Andrzej Toboła, Politechnika Warszawska

Transkrypt

1 Administracja i zarządzanie systemami komputerowymi Andrzej Toboła, Politechnika Warszawska A.Tobola@iem.pw.edu.pl

2 Andrzej Toboła ZETiIS PW Gm. Elektrotechniki pok. 227, tel Certyfikat UOP bezpieczeństwo sieci i systemów (2000r) NIK inspekcja systemu informatycznego, Dep. Ochrony Informacji Niejawnych Ministerstwo Gospodarki konsulting przy budowie systemu informatycznego (~2500 stanowisk) Firma ISP o zasięgu ogólnopolskim (system tele- informatyczny)

3 Wprowadzenie Dynamiczny rozwój telekomunikacji i komputerów (prawo Moor a) 130nm, 90nm, 65nm, 45nm. Wypieranie dokumentów tradycyjnych przez elektroniczne (podpis elektron.) Bazy i hurtownie danych - nowe moŝliwości, nowa skala (dyski 2TB)

4 Podstawowe cele Minimalizacja kosztów Maksymalna prostota Niezawodność Dobre odwzorowanie rzeczywistości w systemie przetwarzania informacji Pewność i ochrona danych

5 Podstawowa struktura Komputery stacjonarne Komputery przenośne (laptop, palmtop, telefon) Sieć komputerowa personalna (PAN) lokalna (LAN) i rozległa WAN Nośniki informacji, sieci kablowe, radiowe, pamięci przenośne

6 Ramy prawne dotyczące administracji systemami komputerowymi Ustawa z 22 stycznia 1999r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95) Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Międzynarodowe standardy - DoD, USA The Orange Book 1985.

7 Ramy prawne dotyczące administracji systemami komputerowymi, c.d. Ustawa o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) Generalny Inspektorat Ochrony Danych Osobowych ( Ustawa z dnia 18 września 2001 o podpisie elektronicznym (Dz U. z 2001 r. Nr 130, poz. 1450)

8 Podstawowe wymagania bezpieczeństwa teleinformatycznego Jasna i dobrze zdefiniowana polityka bezpieczeństwa. Opis obiektów: poziom ochrony, prawa dostępu. Identyfikacja wszystkich podmiotów. Pełny audyt umoŝliwiający weryfikację. Pewność sprzętu i oprogramowania. Ciągła ochrona - 24 godziny / 7 dni w tygodniu.

9 Podstawowe elementy systemu bezpieczeństwa Ochrona fizyczna. Ochrona elektromagnetyczna. Ochrona kryptograficzna. Bezpieczeństwo transmisji. Kontrola dostępu do urządzeń.

10 Ochrona fizyczna

11 Ochrona fizyczna Wydzielenie stref bezpieczeństwa - lokalizacja, wielkość, klasyfikacja. Mechanizmy kontroli dostępu - hasła, metody biometryczne. Zasady transportu informacji na nośnikach wymiennych.

12 Ochrona elektromagnetyczna Emisja elektromagnetyczna. Ekranowanie i filtrowanie linii sygnałowych i zasilających. Ekranowanie urządzeń i pomieszczeń. Rodzaje nośników - linie: kablowe, światłowodowe, radiowe, optyczne.

13 Ochrona kryptograficzna Przydatność algorytmów kryptograficznych określają słuŝby ochrony państwa. Identyfikacja uŝytkowników - hasła jednorazowe, metody biometryczne Szyfrowanie: klucze tajne i publiczne, podpis elektroniczny.

14 Metody kryptograficzne Jednokierunkowe funkcje skrótu CRC, MD5, SHA1 Szyfrowanie symetryczne DES, 3DES, AES: Rindael Szyfrowanie niesymetryczne RSA, IDEA

15 Jednokierunkowe funkcje skrótu CRC - (ang. Cyclic Redundancy Check cykliczny kod nadmiarowy) - matematyczna suma kontrolna wykorzystywana do wykrywania uszkodzonych danych binarnych MD5 (z ang. Message-Digest algorithm 5 - Skrót wiadomości wersja 5) - popularna kryptograficzna funkcja skrótu, która z dowolnego ciągu danych generuje 128-bitowy skrót. Przykład: MD5("Ala ma kota") = d258a876ee994e9233b2ad87 SHA1 (Secure Hash Algorithm) - rodzina powiązanych ze sobą kryptograficznych funkcji skrótu zaprojektowanych przez NSA (National Security Agency) i publikowanych przez National Institute of Standards and Technology Uwaga: Ataki! W 2004 zgłoszono udane ataki na funkcje skrótu mające strukturę podobną do SHA-1 co podniosło kwestię długotrwałego bezpieczeństwa SHA-1. NIST ogłosił, Ŝe do 2010 zaprzestanie stosować SHA-1 na rzecz róŝnych wariantów SHA-2.

16 Szyfrowanie symetryczne DES - (ang. Data Encryption Standard - standard szyfrowania danych) - szeroko uŝywany algorytm kryptograficzny. Stworzony przez IBM na podstawie szyfru Lucifer, został zmodyfikowany przez amerykańską NSA. Zaakceptowany jako amerykański standard w roku S-Box:

17 Szyfrowanie symetryczne 3DES to algorytm polegający na zaszyfrowaniu wiadomości algorytmem DES trzy razy: 1. szyfrujemy pierwszym kluczem 2. deszyfrujemy drugim kluczem 3. szyfrujemy trzecim kluczem AES (ang. Advanced Encryption Standard, nazywany równieŝ Rijndael) - symetryczny szyfr blokowy przyjęty przez NIST jako standard FIPS- 197[1] w wyniku konkursu ogłoszonego w roku W 2006 opublikowana została praca, w której twierdzi się, Ŝe AES nie jest w pełni odporny na atak XSL, ale oszacowanie ilości koniecznych obliczeń obarczone jest duŝą niepewnością, w związku z tym oceny, na ile skuteczny jest ten atak, są róŝne[3]. W 2009 opublikowany zostały dwa nowe ataki z uŝyciem kluczy pokrewnych (key related attack) redukujące złoŝoność AES-256 do 2119

18 Bezpieczeństwo transmisji 1. Integralność danych Zabezpieczenia sprzętowe: odporność na zakłócenia (ekranowanie, światłowody) zabezpieczenia programowe: : TCP Transfer Control Protocol) 2. Poufność transmisji Zabezpieczenia sprzętowe: eliminacja emisji elektromagnetycznej (ekranowanie, światłowody) zabezpieczenia programowe: SSL (Secure Socket Layer) Dopuszczalność certyfikatów innych państw NATO na urządzenia. Dopuszczalność podłączenia do sieci i urządzeń publicznych z zachowaniem właściwych mechanizmów kontroli dostępu.

19 Bezpieczeństwo - podsumowanie Osiągnięcie całkowitego bezpieczeństwa jest trudno osiągalne o ile w ogóle moŝliwe. Decydujące znaczenie ma czynnik ludzki a nie techniczny. Stwierdzenie: bezpieczeństwo jest zadaniem, które zaczyna się i kończy na administratorze Nie ma bezpiecznych systemów w 100%. Bezpieczeństwo jest zawsze pewnym pradopodobieństwem zaufania. Typowe formy ataków: DOS denial of service (odmowa obsługi) Uzyskanie do kont zwykłych uŝytkowników Zdobycie uprawnień roota za pomocą dostępnych serwisów Zdobycie uprawnień roota za pomocą konta uŝytkownika Backdoor - luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania

20 Systemy komputerowe Jako obiekty, którymi administrujemy

21 System komputerowy UŜytkownicy (ludzie, maszyny, serwery, inne komputery) Aplikacje (programy: edytory, arkusze kalkulacyjne, bazy danych, gry, narzędzia programistyczne) System komputerowy wg Andrew Tanenbauma System operacyjny Sprzęt (procesor, pamięć, urządzenia wejścia-wyjścia) wyjścia)

22 Struktura systemu komputerowego - logika

23 Szyny danych

24 Sterowniki urządzeń Przykład sterowania urządzeniem Przykładowy układ sterujący napędem stacji dyskietek NEC PD 765: 16 rozkazów (1-9 bajtów przekazywanych do rejestrów urządzenia) czytanie/zapisywanie danych: komendy czytania i zapisywania składają się z 13 parametrów (sektory/ścieŝki, tryb zapisu lub tryb fizyczny, odległość między sektorami itp.) sterowanie głowicą formatowanie ścieŝek inicjalizacja, resetowanie, rekalibracja Śledzenie stanu włączenia/wyłączenia Systemy operacyjne / komputerowe zwalniają uŝytkowników z potrzeby znajomości powyŝszych szczegółów działania róŝnorodnych urządzeń przyłączanych do komputera.

25 Przegląd typowych systemów komputerowych - definicje Mainframe - komputer (ew. kilka) o duŝej wydajności przetwarzania danych i większych moŝliwościach niŝ komputer domowy, którego celem jest świadczenie usług duŝej liczbie uŝytkowników. W odróŝnieniu od superkomputera Mainframe nie posiada duŝej mocy obliczeniowej, a specjalizuje się w wydajnych operacjach I/O. (za wikipedią) W popularnym znaczeniu stacja robocza to kaŝdy komputer przeznaczony do bezpośredniej pracy (w odróŝnieniu od serwera, który tylko udostępnia zdalnie jakieś usługi). W szczególności w sieciach komputerowych mianem tym określa się kaŝdy komputer, który jest do tej sieci podłączony, a który nie słuŝy wyłącznie do jej obsługi. Pokrywa się to z grubsza z terminem komputer osobisty. (za wikipedią) Wieloprocesorowy system komputerowy jest systemem, w którym do dyspozycji jest więcej niŝ jeden procesor.

26 Przegląd typowych systemów komputerowych - definicje System rozproszony (ang. distributed system) to zbiór niezaleŝnych urządzeń technicznych połączonych w jedną, spójną logicznie całość. Zwykle łączonymi urządzeniami są komputery, rzadziej - systemy automatyki. Połączenie najczęściej realizowane jest przez sieć komputerową, jednak moŝna wykorzystać równieŝ inne - prostsze - magistrale komunikacyjne. Urządzenia są wyposaŝone w oprogramowanie umoŝliwiające współdzielenie zasobów systemowych. Jedną z podstawowych cech systemu rozproszonego jest jego transparentność (inaczej przezroczystość, ang. transparency), która stwarza na uŝytkownikach systemu rozproszonego wraŝenie pojedynczego i zintegrowanego systemu. Definicja systemu rozproszonego ewoluowała wraz z rozwojem komputerów i sieci komputerowych.

27 Przegląd typowych systemów komputerowych - definicje Klaster komputerowy (ang. cluster) zwany takŝe gronem - grupa połączonych jednostek komputerowych, które współpracują ze sobą w celu udostępnienia zintegrowanego środowiska pracy. Komputery wchodzące w skład klastra (będące członkami klastra) nazywamy węzłami (ang. node). W istniejących rozwiązaniach klastrowych moŝna wyodrębnić dwie podstawowe klasy wynikające z celów budowy takich rozwiązań: Klastry wydajnościowe: pracujące jako komputer równoległy. Celem ich budowy jest powiększenie mocy obliczeniowej. Wiele obecnych superkomputerów działa na tej zasadzie. Klastry niezawodnościowe: pracujące jako zespół komputerów dublujących nawzajem swoje funkcje. W razie awarii jednego z węzłów, następuje automatyczne przejęcie jego funkcji przez inne węzły.

28 Przegląd typowych systemów komputerowych - definicje System czasu rzeczywistego (ang. real-time system), to urządzenie techniczne, którego działanie jest ograniczone w czasie przez zjawiska zachodzące poza nim samym. Źródłem tych ograniczeń czasowych są zazwyczaj zjawiska fizyczne zachodzące w świecie rzeczywistym. Systemy czasu rzeczywistego znajdują zastosowanie: w przemyśle do nadzorowania procesów technologicznych, do nadzorowania eksperymentów naukowych, w urządzeniach powszechnego uŝytku, jak sterowniki układów ABS i ESP czy wtrysku paliwa do silników samochodowych, bądź teŝ urządzenia gospodarstwa domowego, w medycynie, w lotnictwie, zastosowaniach wojskowych i kosmicznych, w kasach biletowych (na przykład sprzedaŝy biletów lotniczych), oprogramowaniu bibliotek i podobnych usługach realizowanych w wielodostępnych systemach rozproszonych.

29 Przegląd typowych systemów komputerowych - definicje Superkomputer to pojedynczy komputer o bardzo wielkiej mocy obliczeniowej. Superkomputery zwykle spina się w wielkie układy połączone sieciami o olbrzymich przepustowościach, które tworzą klastry. Klaster jest samodzielną jednostką, której moŝna przypisać określone zadanie obliczeniowe, albo który moŝna wirtualnie podzielić w celu równoległego zajmowania się więcej niŝ jedną złoŝoną kalkulacją. Najszybszym nierozproszonym geograficznie superkomputerem w Polsce jest Holk z Centrum Informatycznego TASK w Politechnice Gdańskiej. Maszyna zarządzana przez system GNU/Linux (dystrybucja Debian), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS jest wykorzystywana do obliczeń naukowych. Centra superkomputerowe w Polsce: Cyfronet w Krakowie, ICM w Warszawie, PCSS w Poznaniu, TASK w Gdańsku, WCSS we Wrocławiu

30 Przegląd typowych systemów komputerowych - definicje Serwer plików to komputer (serwer) lub program, który udostępnia zasoby dyskowe danego komputera, w szczególności zapewnia dostęp do plików. Dwie zasadnicze kategorie serwerów aplikacji: Serwer w sieci komputerowej, przeznaczony do zdalnego uruchamiania i uŝytkowania aplikacji. (Praca terminal serwer) Program działający na zdalnej maszynie obsługujący Ŝądania kierowane do aplikacji, do której dostęp zapewnia. UŜytkownik łączy się za pośrednictwem przeglądarki internetowej, kieruje Ŝądanie do wybranej aplikacji, a całość operacji odbywa się po stronie komputera naleŝącego do organizacji, która udostępnia daną aplikację. Zestaw oprogramowania (platforma) wspierająca programistę/developera przy tworzeniu aplikacji. Do serwerów aplikacji naleŝą m.in.: JBoss, BEA WebLogic, IBM WebSphere oraz platforma.net Microsoft-u.

31 Przegląd typowych systemów komputerowych - definicje System Zarządzania Bazą Danych, SZBD (ang. Data Base Management System, DBMS) nazywany teŝ serwerem baz danych lub systemem baz danych, SBD to oprogramowanie bądź system informatyczny słuŝący do zarządzania komputerowymi bazami danych. Systemy baz danych mogą być sieciowymi serwerami baz danych lub udostępniać bazę danych lokalnie. Niezbędne mechanizmy: środki do gromadzenia, utrzymywania i administrowania trwałymi i masowymi zbiorami danych, środki zapewniające spójność i bezpieczeństwo danych, sprawny dostęp do danych (zwykle poprzez język zapytań, np. SQL), środki programistyczne słuŝące do aktualizacji/przetwarzania danych (API dla popularnych języków programowania), jednoczesny dostęp do danych dla wielu uŝytkowników (z reguły realizowany poprzez transakcje), środki pozwalające na regulację dostępu do danych (autoryzację), środki pozwalające na odtworzenie zawartości bazy danych po awarii, środki do zarządzania katalogami, schematami i innymi metadanymi, środki optymalizujące zajętość pamięci oraz czas dostępu (np. indeksy), środki do pracy lub współdziałania w środowiskach rozproszonych.

32 Systemy operacyjne media instalacyjne Dyskietka (MS DOS), lub CD/DVD Twardy dysk Pamięć nieulotna (ROM, EPROM) Live-CD (pionier: Knoppix) Dysk Twardy + Pamięć Nieulotna (stary MacOS) Pamięć USB (Pendrive Pendrive) Terminal sieciowy (X Window, Terminal Server) Start bezdyskowy

33 Stacje bezdyskowe - zalety Aplikacje są uruchamiane na serwerze, a terminal zajmuje się przekazywaniem do nich danych wejściowych i wyświetlaniem wyjściowych. Niski koszt bieŝącej administracji Brak przywiązania uŝytkownika do komputera Wspólna konfiguracja na wszystkich maszynach Szybsza praca 1G = 100MB/sek, 50uS Minimalne wymagania sprzętowe Redukcja nakładów finansowych na sprzęt Poprawione bezpieczeństwo (aktualizacje, skanowanie w czasie rzeczywistym)

34 System X Window przykład Terminala opartego na - GUI Często oprócz X Window System stosuje się teŝ nazwę X, X11 lub X11R6. Cechą charakterystyczną jest jego sieciowy charakter. System X tworzy okna, na których program moŝe tworzyć obraz, oraz zajmuje się obsługą urządzeń wejściowych (myszki, klawiatury, tabletu). Serwer X moŝe rysować tylko najprostsze obiekty (odcinki, wielokąty, elipsy, wyświetlać bitmapy, stawiać pojedyncze piksele), nie dostarcza natomiast Ŝadnego intefejsu uŝytkownika, czyli przycisków, rozwijanych menu, pasków przewijania itp. Rysowaniem i obsługą tych elementów musi zająć się program, najczęściej jest to biblioteka widgetów. System X nie zajmuje się równieŝ obsługą okien, nie dostarcza Ŝadnych wbudowanych mechanizmów do ich przesuwania, zmiany rozmiaru, zamykania i uruchamiania programów itd., nie rysuje takŝe pasków tytułowych dla okien tym wszystkim musi zająć się osobny program, tzw. menedŝer okien (ang. window manager).

35 System X Window Model Klient-Serwer X Server moŝe być: Aplikacją rysującą w oknie znajdującym się w innym systemie graficznym (X Serwer z pakietu cygwin). Programem systemowym obsługującym bezpośrednio kartę graficzną danego PC. Zintegrowanym urządzeniem. Protokół komunikacyjny: Komunikacja między serwerem a klientami jest realizowana za pomocą wymiany pakietów przez połączenie sieciowe. Okna W Systemie X Window to co w innych systemach określane jest mianem okna (window), tutaj nazywa się top-level level-window. W X okna znajdują się wewnątrz innych okien (okna potomne i macierzyste). Wszystkie elementy graficzne (przyciski, menu, suwaki itp) są realizowane w postaci okien potomnych. W X jest jedno okno korzeń (root window), które ma rozmiar ekranu. Wszystkie pozostałe okna są jego potomkami.

36 Jak to działa? KaŜdy X klient (czyli aplikacja graficzna) odczytuje wartość zmiennej środowiskowej KDE menadŝer okien dla X Window DISPLAY, która definiuje z jakim X Serwerem ma się skontaktować. Typowe wartości to: export DISPLAY=localhost:1 export DISPLAY=localhost:2 export DISPLAY=server.iem.pw.edu.pl:1 Jak bezpiecznie przesyłać dane? Protokół komunikacyjny X Window jest nieszyfrowany! Najłatwiej jest połączyć się konsolą tekstową i tunelować połączenie.

37 X Window jest systemem wieloplatformowym Przykład: X Serwer w pakiecie Cygwin

38 Linux Terminal Server Project (LTSP) Linux Terminal Server Project (LTSP) pakiet dla systemu Linux umoŝliwiający podłączenie wielu komputerów-terminali, terminali, nazywanych często X-terminalami, w roli cienkiego klienta do serwera linuksowego. Dla uŝytkownika wizualnie nie ma róŝnicy, czy pracuje na "normalnym" stanowisku czy na terminalu bezdyskowym. W obydwu przypadkach po włączeniu komputera wczytuje się jądro oraz system operacyjny. Prędkość uruchamiania jak i praca samych programów pozostaje równieŝ bez zmian (zaleŝne od wydajności serwera LTSP). Sieć jest budowana w taki sam sposób, czyli wszystkie komputery połączone są z przełącznikiem (lub przełącznikami).

39 Alternatywy dla X Window: VNC i NX VNC (ang. Virtual Network Computing) - system przekazywania obrazu z wirtualnego, bądź fizycznego środowiska graficznego. Prosty pakiet serwer+klient jest dostępny pod najpopularniejsze systemy operacyjne z trybem graficznym, jak: Linux, Windows, BSD, MacOS, OS/2, Solaris, Amiga, SCO i wiele innych. Klienty VNC są dostępne nawet dla urządzeń typu PDA i niektórych telefonów komórkowych. Jego wielką zaletą jest uŝycie licencji GPL, dzięki czemu VNC jest darmowe, bardzo rozwinięte, dostosowane do róŝnych potrzeb i bardzo wydajny. PowaŜnym konkurentem staje się system NX, który działa z jeszcze większą wydajnością. - Jego autorem jest Gian Filippo Pinzari, który oparł NX o istniejący protokół X11, przykładając jednak znacznie większą wagę do kompresji danych przepływających między maszynami i uwzględniając charakterystykę współczesnych programów. W efekcie NX jest bardzo wydajny i działa skutecznie nawet przez łącza modemowe (czyli o przepustowości do 56,6 kb/s).

40 Sieci lokalne LAN Sieci Ethernet propagacja sygnałów, adres MAC. Typy urządzeń koncentratory, przełączniki, routery. Stacje bezdyskowe.

41 Sieć lokalna Sieć lokalna (ang. Local Area Network stąd uŝywany takŝe w języku polskim skrót LAN) to najmniej rozległa postać sieci komputerowej, zazwyczaj ogranicza się do jednego budynku, lub kilku pobliskich budynków (np. bloków na osiedlu). Technologie stosowane w sieciach lokalnych moŝna podzielić na rozwiązanie oparte na przewodach (kable miedziane, światłowody) lub komunikacji radiowej (bezprzewodowe). W sieciach lokalnych przewodowych najczęściej uŝywaną technologią jest Ethernet (za pośrednictwem kart sieciowych). Czasem są to bardziej egzotyczne urządzenia jak np. port szeregowy (null-modem), port równoległy czy port podczerwieni. W sieciach lokalnych bezprzewodowych najczęściej uŝywaną technologią jest WLAN zwany takŝe WiFi określony standardami ETSI Sieci lokalne podłączone są często do Internetu wspólnym łączem, takim jak SDI, Neostrada, DSL itp. Zasięg sieci lokalnej ogranicza się do ok 2km.

42 Sieci Komputerowe Sieć miejska MAN (ang. Metropolitan Area Network) to duŝa sieć komputerowa której zasięg obejmuje aglomerację lub miasto. Tego typu sieci uŝywają najcześciej połączeń światłowodowych do komunikacji pomiędzy wchodzącymi w jej skład rozrzuconymi sieciami LAN. Wiele duŝych sieci rozpoczęło swoją działalność jako sieci miejskie. WAN, Sieć rozległa (ang. Wide Area Network, WAN) - sieć łącząca sieci lokalne, inne (mniejsze) sieci rozległe, jak równieŝ pojedyncze komputery. Odbywa się to przy pomocy urządzeń sieciowych takich jak routery oraz urządzeń dostępowych takich jak modemy. Doskonałym przykładem sieci rozległych jest Internet. Protokoły stosowane w sieciach rozległych to np: X.25, Frame Relay, Point to Point Protocol i ATM. Sieć szkieletowa backbone network - sieć komputerowa, przez którą przesyłana jest największa liczba informacji. Łączy zwykle mniejsze sieci (sieci lokalne), grupy robocze, przelączniki, sieci rozległe. Urządzenia wchodzące w strukture sieci szkieletowej z reguly odpowiedzialne są za funkcjonowanie całej sieci na okreslonym obszarze.

43 Topologie Sieciowe Magistrala Pierścień (Token Ring) Gwiazda P2P Peer To Peer Sieci bezprzewodowe PPP (Point To Point Protocol) połączenia modemowe.

44 Elementy sprzętowe, urządzenia

45 Sieci globalne WAN, Internet Systemy zapór (ang. fire-wall). Sieci wydzielone i wirtualne, VPN, PPTP. Sieci wyeksponowane i wewnętrzne. Częściowa mapa internetu

46 Model sieci TCP/IP 7 WARSTW Teoria 4 WARSTWY Praktyka

47 Protokoły i systemy sieciowe Rodzina protokołów IP - TCP/IP - model warstwowej struktury protokołów komunikacyjnych; został stworzony w latach 70. XX wieku w DARPA, aby pomóc w tworzeniu odpornych na atak sieci komputerowych; stał się podstawą struktury Internetu. IPX/SPX - zestaw protokołów sieciowych firmy Novell (protokół warstwy sieciowej IPX i warstwy transportowej SPX). UŜytkowany w sieciach lokalnych. Rozwiązanie to dostępne jest w systemach: NetWare, MS-DOS, MS Windows i OS/2. Obecnie protokoły te są wycofywane i zastępowane zestawem protokołów TCP/IP.

48 TCP i UDP UDP: User Datagram Protocol, Prostszy i wydajniejszy niŝ TCP, Nie gwarantuje dotarcia wiadomości, Bezpołączeniowy (nie ma sesji, kaŝdy pakiet jest przesyłany osobno), UŜywany najczęściej przy komunikacji Strumieniowej (media, VoIP)

49 Protokoły sieciowe z podziałem na Warstwy w których pracują Warstwa aplikacji: DNS, ED2K, FTP, HTTP, HTTPS, IMAP, IRC, NCP, NetBIOS, NWLink, NTP, POP3, RPC, SMTP, SMB, SSH, Telnet, X.500, Warstwa transportowa: NetBEUI, IPX, SSL, TCP, UDP Warstwa sieciowa: ARP, IP, ICMP, IPsec, NAT Warstwa dostępu do sieci: 10BASE-T, b/g WiFi, ADSL, DHCP, Ethernet, ISDN, PPP, RS- 232, SLIP, Token Ring

50 Warstwa Dostępu do Sieci: np.: DHCP DHCP (ang. Dynamic Host Configuration Protocol) to protokół komunikacyjny umoŝliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski sieci, i innych. Protokół DHCP opisuje trzy techniki przydzielania adresów IP: przydzielanie ręczne oparte na tablicy adresów MAC oraz odpowiednich dla nich adresów IP. Jest ona tworzona przez administratora serwera DHCP. W takiej sytuacji prawo do pracy w sieci mają tylko komputery zarejestrowane wcześniej przez obsługę systemu. przydzielanie automatyczne, gdzie wolne adresy IP z zakresu ustalonego przez administratora są przydzielane kolejnym zgłaszającym się po nie klientom. przydzielanie dynamiczne, pozwalające na ponowne uŝycie adresów IP. Administrator sieci nadaje zakres adresów IP do rozdzielenia. Automatycznie pobierane adresysą udostępniane na określony czas: LEASE TIME PERIOD.

51 Przykład SMTP: Simple Mail Transfer Protocol SMTP (ang. Simple Mail Transfer Protocol) - protokół komunikacyjny opisujący sposób przekazywania poczty elektronicznej w internecie. SMTP to względnie prosty, tekstowy protokół, w którym określa się co najmniej jednego odbiorcę wiadomości (w większości przypadków weryfikowane jest jego istnienie), a następnie przekazuje treść wiadomości. Łatwo przetestować serwer SMTP przy uŝyciu programu telnet. Protokół ten nie radził sobie dobrze z plikami binarnymi, poniewaŝ stworzony był w oparciu o czysty tekst ASCII. W celu kodowania plików binarnych do przesyłu przez SMTP stworzono standardy takie jak MIME. Przykład sesji SMTP:

52 POP Post Office Protocol (POP3) RównieŜ protokół tekstowy. Przykładowa sesja:

53 Protokół HTTP

54 Protokoły i systemy sieciowe Network Information Service (NIS) - pierwotnie Yellow Pages lub yp; protokół typu klient-serwer opracowany przez Sun Microsystems, słuŝący do śledzenia uŝytkowników i nazw hostów w sieci. Pozwala na scentralizowane zarządzanie kontami uŝytkowników w sieci, udostępnianie zasobów tekstowych takich jak listy hostów adresów i inne podobne.kerberos SSH (ang. secure shell) - to standard szyfrowanych protokołów komunikacyjnych uŝywanych w sieciach komputerowych TCP/IP, w architekturze klient-serwer TLS (ang. Transport Layer Security) przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), w swojej pierwotnej wersji zaprojektowanego przez firmę Netscape Communications Corporation. TLS ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia, opiera się na szyfrach asymetrycznych oraz certyfikatach standardu X.509.

55 Bezpieczeństwo sieciowe

56 Bezpieczeństwo sieciowe - NAT NAT: inaczej maskarada (ang. Masquerading) - technika translacji adresów sieciowych. Lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych (specjalna pula adresów tylko dla sieci lokalnych), mogą zostać podłączone do Internetu przez jeden komputer (lub router), posiadający mniej adresów internetowych niŝ komputerów w tej sieci. Wady: nie moŝna na własnym komputerze uruchomić serwera dostępnego w Internecie bez zmian wymagających interwencji administratora, utrudnione korzystanie z programów P2P i bezpośredniego wysyłania plików, zahamował wprowadzenie IPv6.

57 Bezpieczeństwo Serwer pośredniczący Proxy Proxy - oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu uŝytkownika. Często utoŝsamiany z pośrednikiem HTTP (HTTP proxy). UŜytkownik zleca pośrednikowi zadania za pomocą odpowiedniego klienta. W wypadku usług FTP i HTTP jest to klient FTP i przeglądarka internetowa. UŜycie pośrednika wprowadza w sieci element zabezpieczający, poniewaŝ jego praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka moŝe analizować logiczną zawartość pakietów, a nie jedynie ich formalną zgodność ze standardem. UmoŜliwia to wykrywanie wirusów, lub nielegalnych tuneli danych. Podsumowując, dzięki proxy moŝna uzyskać: zmniejszenie czasu dostępu do danych z Internetu zmniejszenie obciąŝenia łącz internetowych większe bezpieczeństwo i anonimowość uŝytkowników moŝliwość kontroli i wprowadzenia pewnych ograniczeń

58 Bezpieczeństwo sieciowe - VPN VPN Virtual Private Network

59 OpenSSH Oparte na kluczach niesymetrycznych, podczas łaczenia z serwerem musimy zaakceptować klucz serwera. Klient i serwer ssh Bezpieczne kopiowanie: scp Generacja kluczy do automatycznego logowania Tunelowanie ssh: (np.: bezpieczny dostęp do konta POP3, ominięcie rygorystycznego firewalla)

60 Zaawansowane protokoły sieciowe DCOM (Distributed Component Object Model - rozproszony obiektowy model komponentów) jest opracowanym przez Microsoft sposobem budowania komponentów programowych i zapewniania komunikacji między nimi w małej sieci komputerowej. Rozwinięty z COM jako odpowiedź na CORBA, stał się później częścią COM+. Został przez Microsoft uznany za przestarzały na rzecz platformy.net. RPC (Remote Procedure Call) to protokół zdalnego wywoływania procedur, stworzony przez Suna i swego czasu dość popularny na Uniksach, obsługiwany w bibliotekach języka Java, a współcześnie wypierany przez bardziej rozbudowane protokoły takie jak CORBA czy XML-RPC RPC. MPI (Interfejs Transmisji Wiadomości, ang. Message Passing Interfece) to protokól komunikacji pomiędzy komputerami. Tak naprawdę jest to standard komunikowania się działających na węzłach programów równoległych. MPI tworzą biblioteki, które moŝna wywoływać w programach tworzonych w językach Fortran, C, C++ i Ada.

61 Zaawansowane protokoły sieciowe SOAP (Simple Object Access Protocol) to protokół wywoływania zdalnego dostępu do obiektów, wykorzystujący XML do kodowania wywołań i HTTP do ich przenoszenia. Dokument SOAP składa się z trzech części: otoczki (envelope) która określa szkielet opisujący co znajduje się w komunikacie i jak go przetwarzać, zbioru reguł kodujących potrzebnych do rozszyfrowania typów danych (równieŝ złoŝonych) zdefiniowanych wewnątrz aplikacji, reguł dotyczących wywoływania zdalnych procedur i odczytu odpowiedzi. NFS (Network File System) to oparty o UDP protokół zdalnego udostępniania systemu plików. NFS jest de facto standardowym sieciowym systemem plików na Uniksach. Inne protokoły udostępniające taką usługę, jak np. Coda, nie zyskały duŝej popularności. NFS został opracowany przez Sun Microsystems. Z NFS wiąŝe się wiele problemów - przede wszystkim bardzo trudno zapewnić Ŝe dana operacja została wykonana.

62 Zaawansowane protokoły sieciowe LDAP (Lightweight Directory Access Protocol). Jest to "lekki" protokół przeznaczony do dostępu do usług katalogowych. Bazuje na usługach katalogowych X.500. Wykorzystywany praktycznie w adresacji sieci Internet/Intranet w celu zapewnienia niezawodności, skalowalności i bezpieczeństwa danych. W odróŝnieniu od X.500 nie potrzebuje ani szerokiego pasma (lightweight), ani duŝej mocy obliczeniowej. LDAP pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu. Dane grupowane są w strukturze przypominającej drzewo katalogów. KaŜdy obiekt jest jednoznacznie identyfikowany poprzez swoje połoŝenie na drzewie - tzw. distinguished name (DN). NIS (Network Information Service) Celem jego jest dostarczanie informacji, które muszą być dostępne w sieci (zwykle lokalnej) dla wszystkich komputerów. Informacje, które zwykle są dystrybuowane to: login/hasła/katalogi domowe, informacje o grupach. Jeśli na przykład informacja o twoim haśle jest zapisana w bazie haseł NIS, będziesz mógł się zalogować na wszystkich maszynach na sieci, które mają uruchomionego klienta NIS.

63 Zaawansowane protokoły sieciowe Active Directory to usługi katalogowe dla Windows 2003 Server oraz Windows Katalog przechowuje informacje o obiektach dostępnych w sieci czy są to udziały sieciowe, drukarki, komputery, czy teŝ wyspecjalizowane serwery bazodanowe czy inne oprogramowanie serwerowe. Dzięki Active Directory administrator ma potęŝne narzędzie pozwalające na wprowadzenie porządku i określonej, hierarchicznej struktury w sieci. Active Directory zarządza domenami Windows, które łączą się w hierarchiczną strukturę drzew domen i lasów domen. Są one zintegrowane z serwerami DNS. To allow Active Directory to gain popularity as an enterprise repository, Microsoft had to make an early commitment to LDAP. The Windows 2000 implementation of Active Directory is an LDAP-compliant directory supporting the core LDAP RFCs available at the time of its release. Currently, Windows 2000 Active Directory reaches LDAP compliance through support of the following RFCs. (cytat z: Active Directory LDAP Compliance, Microsoft Corporation, Published: October 2003)

64 SYSTEMY OPERACYJNE

65 System operacyjny jako Maszyna Wirtualna System operacyjny udostępnia Maszynę Wirtualną, która jest łatwiejsza w uŝyciu. (Fasada) Po co? RóŜnorodność sprzętowa, Nowe wersje sprzętu, Błędy w sterownikach, NiŜsze koszty wytwarzania oprogramowania, itp.

66 Składniki systemu operacyjnego System plików (lub kilka systemów) pozwalający logicznie organizować pliki. Podstawowy interfejs uŝytkownika: CLI command line interface lub GUI graphical user interface. Centralną częścią systemu jest JĄDRO (kernel) odpowiedzialne za przydzielanie oraz synchronizację wykorzystania zasobów między uruchomionymi procesami. Warstwa techniczna kontrolująca urządzenia za pomocą sterowników.

67 Poziomy Uprawnień UŜytkowników Konto uprzywilejowane: Unix: root (ma automatycznie dostęp do absolutnie wszystkiego) Windows: Administrator (musi mieć udostępnione prawo do danego obiektu, całe szczęście Administrator moŝe udostępniać prawa do absolutnie wszystkich obiektów) Konta uprzywilejowane NIGDY nie powinny być uŝywane podczas normalnej pracy uŝytkownika. W Windows Vista Microsoft wprowadził technologię UAC User Account Control, aby zmniejszyć liczbę programów wymagających uprawnień administratora. Aspekty socjologiczne.

68 Systemy operacyjne - środowisko niejednorodne Unix (FreeBSD, Linux, Solaris) MS-Windows (2000/XP/2003/Vista/7) MS-DOS? Novell Netware Plan9, QNX, BeOS Wirtualizacja systemu (Vmware, Virtual-PC, Qemu, VirtualBox)

69 Systemy otwarte problem GPL FreeBSD 7.2, 8.x Linux 2.4.x, 2.6.x Gentoo Debian (Knoppix 3.4) Mandrake 10.0 Redhat (Fedora10/11)

70 Aplikacje a systemy optymalna wersja aplikacji Wersje Unix a MS-Windows Emulacja (DOS, Wine, OpenDOS) Wirtualizacja systemu operacyjnego

71 Wirtualizacja systemów komputerowych JeŜeli chcemy eksperymentować z róŝnymi systemami, a boimy się stracić dane na aktualnym systemie, poniewaŝ instalacja nowego systemu wiąŝe się z partycjonowaniem dysku warto sięgnąć po oprogramowanie wirtualizujące: VMware, Microsoft Virtual PC, Bochs. Sun xvm Virtual Box Sugestia: VMware. -> od 2006 roku dostępna wersja darmowa: VMware Server ora VMware Player Sun xvm Virtual Box równieŝ oprogramowanie darmowe od firmy Sun Microsystems

72 Maszyny Wirtualne Zabawki czy Zastosowania Profesjonalne? Dla programistów jako środowiska testowe dla aplikacji na róŝnych systemach operacyjnych (często wersjach systemów). Dla twórców systemów operacyjnych. Dla administratorów. Jedna maszyna fizyczna współdzielona przez kilka maszyn logicznych, zwłaszcza przydatne przy nieregularnym obciąŝeniu. Dla akademików. Studenci mogą mieć własne komputery w ramach infrastruktury uczelni.

73 Konfiguracja systemów komputerowych Windows Rejestr Systemowy Binarny rejestr systemowy rozbity na dwie części: Część systemowa (HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE) Część uŝytkownika (HKEY_CURRENT_USER)

74 Rejestr Systemowy Składa się z pięciu korzeni: HKEY_CLASSES_ROOT informacje o typach plików oraz skojarzeniach z odpowiednimi rozszerzeniami, HKEY_CURRENT_USER zawiera konfigurację systemu oraz programów związaną z aktualnie zalogowanym uŝytkownikiem, HKEY_LOCAL_MACHINE konfiguracja komputera oraz zainstalowanego systemu operacyjnego, HKEY_USERS informacje o profilach wszystkich uŝytkowników utworzonych na danym komputerze, HKEY_CURRENT_CONFIG konfiguracja aktualnego profilu sprzętowego.

75 Rejestr Systemowy Klucze, podklucze oraz ich wartości: REG_SZ napis, REG_MULTI_SZ tablica napisów, REG_EXPAND_SZ napis wskazujący ścieźkę do pliku, REG_BINARY wartości binarne, REG_DWORD liczby całkowite. Źródło podpowiedzi i ciekawostek związanych z rejestrem:

76 Konfiguracja Windows Panel Sterowania Wszyscy znamy panel sterowania. W narzędziach administracyjnych znajdziemy Zarządzanie komputerem. Panel sterowania zbudowany jest z apletów: System Properties: Display Properties: Network Connections: Add or remove programs: Add Hardware Wizard: Internet Properties: Region and Language Options: Sound and Audio Devices: User Accounts: ODBC Data Source Administrator: Power Options Properties: Phone and Modem Options: sysdm.cpl desk.cpl ncpa.cpl appwiz.cpl hdwwiz.cpl Inetcpl.cpl intl.cpl mmsys.cpl nusrmgr.cpl odbccp32.cpl Powercfg.cpl telephon.cpl

77 Konfiguracja Unix Szereg rozproszonych plików tekstowych: /etc /usr/local/etc Zmienne środowiskowe export EDITOR=vi Konfiguracja uŝytkownika w katalogu domowym w plikach ropoczynających się od kropki (czyli plikach ukrytych): /home/ e/user/. /.configrc Problem: bak standardu. KaŜdy program przechowuje konfigurację we własny sposób. Stosowane są jedynie pewne zalecenia. Najpopularniejszym przykładem formatu jest tzw. format 'ini': [Nazwa sekcji] Zmienna=Wartosc

78 Systemy Plików Pliki i system plików to integralna część systemu operacyjnego! Praktycznie wszystkie czynności administracyjne wymagają modyfikacji w plikach. Techniczne aspekty systemów plików, czyli fizyczna reprezentacja danych na dyskach jest bardzo róŝnorodna. Unixie: drzewo i-node'ów node'ów, Windows NT: podobnie jak w Unix, drzewo DOS, Windows 3.x: struktura tablicowa (tablica FAT file allocation table) Systemy transakcyjne i nie transakcyjne: Nie transakcyjne: Linux: ext2, Windows: FAT32 Transakcyjne: Linux: ext3, ReiserFS, Windows: NTFS

79 Porównując Unix z Windows

80 Porównanie struktury katalogów

81 Struktura Katalogów - Unix /bin - podstawowe programy narzędziowe, wykorzystywane zarówno podczas uruchamiania systemu w trybie single user jak i multi user. Wykorzystywane są one do tworzenia otoczenia systemowego. /etc - większość plików konfiguracyjnych, pliki z konfiguracją systemu uŝywaną do procesu bootowania, tzn rc.conf, rc.local. /usr - większość aplikacji i programów uŝytkowych dla uŝytkowników. Programy tutaj są mniej krytyczne dla działania systemu. /usr/bin /usr/sbinsbin /usr/local /sbin większość programów narzędziowych przeznaczonych dla administratorów systemu

82 Struktura Katalogów - Unix /sys lub /usr/srcsrc źródła jądra systemu /dev - bloki i pliki urządzeń wykorzystywane przez system. W Unixie, kaŝde urządzenie reprezentowane jest jako specjalny plik w tym katalogu. Komunikacja z urządzeniami realizowana jest za pomocą operacji zapisu i odczytu z pliku. /home zwyczajowa lokalizacja katalogów uŝytkowników systemu /root katalog domowy administratora systemu (pamiętajmy, Ŝe root w unixie moŝe 'wszystko') /var katalog gdzie przechowywane są logi o pracy serwera, bufory róŝnych kolejek itp. /var/mail skrzynki pocztowe uŝytkowników /var/log logi róŝnych serwisów uruchomionych na serwerze

83 Struktura Katalogów - Unix

84 Acykliczny Graf Katalogów WINDOWS - skrót do programu lub katalogu, który jest interpretowany jedynie przez program Explorer. UNIX - linki są zaimplementowane na poziomie systemu operacyjnego. W unixie występują dwa typy linków: linki symboliczne - przechowują jedynie ścieŝkę oraz nazwę do pliku oryginalnego. Przykład uŝycia: ln -s../jaki/plik.txt nowy_link.txt linki twarde - kopia wpisu struktury informacyjnej pliku do nowego miejsca (nowa struktura nadal odowolueje się do tego samego miejsca na dysku fizycznym) Przykład uŝycia: ln../jaki/plik nowy_link_twardy.txt

85 Co nam pokazuje ls?