1 / 31

Administrarea reţelelor de calculatoare

Administrarea reţelelor de calculatoare. Administrarea Reţelelor Unix ; Principii. Administrarea reţelelor de calculatoare. Emil CEBUC conferenţiar Emil.Cebuc@cs.utcluj.ro Catedra de Calculatoare Cristian M ăgheruşan inginer sistem Cristi.Magherusan @net.utcluj.ro

Download Presentation

Administrarea reţelelor de calculatoare

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Administrarea reţelelor de calculatoare Administrarea Reţelelor Unix; Principii

  2. Administrarea reţelelor de calculatoare • Emil CEBUC conferenţiar • Emil.Cebuc@cs.utcluj.ro • Catedra de Calculatoare • Cristian Măgheruşan inginer sistem • Cristi.Magherusan@net.utcluj.ro • Nodul de Comunicaţii “Pusztai Kalman” al UTC-N

  3. Administrarea Reţelelor Unix • Despre Unix şi Linux • Noţiuni de baza Unix si Linux • Firewall-ul Linux • Rutare sub Linux • Recomandări de administrare a serverelor Unix • Firewall • Serverul SSH • Servere DNS • Servere web • Servere de E-mail • Redundanta si backup • Managementul log-urilor • Securitate

  4. Despre Unix şi Linux • Unix • Apărut în anii '70 • A influenţat foarte mult industria IT • Există foarte multe sisteme de operare înrudite derivate din Unix; inclusiv în dispozitive de reţea • Filosofia Unix • Principiul K.I.S.S. (Keep It Simple, Stupid) • Multe de componente mici ce contribuie de obicei la un singur lucru

  5. Despre Unix şi Linux • Linux • Sistem de operare (doar nucleul) clonă de Unix, dar open-source • Apărut in 1991-1992 • Foarte popular pe servere, şi din ce în ce mai popular pe desktop, workstation şi dispozitive portabile • Există sute de distribuţii de Linux care pe langă nucleu conţin şi suite de alte programe şi aplicaţii • Ambele au evoluat în paralel cu reţelele de calculatoare şi cu Internet-ul

  6. Noţiuni de bază Unix şi Linux • Multi-utilizator şi multi-tasking • Orientate spre lucrul în reţea încă de la început • Au sistem de fişiere arborescent cu o singura rădăcină • Everything is a file

  7. Firewall-ul din Linux • Are capabilităţi avansate • Filtrare • NAT • Alterarea pachetelor • Are o componentă care face parte din nucleul sistemului de operare Linux, numită netfilter • Poate fi controlat folosind utilitarul iptables

  8. Firewall-ul din Linux Concepte Tabele (tables) – sunt componentele principale ale arhitecturii netfilter • FILTER – procesarea pachetelor standard (implicit) • NAT (doar în IPv4) – rescrierea adreselor sursă/destinaţie, urmărirea conexiunilor • MANGLE – poate realiza o multitudine de alterări ale pachetelor în tranzit (ex. Schimbarea câmpului TTL, etichetare, etc.)

  9. Firewall-ul din Linux Concepte(2) • Lanţuri (chains) – liste de reguli dintro anumită tabelă asociate cu cârligele (hooks) – (veti slide-ul următor) • în tabela FILTER • Lanţurile INPUT, OUTPUT, FORWARD • în tabela NAT • PREROUTING, POSTROUTING, OUTPUT • în tabela MANGLE • PREROUTING, POSTROUTING, INPUT, OUTPUT, FORWARD

  10. Firewall-ul din Linux Concepte(3) • Cârligele (hooks) – puncte din lanţul de procesare de unde se poate intercepta traficul şi se pot declanşa diverse acţiuni (targets) • PREROUTING: Imediat după primirea de către interfaţa de reţea • POSTROUTING: Chiar înainte de ieşirea din interfaţa de reţea • INPUT: Chiar înainte de a înainta pachetul proceselor • OUTPUT: Imediat după crearea pachetelor de către procese • FORWARD: Pentru pachete care intră pe o interfaţă şi ies pe o alta

  11. Firewall-ul din Linux Concepte(4) • Ţintele (targets) – Determină acţiunea ce va fi efectuată în cazul în care pachetul se suprapune peste o anumita regulă • DROP – pachetul este eliminat din lanţul de procesare • ACCEPT – pachetul este trimis mai departe • REJECT – pachetul este eliminat, iar cel care l-a trimis este înştiinţat prin intermediul unui pachet ICMP generat de către sistem • Mai sunt si alte ţinte, mai ales la tabelele MANGLE şi NAT dar acestea sunt cele mai des întâlnite

  12. Firewall-ul din Linux Concepte(5) • Politici (Policies) • Ţinte implicite definite pentru cazul în care pachetul nu corespunde nici unei reguli în căile predefinite • Căile predefinite sunt: INPUT, OUTPUT şi FORWARD • Restul căilor definite de administrator nu au politici asociate

  13. Firewall-ul din Linux utilizarea Iptables • Regulile se pot adăuga în lanţurile tabelelor • Exemple de rulare a comenzii iptables: • iptables -t nat -F • #şterge toate regulile din tabela nat • iptables -P OUTPUT ACCEPT • # setează o politică • iptables -A INPUT -s 193.226.5.33 -p tcp --dport 22 -j REJECT • #respinge toate pachetele primite de la host-ul cu adresa IP in cauza pe portul TCP 22 (SSH)

  14. Rutare sub Linux • Procesul de rutare are loc între cârligele PREROUTING şi FORWARD ale netfilter • Deciziile de rutare se iau pe baza unei tabele de rutare • Rutele se pot alege în funcţie de lungimea prefixului şi de metrica pe care o au asociată $ route -n Kernel IP routing table Destination Gateway Genmark Flags Metric Ref Use Iface 192.168.5.20 192.168.10.7 255.255.255.255 UGH 1 0 180 eth1 192.168.1.81 192.168.10.5 255.255.255.255 UGH 1 0 187 eth1 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 63311 eth1 192.168.18.0 0.0.0.0 255.255.254.0 U 0 0 753430 eth0 192.168.64.0 192.168.10.5 255.255.192.0 UG 1 0 47543 eth1 192.168.128.0 192.168.10.7 255.255.192.0 UG 1 0 89011 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 564 lo 0.0.0.0 192.168.10.20 0.0.0.0 UG 1 0 183436 eth1

  15. Recomandări de administrare a serverelor Unix – Firewall; Controlul accesului • Se recomandă ca firewall-ul să fie configurat astfel încât să permită acces din exterior doar la porturile serviciilor necesare • Accesul spre INTERNET trebuie permis din firewall doar utilizatorilor care sunt de încredere (ex. utilizatorul apache ar trebui blocat) • Serviciile care nu trebuie să fie expuse spre exterior trebuie să asculte pe interfaţa de loopback, cu adresa IPv4 127.0.0.1

  16. Recomandări de administrare a serverelor Unix; Serverul SSH • Management-ul de la distanţă este indicat să se poată face doar dintr-un VPN la care au acces administratorii • Serverul de SSH trebuie protejat împotriva atacurilor brute force • Accesul prin SSH ca şi administrator (root) trebuie evitat • Doar anumiţi utilizatori trebuie să poată să utilizeze serverul de SSH

  17. Recomandări de administrare a serverelor Unix; DNS • Din motive de securitate serviciile de DNS trebuie sa fie diferenţiate, în iterativ şi respectiv recursiv, deşi unele implementări le suportă pe ambele simultan • Acestea trebuie să asculte pe adrese IP diferite • Serverul iterativ “găzduieşte” înregistrările DNS şi le face publice oricui le interoghează, în general altor servere de DNS • în mod normal acesta nu ar trebui sa facă caching • este server de DNS autoritar pentru domeniile găzduite

  18. Recomandări de administrare a serverelor Unix - DNS(2) • Serverul de DNS recursiv se ocupă de rezolvarea numelor sau adreselor pentru clienţii din reţeaua locala • Este server de DNS pentru utilizatorii din reţeaua locala • Se conectează mai întâi la root-servere, şi apoi rezolvă recursiv adresa din aproape în aproape (vezi slide-ul următor) • Face caching la înregistrări pentru a creşte performanţa şi a diminua traficul de date

  19. Rezoluţia recursivă de DNS

  20. Recomandări de administrare a serverelor Unix; Servere web • Serverele web se recomandă să fie în spatele unui firewall sau reverse proxy • Acesta poate eventual sa ofere şi capabilităţi de redundanţă sau balansare a încărcării • În cazul în care sunt găzduite mai multe domenii, acestea se recomandă să fie rulate ca şi utilizatori distincţi pentru a le izola între ele • Aplicaţiile web trebuie verificate periodic de găuri de securitate ce ar putea fi exploatate

  21. Recomandări de administrare a serverelor Unix; Servere de e-mail • Trebuie ca serverul de mail să nu fie configurat ca şi releu deschis (open relay) • Dacă funcţionează în acest mod se pot trimite prin intermediul sau mesaje de tip SPAM • Conţinutul mesajelor trebuie scanat de viruşi şi de mesaje de tip SPAM folosind filtre specializate • Conexiunile utilizatorilor la server se recomandă a fi realizate prin tunele criptate SSL sau TLS

  22. Redundanţă şi backup • Datele importante se recomandă să fie salvate periodic pe un suport extern(bandă, hard-disk) • Discurile se recomandă să fie utilizate în matrici RAID cu capabilităţi de asigurare a redundanţei • Nivelele RAID1, 5, 6 sau combinaţii ale acestora cu RAID0 (stripping) • RAID1 – oglindire (mirroring) • RAID5 – paritate 1/n distribuită pe toate discurile • RAID6 – paritate 2/n distribuită pe toate discurile

  23. Nivelele RAID 0; numai pentru viteză

  24. RAID 1

  25. RAID 5

  26. RAID 1+0

  27. RAID sub Linux • Linux suportă atât utilizarea de matrici RAID create din software de către sistemul de operare, cât şi utilizarea matricilor hardware RAID create cu ajutorul unui controler dedicat de pe placa de bază • Acestea sunt administrate de către subsistemul MD(Multiple Device) al kernel-ului • Unealta de configurare pentru RAID se numeşte mdstat

  28. Management-ul logurilor • Logurile sunt o componentă foarte importantă a procesului de administrare • Bune practici • Exportul logurilor pe o altă maşină din reţea • Selecţia şi analiza • Generarea de alerte • Rotirea • arhivarea periodică • ştergerea celor prea vechi

  29. Bune practici de securitate • Aplicarea de actualizări de securitate • Restricţionarea accesului la servicii • Utilizarea criptării în cazul accesului prin reţea la servicii, ori de câte ori este posibil • Utilizarea de sisteme de detecţie a intruziunilor

More Related