного трафика предъявляет

нетрадиционные для Internet требования по качеству обслуживания -

предоставления гарантированной полосы пропускания с заданным уровнем

задержки передаваемых пакетов.

Промышленное использование Internet предполагает определенный уровень

защиты данных - аутентификацию абонентов, обеспечение конфиденциальности и

целостности данных. Особенно это важно при ведении в Internet электронной

торговли, а также при построении частных виртуальных сетей.

Рост популярности Internet привел к появлению новых категорий

пользователей. Во-первых, в сеть пришло много непрофессиональных

пользователей - сотрудников предприятий, работающих на дому, людей,

использующих Internet как средство развлечения или как неисчерпаемый

источник информации. Многие из них желали бы работать как мобильные

пользователи, не расставаясь со своим компьютером в поездках, вдали от

своей "родной" сети. В этих случаях очень важной оказывается возможность

автоконфигурирования стека TCP/IP, когда все параметры стека (в основном

это касается IP-адресов компьютера, DNS-сервера и маршрутизаторов)

автоматически сообщаются компьютеру при его подключении к сети.

Для того, чтобы в новых условиях протокол IP смог также успешно работать,

как и в предыдущие годы, сообщество Internet после достаточно долгого

обсуждения решило подвергнуть IP серьезной переработке.

7.1.1. Защита данных

Защита информации - ключевая проблема, которую нужно решить для превращения

Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения

гарантий конфиденциальности передаваемой информации бум вокруг Internet

быстро утихнет, оставив ей роль поставщика интересной информации.

Сегодня защиту информации в Internet обеспечивают различные нестандартные

средства и протоколы - firewall'ы корпоративных сетей и специальные

прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию

сторон и шифрацию передаваемых данных для какого-либо определенного

прикладного протокола, в данном случае - электронной почты.

Существуют также протоколы, которые располагаются между прикладным и

транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого

типа является протокол SSL (SecureSocketLayer), предложенный компанией

NetscapeCommunications, и широко используемый в серверах и браузерах службы

WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов

прикладного уровня, но недостаток их заключается в том, что приложения

нужно переписывать заново, если они хотят воспользоваться средствами

защиты, так как в приложения должны быть явно встроены вызовы функций

протокола защиты, расположенного непосредственно под прикладным уровнем.

Проект IPv6 предлагает встроить средства защиты данных в протокол IP.

Размещение средств защиты на сетевом уровне сделает их прозрачными для

приложений, так как между уровнем IP и приложением всегда будет работать

протокол транспортного уровня. Приложения переписывать при этом не

придется.

В протоколе IPv6 предлагается реализовать два средства защиты данных.

Первое средство использует дополнительный заголовок "AuthenticationHeader"

и позволяет выполнять аутентификацию конечных узлов и обеспечивать

целостность передаваемых данных. Второе средство использует дополнительный

заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и

конфиденциальность данных.

Разделение функций защиты на две группы вызвано практикой, применяемой во

многих странах на ограничение экспорта и/или импорта средств,

обеспечивающих конфиденциальность данных путем шифрации. Каждое из

имеющихся двух средств защиты данных может использоваться как

самостоятельно, так и одновременно с другим.

В проектах протоколов защиты данных для IPv6 нет привязки к определенным

алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы

ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"),

алгоритмы распределения ключей и алгоритмы шифрации могут использоваться

любые. Параметры, которые определяют используемые алгоритмы защиты данных,

описываются специальным полем SecurityParametersIndex, которое имеется как

в заголовке "AuthenticationHeader", так и в заголовке

"EncapsulatingSecurityPayload".

Тем не менее, для обеспечения совместимой работы оборудования и

программного обеспечения на начальной стадии реализации протокола IPv6

предложено использовать для аутентификации и целостности широко

распространенный алгоритм хеш-функции MD5 с секретным ключом, а для

шифрации сообщений - алгоритм DES.

Ниже приведен формат заголовка AuthenticationHeader.

|Следующий |Длина аутентификационных |Зарезервированное |

|заголовок |данных |поле |

|Индекс параметров безопасности (SPI) |

|Аутентификационные данные |

Протокол обеспечения конфиденциальности, основанный на заголовке

"EncapsulatingSecurityPayload", может использоваться в трех различных

схемах.

В первой схеме шифрацию и дешифрацию выполняют конечные узлы. Поэтому

заголовок пакета IPv6 остается незашифрованным, так как он нужен

маршрутизаторам для транспортировки пакетов по сети.

Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы,

которые отделяют частные сети предприятия от публичной сети Internet. Эти

маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных

узлов в исходном виде, а затем инкапсулируют (эта операция и дала название

заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они

посылают от своего имени. Информация, находящаяся в заголовке

"EncapsulatingSecurityPayload", помогает другому пограничному

маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и

направить узлу-получателю.

В третьей схеме один из узлов самостоятельно выполняет операции шифрации-

дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.

7.1.2. Гарантированная пропускная способность

Многие аналитики считают, что сеть Internet сможет приспособиться к

требованиям времени только в том случае, если она сможет предложить своим

абонентам такие же гарантии по предоставляемой пропускной способности,

которые сегодня являются обычными для пользователей сетей framerelay и ATM.

Это значит, что сети IP должны достаточно тонко различать классы трафика и,

в зависимости от класса, гарантировать либо определенную постоянную

пропускную способность (например, для голосового трафика), либо среднюю

интенсивность и максимальную пульсацию трафика (например, для передачи

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29