Documente Academic
Documente Profesional
Documente Cultură
Tema are ca scop cunoaterea unor noiuni i concepte de baz privind administrarea reelelor de comunicaii i calculatoare. Sunt definite conceptele de administrare a reelelor, obiectivele administrrii, factorii implicai n administrare, domeniile funcionale acoperite de administare. Dup parcurgerea i nsuirea acestei teme, studentul va cunoate: Ce reprezint activitatea de administrare a reelelor Ce funcii asigur activitatea de administrare de reea Care este structura ierarhic a sistemului de management Detalii referitoare la coninutul domeniilor de management - Managementul configurrii - Managementul defectelor - Managementul performanelor - Managementul securitii Materialul trebuie parcurs n ordinea sa fireasc prezentat n continuare, inclusiv n poriunea referitoare la aplicaii. Se recomand conspectarea i notarea ideilor principale i consultarea Internetului pentru detalii i informaii suplimentare. Timpul minim pe care trebuie s-l acordai acestui modul este de 6 ore.
1.1 Ce este managementul reelelor? Activitile de management al reelelor presupun desfurarea i coordonarea resurselor acestora n vederea planificrii, operrii, administrrii, analizrii, evalurii, proiectrii i extinderii reelelor, astfel nct s fie asigurate permanent serviciile propuse, cu un cost rezonabil i la o capacitate optim. Ce face managementul de reea? asigurarea permanent pentru utilizatorul final a serviciilor propuse
capabilitatea de a ocoli sau nlocui automat elementele de reea defecte. capabilitatea reelei de a fi operaional chiar dac o parte important a resurselor acesteia se defecteaz capabilitatea de a monitoriza i diagnostica permanent condiiile funcionale i operaionale nesatisfctoare la nivelul ntregii reele analiza n timp real a performanelor reelei, asigurarea unei interfee cu utilizatorul n timp real, creterea productivitii operaionale, furnizarea unei puternice baze de date pentru managementul reelei, salvarea automat n baza de date att a istoricului funcional al reelei ct i a statisticilor efectuate automat n timpul funcionrii. asigurarea unui timp de rspuns mic la schimbrile survenite n aplicaii, n configuraia abonailor, a dispozitivelor, n politica de tarifare i de servicii; expansiunea i reconfigurarea dinamic a capacitilor reelei pe baza utilizrii intensive a tehnicilor de management al lrgimii de band; mbuntirea securitii la nivelul ntregii reele, precum i a sistemului de management al acesteia: se ateapt ca managementul reelei s fie capabil s ofere monitorizarea, alarmarea automat, partiionarea i reconfigurarea automat integrarea managementului de reea implementarea practic a unor soluii care s fie conforme cu standardele internaional acceptate; posibilitatea generrii unor rapoarte integrate, periodice, Principalii factori care contribuie la ndeplinirea obiectivelor enunate sunt:
2
resursele umane implicate instrumentele hardware i software folosite procesele i procedurile care stabilesc modul de realizare a managementului
Nivelul 3 Nivelul 2
Integrator al sistemelor de management Sisteme de management ale elementelor de reea Elemente de reea
Nivelul 1
Elemente de reea s aib implementate capabiliti utile managementului de reea, cum ar fi, de exemplu, furnizarea de informaii privitoare la propria lor stare sau propriile lor performane. Pentru aceasta, sunt necesare dispozitive de monitorizare incluse n acestea, capabile s genereze automat sau la cerere anumite informaii, ca de exemplu: rapoarte, avertizri sau alarme. n cele mai multe cazuri, mai ales la noile generaii de elemente de reea, acestea sunt prevzute cu asemenea faciliti.
OBS: n cazul absenei acestora, pot fi ataate dispozitive externe de monitorizare, capabile s realizeze funcii de mamagement.
Al doilea nivel, poziionat ierarhic imediat deasupra nivelului elementelor de reea, este nivelul sistemelor de management ale elementelor de reea. Aceste sisteme sunt un complex de hardware i software care pot fi localizate fie n elementul de reea nsui, fie n procesoare dedicate sau n nodurile reelei. Este important s se asigure un mod de comunicaie bidirecional, ntre elementele de reea administrate i sistemul care realizeaz administrarea (fig. 1.2). Al treilea nivel, cel al sistemelor integrate de management al elementelor de reea, integreaz sistemele de management aflate la nivelul doi, realiznd un sistem unitar de management la nivelul ntregii reele.
Reea de comunicaii i calculatoare
ER
ER
ER
ER
ER
ER
ER
SMER
SMER
SMER
BD
BD
BD
BD a performanelor reelei
Servicii de tarifare Nivelul serviciilor Utilizarea resurselor Rapoarte defectri Procesare ordine Rapoarte serviciu
ER SMER BDC
1.2 Ariile funcionale ale managementului reelelor de telecomunicaii Funciile pe care trebuie s le realizeze sistemele de management al reelelor de comunicaii i calculatoare pot fi grupate n cinci domenii, numite tradiional arii funcionale ale managementului
Managementul reelei
Manag. configurrii
Manag. contabilizrii
1.2.1 Managementul configurrii Managementul configurrii este responsabil de: planificarea configurarea instalarea unei reele de comunicaii aducerea n stare operaional a serviciilor de reea furnizarea acestora ctre clieni. Procesul configurrii este un proces liniar, (prezentat n fig. 1.4).
Pornete de la setul de cerine stabilite mpreun cu beneficiarul, care definesc tipul i caracteristicile generale reelei, traversnd pas cu pas toate fazele configurrii (descrise n cele ce urmeaz) pn la faza final de administrare i control ale elementelor de reea. n recomandarea E.175 a ITU-T sunt detaliate principalele etape ce trebuie parcurse n procesul de planificare a unei reele.
A. Prima etap, aceea a planificrii i proiectrii reelei are drept
principal obiectiv transformarea cerinelor de sistem ntr-un proiect de sistem. Urmeaz apoi un plan de implementare a acestui proiect. Principalele caracteristici ale reelei ce sunt vizate n procesul proiectrii sunt: infrastructura de acces, infrastructura de faciliti i infrastructura reelei.
Cerine de reea
Instalarea reelei
pasul 1: colectarea informaiilor de intrare, impuse de setul de cerine iniiale, pasul 2: determinarea infrastructurii de reea, pe baza cerinelor comerciale, tehnice i operaionale ale clientului; pasul 3: proiectarea schemelor de rutare a traficului pe structura de reea propus anterior (evaluarea structurii de reea propus din perspectiva cerinelor de traffic). Dac acestea nu pot fi satisfcute pe structura de lucru creat, se revine la pasul anterior i se adapteaz astfel structura nct s corespund necesitilor impuse la acest punct; pasul 4: estimarea i clasificarea costurilor de reea. Pot fi difereniate trei mari categorii de costuri: costurile totale asociate construirii infrastructurii reelei; costurile estimate de ntreinere a reelei, clasificate pe tipurile de faciliti oferite; costurile necesare extinderilor viitoare ale reelei; pasul 5: Analizarea rezultatelor obinute mpreun cu beneficiarul i obinerea acordului acestuia de continuare a implementrii, pe baza stabilirii unei nelegeri. pasul 6: repetarea unor etape, din procesul de planificare, dac este necesar. B. Procesul de instalare a reelei instalarea echipamentelor; instalarea software-ului. Etapele unui asemenea proces de instalare pot fi observate n fig. 1.6.
Cerere de instalare
verificrile de preinstalare; planificarea instalrii i a livrrii echipamentelor; programarea i desfurarea testelor prefuncionale; coordonarea instalrii software-lui de echipamente; actualizarea bazei de date pentru aceast instalare.
7 Raport de stare
C. Fig. 1.6 Etapele procesului de serviciilora de reea, etap care Planificarea i negocierea instalare echipamentelor acoper urmtoarele arii de interes: identificarea cerinelor clientului; definirea caracteristicilor pentru serviciile cerute; planificarea implementrii serviciilor cerute;
Sistem
Unitate de software
Software
Distribuitor de software
D. Furnizarea de servicii i configuraii se refer la: furnizarea de servicii, furnizarea de configuraii la nivel de reele furnizarea de configuraii la nivelul elementelor de reea. Furnizarea de servicii ctre un client ncepe cu recepionarea unui ordin de serviciu de la sistemul de management al serviciilor i se termin cu livrarea ctre elementul de reea a datelor specifice serviciului respectiv. Datele relative la acel serviciu fac referire la utilizatorul sau procesul cruia i este destinat acest serviciu. Furnizarea de configuraii la nivel de reea are drept obiectiv asigurarea unui nivel adecvat al configurrii resurselor, la nivelul ntregii reele, astfel nct s fie satisfcute cerinele clientului de servicii. Sunt identificate aici urmtoarele arii de interes din cadrul procesului de asigurare cu resurse (fig. 1.10):
8
managementul topologiei de reea; managementul conexiunilor de reea; managementul alocrii resurselor la nivelul ntregii reele.
Pentru a implementa un nou serviciu, sunt necesare, mai nti, planificarea i activarea managementului conexiunilor la nivelul reelei. Managementul conexiunilor este responsabil pentru stabilirea, meninerea i monitorizarea conexiunilor ntre elementele de reea. Este apoi obligaia funciei de management al topologiei de reea i a celei de management al resurselor de reea s menin acea configuraie, care va satisface necesitile crerii conexiunilor respective. Managementul furnizrii de configuraii i servicii la nivelul elementelor de reea are drept obiectiv satisfacerea cerinei ca la elementele de reea s fie desfurate i configurate resursele adecvate n vederea implementrii serviciilor cerute de client. n recomandarea M.3400 a ITU-T sunt identificate trei arii generale de interes n cadrul furnizrii de configuraii i servicii la nivelul elementelor de reea (fig. 1.10): configurarea elementelor de reea; funciile administrative; administrarea bazei de date.
Furnizarea de configuraii i servicii la nivelul elementelor de reea managementul configurrii resurselor la elementul de reea; managementul sistemului; managementul bazei de date a elementelor de reea.
Fig. 1.10 Aprovizionarea la nivelul elementelor de reea i interaciunea sa cu alte aplicaii de management 9
E. Controlul i starea resurselor elementului de reea Una din sarcinile principale ale managementului configurrii elementelor de reea este cea de a administra i controla, n timp real, numeroasele resurse fizice i logice integrate n reea, ca elemente de reea. Operaiile de control al elementelor de reea pot fi clasificate n mai multe categorii: Activarea i dezactivarea resurselor, se refer la: pornirea/oprirea componentelor software i hardware; managementul strii resurselor; iniializarea parametrilor asociai resurselor; anunarea tuturor prilor implicate despre activarea/ dezactivarea unor resurse etc.
Operaiile de comutare ce permite transferul serviciilor de la o resurs activ la una de rezerv n cazul unor defectri, al unor operaii de ntreinere sau de diagnosticare a unei legturi active la un moment dat. Starea resurselor, din punctul de vedere al managementului, este un atribut al obiectului administrat i reprezint capabilitatea de a furniza informaii sistemului de management despre condiiile n care se afl obiectul administrat. n recomandrile ITU-T [X.731] au fost standardizate trei dintre cele mai uzuale stri n care se pot afla elementele de reea: Operabilitatea, starea care indic dac resursa respectiv a reelei este operaional, neoperaional sau necunoscut. Utilizarea, reprezint starea de utilizare a unei resurse a reelei i are trei posibile variante: nefolosit, activ i ocupat. Starea administrativ indic managementului de sistem dac resursa poate sau nu s fie folosit, independent de starea ei operaional sau de starea utilizrii. Resursa se poate afla n una din cele trei stri administrative:
10
blocat, ceea ce semnific c este blocat pentru furnizarea de servicii ctre utilizatorii si; neblocat, adic este administrativ deschis pentru a furniza servicii ctre utilizatorii si; n curs de oprire, stare n care resursa poate furniza servicii doar ctre utilizatorii care aveau deja permisiunea utilizrii ei, nefiind permis folosirea ei de ctre noi utilizatori. Anunarea schimbrii de stare este o opiune care poate sau nu s fie implementat. Dac este implementat ca mecanism, atunci ea are rolul de a informa aplicaia de management asupra modificrilor de stare ce pot surveni n cazul unui element de reea. Managementul strii resurselor elementelor de reea Prin starea resurselor de reea se nelege o gam mai variat de atribute de stare, care pot semnifica prezena sau absena unei condiii particulare, specifice acelei resurse. n recomandrile ITU-T, dedicate acestui subiect [X.731] au fost definite o serie ntreag de atribute. Astfel: atributul strii de alarm, indic starea unui anumit tip de alarm asociat cu o resurs: gravitatea ei, efectul alarmei asupra resursei, o msur a rezoluiei alarmei etc; atributul de stare al procedurii, indic tipul de procedur care a fost cerut n vederea efecturii ei de ctre resursa respectiv sau indic faza de execuie a procedurii n curs de efectuare; atributul strii de disponibilitate, indic condiiile de lucru care pot afecta disponibilitatea unei anumite resurse; atributul strii de control, indic aciunea de control care a fost efectuat asupra resursei i impactul pe care l-a avut asupra strii acesteia; atributul strii de ateptare, indic tipul de condiie de ateptare n care se afl resursa i are neles doar atunci cnd resursa respectiv face parte dintr-o configuraie de dublare a anumitor resurse.
1.2.2 Managementul defectrilor Prin defect se nelege o condiie anormal care afecteaz n mod negativ serviciile ntr-o reea de telecomunicaii.
11
Managementul defectrilor consist dintr-un set de funcii dedicate detectrii, izolrii i corectrii condiiilor anormale de lucru, care afecteaz funcionarea unei reele de telecomunicaii. Ciclul de via a managementului defectrilor, presupune cteva faze ntr-o succesiune previzibil. nti defectul este detectat i raportat imediat sistemului de management. Acesta iniiaz teste de diagnosticare n scopul identificrii cauzei care a condus la apariia defectului propriuzis. n fig. 1.12 pot fi urmrite principalele etape ale ciclului de via al procesului de management al defectrilor. Supravegherea alarmelor, este responsabil pentru detectarea defectelor, defectul fiind definit ca o condiie persistent n starea unui element al sistemului i care l mpiedic pe acesta s funcioneze n parametri normali. Managementul testelor, este responsabil pentru planificarea i coordonarea testelor efectuate n vederea identificrii cauzei primare a defectului. Localizarea defectelor, este responsabil pentru identificarea cauzei primare a defectului. Corectarea defectelor, este responsabil pentru iniierea i desfurarea acelor aciuni potrivite pentru eliminarea cauzei defectelor. Administrarea problemelor este responsabil pentru meninerea actualizat a bazei de date, ce conine rapoartele cu problemele recepionate de la client sau de la sistemul de management.
Raport ctre client Raport de la client asupra problemei
Administrarea problemelor
Raport de defectare
Managementul testelor Localizarea defectelor
Rezultatele testelor
12
1. Procesul de supraveghere a alarmelor urmrete permanent detectarea a noi defecte, genernd apoi un raport detaliat, ctre sistemul de management, referitor la noul defect aprut. Acest proces poate fi divizat n trei etape successive: colectarea informaiilor de stare i detectarea anomaliilor funcionale; informaiile culese sunt filtrate i prelucrate pentru a se obine tipul real de alarm, care este apoi generat; alarma detectat este raportat ntr-o form predefinit sistemului i nregistrat, dac acest lucru este prevzut. Rapoartele privitoare la alarme trebuie s conin informaii standardizate privind: categoriile de alarme, care pot fi de tipul: alarme de comunicaii; alarme referitoare la calitatea serviciilor; alarme de procesare; alarme de echipament; alarme de mediu; gravitatea alarmelor, cuantificat pe urmtoarele ase nivele: alarme critice; alarme majore; alarme minore; alarme de atenionare; alarme care indic faptul c a disprut un anumit tip de alarm anterioar; alarme nedeterminate; un set predefinit de cauze probabile, care este definit n [X.733].
13
2. Managementul testelor poate fi clasificat, n funcie de nivelul la care acioneaz, astfel: la nivelul servicii, la nivelul reea sau la nivelul element de reea. Prima categorie de teste, referitoare la servicii, reprezint o activitate complex, care nu este standardizat complet nc i care trebuie s in cont de interaciunile i gradul de dependen dintre diferitele servicii implicate. O testare complet a unui serviciu pornete de la definirea strategiei de testare, apoi proiectarea unei combinaii de teste referitoare la anumite caracteristici ale serviciului i ale legturilor pe care acestea le au cu alte servicii, urmat de desfurarea efectiv a testelor, i, n final, de generarea unor rapoarte de testare ntr-un format standard prestabilit. A doua categorie de teste, cele desfurate la nivelul ntregii reele, presupune urmtoarea succesiune logic de pai: este definit un plan de testare, la nivelul unor seciuni din reea, pentru a determina care segment este generator de probleme; sunt selectate acele teste care pot satisface cerinele planului de testare propus; rezultatele obinute, pentru fiecare segment de reea, sunt adunate i corelate pentru a fi identificat poriunea de reea care genereaz probleme. Pentru tipul de teste ce pot fi efectuate asupra elementelor de reea, gama acestora este foarte variat, innd seama de eterogenitatea reelelor de telecomunicaii actuale i de varietatea de soluii oferite de furnizorii de echipamente. Totui, n recomandrile ITU-T [X.745] este specificat cadrul de lucru general pentru managementul testelor, acesta fiind concentrat pe testele efectuate asupra elementelor de reea. Principalele tipuri de teste de diagnosticare recomandate de ITU-T [X.745]: teste de conexiune - verific conexiunea ntre dou entiti distincte; teste de conectivitate - verific conectivitatea ntre dou entiti distincte; teste de integritate a datelor, verific dac datele transferate ntre dou entiti distincte ale reelei sunt corupte; teste de bucl - determin timpul necesar transferrii datelor ntre dou entiti, pe o conexiune dat; teste de integritate a protocolului - determin dac dou entiti sunt capabile sau nu s schimbe date ntre ele prin intermediul unui protocol specificat;
14
teste de limitare a resurselor - verific comportamentul unei resurse a reelei, atunci cnd aceasta a ajuns la limita capacitilor sale.
3. Localizarea defectelor are drept sarcin principal identificarea cauzelor primare ale defectelor, pe baza rezultatelor testelor de diagnosticare, a alarmelor deja filtrate de procesul de supraveghere a alarmelor ct i pe baza altor condiii predefinite. 3. Corectarea defectelor presupune: - nlturarea cauzei defectelor nou aprute (dac este posibil), - refacerea strii anterioare a serviciilor, a) nlocuirea resurselor defecte, este aplicabil unei categorii foarte mari de elemente de reea, care pot fi uor ncadrate n specificaii tehnice i funcionale precise; b) izolarea defectului, presupune izolarea acelei componente de reea care prezint anomalii n funcionare, ncercnd astfel s fie prevenit extinderea aciunii defectului respectiv asupra altor componente; c) comutarea pe o resurs de rezerv, este posibil atunci cnd sistemul are prevzut o asemenea, ce asigur rezervarea la cald; d) rencrcarea sistemului, este aplicat, n general, n cazul apariiei problemelor generate de funcionarea necontrolat a unui modul software; e) instalarea unei alte resurse care s acioneze n direcia remedierii defectului, precum i f) reorganizarea serviciilor: astfel nct s foloseasc alte resurse ale reelei, ocolind astfel zona care este sub influena defectului aprut, constituie tot attea soluii privind metodologia ndeprtrii defectelor. 5. Administrarea problemelor urmrete minimizarea impactului pe care apariia unei probleme poate s l aib asupra reelei. n general, apariia defectelor (sau problemelor) se manifest imediat printr-o
15
degradare a calitii unui anumit serviciu oferit clientului. Dup cum s-a putut observa i n fig. 1.12, informaiile care indic apariia unei noi probleme pot aprea att de la propriul mecanism de supraveghere a alarmelor ct i de la client. n acest ultim caz, clientul sesizeaz c un anumit serviciu al reelei nu funcioneaz n parametrii impui i transmite aceast informaie sistemului de management. Abordarea mai nou a managementului problemelor, care poate fi gsit n [X.790], se bazeaz pe modelul agenilor de management. Exist dou entiti distincte implicate n acest proces: agentul de management, care va efectua asupra elementului de reea afectat acele operaii care s l readuc n parametrii normali de funcionare i managerul, care este responsabil de recepionarea informaiilor privind problemele aprute i coordonarea agenilor n vederea rezolvrii acestora. Vom descrie n detaliu un asemenea model de aciune n capitolul 3, n legtur direct cu algoritmul propus.
1.2.3 Managementul performanelor Principalele obiective ale managementului performanelor constau, n primul rnd, n a monitoriza i evalua comportamentul i eficiena unei reele i a calitii serviciilor oferite de aceasta utilizatorilor si, n recomandarea M.3400 a ITU-T au fost precizate trei aspecte ale managementul performanelor: a) monitorizarea performanelor; b) analiza performanelor (prelucrarea datelor); c) controlul managementului performanelor.
Funcia de monitorizare a performanelor, aa cum este ea definit n recomandarea M.3400, se ocup de colectarea i observarea unui set specific de atribute, asociat resurselor reelei n vederea msurrii performanelor acesteia. n recomandarea Q.822 a ITU-T este prezentat un model de realizare a monitorizrii performanelor (fig. 1.14).
16
n acest scop exist un set de obiecte monotorizate (obiecte referitoare la performantele reelei) prin intermediul crora se pot evalua performanele reelei. Nivelul performanelor este corelat (comparat) cu un set de valori de prag. Sistemul de managemnent al performnelor trebuie s conin i un istoric al parametrilor de performan care s permit cacarterizarea acestora n timp. Funcia de analiz a performanelor este o a doua arie funcional a managementului performanelor, dup funcia de monitorizare a performanelor. Scopul acestei funcii este acela de a analiza datele de performan, colectate ntr-o prim faz, n vederea furnizrii unor anumite tipuri standard de informaii ctre sistemul de management, ca de exemplu: dac a aprut sau este posibil s apar o stare de congestie ntr-un punct oarecare al reelei; dac nivelul de calitate al serviciilor oferite de ctre reea, ntr-un anumit moment de timp, se ncadreaz n limitele impuse; dac poate fi respectat nivelul de performan pentru noile servicii planificate a fi implementate. Pe baza acestor informaii, sistemul de management poate lua deciziile potrivite pentru controlul performanelor. n cadrul acestei arii funcionale, sunt definite att caracteristicile de performan specifice reelelor cu comutare de circuite ct i cele specifice reelelor cu comutare de pachete. Vom aprofunda, n capitolele urmtoare, o parte din aceste criterii de performan, de aceea, aici, ne limitm doar la enumerarea ctorva dintre cele mai importante. Pentru analiza performanelor unei reele cu comutare de circuite sunt importante criterii precum: capacitatea medie de trafic a reelei, capacitatea instantanee de trafic a reelei, rata de apeluri pierdute, probabilitatea de congestie etc. Pentru analiza performanei unei reele cu comutare de pachete sunt de luat n considerare noiuni precum: probabilitatea ntrzierii, numrul mediu de mesaje aflate n coad, numrul mediu de apeluri de date etc. Controlul managementului performanelor este cea de-a treia i ultima arie funcional a managementului performanelor, obiectivul acesteia fiind de a controla acele aciuni efectuate n cadrul unei reele, fie cu scopul meninerii unui anumit nivel minim al performanelor
17
sistemului, fie pentru a preveni apariia i extinderea unor situaii nedorite (de exemplu congestia sau blocarea unor resurse). Pentru a-i atinge elul propus, funcia de control al managementului performanelor utilizeaz date obinute att de la etapa monitorizrii performanelor ct i date deja prelucrate n etapa de analiz a performanelor. n recomandarea ITU-T [M.3400], precum i n cerinele generale schiate n [Bellcore GR-2869] sunt evideniate dou aspecte principale ale funciei de control al performanelor: controlul traficului i administrarea performanelor. Controlul traficului este o parte important a meninerii performanelor unei reele n cadrul unor limite bine definite. Datorit dinamicii mari a modificrilor aprute n configuraia unei reele este necesar adaptarea permanent a schemelor de rutare n vederea prevenirii apariiei unor situaii de criz de tipul congestiei sau pentru a se asigura distribuirea n mod uniform a traficului n cadrul reelei, obinndu-se n acest fel drept rezultat o ncrcare echilibrat a reelei [RSOH97, SMMC99, SCKN98 i APOST99] Administrarea performanelor este responsabil de crearea unei politici de management al performanelor, obinut printr-o coordonare judicioas a activitilor descrise mai sus, de tipul monitorizare a performanelor sau analiz a performanelor. n cadrul acestor aciuni de coordonare, trebuie efectuate anumite categorii de operaii, de tipul celor enumerate n continuare: coordonarea activitilor de planificare referitoare la managementul performanelor; executarea unor aciuni directe de control asupra resurselor reelei; interaciunea cu alte aplicaii de management precum managementul defectrilor sau cel al configuraiei, n vederea mbuntirii performanelor. 1.2.4 Managementul securitii Este responsabil cu prevenirea i minimizarea utilizrii frauduloase a resurselor reelei. Acest deziderat poate fi urmrit prin intermediul unui set specific de aciuni, de tipul: prevenirea fraudelor, ce se focalizeaz pe un mecanism de securitate complex, al crui scop este meninerea utilizatorilor ru intenionai n afara zonelor sensibile ale reelei;
18
atunci cnd prevenirea fraudelor nu mai este posibil, este necesar detectarea imediat a violrilor de securitate i minimizarea efectelor acestora la nivelul reelei; n cazul apariiei unor fraude, sunt importante att limitarea efectelor aprute ct i refacerea strii iniiale a sistemului. Limitarea efectelor datorate unui acces fraudulos se face prin izolarea elementelor de reea afectate, urmat de neutralizarea impactului pe care acesta l-a avut asupra acestora din urm; este de asemenea responsabilitatea managementului securitii de a furniza instrumentele i mecanismele adecvate scopului urmrit. Acestea pot fi de tipul: chei de criptare, mecanisme de autentificare, protocol de securitate i mecanism de control acces. 1.2.5 Managementul contabilitii Managementul contabilitii, din cadrul reelelor de comunicaii i calculatoare, este un proces complex al crui obiectiv final este de a genera venituri pentru operatorul reelei, pe baza serviciilor oferite de acesta ctre client. Procesul ncepe cu colectarea informaiilor referitoare la resursele reelei utilizate de un element de reea i se termin cu trimiterea facturii ctre client pentru plata serviciilor de telecomunicaii folosite. Sunt incluse, de asemenea, i procese intermediare precum trimiterea datelor de la elementul de reea ctre sistemul de management, validarea cantitii de date utilizate i aplicarea apoi a politicilor tarifare. Toate aceste tipuri de activiti sunt dependente, n general, de tipul de echipamente, de interfaa dintre acestea i sistemul de tarifare i nu n ultimul rnd chiar de politica de tarifare proprie furnizorului. Apariia unor noi game de servicii, aplicate unor noi tipuri de reele multi-furnizor i multi-operator, a condus la creterea major a necesitilor de standardizare a funciei de management al contabilitii. Implementarea unor metodologii comune, standardizate, de tarifare va permite negocierea calitii serviciilor ntre diferii operatori ai reelei i, mai ales, stabilirea unor repere comune n politica de tarifare. Modul de realizare a standardizrilor specifice managementului contabilitii poate fi gsit n recomandarea X.742 a ITU-T. 1.3 Concluzii n acest capitol au fost descrise noiunile de baz din domeniul managementului sistemelor. Pornindu-se de la descrierea cerinelor funcionale impuse unui sistem de management, am prezentat modaliti i instrumente de baz necesare implementrii acestora. Ultima parte a
19
capitolului am dedicat-o descrierii celor cinci arii funcionale ale managementului de reea: managementul configurrii, managementul performanelor, managementul defectrilor, managementul securitii i managementul contabilizrii. ntrebri i teste de verificare 1. Care sunt principalele activiti ale unui administrator de reea? 2. Care sunt ariile funcionale ale managementului de reea? 3. Descriei principalele activiti referitoare la managementul configurrii. 4. Descriei principalele activiti referitoare la managementul defectelor. 5. Descriei etapele ciclului de via al managementului defectelor 6. Descriei principalele activiti referitoare la managementul performanelor unei reele. 7.
20
Noiunile cu care se opereaz, referitor la un obiect, din perspectiva recomandrilor ISO, sunt: atribute, reprezint caracteristicile acestuia, prezente la interfaa sa cu alte obiecte; rapoarte, pe care un obiect le poate trimite la un agent de administrare i care conin informaii de stare; tipuri de operaii ce pot fi efectuate de agentul de administrare asupra sa; aciuni de rspuns la operaiile efectuate asupra sa.
1)Agentul este un modul soft care acioneaz pentru un user sau pentru un alt program n scopul realizrii unora dintre funciile (sarcinile) sale. Aciunea in numele unui utilizator presupune o anumit autoritate dac i cnd o aciune este cerut, adecvat, corect.
PROCES DE MANAGEMENT
comenzi
AGENT DE ADMINISTRARE
informaii de stare
AGENT DE ADMINISTRARE
OBIECT DE ADMINISTRAT
OBIECT DE ADMINISTRAT
OBIECT DE ADMINISTRAT
OBIECT DE ADMINISTRAT
O alt arie de interes este cea a modului n care sunt identificate i administrate resursele reelei. n modelul OSI-RM aceste operaii se efectueaz prin intermediul arborelui informaiei de administrare (MIT Management Information Tree), iar n cadrul Internet prin sistemul numelor pentru domenii (DNS Domain Name System).
rdcin
1.1
Nivel 1
2.1
Nivel 2
3.1
Nivel 3
Nivel 4
2.2 Managementul reelelor cu arhitecturi OSI Managementul reelelor cu arhitectur ISO-OSI-RM, este asigurat pe baza protocoalelor de nivel nalt: aplicaie, prezentare i sesiune. La aceste niveluri sunt implementate funciile (serviciile) de management prin intermediul protocoalelor dedicate.
2.2.2 Arhitectura pe nivele a managementului OSI Managementul sistemelor se realizeaz, n general, la nivelul aplicaie i folosete entiti SMAE. Ce sunt de fapt SMAE? De exemplu, solicitarea de la un element de reea de informaii referitoare la starea sa. Aceast entitate SMAE este, la rndul ei, constituit dintr-un set de elemente de serviciu aplicaie ASE (Application Service Element Element de serviciu aplicaie) care coopereaz ntre ele (fig. 2.3). De exemplu, solicitarea informaiilor de stare a unui element de reea poate conine mai multe operaii elementare: localizarea elemenului de reea, stabilirea unei conexiuni cu el, cerere de transmitere a unei informaii, rspunsul ER, o alt cerere urmat de rspuns, etc.
Procesare informaie
SMAE SMASE
ASE ACSE
CMISE
ROSE
Nivel Aplicaie
ASE
Nivel Prezentare
Alte tipuri de elemente ale serviciilor de management sunt: ROSE (Remote Operations Service Element), ACSE (Association Control Service Element) SMASE (Systems Management Application Service Element - Element de serviciu al aplicaiei de management a sistemelor). 2.2.3 Protocoale CMISE/CMIP folosite pentru managementul sistemelor OSI Protocolul cel mai des utilizat n managementul sistemelor construite conform OSI-RM este constituit dintr-o suit de servicii i protocoale definite n CMISE/CMIP. CMISE este cel ce stabilete ce tip de servicii trebuie furnizat de fiecare element al sistemului de management n scopul administrrii reelei. CMIP specific modul n care sunt implementate serviciile definite de CMISE.
Clasele de servicii definite de CMISE Orice aplicaie de management care ruleaz n sistem folosete serviciile CMISE, devenind un utilizator de servicii pentru acesta. n funcie de scopul lor, aceste servicii au fost grupate n trei clase distincte:
1. 2. 3.
servicii de asociere de management; servicii de raportare de management; servicii ale operaiilor de management. Serviciile de asociere de management sunt destinate, n principal, asigurrii
controlului asocierilor ce se stabilesc ntre dou sisteme de management corespondente, situate pe acelai nivel ierarhic. Ele controleaz iniializarea, eliberarea normal sau forat a unei conexiuni destinat unei asocieri de management ntre dou puncte corespondente, utiliznd pentru aceasta trei tipuri distincte de servicii: M-INITIALIZE; M-TERMINATE; M-ABORT. Serviciul M-INITIALIZE este folosit pentru a stabili o asociere ntre doi utilizatori de servicii ai CMISE.
Proces aplicaie de management SMASE SMAE CMISE CMIP ACSE ROSE Nivel 6 Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Nivel 7
ISO - Prezentare ISO - Sesiune ISO - Transport ISO Reea ISO Legtur de date ISO - Fizic
Serviciul M-TERMINATE ncheie n mod normal o asociere ntre dou entiti de management Serviciul M-ABORT ncheie n mod forat acest tip de asociere. Aceste servicii de asociere utilizeaz pentru operare serviciile furnizate de ACSE, iar n cazuri mai rare pe cele ale ROSE. Serviciul raportare de management furnizeaz informaii despre evenimentele aprute n reea. n acest scop, se utilizeaz serviciul M-EVENT-REPORT care informeaz un utilizator de servicii al CMISE despre un eveniment aprut la utilizatorul corespondent. Servicii ale operaiilor de management sunt n numr de cinci, dup cum urmeaz: M-GET; M-SET; M-ACTION; M-CREATE; M-DELETE. Serviciul M-GET este apelat, de un utilizator de servicii CMISE pentru a solicita informaii de management de la un utilizator corespondent. Este de tipul cu confirmare, deoarece necesit un rspuns la cerere. Serviciul M-SET permite unui utilizator CMISE s modifice informaiile de management ale altui utilizator. Dup cum ateapt sau nu rspuns, poate fi de tipul cu confirmare sau nu. Serviciul M-ACTION este folosit de un utilizator CMISE pentru a indica unui corespondent efectuarea unei anumite operaii prezente. Poate lucra att cu confirmare, ct i fr confirmare. Serviciul M-CREATE este utilizat de un utilizator de servicii CMISE pentru a cere unui utilizator corespondent crearea unei alte instanieri a obiectului administrat.
Serviciul M-DELETE este folosit de un utilizator CMISE pentru a cere utilizatorului corespondent tergerea unui instanier al obiectului administrat i este pemis doar lucrul n modul confirmat.
Asocieri de management
O asociere de management este, de fapt, o conexiune logic realizat ntre dou sisteme corespondente, aflate pe acelai nivel al OSI-RM, n vederea realizrii managementului de sistem. Realizarea conexiunii presupune implicarea serviciului CMISE la interfaa cu protocoale situate pe alte nivele ierarhice. CMISE asigur suportul necesar realizrii a patru tipuri distincte de asocieri ntre dou sisteme corespondente, dup cum urmeaz: asociere tip eveniment; asociere tip eveniment/monitor; asociere tip monitor/control; asociere tip manager/agent. asocierea tip eveniment permite celor dou sisteme corespondente, aflate n conexiune, s schimbe ntre ele mesaje tip M-EVENT-REPORT; asocierea tip eveniment/monitor este prevzut cu facilitatea suplimentar de a primi sau trimite i mesaje de tip M-GET; asocierea tip monitor/control permite utilizatorilor corespondeni s trimit mesaje de cerere de tip M-GET, M-SET, M-CREATE, M-DELETE i M-ACTION, fr s aib facilitile primului tip de asociere; asocierea tip manager/agent permite utilizatorilor corespondeni utilizarea oricrui tip de servicii.
arhitectura fizic a TMN; arhitectura funcional a TMN; arhitectura informaional a TMN. Arhitectura fizic i elementele funcionale ce o definesc:
OS (Operations System Sistem de operare), soft de management ce se poate afla n nodurile de control i are rolul de a procesa informaiile de management; NE (Network Element Element de reea), se refer la orice echipament de telecomunicaii, ce se afl n nodurile controlate ale reelei, comunicnd cu TMN n vederea administrrii lui; Q-A (Q-Adaptor Adaptor Q), este un dispozitiv care asigur conectarea ntre NE-uri sau OS-uri cu elementele compatibile care nu aparin unei reele TMN (n general NE-uri exterioare); MD (Mediation Device Dispozitiv de mediere), are drept scop realizarea funciei de mediere ntre OS i NE sau ntre OS i Q-A; DCN (Data Communication Network Reea de comunicaii de date), reprezint o reea de date intern reelei TMN, ce asigur funciile i serviciile specifice primelor trei nivele din ierarhia ISO; WS (Workstation Staie de lucru), furnizeaz utilizatorului final accesul bidirecional la sistemul de management i anume: ntr-un sens colecteaz toate datele relevante de la sistem i le afieaz utilizatorului ntr-un format potrivit,
iar n cellalt sens decodific i trimite spre sistemul de management comenzile primite de la managerul de sistem. TMN
F X
OS Q3 X
WS
F DCN Q3 WS
MD Q3 Q3 QX
DCN QX QX
Q-A
NE
Q-A m NE
NE
ntre aceste dispozitive componente pot fi realizate interconexiuni, folosind anumite tipuri de interfee standard: interfee Q, care pot fi de dou feluri: interfaa Q3 ntre OS i una dintre urmtoarele componente: NE, Q-A sau MD; interfaa Qx ntre MD i Q-A sau ntre MD i NE; interfaa F ntre OS i WS, deci ntre un sistem i un terminal; interfaa X, care poate fi folosit ntre dou TMN-uri diferite. O posibil arhitectur fizic de reea, care conine i interfeele definite mai sus, este prezentat n fig. 2.6 (conform recomandrii M.3010 a ITU-T).
TMN
Arhitectura funcional Este construit pe baza arhitecturii fizice, evideniind funciile pe caree trebuie s le ndeplineasc sistemul de management i legturile (interfeele) dintre ele. OSF (Operations System Function Funcie sistem de operaii), ce proceseaz informaiile de management n scopul monitorizrii, coordonrii i controlului funciilor de telecomunicaii; NEF (Network Element Function Funcie element de reea), ce comunic cu TMN pentru a permite acestuia monitorizarea i controlul NE-ului asociat; WSF (Workstation Function Funcie staie de lucru), ce interpreteaz informaiile primite de la TMN pentru a le transmite n formatul potrivit spre utilizator; MF (Mediation Function Funcie de mediere), menit s asigure transferul corect al informaiilor ntre OSF i NEF sau QAF; QAF (Q Adapter Function Funcie adaptor Q), ce este utilizat pentru a asigura conectarea prilor componente funcionale ale TMN la elemente ce nu aparin TMN (ca de exemplu NEF sau OSF) . n concluzie, TMN definete o reea de management pentru reelele de telecomunicaii i are la baz patru tipuri distincte de arhitecturi: funcional, fizic, stratificat logic i informaional. TMN
OSF
WS
MF
WSF
QAF
NEF
QAF
NEF
TMN
g
Avantajele utilizrii TMN n managementul reelelor de telecomunicaii pot fi rezumate astfel: cu ajutorul modelului TMN pot fi integrate sisteme de management diverse ntr-un singur punct de control centralizat al operaiilor, reducnd astfel costurile necesare ntreinerii cu personal i resurse a mai multor centre de management n paralel; folosirea interfeei Q3 va conduce la standardizarea schimbului de informaii de management ntre sistemele de management i diverse elemente de reea; folosirea modelelor informaionale ale TMN, pentru modelarea tuturor elementelor de reea ce trebuie administrate, va conduce la o uniformizare a reprezentrii acestora, simplificnd astfel operaiile de management i dezvoltare ulterioar a reelei.
Protocolul CMOT (CMIP over TCP/IP) Este descris n documentul RFC 1095 (1989) i este, de fapt, o adaptare a protocoalelor de administrare a reelelor OSI la reelele ce folosesc protocolul de transport TCP/IP, cum este i Internet-ul.
Manager Agent
+-----------------------+ +-----------------------+ | | | | | +----+ +----+ +-----+ | <-------> | +----+ +----+ +-----+ | | |ACSE| |ROSE| |CMISE| | CMIP | |ACSE| |ROSE| |CMISE| | | +----+ +----+ +-----+ | | +----+ +----+ +-----+ | | | | | +-----------------------+ +-----------------------+ | LPP | | LPP | +-----------------------+ +-----------------------+ | TCP | UDP | | TCP | UDP | +-----------------------+ +-----------------------+ | IP | | IP | +-----------------------+ +-----------------------+ | Link | | Link | +-----------------------+ +-----------------------+ | | ========================================================= Network =========================================================
Figure 1.
La fel ca CMISE, CMOT se bazeaz pentru realizarea unei comunicaii pe protocoalele ACSE, ROSE i CMIP. Noutatea const n utilizarea protocolului LPP (Light weight Presentation Protocol Protocol de prezentare de categorie
11
uoar), definit n RFC 1085 i care nlocuiete protocolul de prezentare al lui ISO, nedezvoltat nc. De fapt, el trebuie s asigure interfaa cu dou din cele mai cunoscute protocoale de nivel transport utilizate n Internet, TCP i UDP (fig. 2.12). Acest protocol trebuie s aib capabilitatea stabilirii uneia din cele patru tipuri de asocieri utilizate de CMISE: asociere eveniment, asociere eveniment/monitor, asociere monitor/control i asociere manager/agent. Protocolul LPP trebuie s interfaeze protocoalele de nivel 7 OSI, ROSE i ACSE, cu nivelul 5 OSI, dac acesta este implementat, iar dac nu direct cu protocoalele de nivel transport din Internet, TCP/IP sau UDP.
MANAGEMENT REEA
AGENT PROXY
ENTITATE DE ADMINISTRAT
ENTITATE DE ADMINISTRAT
Element de reea
12
Fiind de nivel 6, adic prezentare, pentru LPP au fost deja implementate cinci servicii specifice acestui nivel i anume: serviciul P-CONNECT; serviciul P-RELEASE; serviciul P-U-ABORT; serviciul P-P-ABORT; serviciul P-DATA. Pentru conectarea direct la nivelul de transport, au fost alocate i numere distincte de porturi, un tip pentru cel de manager i altul pentru cel de agent: numr port manager pentru conectare la TCP: 163/TCP; numr port manager pentru conectare la UDP: 163/UDP; numr port agent pentru conectare la TCP: 164/TCP; numr port agent pentru conectare la UDP: 164/UDP. Simplitatea protocolului LPP este dictat i de lipsa oricrei posibiliti de negociere pentru parametrii serviciilor asigurate. SNMP Acest protocol a fost primul dezvoltat pentru managementul reelelor ce folosesc protocoalele TCP/IP i a trecut pn n prezent prin mai multe etape de standardizare. Cea mai actual descriere a arhitecturii i procedurilor SNMP se gsete n RFC 1157, dar pot fi consultate, pentru completarea unei priviri de ansamblu, i mai vechiul RFC 1098 sau RFC 1156 pentru MIB-I i RFC 1231, pentru noul standard MIB-II. n realizarea arhitecturii actuale a SNMP, descris n RFC 1157, s-au avut n vedere anumite cerine exprese, i anume: arhitectura trebuie s fie independent de tipurile de staii de lucru, gateway-uri i routere utilizate; construirea unui agent de administrare ct mai simplu i mai ieftin; asigurarea unui numr ct mai mare i mai variat de funcii de management de la distan pentru a se putea profita ct mai bine de resursele imense ale Internetului. Conceptual SNMP opereaz cu urmtoarele noiuni: element de reea - o reprezentare pe obiecte a componentelor ce vor fi administrate; agent de administrare ce asigur interfaa funcional ntre elementul de administrat i administrator; staie SNMP ce reprezint platforma pe care ruleaz procesele de administrare;
13
MIB - este baza de date ce conine informaii despre toate resursele reelei. SNMP folosete un set standard de mesaje pentru a asigura comunicaia ntre agent i staie, fiecare din aceste mesaje fiind transmis ntr-un unic pachet. Acest mod de abordare face posibil utilizarea protocoalelor de transport fr conexiune, de tipul UDP-ului. O prezentare bloc a modului de interacionare a SNMP cu celelalte protocoale de reea se gsete n fig. 2.13. Au fost definite cinci tipuri de mesaje utilizate n cadrul SNMP: Get-Request; Get-Response; Get-Next-Request; Set-Request; Trap. Get-Request este utilizat de staia SNMP pentru a solicita informaii de la un element de reea, care este servit de un agent ce poate prelua mesajul.
SNMP
cerere
rspuns
UDP IP Legtur de date Strat fizic Fig. 2.13. Protocolul SNMP n arhitectura protocoalelor Internet
Get-Next-Request poate fi folosit mpreun cu Get-Request atunci cnd se utilizeaz o organizare a obiectelor n tabele. Cu ajutorul lui Get-Next-Request se poate cere, ntr-un mod simplificat, urmtorul obiect din tablou, incrementnd cu o unitate poziia din tabel setat de Get-Request. Mesajul Get-Response d rspunsul la una din tipurile de cereri descrise mai sus poate fi dat de elementul de reea prin intermediul agentului asociat. Set-Request permite modificarea de la distan a configuraiei parametrilor elementului de reea administrat.
14
SNMP Trap este singurul tip de mesaj nesolicitat de staie, care poate fi generat de agent atunci cnd acesta dorete s informeze managementul de sistem despre apariia unui anumit eveniment.
2.7 Concluzii n cadrul acestui capitol am trecut n revist cteva dintre cele mai uzuale i moderne moduri de abordare a managementului reelelor de telecomunicaii. Am pornit cu prezentarea managementului sistemelor ce pot fi reprezentate de modelul de referin OSI al ISO, acestea fiind i primele i cele mai complexe ncercri de standardizare n domeniu. A fost prezentat apoi un model de reea de management distinct de reeaua de telecomunicaii (TMN), aceasta fiind una din abordrile utilizate n prezent. Principalele caracteristici ale TMN care sunt de interes din aceast perspectiv: arhitectura TMN - sunt specificate trei tipuri de arhitecturi: funcional, informaional i fizic; interfeele standard - exist trei tipuri de interfee (Q, X i F) prin intermediul crora este realizat interoperabilitatea managementului dintre diferite elemente de reea; modelul informaional al TMN - este constituit dintr-o mulime de obiecte administrate, care reprezint resursele administrate ale reelei; protocolul de management al TMN - determin modul n care sunt transportate informaiile de management de la un cap la altul al reelei; modelul agent-manager - specificaiile TMN adopt modelul de comunicare larg rspndit, tip agent-manager, prin care sistemul de management emite instruciunile de management spre ageni i recepioneaz datele de management de la acetia.
Teste de verificare 1. Definii i explicai coninutul urmtoarelor noiuni: proces de management, agent de management, baza informaiilor de management, arborele informaiilor de management, obiect administrat, 2. Descriei elementele componente ale unei activiti de management de reea i stucturarea lor pe nivele ierarhice. 3. Enumerai clasele de servicii definite de CMISE 4. Definii i explicai conceptul TMN
15
5. Descriei arhitectura fizic i arhitectura funcional a TMN 6. Descriei protocolul SNMP i utilizarea sa n administrarea reelelor 7. Descriei protocolul CMOT 8.
16
Windows Server 2003 este un sistem de operare de reea fiabil, care ofer soluii simple i rapide pentru firme (mediu enterprise). Acest server flexibil este o alegere ideal pentru cerinele de fiecare zi ale firmelor de orice dimensiune. Windows Standard Server 2003 constituie o soluie pentru: partajarea fiierelor i imprimantelor, conectarea securizat la Internet, securizarea aplicaiilor, clienilor, fiierelor, desfurarea centralizat a aplicaiilor din spaiul de lucru i posibilitatea unei colaborri fructuoase ntre angajai, parteneri i clieni. Windows Standard Server 2003 permite multiprocesare simetric pe 2 ci i pn la 4 GB de memorie. Multiprocesarea simetric (SMP) este o tehnologie care permite softwareului s utilizeze mai multe procesoare pe un singur server pentru a mbunti performana, un concept cunoscut i sub denumirea de scalare hardware sau scaling up.
Construit pe fundaia de ncredere a familiei Windows 2000 Server, Windows Server 2003 constituie un mediu puternic pentru aplicaii.
2. Infrastructur sigur
Arhitectura hardware este modular, structurat pe mai multe niveluri (fig 1).
3. Cost total de deinere mai sczut prin consolidare i utilizarea celor mai noi tehnologii
Windows Server 2003 asigur multe avantaje de ordin tehnic ce ajut organizaiile s scad costurile totale de deinere. De exemplu, Windows Resource Manager, permite administratorilor s seteze nivele maxime de alocare a resurselor (procesoare sau memorie) pentru aplicaiile server. Administrarea acestor resurse se face prin setri Group Policy. Sistemele de stocare ataate la reea permit consolidarea serviciilor de fiiere.
Servicii executive
Manager I/O Manager securitate Manager memorie Manager procese Manager plug&play Manager frerstre
Manager obiecte
Sistem de fiiere
Drivere dispozitive
Kernel
Windows Server 2003 asigur multe caracteristici ce sporesc productivitatea dezvoltatorilor i valoarea aplicaiilor. Aplicaiile existente pot fi rempachetate ca servicii Web XML. Aplicaiile UNIX pot fi uor integrate sau migrate. Dezvoltatorii pot construi rapid aplicaii i servicii Web orientate spre dispozitivele mobile prin controalele ASP.NET Mobile Web Forms sau alte instrumente.
Virtualizare integrat
Windows Server Hyper-V, tehnologia de virtualizare a serverului de generaie urmtoare bazat pe hypervisor, permite mai multe roluri de server ca maini virtuale separate, care ruleaz pe o singur main fizic. Se pot, de asemenea, rula eficient mai multe sisteme de operare - Windows, Linux i altele n paralel, pe un singur server.
Securitate ridicat
Windows Server 2008 este cel mai sigur server Windows lansat pn n prezent. Sistemul de operare a fost consolidat pentru a asigura protecie mpotriva eecurilor i cteva tehnologii noi ajut la blocarea conexiunilor neautorizate la reele, servere, date i conturi de utilizatori. Network Access Protection (NAP) se asigur c PC-urile care ncearc s se conecteze la reea respect politicile de securitate ale companiei. Integrarea tehnologiei i alte mbuntiri fac din serviciile Active Directory o soluie puternic unificat i integrat Identity and Access (IDA). Read-Only Domain Controller (RODC) i BitLocker Drive Encryption permit o implementare mai sigur a bazei de date AD la sucursale. Putere de calcul de nalt performan Beneficiile i economiile aduse de Windows Server 2008 au fost extinse la Windows HPC Server 2008, pentru a garanta un mediu de calcul de nalt performan (HPC). Windows HPC Server 2008 este dezvoltat pe tehnologia pe 64 de bii a sistemului Windows Server 2008 i poate fi scalat eficient la mii de nuclee de procesare cu ajutorul funcionalitilor integrate. Acest lucru crete productivitatea i reduce complexitatea mediului HPC. Windows HPC Server 2008 permite o adoptare la nivel extins, oferind utilizatorilor finali o experien vast i integrat, scalabil de la aplicaii desktop la clustere i include un set complet de instrumente de implementare, administrare i monitorizare, care garanteaz integrarea cu infrastructura existent.
Nouti
Windows Server 2008 ofer funcionaliti noi i mbuntiri puternice ale sistemului de operare Windows Server de baz, care ajut organizaiile de orice dimensiune s creasc controlul, disponibilitatea i flexibilitatea necesare pentru cerinele de business n continu schimbare. Noile instrumente pentru Web, tehnologiile de virtualizare, mbuntirile securitii i utilitarele de management ajut la economisirea timpului, reduc costurile i ofer o fundaie solid pentru infrastructura IT.
Fundaie solid
Initial Configuration Tasks mut elementele interactive din faza configurrii n faza ulterioar instalrii, eliminnd interaciunea administratorului la instalarea sistemului de operare. Server Manager, consola extins Microsoft Management Console (MMC), ofer o interfa unic pentru configurarea i monitorizarea serverului, cu programe de tip expert pentru optimizarea sarcinilor comune de administrare a serverului. Windows PowerShell, un nou shell opional cu linie de comand i limbaj de script, ajut administratorii s automatizeze sarcinile de rutin de administrare a sistemului pe mai multe servere. Windows Reliability and Performance Monitor ofer instrumente de diagnosticare puternice, care v ofer vizibilitate permanent asupra mediului serverului, fizic i virtual, pentru a identifica i rezolva rapid problemele care apar. Administrare a serverului i replicare a datelor optimizate pentru control mbuntit al serverelor de la locaii de la distan, cum sunt sucursalele. Opiunea de instalare Componentized Server Core permite instalri minimale, n care sunt instalate numai rolurile i caracteristicile de care avei nevoie, minimiznd nevoile de ntreinere i reducnd zonele de atac de pe server. Windows Deployment Services (WDS) ofer un mijloc simplificat i sigur de implementare rapid a sistemului de operare Windows cu ajutorul instalrii n reea. Programele de tip expert pentru clustering n caz de failover permit chiar i personalului IT avnd cunotine generale s implementeze soluii cu disponibilitate crescut. Internet Protocol versiunea 6 (IPv6) este acum integrat complet, iar nodurile de clustere de la locaii dispersate geografic nu mai trebuie s se gseasc ntr-o subreea cu acelai IP sau s fie configurate cu reele locale virtuale (VLAN) complicate. Network Load Balancing (NLB) accept acum IPv6 i include suport pentru mai multe adrese IP dedicate, care permite gzduirea mai multor aplicaii n acelai cluster NLB. Windows Server Backup integreaz tehnologii de backup mai rapid i simplific restaurarea datelor sau a sistemului de operare.
Virtualizare
Windows Server 2008 Hyper-V, tehnologia de virtualizare a serverului de generaie urmtoare bazat pe hypervisor, permite consolidarea serverelor i utilizarea echipamentele hardware mai eficient. mbuntirile aduse n Terminal Services (TS) mbuntesc virtualizarea prezentrii.
Windows Server 2008 Hyper-V permite virtualizarea rolurilor de server sub form de maini virtuale (VM) separate care ruleaz pe aceeai main fizic, fr a fi necesar achiziionarea de software de la teri. Pot fi implementate mai multe sisteme de operare Windows, Linux i altele n paralel pe un singur server, utiliznd Hyper-V. Noile opiuni de implementare permit implementarea celor mai potrivite metode de virtualizare pentru mediul companiei. Suportul pentru cele mai recente tehnologii de virtualizare asistat de hardware permite virtualizarea celor mai complexe sarcini. Noile caracteristici de stocare, cum este accesul pass-through pe disc i suplimentrile stocrii dinamice, permit accesul mainilor virtuale la date i ofer programelor i serviciilor externe acces suplimentar la datele stocate pe mainile virtuale. Clustering-ul gazdelor Windows Server virtualization (WSv) sau al mainilor virtuale care ruleaz pe gazde WSv i backup-ul mainilor virtuale n timp ce acestea ruleaz asigur disponibilitatea ridicat a serverelor virtualizate. Noile instrumente de management i contoarele de performan fac mediul virtualizat mai uor de administrat i de monitorizat.
Web
Windows Server 2008 include instrumente mbuntite de administrare, diagnosticare, dezvoltare i pentru aplicaii n Internet Information Services 7.0 (IIS 7.0), un upgrade semnificativ de la IIS 6.0. Windows Server 2008 unific platforma de publicare Microsoft Web , inclusiv IIS 7.0, ASP.NET, Windows Communication Foundation i Windows SharePoint Services.
Designul modular i opiunile de instalare permit numai instalarea caracteristicilor de care avei nevoie, reducnd zonele de atac i simplificnd administrarea patch-urilor. IIS Manager, o nou interfa de administrare bazat pe sarcini i un nou instrument cu linie de comand appcmd.exe simplific sarcinile de administrare. Implementarea ntre locaii permite copierea cu uurin setrile site-urilor Web pe mai multe servere Web, fr a fi necesar configurare suplimentar. Administrarea delegat a aplicaiilor i a site-urilor ofer control personalizat asupra diferitelor componente ale serverului Web. Administrarea integritii serverului Web, alturi de instrumentele complexe de diagnosticare i depanare permit vizibilitatea i urmrirea cererilor care ruleaz pe serverul Web.
Izolarea mbuntit a pachetelor de aplicaii menine site-urile i aplicaiile izolate, crescnd securitatea i stabilitatea. Suport CGI mai rapid pentru rularea aplicaiilor PHP, a script-urilor Perl i a aplicaiilor Ruby. Integrarea mai strns cu funciile ASP.NET i o locaie de stocare a configuraiei pentru toate setrile configuraiei platformei Web n IIS 7.0 i ASP.NET. Un model de extensibilitate flexibil permite personalizarea, cum ar fi adugarea de module noi utiliznd cod nativ sau administrat.
Securitate
Sistemul de operare Windows Server 2008 este consolidat, integreaz mai multe tehnologii de acces i identiti i include multiple inovaii de securitate pentru implementarea mai simpl a reelelor bazate pe politici, care ajut la protejarea infrastructurii serverului, a datelor i a companiei.
Security Configuration Wizard (SCW) ajut administratorii s configureze sistemul de operare pentru rolurile de server implementate pentru a reduce zonele de atac, acest lucru avnd ca rezultat un mediu pentru server mai robust i mai sigur. Integrated Expanded Group Policy permite crearea i administrarea Group Policies, extinznd numrul de zone care pot fi administrate n siguran cu ajutorul politicilor. Network Access Protection v ajut s v asigurai c reeaua i sistemele nu sunt compromise de calculatoare virusate, izolnd i/sau depannd calculatoarele care nu se conformeaz politicilor de securitate pe care le-ai stabilit. User Account Control ofer o nou arhitectur de autentificare pentru protecie mpotriva aplicaiilor software periculoase. Cryptography Next Generation (CNG) , noua interfa API criptografic de la Microsoft, ofer flexibilitate criptografic crescut, suportnd algoritmi de criptare standard i definii de utilizator, permind crearea, stocarea i preluarea mai facil a cheilor criptografice. Read Only Domain Controller (RODC) permite o metod mai sigur pentru autentificarea local a utilizatorilor de la sucursale i birouri de la distan, cu ajutorul unei replici read-only a bazei de date AD principale. Active Directory Federation Services (AD FS) permite stabilirea mai simpl de relaii acreditate ntre parteneri cu directoare de identiti i de acces diferite care ruleaz n reele diferite, permind conectarea unic (SSO) n reele. Active Directory Certificate Services (AD CS) asigur unele mbuntiri ale Windows Server 2008 Public Key Infrastructure (PKI), inclusiv PKIView pentru monitorizarea strii Certification Authorities (CA) i un control COM nou, mai sigur pentru nscrierea Web a certificatelor n loc de ActiveX. Active Directory Rights Management Services (AD RMS) alturi de aplicaiile activate pentru RMS v ajut s protejai mai uor informaiile digitale ale companiei mpotriva utilizatorilor neautorizai.
BitLocker Drive Encryption ofer protecie mbuntit mpotriva furtului de date i a expunerii hardware-ului serverului dac este pierdut sau furat, oferind tergere mai sigur a datelor cnd renunai la servere.
Active Directory este o implementare a serviciilor de directoare LDAP (Lightweight Directory Access Protocol), folosit de Microsoft n cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziia administratorilor un mediu flexibil cu efect global pentru: setarea permisiunilor, instalarea programelor, nnoirea securitii. Toate aceste operaiuni pot fi aplicate att la reele mici, ct i la reele complexe. Protocol internet din ce n ce mai rspndit, LDAP a aprut pentru a nlocui un standard mai vechi, si anume X500. LDAP este din ce in ce mai folosit in problematica gestionarii identitilor dintro companie, accesului la aplicaiile corporative, securitate si gestionarea informaiilor de tip organizaional. Fata de bazele de date relaionale, un LDAP directory prezint cteva caracteristici importante: este mai "orientat-obiect", poate reflecta ierarhii si prezint o optimizare pentru citirea informaiilor stocate. n schimb, este mai puin "dotat" pentru update-uri frecvente si nu permite tranzacii. Servere LDAP: Microsoft Active Directory, OpenLDAP, IBM Directory Server, Novell e-Directory, Sun Java Systems Directory Server, Netscape Directory Server, Critical Path Directory Server, Syntegra Global Directory, Siemens DirX Server.
1. Server DNS
Serverul de nume de domenii este necesar pentru buna funcionare a serviciului Active Directory.
DNS-ul reprezint mecanismul prin care sunt denumite i recunoscute toate resursele unei reele Windows. Pe de alt parte, fiecare resurs din reea are i o adres IP de identificare unic. DNS-ul face rezoluia numelor cu adresele IP. Un serviciu DNS cuprinde urmtoarele componente: spaiul numelor de domenii nregistrri de resurse servere DNS clieni DNS Spaiul numelor de domenii este o structur arborescent care pornete de la o rdcin, de exemplu .ro, din care se formeaz recursiv subdomenii n care se fac nregistrrile de resurse. De exemplu, o resurs poate fi un calculator al unui student denumit student_1.utm.ro. O alt resurs poate fi adresa e-mail a unui student nume_student@utm.ro Serverul NS este calculatorul pe care se configureaz softul specific acestui tip de serviciu i conine dou elemente: name sreverul i resolverul. Serverul de nume are rolul de a rspunde cererilor lansate prin intermediul browserului de conversie a numelui n adrese IP. Dac serverul nu poate da acest rspuns, atunci apeleaz resolverul care va trimite cererea la un alt server DNS situat pe un nivel superior. Dac nici aceste nu poate rezolva cererea, o va trimite mai departe, spre alt server etc. Cea mai uzual nregistrare de resurs n baza de date a serverului DNS este adresa IP a resursei. O alt nregistrare important este SOA (Start of Authority). Ea conine informaii foarte importante folosite de serverul DNS n rezolvarea cererilor de numelor de domenii denumirea serverului de nume al zonei, adresa de mail a administratorului dimeniului, numrul serial al zonei, timpul de ateptare al transferului de date ntre zone, atunci cnd o zon nu mai este disponibil timpul de via al unei nregistrri, aliasul (CNAME) al unui host.
n configurarea unui server DNS se folosete conceptul de zon, care reprezint o seciune continu din spaiul numelui de domeniu. nregistrrile pentru o anumit zon sunt sunt memorate i gestionate la un loc, chiar dac domeniul este mprit n subdomenii. De exemplu studenti.utm.ro i profesori.utm.ro sunt zone separate ale domeniului utm.ro. Zonele pot fi de dou feluri:
10
O zon este de fapt o baz de date pentru un singur nume de domeniu. Dac se mai adaug i alte domenii dup cel folosit pentru a crea zone, acestea pot s fac parte din aceeai zon sau din zone diferite. Presupunnd c s-au creat subdomenii noi, acestea pot fi gestionate ca parte a nregistrrilor din zona de origine sau pot fi delegate unei alte zone, creat pentru a deservi acel subdomeniu. De exemplu cnd se creaz prima dat domeniul utm.ro pe un server, va fi cofigurat ca o singur zon pentru ntreg spaiu al numelor DNS din utm.ro. Dac administratorul va crea ulterior subdomenii n domeniul utm.ro, de exemplu inf.utm.ro sau psih.utm.ro, acestea pot fi incluse n zona creat odat cu utm.ro sau pot fi delegate altei zone. Orice zon nou creat trebuie s aib asociat un nume ce deriv din spaiul numelor DNS-ului pentru care serverul respectiv este autorizat s rezolve cererile. n cazul nostru, numele zonei va fi chiar utm.ro. Deoarece zona este din punct de vedere fizic o baz de date, trebuie stabilit un nume pentru fiierul carte va gestiona nregistrrile serverului DNS. Acest nume va fi de forma utm.ro.dns, unde .dns are semnificaia de extensie a numelui fiierului. Un server DNS trebuie instalat i apoi administrat. Rolul de server DNS se instaleaz, de regul, odat cu Active Directory, dar se poate face i separat. Dup alegerea rolului, procesul de instalare este uor, realizat printr-un wizard. La nceput acesta detecteaz toate setrile ce in de configurarea reelei. Apoi administratorul poate alege opiunea de configurare tipic sau la cerere. Ultima necesit luarea unor decizii/opiuni din partea celui care face instalarea. De asemenea, trebuie selectat varianta de DNS recomandat pentru reele (ntreprinderi) mici/medii sau mari. Pentru cazul mici/medii se alege o Create forward lookup zone (recommanded for small networks) Aceast opiune ne oblig s spunem serverului nostru de DNS care este urmtorul server DNS care va rezolva cererile pe care serverul nostru nu le poate rezolva.
11
Domeniul este cea mai simpl unitate de reproducere i securitate ntr-o reea Windows. Utilizarea domeniilor ofer urmtoarele avantaje: Politicile de grup nu trec de la un domeniu la altul ci se vor opri la limitele domeniului. ajuta la structurarea retelei astfel nct sa reflecte mai bine structura organizatiei sau grupului. permite delegarea autoritatiilor administrative.
Fiecare domeniu va contine doar informatii care se refera la obiectele din domeniul respectiv. Fiecare domeniu cuprinde unul sau mai multe controllere de domeniu. Un controller de domeniu este un calculator ce ruleaza o versiune de server a Windows (2000,2003,2008) sau Linux, ce se ocup de managementul unui utilizator la reea, ceea ce include logarea, autentificarea i accesul la resurse. Fiecare domeniu are propriile forme de securitate i relaii speciale cu alte domenii. Uneori un domeniu se poate ntinde pe mai multe locaii fizice, alte ori se pot crea mai multe domenii pe aceeai locaie, pentru a separa funcional uniti ale organizaiei. Un controller de domeniu conine urmtoarele informaii ce fac parte i din Active Directory : - Date despre fiecare obiect i container din domeniul respectiv - Date despre alte domenii din arbore sau pdure, pentru a putea asigura localizarea resurselor - O list cu toate domeniile din arbore i pdure - Locaia serverului de tip Catalog Global. Catalogul Global se ocup de rezovarea interogrilor obinuite. Este creat i remprosptat cu informaii noi provenite din Active Directory.
Active Directory
Cea mai simpl definiie pentru Active Directory s-ar traduce ntr-un serviciu cu ajutorul cruia utilizatorii caut i gsesc obiecte. Principala funcie a unui serviciu de director este de a permite gsirea informaiei ntr-o reea i a face accesibile datele proprii ale utilizatorilor.
12
AD organizeaz resursele unei reele (resurse fizice, utilizatori, aplicaii etc.) ntr-um mod asemntor cum NTFS organizeaz resursele unei staii de lucru (fiiere, aplicaii etc). Dar Active Directory face mult mai mult dect a permite utilizatorilor s gseasc informaiile utile. De fapt, Active Directory reprezint o soluie complet de management al sistemului informatic al unei reele de calculatoare. Active Directory are mai multe roluri importante printre care se numra : baz de date pentru fiecare obiect din reea i atributele sale un punct central pentru administrare un mecanism pentru comunicarea ntre sisteme de operare diferite un mijloc de consolidare a serviciilor de directoare un sistem de reproducere a datelor. un sistem de securitate privind acesul la obiecte i relaiile de ncredere ntre domenii Active Directory permite gruparea staiilor de lucru mpreun pentru o administrarea mai uoar. Folosind serviciul de director, staiile de lucru pot fi actualizate, configurate i chiar depanate de la distan. O singur interfa de management care este accesibil din orice punct al reelei nseamn eficien sporit i timp ctigat n intervenia asupra Active Directory ofer modalitatea de autentificare unic pentru utilizatorii din reea. Acest lucru nseamn c utilizatorii nu vor mai trebui s rein parole multiple pentru diverse aplicaii. De fapt, se poate aplica o politic global de securitate pentru configurarea setrilor conturilor de utilizator.
Fig. 2 Active Directory reprezint inima reelelor bazate pe sisteme de operare Windows. Principalele avantaje oferite de implementarea Active Directory n reea sunt : Autentificarea utilizatorilor permite identificarea fr echivoc a fiecrui utilizator al reelei pe baz de utilizator i parol unic.
13
Administrarea centralizat a tuturor serverelor i staiilor de lucru din reea. Autorizarea accesului la resurse pentru fiecare resurs din reea pot fi configurate liste de acces care specific explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective. Aplicarea consistent a unor politici de securitate n cadrul reelei. Acesta din urm este n particular un avantaj foarte important n procesul de securizare al reelei.
Active Directory face un mare pas nainte n direcia furnizrii acestei infrastructuri, n condiiile n care reduce i costurile meninerii unei staii de lucru sau unui PC. Cu Active Directory, angajaii pot afla uor informaii despre toate resursele conectate la reeaua proprie. Administratorii pot gestiona reeaua dintr-un singur punct central, chiar i atunci cnd organizaia se ntinde n mai multe orae, ri sau continente.
14
sau utilizatorilor int. Cu RSoP, organizaiile au la ndemn un instrument puternic i flexibil pentru planificare, monitorizare i detectare a problemelor Group Policy. RSoP este o infrastructur furnizat ca set de componente snap-in n MMC (Microsoft Management Console). Cu ea, administratorii vor putea s determine i s analizeze setul curent de politici n dou moduri: logging mode i planning mode. Cu logging mode, administratorii pot stabili ce s-a aplicat unei anumite inte. Iar n planning mode se poate vedea cum va fi aplicat o politic asupra unei inte i ce rezultate ar avea aplicarea politicii nainte de a efectua modificarea propriu zis n Group Policy.
15
aplicaii i servicii. n plus, ajut organizaiile s rezolve provocarea implementrii de aplicaii capabile s opereze la scar Internet.
Numele unui tree (arbore) este numele domeniului care este cel mai nalt n rang. n exemplul de fa, utm.local este numele arborelui, care se mai numete i rdcina arborelui de domeniu. Domeniile n arborii Active Directory impart anumite elemente cum ar fi:
16
- schema (definiia pentru toate obiectele Active Directory), - catalogul global (informaia configurrilor din Active Directory). Aceste obiecte sunt replicate ntre controllerele de domeniu n cadrul tree-ului. n acest fel se asigur consistena definiiei obiectelor, setrilor, i configuraia Active Directory din toat organizaia. Domeniile active directory sunt definite (numite) folosind serviciul de nume DNS. Domeniile care fac parte dintr-un DNS cunoscut sunt considerate a fi n acelai domain tree. De exemplu inf.utm.local, psi.utm.local, ase.utm.local i utm.local fac parte din tree-ul utm.local. Un singur domain tree este suficient pentru mai multe implementri, dar n cazul corporaiilor (care includ mai multe companii) este necesar ca fiecare companie s i pstreze identitatea i deci i domain name-ul, o s avem de a face cu mai multe forest-uri, domenii i implicit trust-uri ntre acestea. Domeniile reprezint partiii logice n Active Directory organizate cu scopul de a securiza directorul i pentru replicarea acestuia. Domeniile sunt nume unice la fel ca numele de domeniu ce se regsesc pe internet. De exemplu google.com reprezint un nume de domeniu i totodat i dga.local. Domeniile au rolul de container pentru obiectele din Active Directory (acestea includ utilizatori, servere, staii de lucru, dispozitive de reea, etc). Fiecare domeniu reine informaii doar despre obiectele ce le conine. Un domeniu Active Directory poate conine pn 10 milioane de obiecte. Toi utilizatorii Active Directory trebuie s se autentifice ntr-un domeniu, altfel nu se pot loga n reea. Controllerele de domeniu sunt responsabile pentru autenticitatea parolelor utilizatorilor, iar Active Directory ofer securitate pentru autentificarea unic pe ntreg domeniul. Domeniile delimiteaz de asemenea i politicile de grup. Politicile de securitate care sunt definite ntr-un domeniu nu se propag i n alte domenii. Acest lucru nseamn ca setrile ca de exemplu drepturile administrative nu ajung dintr-un domeniu n altul. ntr-un domeniu, informaiile despre obiecte sunt replicate ntre toate controllerele de domeniu pentru a se asigura redundana i securitatea adiional. Fiierele importante dintr-un domeniu pot fi replicate pentru a asigura suportul n cazul defeciunilor harware sau mentenanei. Cu toate acestea, informaiile nu se replic ntre domenii. Acest lucru nseamn c domeniile delimiteaz i replicarea. Domeniile sunt reprezentate n Active Directory prin obiecte domainDNS. Numele distinct al unui obiect domainDNS corespunde direct cu numele DNS al domeniului. De exemplu pentru domeniul inf.utm.local vom avea un DN format din: dc=inf, dc=utm, dc=local. n tabela de mai jos avem cteva dintre cele mai interesant atribute ce se regsesc intr-un obiect.
17
Delimiteaz autentificarea
UTM.LOCAL
Rel. de ncredere
Rel. de ncredere
LAW.UTM.LOCAL Fig. 4
INF.UTM.LOCAL
18
UTM.LOCAL
INF.UTM.LOCAL
STUDENT.INF.UTM.LOCAL
19
UTM.LOCAL
UNIBUC.LOCAL
INF.UTM.LOCAL
FMI.UNIBUC.LOCAL
Schema
Configuraia
Catalogul global
20
Not: Dac domeniul pe care vrem s l tergem are subdomenii, trebuie terse mai nti acestea. Dup ce controllerul de domeniu a fost depromovat este nevoie de tergerea nregistrrilor WINS sau DNS care au fost asociate cu controllerele de domeniu numai dac nu au fost terse automat prin deregistrarea WINS-ului sau DNS-ului n timpul depromovrii. Urmtoarele comenzi ne pot ajuta s determinm dac toate nregistrrile au fost terse:
> > > > netsh wins server \\<WINSServerName> show name <DomainDNSName> 1c nslookup <DomainControllerName> nslookup -type=SRV _ldap._tcp.dc._msdcs.<DomainDNSName> nslookup <DomainDNSName>
21
Aceast metod descris este soluia pentru a nltura cu succes un forest. Se poate de asemenea terge un forest prin metoda brute-force i anume prin simpla reinstalare a sistemului de operare pe toate controllerele de domeniu din forest. Aceast metod nu este recomandat pentru ca nu este o modalitate curat deoarece controllerele de domeniu nu tiu c forestul a fost ters i pot genera erori pn cnd acesta va fi reconstruit. Va fi totodat nevoie ca toate nregistrrile DNS pentru controllerele de domeniu s fie terse de pe serverele DNS, deoarece controllerele de domeniu nu le terg dinamic n timpul procesului de depromovare (retrogradare).
2.9. Crearea unui trust tranzitiv ntre dou foresturi Active Directory
Not: Este nevoie ca pe amndou foresturile s avem nivelul de funcionare Windows Server 2003 Folosind interfaa grafic: Se deschide Active Directory Domains and Trusts. n fereastra din stnga, click dreapta pe forestul rdcin de domeniu i se selecteaz Properties Click pe tab-ul Trusts. Click pe butonul New Trust. Dup ce se deschide wizard-ul, se d click Next. Se tasteaz numele DNS al forestului AD si apoi click Next. Se selecteaz Forest trust i apoi click Next. Se completeaz wizard-ul cu urmarea pailor necesari.
> netdom trust <Forest1DNSName> /Domain:<Forest2DNSName> /Twoway /Transitive /ADD[RETURN] [/UserD:<Forest2AdminUser> /PasswordD:*][RETURN] [/UserO:<Forest1AdminUser> /PasswordO:*]
n Windows Server 2003 a fost introdus un nou tip de trust i anume forest trust. n Windows 2000 dac se dorea crearea unui mediu de trust ntre toate componentele a dou foresturi, trebuiau setate trusturi two-way external ntre fiecare domeniu din cele dou foresturi. Presupunnd c avem dou foresturi, fiecare cu 3 domenii i se dorete un model de trust ntre toate domeniile este nevoie de nou trusturi individuale ca in figura 7.
Figura 7. Trusturi necesare pentru dou foresturi Windows 2000 pentru a se realiza relaii de ncredere reciproce.
Cu forest trust se poate defini o singur relaie de trust tranzitiv single Oneway sau two-way trust pentru toate domeniile din amndou foresturile. Dac este nevoie de fuziunea unui nou domeniu i este necesar ca toate resursele domeniului nou s fie accesate de ctre mediul actual Active Directori i vice-versa. Figura 8 ne prezint un scenariu forest trust. Pentru a crea un forest trust este nevoie de utilizarea conturilor de Enterprise Admins pentru fiecare forest.
23
Figura 8. Trust necesar pentru dou Forest-uri Windows Server 2003 care s aib trust reciproc
2.10. Crearea unui trust scurttur ntre dou domenii Active Directory
Folosind interfaa grafic: Se deschide Active Directory Domains and Trusts. n fereastra din stnga, click dreapta pe domeniul pentru care se dorete adugarea trustului i se selecteaz Properties Click pe tab-ul Trusts. Click pe butonul New Trust. Dup ce se deschide wizard-ul New Trust, click Next. Se tasteaz numele DNS al domeniului AD si apoi click Next. Presupunnd c domeniul AD este rezolvabil prin DNS, urmtorul pas vom fi ntrebai de direcia trust-ului. Se selecteaz Two-way i apoi click Next. Pentru proprietile de ieire ale trustului, se selecteaz toate resursele care se vor autentifica si apoi click Next. Se introduce i apoi se retasteaz parola i apoi click Next. Click Next de dou ori.
24
Considerm forestul din figura 9. Are cinci domenii i un singur domain tree. Pentru ca cererile de autentificare pentru Domeniul 3 s fie procesate de ctre Domeniul 5, cererea trebuie s traverseze calea de la Domeniul 3 la Domeniul 2 la Domeniul 1 la Domeniul 4 i la Domeniul 5. Dac ns crem un trust scurttur ntre Domeniul 3 i Domeniul 5, calea de autentificare urmeaz un singur hop, i anume de la Domeniul 3 la Domeniul 5. Pentru a crea un trust scurttur, trebuie s utilizm un utilizator din grupul Domain Admins pentru amndou domeniile, sau un utilizator membru al grupului Enterprise Admins (pentru forest).
Click pe tab-ul Trusts. Click pe domeniul care este asociat cu trustul pe care dorim s l verificm. Click pe butonul Properties. Click pe butonul Validate.
Trusturile sunt stocate in Active Directory sub forma a dou obiecte; un obiect n locaia System i un obiect user n locaia Users. Amndou aceste obiecte trebuie terse cnd se terge un trust. Soluiile n interfaa grafic i n cea de linie de comand realizeaz acest lucru n primul pas.
trustedDomain
26
27
faciliteze schimbul de informaii n interiorul grupului i restricionarea accesului userilor din alte grupuri. Administrarea serverului AD din consol se poate face din: Start Rundsa.msc OK sau StartAdministrative Tools Active Directory Users and Computers. n fereastra de administare a AD se vede organizarea arborescent a acestuia, coninnd patru directoare i un grup organizaional: Name Builtin Computers Domain Controllers Foreign Security Principals Users Type builtin Domain Container Org Unit Container Container Description Default contain Default contain Default contain Default contain Default contain
Builtin nregistreaz 16 grupuri de securitate asupra crora nu se pot efectua operaii de terere, mutare sau redenumire. Ele fac parte din categoria celor de top level, neputnd face parte din alte grupuri de securitate. Operaii permise sunt: schimbarea scrierii, asignarea de adrese de mail, introducere de noi membrii etc. Computers este directorul n care se nregistreaz toate staiile de lucru sau serverele membru care sunt adugate n domeniu. Aceste obiect pot fi ulerior transferate n alte grupuri organizaionale. Domain Controllers este grupul organizaional n care se regsesc toate controlerele de domeniu. ForeignSecurityPrincipals nregistreaz identificatorii de securitate (SID) ai unor obiecte din exteriorul domeniului curent, de cele mai multe ori obiecte din domenii cu care s-au stabilit relaii de ncredere. Users reprezint directorul n care se nregistreaz n mod implicit utilizatorii domeniului. Implicit sunt 17 obiecte n acest director, dintre care 3 utilizatori, iar restul grupuri de securitate. Elementele care pot fi nregistrate i gestionate ntr-o UO sunt: Computer staii de lucru sau servere de reea Contact obiect folosit de AD pentru a gsi diverse informaii Group grup de securitate prin care se propag politica de securitate asupra membrilor grupului. Unui grup i se pot asigna membrii, iar grupul n sine poate fi asignat altor grupuri. InetOrgPerson categorie special de utilizatori, derivat din clasa User, folosit de reele non Windows, care folosesc ca serviciu director LDAP sau X400. Organizational Unit emuleaz o structur organizaional a companiei Printer imprimante de reea gestionate de AD, pentru a fi gsite i folosite de userii reelei i pentru configurarea drepturilor de acces asupra lor. User cel mai uzual obiect din AD. n general corespunde unei persoane din cadrul organizatiei, dar pot fi i obiecte user aparinnd unui grup de persoane, ori aplicaii, ori grupuri de aplicaii. 28
Share Folder directoare partajate n reea i nregistrate n AD pentru o mai bun gestionare i securizare a acestora.
Un obiect special din grupul User este cel de administrator, denumit astfel n mod implicit. El are cele mai multe drepturi i, ca urmare, este cel mai vnat de atacatori. De aceea, numele acestuia este schimbat intenionat pentru a nu fi recunoscut uor. Schimbarea denumirii se poate face prin mai multe procedee (vezi Reele Windows, pag. 124-126). Profilul userului administrator, chiar denumit altfel, se afl n directorul Administrator, de pe discul C:\ al serverului PDC (Primary Domain Controller).
Managementul AD
Managementul AD se face de regul de ctre administratorul de reea. Aceast funcie realizeaz: 1. Gestionarea grupurilor de securitate Grupurile de securitate sunt de 2 tipuri: Grupuri de securitate folosite pentru definirea permisiunilor de acces la resurse i obiecte Grupuri de distribuie folosite pentru a distribui mesaje Ficare din cele dou tipuri poate avea scopuri diferite: - grup cu scop universal- poate avea drept membrii grupuri sau conturi de utilizator din oricare domeniu Windows, din cadrul oricrui arbore de domeniu. - grup cu scop global poate avea membrii numai din domeniul curent, dar pot fi create politici de securitate i acces la obiectele din oricare domeniu al pdurii - grup cu scop local poate avea membrii doar din domniul curent, i poate avea permisiuni numai n domeniul curent. Crearea unui grup de securitate Din consola de administrare a AD se d Rclick pe un grup organizationalnewGroup apoi se specific numele grupului, scopul, tipul i eventual ataarea unei adrese de e-mail dac serverul de mail este deja instalat, Finish. Adugara unui membru la grup Rclick pe grup, Proprties, Members, Add. Se deschide fereastra Select users, Contacts, Computers, or Group i se scrie numele utilizatorului pe care dorim s-l cereem, Ok, OK. Alte operaii asupra grupurilor: - schimbarea scopului - schimbarea tipului - tergerea grupului.
Se completeaz prenumele, numele, Full name, User logon name (numele de acces n reea), se specific domeniul n care va fi creat (@utm.ro), datele decpre parol i modul de expirare a ei (la prima conectare (recomandat), nu se poate schimba, nu expir) Finish. Alte operaii care se pot face asupra conturilor de utilizator: - copierea - dezactivarea - activarea - tergerea - modificarea prprietilor - mutarea - redenumirea - schimbarea parolei - mutarea dintr-un grup n altul
Crearea profilurilor de utilizator Profilul de utilizator conine setrile personale ale acestuia la interfaa cu utilizatorul (display). Aceste informaii sunt grupate pe directoarele: Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Tamplates. Profilul utilizatorului se afl stocat pe directorul Documents and Settings de pe discul pe care se afl instalat sistemul de operare. Profilul unui user poate fi de tipul: - Roaming, (se salveaz pe server la fiecare schimbare fcut de pe orice staie i se reflct la conectare pe orice staie) sau - mandatory (obligatoriu), (se creaz pe server i se pune la dispoziie n reea prin sharing, nu se modific la delogare). Crearea unui profil se realizeaz automat la conectarea pe o staie de lucru. El se poate copia ntr-un template astfel: - (v pag 134)
30
Pentru a gsi o impimant n AD ea trebuie s fie public i s aib specificat opiunea List in the directory din fereastra imprimantei (v fig 5.22, pag. 138).
ntrebri i teste de control 1. Ce este un sistem de operare de reea de tip enterprise i ce servicii de reea sunt necesare ntr-o organizaie? 2. Cum au evoluat sistemele de operare de reea de tip Windows? 3. Ce este Windows Server 2003 i care sunt componentele sale? 4. Definii conceptul de domeniu Windows i dai exemple. Care este utilitatea unui domeniu n administrarea reelelor? 5. Ce este serviciul de directoare Active Directory? 6. Ce este un Controller de Domeniu i care este legtura sa cu serviciul de directoare? 7. Ce este serviciul numelor de domenii i care este legtura sa cu serviciul de directoare Active Directory? 8. Ce este un arbore de domenii? Dar o pdure de domenii? Dai exemple. 9. Ce este un trust ntre domenii i ce utilitate are n administrarea reelelor? 10. Descriei paii privind instalarea unui controller de domeniu. 11. Descriei structura unui AD 12. Ce sunt grupurile organizaionale i cum se pot crea? Ce elemente se pot crea i administra ntr-o UO? 13. Descriei ce este un grup de securitate i cum poate fi creat. 14. Ce este o politic de securitate i cum se poate implementa? 15. Teme de cas i exerciii 1. ntr-un mediu de virtualizare (VMware ACE, VMware Player sau altele) s se instaleze o Windows server 2003 2. S se instaleze un Controller de domeniu pe maina virtual Windows server 2003 3. S se creeze i s se administreze conturi de utilizator, grupuri organizaionale i politici de securitare pe Windows server 2003 4. S se fac un studiu comparativ privind administrarea conturilor utilizatorilor n mediul Windows Server 2003 i Windows XP 5. S se exemplifice administrarea conturilor de utilizator n mediile Windows Vista/Windows 7/Windows XP
31
ISA Server 2004 este o soluie de securitate a reelei Windows care nglobeaz: - firewall- protecie la virui i acces neutorizat - web caching accesul rapid la resurse din Internet Faciliti ISA Server: - multinetworking permite stabilirea de relaii, reguli de acces clare, ntre reele. Presupune crearea reelelor de perimetru pentru protejarea serverelor publice, poate defini reguli de rutare ntre reele, limiteaz comunicaia dintre clieni etc. De exemplu o comunicaie mai securizat nre reele poate folosi tehnica NAT. - politica de firewall care permite controlul porturilor surs i destinaie pentru toate protocoalele, autntificare de tip Windows sau RADIUS, sau RSA, definirea propriilor obiecte de reea (calculatoare, reele, seturi de reele etc. ), intervale de adrese IP, redirectarea conexiunilor spre servere publice etc. - suport pentru clieni VPN - monitorizare complex
Instalarea ISA Server 2004 Dup instalare sunt preconfigurate urmtoarele setri (setri implicite): - Permisiuni - membrii grupului Administrator de pe maina local pot configura politica de firewall - Serri de reea sunt create umtoarele reele:
1. Local host maina pe care ruleaz ISA Server. Poate fi utilizat pentru a restriciona accesul spre i dinspre aplicaile ce ruleaz pe ISA server. 2. External reprezint Internetul 3. Internal reprezint reeaua intern 4. VPN Clients calculatoarele conectate prin VPN Sunt create urmtoarele reguli de conectare n reea: - local host acces definete o relaie de tip rutare ntre reeaul Local Host i toate celelalte reele - Internet acces definete o relaie de tip NAT ntre reelele interne i cele externe - VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua VPN Clients i reeaua intern Firewall policy creaz o regul implicit care blocheaz tot traficul System Policy inplicit permite doar funcionarea serviciilor critice Web caching default rule specific faptul c toate cererile Web Proxy ale clienilor sunt direct din Internet Caching - dimensiunea spaiului caching este 0 Alert activeaz implicit majoritatea alertelor , dar pot fi reconfigurate ulterior Client config la crearea i configurarea clienilor web Proxy i Firewall, acetia sut automat descoperii
Fig.
Administrarea serverului ISA se poate face din consola ISA Server Management care are 3 seciuni: Structur afiseaz arborele structurii consolei (nodurile din consol)
Detalii despre obiectul selectat din arbore Sarcini activiti ce pot fi executate legate de obiectul selectat Fiecare nod din arbore dispune de propriul meniu i bar de utilitare care ajut utilizatorul n derularea sarcinilor de lucru. Dup crearea sau configurarea obiectelor din arborele de structur, este permis aplicarea sau renunarea la modificrile fcute. n fereastra de sarcini (a 3-a seciune) exist tabul Toolbox disponibil n cazul selectrii nodului Firewall Policy. Cu ajutorul lui se pot seta politicile i regulile de firewall. Conine opiunile: Protocols, Users, Content Types, Schedules, Network Objects. Protocoalele disponibile sunt grupate dup funcionalitate: - protocoale comune: HTTP, FTP, SMTP, POP3 de intrastructur: DNS, ICMP, SNMP, RIP .... de mail: IMAP4, POP3S de conectare la distan: Telnet, SSH, RDP 3
de streaming: RTSP, HTTP, VPN i Ipsec: (IKE, Ipsec, L2TP, PPTP de web: (FTP, HTTP, HTTPS)
Utilizatorii pot fi grupai dup cele trei seturi predefinite (All users, All authenticated users, System and Network services) sau pot fi definite propriile seturi de utilizatori. Tipurile de coninut se aplic traficului de tip HTTP i FTP i sunt predefinite (video, audio, arhive, text, aplicaii) sau se pot defini i popriilr coninuturi. Programri permite activarea /dezactivarea regulilor de firewall dup anumite programri (n weekenduri, n ore de lucru, pe zile etc.).
ablonul Edge Firewall n aceast configurare, firewall-ul se dispune la marginea (limita) reelei interne i a celei externe, asigurnd accesul doar clienilor autorizai i filtrnd traficul dup regulile de firewall.
Fig. Configurare 3-Leg Firewall Este cea mai folosit configuraie n companiile medii i mari, fiind cunoscut i ca zon demilitarizat (DMZ) sau reea ecranat. Este folosit atunci cnd se dorete publicarea n mod securizat numai anumite servicii pe Internet, cum ar fi cele de web sau de e-mail. Cum se vede i n fig. , dei serverele din reeaua ecranat (Perimetral Network) au adrese IP rutabile, ISA server nu permite accesul direct la resursele interne ale reelei i va ruta spre reeaua ecranat numai pachetele destinate acesteia n funcie de regulile firewall-ului. Att traficul intern ct i cel extern se fac prin ISA server (firewall). Dezavantajul este c la cderea serverului se compromite traficul din ambele reele. ablonul Front Firewall i Back Firewall Arhitectura din fig. conine dou servere ISA, unul configurat ca Front Firewall (i se aplic template-ul Front Firewall) i altul configurat Back Firewall, localizate n ambele pri ale reelei ecranate. Firewall-ul extern este conectat la Internet, iar cel intern la Intranet. n aceast configuraie nu mai exist un singur punct de acces la Internet. Avantajul unei astfel de configurri este acela c permite stabilirea unor reguli foarte granulare pentru accesul intern i extern la reea.
Single Network Adapter Este folosit ca Web Proxy i caching n interiorul reelei. Nu poate face funcii de firewall i nu filtreaz pachete IP, nu suport VPN sau publicarea de servere. abloanele prezentate mai sus se pot accesa din consola ISA Server Management/ Configuration / Networks. n seciunea a 3-a a consolei apar taburile Task, Templates i Help, dintre care se alege Templates i apoi ablonul dorit. Se deschide wizardul de configurare. Prima fereastr care se deschide este cea de configurare adrese IP pentru reeaua intern. Dac reeaua intern este segmentat n mai multe reele (4 n cazul nostru: manager, IT, autentificare i marketing) nu se va specifica niciun interval de adrese IP. Dac reeaua intrn nu este segmentat, atunci wizardul permite introducerea intervalului de adrese IP n trei moduri: - prin specificarea primei i ultimei adrese din interval - prin specificarea adresei de reea a interfeei (tabul Add Adapter) care leag ISA de reeaua intern (i va lua tot intervalul de adrese disponibile clasei IP-lui interfeei) - prin selectarea unui interval de adrese IP private Dup setrile de reea intern se d Next i se deschide fereastra Perimeter Network IP Addresses, unde se specific intervalul de adrese IP al reelei protejate (perimetrale, DMZ). Next Se deschide fereastra Select a Firewall Policy din care se alege o politic de firewall predefinit pentru o reea ecranat. Semnificaia acesora este urmtoarea: No access se alege atunci cnd se dorete definirea ntregii politici de firewall. Ea blocheaz tot traficul dintre toate reelele la care este conectat ISA server. No access - network services on Perimeter Network blocheaz tot accesul, mai puin cel ce ine de serviciile de reea, (de exemplu, serviciul DNS), pentru reeaua ecranat. No access ISP network services se folosete atunci cnd nu este configurat un server DNS n interiorul reelei i folosete serverul DNS al ISP-ului. Blocheaz tot traficul, mai puin accesul la serverul DNS al ISP. Restricted Web access blocheaz tot accesul, mai puin cel spre serverul web i permite accesul clienilor VPN. Restricted Web access network services op Pedrimeter network- asmntor cu Restricted Web access dar permite accesul serverului DNS. Restricted Web access ISP network services permite accesul web, VPN i cererile spre serverul DNS al porviderului de Internet. Unrestricted Internet access permite accesul complet dinspre reeaua intern i clienii VPN spre Internet i reeaua ecranat. Pentru a defini propria politic de firewall se va selecta, evident, No access. Dup alegerea sau definirea unei politici de firewall se d Next i ultima fereastr din Network Template Wizard este Copmpleting The Network Template Wizard care ne permite rvizuirea setrilor efectuate i salvarea lor. Observaie! Din punct de vedere al ISA server, o reea este un element al unei reguli, care conine unul sau mai multe intervale de adrese IP. Se pot aplica reguli pentru una sau mai multe reele (retea n sensul de menionat anterior) sau se pot aplica reguli pentru toate adresele, mai puin cele din reelele specificate. 7
Dup aplicarea Template-ului 3-Leg Perimeter ISA server este configurat (implicit) cu urmtoarele 6 reele: Local Host. Aceasta reprezint ISA Server. Ea nu poate fi modificat sau tears. Local host se utilizeaz ca element al unei reguli atunci cnd se dorete definirea accesului ctre sau dinspre ISA server. Default External. Aceast reea include toate staiile de lucru (adr IP) care nu sunt asociat la nicio reea, adresa IP a reelei Local Host i adr IP ale interfeelor de pe ISA server. Ea nu poate fi modificat sau tears. Ea este o reea nesigur i, ca urmare, legturile cu aceasta sunt configurate NAT. Internal Include toate staiile de lucru (adr. IP) care sunt specificate de ctre administrator n timpul procesului de instalare. Ea nu poate fi tears. Perimeter. Este reeaua ce conine adr. IP ale serverelor din reeaua ecranat (DMZ). Din ea fac parte serverele Web, Exchange, SQL, SharePoint. VPN Clients. Conine adresele clienilor VPN conectai la acest moment cnd se configureaz VPN-ul. Reeaua VPN nu poate fi stears. Quarantined VPN Clients. Conine adr. Clienilor VPN care nu au ieit din carantin. Nu poate fi tears. Pentru regulile de acces, trebuie specificate reeaua-destinaie i reeaua-surs crora li se vor aplica regula. Pentru crearea reelei de autentificare trebuie parcuri urmtorii pai: 1. In consola ISA Server Management, n arborele de structur, seciunea Configuration, se face click pe Networks 2. n seciunea activiti (3) se face click pe Tasks, Networks Tasks, Create New Network 3. se deschide wizardul ptr crearea reelei. i dm numele Autentificare 4. n fereastra Network Type trebuie specificat tipul ei (Internal, Perimetral, External, ...). n cazul nostru este o reea intern, deci bifm Internal, apoi Next. 5. n fereastra Network Addresses, butonul Add, IP Address Range Properties, completm intervalul de adrese (10.1.1.1 10.1.1.2) n mod sinilar se creaz i celelalte reele: IT, Management, Marketing. Dup ce au fost definite reelele, se pot configura propritile lor. Pentru exemplificare continum cu reteaua Autentificare. n arborele de structur selectm Networks, Rclick pe numele reelei (Autentificare), Properties, sau din panoul de activiti, tabul Tasks, Network tasks, Edit Selected Network. S-a deschis fereastra Autentificare Properties cu urmtoarele opiuni: Domains (se aplic doar clienilor de firewall) permite specificarea domeniilor care vor fi incluse n reea. Pentru domeniile din reea, cererile clienilor nu vor fi naintate prin ISA server. Se pot specifica: - un singur calculator prin numele su complet din domeniu, - un ntreg domeniu prin *.nume_domeniu - toate domeniile prin *. Web browser specific serverele (prin indicarea intervalelor de adrese IP) sau numele de domenii pe care clienii le pot accesa direct, precum i modul de redirectare a clienilor ctre Internet atunci cnd ISA nu mai este disponibil. Auto discovery specific dac i modul n care clienii din aceast reea vor putea gsi serverul ISA. Pentru activarea acestei opiuni trebuie activat serverul web Proxy.
Firewall client specific dac aceast retea va asculta pe portul 1745 pentru cererile clienilor de firewall. Web Proxy specific dac aceast reea va asculta pentru cererile TCP Dup instalate, ISA server este preconfigurat cu dou seturi de reele, care nu pot fi modificate sau terse: All Networks reprezint toate reelele definite pe ISA server. Orice reea nou definit pe ISA este inclus automat n acest set. All Protected Networks conine toate reelele definite pe ISA, mai puin reeaua External. Orice reea nou definit pe ISA este i ea inclus n acest set. n afara acestor seturi predefinite, se pot crea alte seturi, la dorina administratorului. De exemplu, reelele IT i Marketing au nevoie de acces la Internet. Atunci putem crea un nou set de reea, Acces Internet, care s le cuprind pe acestea dou. Acest set va fi utilizat n regula de firewall ce permite accesul la serviciul de Internet. n mod asemntor, constatm c reelele IT, Marketing i Management au nevoie de serviciul de e-mail. Creem atunci setul de reea Acces E-mail care s le conin. Modul de caeare a acestor seturi de reea este urmtorul: 1. n consola ISA Server Management , n arborele de structur, Configuration, click pe Networks 2. n panoul Activiti, click pe Tasks, Network Sets Tasks, click Create a New Network Set 3. Se deschide wizardul de configurare a noului set de retea, pe care l numim Acces Internet 4. Din fereastra Network selection seectm reelele care vor face parte din acest nou set (Management si IT), sau reversul, toate reelele, exceptnd cele selectate. 5. Se finalizeaz wizardul i se apas Apply pentru salvare. Similar se face i pentru crearea setului Acces E-mail. Urmtorul pas n configurarea serverului ISA este crearea regulilor de reea, definind astfel topologia reelei. Aceste reguli indic dac exist sau nu o legtur ntre dou entiti de reea, i de ce tip sunt ele rutare sau NAT. n cazul c nu se definete nicio legtur ntre reele, atunci ISA blocheaz toate pachetele care circul ntre reele. O regul de reea nu poate fi definit ntre o reea i ea insi, iar traficul dintre staiile din aceeai reea este considerat ca rutat (nu poate fi definit ca NAT). Regulile de reea sunt ordonate au asignate numere care le asigur prioritate. Atunci cnd ISA verific dac ntre dou reele esist legtur, parcurge regulile n ordinea prioritilor. n cazul configurrii ISA server dup ablonul 3-Leg Perimeter, sunt create urmtoarele reguli: 1. Local Host Access definete o relaie de rutare nte reeaua Local Host i toate celelalte reele. Prin acasta este stabilit conectivitatea dintre ISA server i toate reelele conectata la el. 2. VPN clients to Internal Network definete o relaie de tip rutare ntre reeaua intern i clienii VPN 3. Perimeter configuration definete o relaie de tip NAT ntre reeaua intern, clienii VPN i reeaua de perimetru. 4. Perimeter access definete o relaie de rutare ntre reeaua de perimetru i reeaua extern (External). 5. Internal Access definte o relaie de tip NAT ntre reeaua intern, clienii VPN i reeaua extern. 9
Pentru modificarea regulilor Perimeter Configuration i Internal Access se parcurg urmtorii pai: Selectm regula i apoi din panoul Activiti, tabul Tasks, seciunea Network Rule Tasks, Edit Selected Netwok Rule n fereastra proprieti a regulii, click pe Source Networks Selectm pe rnd cele trei reele-surs i le tergem prin Remove Dup ce le-am ters, adugm reelele pe care le-am creat (IT, Management, Marketing), apsnd butonul Add, din fereastra Add Networks Entities, expandnd nodul Networks. Confirmm cu OK Salvm modificrile cu butonul Apply. Singura regul pe care trebuie s o creem n cazul reelei noastre este aceea prin care rutm trafcul ntre reelele interne. Pentru aceasta: Selectm regula i apoi, din panoul activiti, tab-ul Tasks, seciunea Network Rule Tasks, facem click pe Create a New Network Rule Apare wizardul de configurare a regulii, Next n fereastra urmrtoare, Network Trafic Source, selectm sursele traficului (pot fi reele sau seturi de reele, staii individuale intervale de adrese IP, subreele, seturi de staii). n cazul nostru sunt toate cele 4 reele interne, Next n fereastra urmrtoare, Network TraficDestination, trebuie selectat destinaia, care n cazul nostru vor fi tot cele 4 reele interne, Next Finalizm wizardul cu revizuirea setrilor regulii nou create Salvm cu Apply Dup aceste configurri, panoul de detalii, seciunea Network Rules va arta ca n fig 6.25 Munteanu
Politici de Firewall
O politic de firewall este un set de reguli de publicare sau de acces prin care definim (limitm) accesul din exterior ctre reeaua organizaiei i invers, din reea spre exterior. ISA server are dou roluri mari: 1. de a conecta sursa cu destinaia prin intermediul regulilor de reea 2. de a proteja reeaua intern de accesul neautorizat prin intermediul regulilor de firewall. Modul n care este tratat o cerere a unui client din interiorul reelei este urmtorul: - prima dat ISA server verific dac este definit o legtur ntre reeaua surs i reeaua destinaie prin intermediul unei reguli de reea - dac da, prelucrea regulile din politica de firewall vrificnd ndeplinirea simultan a elementelor: protocol sursa dac este programat destinaia (adr IP, URL) utilizatori coninut 10
La instalarea ISA server i aplicarea ablonului 3-Leg Perimeter, este preconfigurat o regul firewall numit Default rule, cu prioritate Last, care va fi ntotdeauna ultima i blocheaz traficul pe toate protocoalele dinspre toate reelele spre toate reelele i pentru toi utilizatorii. Ea nu poate fi modificat sau tears. Dac nu mai sunt definite alte reguli de firewall, chiar dac sunt definite relaii ntre reele, tot traficul dintre ele va fi blocat. S vedem cum se poate configura accesul nerestricionat al staiilor din reeaua Management spre Internet. Pentru aceasta trebuie configurate dou reguli: - o regul de reea care permite accesul dinspre Management spre Internet - o regul de firewall care permite traficul dinspre Management spre Intenet, pe toate protocoalele, pentru toi utilizatorii n ceea ce privete accesarea serverelor din reeaua de primetru n od securizat, de ctre clienii din exteriorul reelei organizaiei, ISA permite crearea unei politici de publicare format din reguli de publicare a serverelor web, a serverelor de e-mail, a serverelor securizate de web etc. Reguli de acces. Regulile de acces spcific serverului ISA cum s trateze cererile venite de la reelelesurs de a accesa reelele-destinaie. Presupunem c dorim un acces nelimitat al reelei de Management la reeaua (resursele) Internet. Va trebui construit o regul de acces Full Management. Pentru crearea acestei reguli, se parcurg etapele: - se deschide consola ISA Server Management, iar din arborele de structur, n seciunea Configuration, se face click pe Firewall Policy - n panoul activiti se face click pe Tasks, iar n Firewall Policy Tasks click pe Create a New Access Rule - se deschide wizardul de configurare, se specific numele noii reguli de acces (Full Management) - n urmtoarea fereastr, Rule Action, se specific dac accesul este permis sau blocat atunci cnd condiiile sunt ndeplinite. Vom selecta Allow pentru a permite accesul spre Internet. - Urmtoarea feresatr ne solicit specificarea protocoalelor crora li se aplic regula. Dorind acces nelimitat la Internet, secectm opiunea All outbond protocols. Dac dorim doar anumite protocoale, alegem opiunea Selected protocols, i apoi adugm protocoalele dorite. Dac se dorete excluderea unor protocoale, se va alege opiunea All outbond protocols exept selected i le adugm pe cele dorite a fi excluse. De asemenea pentru toate cele trei opiuni avem posibilitatea specificrii unui interval de porturi surs crora s li se aplice regula. - Fereastra Access Rule Sources solicit specificarea reelelor-surs crora li se va aplica regula. n cazul nostru reeaua Management - Fereastra Access Rule Destinations solicit specificarea reelelor-destinaie crora li se va aplica regula. n cazul nostru reeaua External, pe care o adugm n list - Fereastra User Sets solicit specificarea uilizatorilor sau a grupurilor de utilizatori din domeniu sau locali; n cazul nostru vom aduga grupul Management, care a fost setat n avans, n Active Directory. Implicit setarea este All users. 11
- Finalizm wizardul i l salvm cu Apply. Asupra regulii de acces Full Management creat mai sus, se pot efectua urmtoarele aciuni: Editrae Dezactivare tergere n plus, la editarea regulii de acces se mai pot face dou lucruri: Schedule i Content Groups. Opiunea Schedule permite specificarea perioadei din zi /sptmn n care regula este sctiv sau inactiv. Opiunea Content Groups permite aplicarea regulii la tipuri de coninut specificate. De exemplu, dac se dorete blocarea descrcrii de pa Internet a fiierelor video, creem o regul de blocare a accesului la HTTP, dar numai pentru coninuturile din grupul video.
Reguli de publicare a serverelor web Ce nseamn publicarea unui server web? Serverele din reeaua ecranat (DMZ, Perimetral) pot fi accesate sau nu din Internet. Publicarea lor nseamn accesibilitatea lor din Internet, posibilitatea de a fi vzute i utilizate si de useri din afara reelel proprii. Regulile de publicare a serverelor pe web ne permit configurarea modului n care ISA server va trata cererile pentru obiecte HTTP adresate serverului din interiorul organizaiei i modul n care serverul ISA va rspunde n locul serverului web. Serverul web n cazul reelei pe care o analizm este IIS server care are adresa IP 125.125.125.104. Pentru a-l publica se parcurg urmtorii pai: 1. se deschide consola ISA server management i din arborele de structur, seciunea Configuration, se d click pe Firewall policy. 2. n panoul de activiti se face click pe tabul Tasks, iar n seciunea Firewall Policy Tasks se face click pe Publish a Web server 3. se deschide wizardul de configurare a regulilor de publiare i se ncepe cu numele lui, n cazul nostru Web 125.125.125.104 4. n fereastra Select Rule Action se specific dac accesul este permis sau blocat, atunci cnd condiiile sunt ndeplinite. Selectam Allow. 5. n fereastra Select Web Site to Publish, se introduce adresa IP a serverului web. 6. n fereastra Select Public Domain Name se introduce mumele de domeniu al serverului web. Ca exemplu, ar putea fi www.myorg.ro 7. n fereastra Select Web Listener trebuie configurat un asculttor (receptor) de cereri care specific adresa IP i portul pe care ISA server va recepta cererile web. 8. Se finalizeaz wizardul. Se pot publica i servere web securizate (HTTPS), servere de mail sau alte servere dedicate.
12
1. Din panoul de activiti (Tasks), din General VPN Configuration, click pe VPN Access Point, 2. Marcm reelele crora le permite accesul VPN (implicit este marcat External) 3. Asignarea adreselor cu tabul Address Asignment, selectm asignarea static sau DHCP (implicit DHCP) 4. Pentru definirea metodei de autentificare, selectm tabul Authentification, i din el o metod mde autentificare din list. Implicit este Microsoft encrypted authentification vers 2 (MS-CHAPv2) 5. Definirea clienilor wireless Se folosete tabul RADIUS care permite serverului RADIUS s realizeze procesul de logare si/sau autentificare. Apoi trebuie fcut specificarea serverului RADIUS
n fereastra Content Retrieval se specific modul de extragere a obiectelor din depozit. n fereastra Cache Content se poate specifica dac obiectele vor fi stocat n depozit. n mod normal pentru depozitare se alege opiunea If source and request headers indicate to cache. Dac se alege opiunea Never. No content will ever be cached, atunci se invreseaz regula de stocare, adic obiectele din *.ro nu vor fi stocate. n fereastra Cache Advanced Cofiguration se seteaz dimensiunea maxim a obiectelor . Dac se dorete depozitarea obiectelor de tip HTTP (Enable HTTP caching), se poate selecta durata de depozitare (TTL-Time to Live) Dac dorim depozitare obiecte FTP se marcheaz csua Enable FTP Caching, i se specific TTL-ul dorit Se finalizeaz configurarea cu Finish
Regulile de depozitare sunt ordonate. Ele se proceseaz dup prioriti, cea implicit fiind ultima. Dac o cerere ndeplinete condiiile impuse de regul, ea se proceseaz. Dac nu, se proceseaz urmtoarea regul.
ntrebri de control i teste 1. Care este rolul ISA server ntr-o reea de calculatoare? 2. Explicai noiunea de networking n accepiunea ISA server. 3. Explicai conceptul DMZ (zon demilitarizat). Ce servere se plaseaz n acest zon? 4. Ce se nelege prin publicarea serverelor i cun se poate realize? 5. Ce este un firewall i care este rolul su n aministrarea unei reele? 6. Care sunt configuraiile tipice de firewall realizate cu ISA server? 7. Ce reprezint funcia de accelerare (cashing) i ce utilitate are n funcionarea unei reele? 8. Ce faciliti VPN asigur ISA server 2004? Dai exemple. Teme de cas 1. Descriei modul de realizare a unor conexiuni VPN folosond ISA Server 2. Poiectai o reea de organizaie folosind facilitile de networking ale ISA server, evideniind reeaua intern, zona demilitarizat, reeaua extern 3. Descriei modul de realizare a unor politici de securitate folosind ISA server ca firewall.
15
4. Bifati componenta Dynamic Host Configuration Protocol (DHCP) si dati click pe OK.
5. Dati click pe butonul Next. Introduceti CD-ul cu kitul de Windows Server in unitatea CD-ROM si instalati serviciul DHCP. Dati click pe Finish pentru a termina instalarea. 6. inchideti fereastra Add/Remove Programs.
Serverul DHCP contine o baza de date cu adrese IP ce contine toate adresele IP disponibile pentru distributie. Daca clientul (avand ca sistem de operare Windows 2000 sau XP Professional) are setat Obtain an IP address automatically in setarile TCP/IP, atunci este setat sa primeasca o adresa IP de la un server DHCP. 2
Crearea spaiului de adrese ale unui server DHCP Spaiul de adrese disponibile pentru alocare dinamic, denumit i scop este o colectie de adrese IP pentru calculatoarele dintr-un subnet ce utilizeaza DHCP. Pentru crearea unui spaiu de adrese dati clic pe Start ->Settings->Control Panel->Administrative Tools->DHCP. Aici dati clic dreapta pe numele serverului DHCP si alegeti optiunea New Scope
Urmatoarea fereastra va cere sa definiti domeniul de adrese care vor fi distribui in retea si masca de retea pentru adresa IP. Introduceti detaliile potrivite si dati clic pe Next.
Va este prezentata o fereastra in care trebuie sa adaugati excluziuni in domeniul de adrese IP pe care l-ati specificat in fereastra anterioara. De exemplu, daca adresa IP 192.168.90.50 este aceea a router-ului companiei, atunci nu doriti ca serverul DHCP sa distribuie acea adresa. in acest exemplu am exclus domeniul de adrese IP 192.168.90.100 192.168.90.115, si o singura adresa 192.168.90.50. n acest caz, 16 adrese IP vor fi rezervate si nu vor fi distribuite clientilor din retea.
n aceasta fereastra se seteaza durata rezervrii (lease) pentru cat timp un client poate utiliza o adresa IP atribuita din acest scop. Este recomandat sa adaugam perioade de lease mai mari pentru o retea fixa si perioade de lease mai scurte pentru conexiuni de la distanta sau laoptop-uri. n acest exemplu am setat perioada de alocare la 12 ore intrucat clientii sunt sisteme desktop intr-un birou local si timpul de lucru uzual este de opt ore.
n urmatoarea fereastra sunteti intrebat daca doriti sau nu sa configurati optiunile DHCP pentru scop (acum sau mai tarziu). Daca alegeti Yes atunci vor apare o serie de casete de dialog pentru setarea acestor optiuni. Daca alegeti No veti putea configura aceste optiuni intro alta faza.
n urmatoarea fereastra trebuie sa setati adresa IP a router-ului sau a gateway-ului si astfel calculatoarele client vor sti ce router sa utilizeze.
Aici setati, serverul DNS si numele domeniului. Adresa IP a serverului DNS va fi distribuita de catre serverul DHCP si va fi atribuita clientilor.
Daca aveti un server de WINS, aici trebuie sa setati adresa IP a acelui server. Puteti sa tastati numele serverului in caseta potrivita si apasati Resolve pentru a permite gasirea respectivei adrese IP. daca nu aveti un server de WINS in retea lasati aceasta pagina necompletata.
Ultimul pas este de a activa scopul doar apasati pe butonul Next cand vedeti fereastra de mai jos. Serverul de DHCP nu va functiona daca nu activati scopul.
La sfarsit dati clic pe Finish pentru a termina configurarea si activarea scopului. Serverul DHCP este acum instalat cu toate setarile de baza. Urmatoarea etapa este de a-l configura dupa nevoile structurii retelei. Configurarea de baza a unui server DHCP Grupul de adrese afiseaza o lista de domenii de IP-uri asignate pentru distributie si excluziuni de adrese IP. Puteti adauga o excluziune de adrese prin dand un clic dreapta pe Address Pool din partea stanga a ferestrei MMC si selectand optiunea New Exclusion Range. Aceasta va afisa o caseta de dialog ce va permite sa adaugati domeniul de adrese ce va fi exclus. Introduceti doar adresele IP de inceput si de sfarsit. Daca introduceti numai adresa IP de inceput veti adauga o singura adresa IP.
Server-ele DHCP va permit sa rezervati o adresa IP pentru un client. Aceasta inseamna ca acel client va avea aceeasi adresa IP atat cat doriti. Pentru a realiza acest lucru trebuie sa cunoasteti adresa fizica (MAC) a fiecarei placi de retea. Dati clic dreapta pe Reservations si alegeti optiunea New Reservation. Introduceti numele rezervarii, adresa IP dorita, adresa MAC si descrierea, apoi alegeti daca doriti suport pentru DHCP, BOOTP sau ambele si dati clic pe Add. Noua rezervare va fi adaugata in lista. Ca exemplu am rezervat adresa IP 192.168.90.144 pentru un calculator client numit Workstation1.
Daca dati clic dreapta pe Scope Options in consola MMC si alegeti Configure Options va apare o fereastra in care puteti configura mai multe servere si parametrii lor. Aceste setari vor fi distribuite de catre serverul DHCP impreuna cu adresa IP. Optiunile server-ului se comporta implicit pentru toate scopurile in serverul DHCP. Totusi, optiunile de scop au precedenta fata de optiunile de server.
Intr-un domeniu Windows Server 2003 toate server-ele DHCP trebuie sa fie autorizate in Active Directory. Acesta este un exemplu al noii initiative de securitate al Microsoft, in incercarea de a elimina server-ele DHCP neautorizate ce sunt in domeniu. Pentru a autoriza un server trebuie sa va logati (sau RunAs) ca un membru al grupului Enterprise Admins. Apoi dati clic dreapta pe icon serverului DHCP si alegeti optiunea Authorize.