3.1.26 Управление производительностью, безопасностью сети.
Управление конфигурацией сети включает в себя следующие задачи: отслеживание оборудования и программного обеспечения, управление файловыми архивами, учет сетевых услуг. В результате выполнения этих задач администратор должен владеть детальным списком существовавшей, текущей и прогнозируемой конфигурации сети. В зависимости от масштаба сети, такой список может быть довольно большим.
Устранение возникающих неисправностей
Для выявления и устранения неисправностей в компьютерной сети используются аппаратные, программные и административные средства. Цель использования этих средств – быстрое выявление и устранение неисправного компонента (или потенциально неисправного компонента) в компьютерной сети. С помощью этих средств решаются следующие задачи:
– быстрое нахождение и устранение неисправностей (по мере возможности предупреждение неисправностей);
– установка приоритета в предупреждении и устранении неисправностей;
– своевременное решение проблем пользователей и удовлетворение их запросов.
В компьютерной сети по мере возможности рекомендуется использовать отказоустойчивые программные и аппаратные средства, которые, как правило, обладают избыточностью. Даже при возникновении неполадки, использование таких средств должно сохранить работоспособность сети.
Управление производительностью сети
Управление производительностью сети заключается в периодическом отслеживании различных характеристик, поиск «узких мест» (bottlenecks), просчитывание возможного развития событий и выработку рекомендаций по дальнейшему улучшению сети.
Характеристики производительности сети
В сетях на основе Windows Server обычно отслеживаются следующие характеристики.
Количество байт, полученных с сервера и записанных на него позволяет получать информацию о загрузке сервера. Дополнительно можно контролировать количество отказов сервера на запись или чтение информации.
Количество команд в очереди на исполнение также является показателем загрузки сервера. Это число не должно быть большим.
Количество коллизий в секунду (в сетях Ethernet). Высокий уровень коллизий в сетях Ethernet не является хорошим показателем, т.к. при коллизии узлы прекращают работу в сети на случайный промежуток времени. Коллизии и загрузка сети не имеют прямого отношения друг к другу пока загрузка не приближается к пику 56-60%, тогда число коллизий чрезвычайно увеличивается и полностью «замораживает» трафик в сети. Высокий уровень коллизий в секунду обычно указывает на физические дефекты в сети. Например, если сегмент слишком длинный, то устройство при прослушивании кабеля (метод CSMA/CD) может не услышать передачу другого устройства и начать работу с сетью, вызвав коллизию.
Количество ошибок системы безопасности. Высокий уровень неудачных входов в сеть, неудачных доступов к объектам и неудачных изменений настроек безопасности могут указывать на попытки взлома сети. В таком случает рекомендуется поставить аудит на объекты, вызвавшие ошибки, чтобы понять причину проблемы. (Понятие аудита будет рассмотрено в рамках администрирования учетных записей пользователей). Также можно применить анализатор протоколов, чтобы выявить место, откуда исходят ошибки – если например, хакер атакует сеть.
Сеансы соединений с сервером. Особое внимание следует уделить этапу завершения сеансов. Если сеанс завершается в результате ошибки или из-за истечения периода ожидания сервера (time-out), то возможно сервер перегружен и отказывает в соединении, либо не может их быстро обслуживать. Возможно, следует добавить оперативную память на сервере или заменить некоторое оборудование.
Существуют несколько сотен других характеристик, администратор должен сам решать какие из них необходимо отслеживать.
Инструменты отслеживания характеристик производительности сети
Для отслеживания характеристик в Windows Server используются следующие инструменты.
Event viewer является частью основного набора административных инструментов Windows Server. Event Viewer поддерживает три регистрационных списка: один для регистрации событий системы безопасности (security log), второй для системной информации (system log) и третий для сообщений приложений (application log). В рамках производительности сети наиболее интересны первые два списка.
Список событий системы безопасности записывает сообщения на основе фильтров, устанавливаемых в User Manager for Domains (другом административном инструменте). Также при назначении аудита, события аудита записываются в список системы безопасности. С помощью этого списка удобно отслеживать неудачные попытки регистрации в сети и доступа к данным. Список системной информации записывает события, регистрируемые системными компонентами Windows Server и предоставляет наиболее полезную информацию о функционировании сети и исправности оборудования. Например, если вы установили сетевую карту, а она не работает, можно проверить System log чтобы выяснить, не было ли конфликта прерываний. В этот же список заносится время запуска и остановки служб.
Performance monitor. В отличие от event viewer, который регистрирует отдельные события, Performance monitor лучше подходит для записи и отслеживания тенденций изменения параметров системы. Можно установить достаточно большое количество характеристик, которые будет отслеживать Performance Monitor. В зависимости от значения выбранной характеристики, Performance Monitor может посылать предупреждения администратору сети и запускать другую программу, которая вернет систему в приемлемое состояние. Performance Monitor при работе потребляет ресурсы компьютера, поэтому можно осуществлять слежение за сервером удаленно, с другой машины под управлением Windows Server.
Performance monitor и Event viewer в состоянии подготовить данные для хранения долгосрочных записей о производительности и событий в сети. Важно сохранять для длительного хранения только необходимые данные, чтобы потом в них не запутаться.
Network monitor. В отличие от Event Viewer и Performance monitor, программа Network monitor не устанавливается автоматически в процессе установки Windows Server. В дальнейшем ее можно добавить как сетевую службу. Программа Network monitor является весьма мощным программным анализатором протоколов. Она отслеживает поток сетевых данных, записывает адреса отправителя и получателя, заголовки и данные для каждого пакета. Network monitor может захватывать пакеты пока не заполнит объем, равный свободной оперативной памяти минус 8 мегабайт для других программ. Соответственно рекомендуется использовать какой-либо фильтр при перехвате пакетов. Можно фильтровать пакеты основываясь на используемых в них транспортных протоколах, адресам отправителя и получателя, по шаблону данных, искать конкретные шестнадцатеричные или ASCII потоки в данных пакетов. Из соображений безопасности, Network Monitor обнаруживает другие установленные экземпляры агентов Network Monitor в сети, показывая имя компьютера, на которых они запущены, имя пользователя, вид работы Network Monitor в данный момент, адрес адаптера и номер версии. Если между двумя Network Monitor имеется маршрутизатор, не поддерживающий групповую адресацию (multicasting), то они могут не видеть друг друга. Но если вы видите другой Network Monitor, то они видит и вас.
Общесистемное управление
Как ни парадоксально это звучит, на производительность сети влияет не только сеть, но и другое оборудование. Кроме отслеживания работы самой сети, следует большое внимание уделять жестким дискам и оперативной памяти на серверах.
Жесткий диск. Из трех перечисленных выше инструментов, для отслеживания характеристик жесткого диска наиболее полезен Performance Monitor. Обычно отслеживаются следующие характеристики: оставшееся дисковое пространство, скорость обработки запросов (это и средняя пропускная способность, и количество переданных данных), частота занятости диска (как частота его работы, так и среднее количество запросов в очереди диска). При мониторинге необходимо обратить внимание, какой диск отслеживается: физический или логический. Также не все счетчики будут доходить до 100%, так как считывание с многих логических дисков может давать суму свыше 100% для всего физического диска. Иногда требуется использовать средний результат. (Внимание: перед использованием счетчиков дисков следует исполнить команду diskperf).
Оперативная память. Оперативная память сервера требуется для обслуживания входящих запросов. Windows Server спроектирована так, чтобы сбрасывать из памяти на диск (в swap file) не используемые в данный момент данные. Если серверу приходится сбрасывать на диск слишком много данных, имеет смысл установить дополнительную память. Существует два типа ошибок обращения к странице. Программные ошибки происходят, когда данные удалены из рабочего множества (working set) программы и перемещены в другую область физической памяти. Операция по возвращению данных в рабочее множество является очень быстро. Аппаратные ошибки обращения к странице происходят когда данные убраны после того, как долго оставались неиспользованными, или когда имеется такая недостача физической памяти, что данные программ фактически хранятся на диске. Считывание данных с диска занимает на порядок больше времени, чем считывание из памяти. Таким образом, важно измерять частоту появления ошибок обращения к странице памяти.
Управление безопасностью сети
Управление безопасностью сети направлено на защиту данных и оборудования в сети. Оно включает в себя аппаратные, программные и административные средства для уменьшения опасности изнутри или снаружи организации.
Управление безопасностью сети решает следующие задачи:
– определение возможных опасностей и их последствий;
– разработка и внедрение политики защиты компьютерной сети;
– администрирование учетных записей пользователей;
– использование различных средств для слежения за деятельностью пользователей и оповещения о сомнительных действиях пользователей.
Для реализации политики защиты необходимо идентифицировать пользователей и ресурсы сети с помощью различных схем сетевого наименования.
Схемы сетевого наименования
Каждому компьютеру в сети должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными (shared) ресурсами. Сетевые имена могут быть разделены на следующие категории: учетные записи, компьютеры, ресурсы.
Учетные записи
Учетная запись представляет собой объединение всей информации, относящейся к пользователю или группе пользователей в сети. Обычно она состоит из имени пользователя, пароля, прав пользователя и сведений об участии в группах. Учетные записи создаются администратором. Пользователь не должен предоставлять другим пользователям свой пароль.
Имена компьютеров
Каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют одинаковые схемы наименования, необходима система, преобразующая (разрешающая) одни типы имен и адресов в другие. Существует несколько стандартов разрешения имен.
Компьютерные имена NetBIOS
Каждый компьютер в сети Microsoft использует компьютерное имя, длиной до 15 символов (также его называют именем NetBIOS). Эти имена относят к прикладному уровню OSI. Сети, использующие стек TCP/IP должны разрешить имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в адреса.
Windows Internet Name Service
WINS – служба, разрешающая компьютерные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает имена так, чтобы компьютеры могли взаимодействовать друг с другом. WINS – это служба типа клиент-сервер, клиент регистрирует свое компьютерное имя на сервере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS.
Domain Name Service
Служба DNS похожа на WINS в том что она также разрешает компьютерные имена в адреса IP. В DNS эти имена называются именами хостов (host names) или fully qualified domain names (FQDN – полное имя узла). Если компьютерные имена NetBIOS состоят из одной части, то стек TCP/IP опирается на соглашение по наименованию, известное как Domain Name System. FQDN представляет собой иерархическое имя, использующее формат hostname.domainname, например microsoft.com. Windows NT может сочетать компьютерное имя NetBIOS с именем домена DNS для формирования FQDN. В Windows NT 4.0 DNS представляет собой статическую службу, то есть необходимо вручную ввести имена и адреса IP прежде чем сервер DNS сможет их разрешить. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер может разрешить часть имени kirov.ru, другой – разрешить часть vspu.
В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.
Имена ресурсов
Каждый ресурс можно идентифицировать по имени. Например, «Принтер, установленный в 411 кабинете». Лучше назначать имена, по которым пользователи легко могут понять, к какому объекту они получают доступ. Обычно именованными ресурсами бывают принтеры, диски и каталоги.
Разработка и внедрение политики защиты компьютерной сети
Планирование политики защиты имеет большое значение в области безопасности. Любую опасность гораздо дешевле предотвратить, чем потом исправлять ее последствия. Разработка политики защиты состоит из трех этапов.
– Выяснение потребности компании.
– Разработка политики защиты (безопасности), соответствующей этим потребностям.
– Реализация политики защиты.
Выяснение потребностей компании
Каждая организация имеет свои отличия от любой другой организации в мире. Она имеет свой уникальный персонал, стиль и идеологию управления. Политика безопасности должна соответствовать стилю организации. Идеи администратора должны поддерживаться руководством компании. Например, требование наличия бездисковых станций в дисплейном классе может не совпадать с мнением руководства организации.
Необходимо ознакомиться со схемой организации фирмы или других сходных по деятельности фирм. Желательно ответить на следующие вопросы: Хотите ли вы быть подключены к Интернету? Хотите ли вы иметь это подключение в будущем? Являются ли ваши данные настолько чувствительными, что должны оставаться абсолютно закрытыми? Хотите ли вы иметь возможность удаленно администрировать свой узел?
Совместно с руководством компании нужно решить, насколько тщательной и всеобъемлющей должна быть защита сети. После этого необходимо сделать вашу систему как можно более легкой в использовании, но без нарушения исходных целей в области безопасности.
Разработка и реализация политики защиты
Администратор отвечает за политику безопасности своей организации (security policy). Она состоит из набора правил и предписаний, определяющих все моменты безопасности в организации. Желательно в точности описать последовательность внедрения защиты, чтобы помощник администратора смог разобраться с политикой защиты при необходимости.
Реализация политики физической защиты
Электронная защита информации может быть очень хорошо организована, но нельзя забывать, что злоумышленник может вынести компьютер за пределы здания. Администратор отвечает за все аспекты безопасности сети, включая ее физическую защиту.
В одноранговых сетях каждый пользователь отвечает за безопасность своего компьютера.
В сети на основе сервера, каждому пользователю предоставлены конкретные права, основанные на его потребностях и роли в организации. Пользователи такой сети также должны взять на себя часть ответственности за обеспечение защиты своих рабочих станций.
Защита сервера. Администратор должен предотвратить несанкционированный доступ как извне, так и изнутри сети. Хорошо подготовившийся пользователь может вызвать невосстановимую потерю данных, получив доступ к серверному шкафу. Необходимо ограничить физический доступ к серверам, а также число пользователей и групп, имеющих право локальной регистрации на сервере.
Защита маршрутизаторов. Доступ к маршрутизаторам также должен быть ограничен. Пользователь может решить что сеть работает странно, и выключить и включить маршрутизатор, пытаясь решить проблему. Получив доступ к маршрутизатору, пользователь может изменить таблицы маршрутизации, а в крупной сети – добавить свой сегмент, таким образом сделав первый шаг в крупном нарушении безопасности компьютерной сети.
Защита кабелей. Если передаваемые данные имеют крайне важное значение, может потребоваться ограничение количества излучаемых электронных сигналов. Существует возможность, что кто-то подключится к медному кабелю и похитит данные. В середине 70-х г. в США была разработана беспроводная технология, позволявшая прослушивать ЭМ сигнал исходивший от компьютеров и кабелей. В таких случаях необходимо использовать оптоволоконный кабель, не излучающий электрических сигналов. К такому кабелю значительно сложнее подключиться. Также желательно использовать структуру зданий для защиты кабелей, например прокладывать их внутри стен.
Модели безопасности
Существует две модели безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).
Управление учетными записями
Для отслеживания пользователей и их разрешений, администратор логически делит пользователей и ресурсы на управляемые группы и присваивает разрешения каждой из групп.
Так как каждой группе потребуется доступ к различным ресурсам, администратор мог бы создать группы с разрешениями на доступ к следующим устройствам: высокоскоростной принтер, цветной принтер, принтер, принтер для САПР, круглосуточный принтер, принтер бухгалтерии. Соответственно для этого создаются следующие группы учетных записей: группа высокоскоростной принтер, включающая в себя группы управление и маркетинг, группа цветной принтер с группой маркетинг, группа основной принтер – бухгалтерия, инженеры и кадры, принтер САПР – инженеры, круглосуточный принтер – группа Everyone, принтер бухгалтерии – бухгалтерия.
Дополнительные средства защиты
Существует еще несколько приемов, позволяющих повысить безопасность компьютерной сети. Это аудит (auditing), использование бездисковых рабочих станций (diskless workstation), шифрование (encryption) и защита от вирусов (virus protection).
Аудит (auditing) – это способ отслеживания событий и действий пользователей. Аудит формирует список событий (audit log), в котором хранится информация кто, когда и что делал в сети. Например, большое количество неудачных попыток регистрации за очень короткий период времени может указывать на то, что кто-то пытается получить доступ к сети. Другие функции аудита обеспечивают основу для принятия будущих решений, например, где разместить сетевые ресурсы и какие ресурсы могут понадобиться в будущем. Windows NT имеет мощные средства аудита и позволяет аудит удачного и неудачного выполнения следующих событий
Вход в сеть (logon) и выход из сети (logoff). Пользователь вошел в сеть или вышел из нее, создал или оборвал сетевое соединение с сервером.
Доступ к файлам и объектам (file and object access). Пользователь получил доступ к каталогу, файлу или принтеру, который настроен на проведение аудита (файлы и каталоги – только в NTFS). Должен быть выбран аудит этого события или файловых ресурсов или ресурсов печати.
Использование прав пользователя (Use of user rights). Пользователь использовал свое право (за исключением входа в сеть и выхода из нее).
Управление группами и пользователями (User and group management). Учетная запись пользователя или группы было создана, изменена или удалена. Или учетная запись пользователя была переименована, заблокирована или разблокирована, или пароль был установлен или изменен.
Изменение политики защиты (Security policy changes). Было произведено изменение прав пользователя, политики аудита или доверительных отношений.
Перезапуск (restart), выключение (shutdown) и системные события (system). Пользователь перезагрузил или выключил компьютер, или произошло событие, влияющее на безопасность системы.
Отслеживание процессов (process tracking). Отслеживание детальной информации о различных событиях, например активизации программ, появление повторяющихся дескрипторов, косвенный доступ к объектам и завершение процесса.
Не нужно забывать, что перед отслеживанием файлов, каталогов и принтеров необходимо не только указать свойства аудита на каждом из этих объектов, но и включить аудит file and object access используя User manager for domains.
Бездисковые рабочие станции (diskless workstations) могут быть использованы в условиях повышенной безопасности, где искажение данных недопустимо. С появлением ОС, основанных на Java, бездисковые рабочие станции (сетевые компьютеры) были переработаны и нацелены на привлечение более широкой аудитории. Эти компьютеры могут только запускать приложения, загруженные с сервера, они могут уменьшить эксплуатационные расходы, связанные с обновлением и установкой приложений. До сих пор неясно, смогут ли сетевые компьютеры заменить стандартные PC.
Бездисковые компьютеры имеют загрузочную микросхему ПЗУ, которая позволяет клиенту инициировать сеанс работы с сервером. При запуске бездисковый компьютер запускает по сети широковещательное сообщение с физическим адресом своего оборудования. Сервер RARP (Reverse Address Resolution Protocol – протокол обратного разрешения адресов) выполняет обратный поиск присвоенного клиенту сетевого адреса и посылает загрузочную информацию прямо клиенту. Сервер поручает клиенту идентифицировать пользователя. После того, как пользователь будет правильно идентифицирован, сервер позволит клиенту войти в сеть.
Бездисковые компьютеры являются надежным вложением для высокозащищенных сред. Поскольку у таких компьютеров нет ни гибких, ни жестких дисков, пользователи не могут получить данные и уйти вместе с ними. Однако они бесполезны, если сетевой сервер недоступен.
Шифрование (encryption) – процесс приведения данных к некоторому виду, который могу понимать только отправитель и получатель. Шифрование данных перед их передачей на сетевую карту является наиболее безопасным способом посылки данных.
Существует также оборудование, которое зашифровывает и расшифровывает данные по мере того, как они попадают в компьютер или покидают его.
Защита от вирусов. Большинство вирусов не наносят компьютеру серьезно вреда, но некоторые из них могут вызвать потерю данных. Существует несколько классификаций вредоносных программ, рассмотрим одну из них. Вредоносные программы разделяют на следующие категории.
Вирусы (Viruses) – компьютерные программы, производящие копии самих себя и прицепляющиеся к исполняемому файлу. Прикрепление к файлу данных бессмысленно, так как процессор не исполняет данные.
Черви (worms) – они производят копии самих себя, но не прикрепляются к другим программам.
Троянские кони (Trojan horses). Поступают на компьютеры замаскированные под другие программы. Можно привести в качестве примера Back Orifice, который при запуске устанавливал на компьютер программу удаленного управления, воровал пароли доступа в Интернет и производил другие действия.
Макровирусы (Macro viruses) – используют макроязыки и заражают файлы данных. Хотя сами данные не выполняются, макрокод, связанный с ними, может запуститься на выполнение. Некоторые вирусы могут самостоятельно распространяться по электронной почте. При запуске такого вируса, он отправляется всем людям, занесенным в адресную книгу «жертвы». Примером такого вируса является «Мелисса».
Программы защиты от вирусов не могут предотвратить появление вирусов. Они могут предотвратить активизацию вируса, исправить повреждения, нанесенные вирусом, и удалить вирусы системы. Механизм защиты от вирусов состоит из трех задач.
Предотвращение попадания вирусов в сеть. Необходимо ограничить круг программ, которые можно запускать пользователям. Администратор должен выработать стратегию, при которой все поступающие в организацию диски и вложения электронной почты должны проверяться на вирусы. На сервере электронной почты необходимо установить специальную антивирусную программу, которая будет проверять все входящие сообщения.
Регулярная проверка компьютеров в сети на наличие любых вирусов. Необходимо регулярно (желательно по расписанию) запускать антивирусную программу, которая сможет обнаружить и обезвредить вирусы.
Действия при обнаружении вируса. Администратор должен инструктировать пользователей по действиям в случае обнаружения вирусов. Пользователи должны сообщить сотрудникам информационного подразделения, очистить от вирусов свои жесткие и гибкие диски, информировать всех своих партнеров, которые могли бы получить зараженный диск или сообщение электронной почты.
Необходимо помнить, что вирус, запущенный пользователем, получает права этого пользователя и может повредить все файлы, к которым имеет доступ пользователь.
Управление учетными записями пользователей
Одна из главных задач администрирования состоит в том, чтобы пользователи могли получить доступ к тому, что им нужно, но не могли получить доступ к тому, что им не нужно. Эта простая задача не всегда легко реализуется. Важнейшим инструментом ее решения в Windows Server является User manager for domains.
Существует три главные задачи управления учетными записями пользователей.
- Пользователи должны иметь только те права, в которых они нуждаются.
- Их учетные записи должны быть защищены.
- Администратор должен знать действия пользователей внутри установленных пределов.