3737 АДМИНИСТРИРОВАНИЕ ИНФОРМАЦИОННЫХ СЕТЕЙ С ПОМОЩЬЮ СЛУЖБ DHCP И DNS

Лабораторная работа № 3

Администрирование сетевых и коммуникационных служб информационных систем

ЦЕЛЬ РАБОТЫ

Изучение принципов управления информационной сетью с помощью служб протокола TCP/IP. Освоение структур и принципов назначения IP-адресов и DNS-имен компьютеров. Исследование механизма разрешения DNS-имен в IP-адреса.

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Управление сетью при помощи сетевых протоколов и служб

Протоколы сетевого уровня

Протокол IP – краеугольный камень набора TCP/IP, названного по двум составляющим его протоколам (Transmission Control Protocol/Internet Protocol), которые вместе обеспечивают популярный сетевой транспортный сервис. Протокол транспортного уровня ТСР передает данные на сетевой уровень, где IP инкапсулирует их в кадр (пакет), добавляя свой заголовок и получая в результате дейтаграмму (datagram) – элемент данных, созданный протоколом сетевого уровня и состоящий из данных транспортного уровня и заголовка сетевого уровня. По существу протокол IP выполняет роль конверта, в котором данные TCP/IP доставляются по назначению. Протокол IP отвечает за передачу данных от исходной системы до целевой. Он не ориентирован на соединение, т.е. передает сообщения целевой системе, не устанавливая предварительно связи с ней. Протокол IP выполняет несколько важных функций:

-           инкапсуляцию – упаковку пакета данных транспортного уровня в дейтаграмму;

-       адресацию – идентификацию систем в сети по их IP-адресам (адрес IP имеет длину 32 бита и состоит из идентификатора сети и идентификатора хоста (хостом (host) в TCP/IP называется сетевой адаптер компьютера или другого устройства));

-       маршрутизацию – определение наиболее эффективного пути к целевой системе;

-       фрагментацию – разбиение данных на фрагменты, по размеру подходящие для передачи по сети;

-       идентификацию протокола транспортного уровня, который сгенерировал данные в дейтаграмме.

IP-адресация существенно облегчает компьютерам распознавание друг друга и обмен информацией, но с точки зрения пользователя удобством не отличается. Запоминать IP-адреса всех компьютеров локальной сети, принтеров и дисков, к которым необходимо обратиться, достаточно сложно. Чтобы сделать TCP/IP более "дружественным", его разработчики придумали систему имен хостов, то есть понятных имен, которые администратор присваивает компьютерам в сети и которые, по мере необходимости, преобразуются в IP-адреса.

Имя хоста (host name) – это имя, символизирующее компьютер. Существует несколько систем именования объектов сети, одной из которых является система именования доменных имен (Domain Name System, DNS). Когда происходит обращение к другому компьютеру сети по DNS-имени, инициирующий обращение компьютер должен сначала преобразовать это имя в IP-адрес. Процесс преобразования имени в адрес называется разрешением имени (name resolution).

Служба доменных имен

Структура доменных имен

В основе доменных имен лежит иерархическое пространство имен. При этом все пространство имен DNS представлено в виде отдельных фрагментов, называемых доменами (domains). Домены, связываясь между собой с помощью отношений родитель-потомок, образуют определенную иерархию. В зависимости от того, какое положение занимает домен в иерархии, принято говорить об уровне домена. На любом уровне домен может включать в свой состав домены более низкого уровня. Начиная со второго уровня домены могут также включать в свой состав хосты.

Домен, лежащий в основании иерархического пространства имен DNS, получил название корневого домена (root domain). Корневой домен выполняет функцию родоначальника всех доменов первого уровня. Фактически он является формальным элементом, символизирующим иерархичность пространства доменных имен. Для ссылки на корневой домен используются пустые кавычки (« »). При записи доменного имени корневой домен обозначается как пустое место после точки, которой оканчивается любое доменное имя.

Самое большое пространство имен DNS образует пространство имен Интернет, которое организовано следующим образом. Домены первого уровня используются для группировки других доменов по организационному или географическому признакам. В случае группировки по организационному принципу имена доменов первого уровня содержат три символа: edu (образовательные учреждения), com (коммерческие организации), org (некоммерческие организации), gov (правительственные организации), mil (военные учреждения) и др. При группировке по географическому признаку используются имена, состоящие из двух символов, например: ru (Россия), ie (Ирландия), au (Австралия) и т.п. Помимо перечисленных принципов формирования для организации доменов первого уровня используется группировка по принципу обратных запросов (reverse domains – обратных доменов). Обратные домены применяются для поиска доменного имени хоста по его IP-адресу. Обратный домен первого уровня получил название arpa. Он является единственным доменом первого уровня, имеющим имя из четырех символов. Домен содержит только один домен второго уровня: in-addr.arpa.

Вопросами создания доменов первого и второго уровней занимается специальная организация – Сетевой информационный центр (Network Information Center, NIC). Чтобы зарегистрировать домен второго уровня заинтересованная организация или физическое лицо должны обратиться в NIC с соответствующей заявкой. Доменное имя домена второго уровня выдается на срок на платной основе. В России регистрацией доменов второго уровня занимается Российский НИИ развития общественных сетей (Russian Institute for Public Network, RIPN). Зарегистрировав доменное имя второго уровня, организация или физическое лицо может создавать в его приделах любое количество хостов и доменов нижних уровней.

В пространстве имен DNS домены выступают в роли контейнеров или узлов дерева. Листьями дерева являются хосты, принадлежащие тому или иному домену. Каждый хост имеет собственное имя, уникальное в пределах того домена, к которому он принадлежит. Чтобы иметь возможность ссылаться на хост из любой произвольной точки сети, необходимо использовать его полное доменное имя (Fully Qualified Domain Name, FQDN). Полное доменное имя хоста образуется из имени хоста и имен всех доменов, находящихся между хостом и корневым доменом, разделенных точками. Например, для хоста www полное доменное имя записывается в виде www.microsoft.com. Такое имя уникально в пределах всего пространства DNS.

Процедура разрешения DNS-имени

Главная идея построения системы доменных имен заключается в создании альтернативного метода адресации объектов сети. Соединение же между хостами может быть организовано только на уровне IP-адресов. Поэтому необходимо предусмотреть механизм трансляции имен в соответствующие IP-адреса. В качестве такого механизма традиционно используется специальная служба, получившая название службы доменных имен (Domain Name Service, DNS). Служба DNS представляет собой распределенную базу данных, содержащую информацию об IP-адресах и соответствующих им доменных именах. Данные о доменах и принадлежащих им хостах, образующие пространство имен DNS, не концентрируются в одном месте, а хранятся в виде фрагментов на отдельных серверах. Компьютер, на котором функционирует служба DNS, принято называть сервером DNS. База данных каждого сервера DNS представляет собой фрагмент общего пространства имен, распределенного между множеством серверов. В терминологии DNS такие фрагменты пространства имен принято называть зонами (zone).

Служба DNS позволяет администраторам присваивать компьютерам сети имена с иерархической структурой и при необходимости разрешать их в IP-адреса. Взаимоотношения доменов различных уровней легче понять, разобравшись в том, как DNS-сервер находит IP-адрес по DNS-имени.

Распределенная природа пространства DNS-имен предполагает, что ни на одном сервере нет полного списка имен доменов Интернета и всех хостов в этих доменах. Поэтому, получив от клиентской системы запрос на разрешение имени, DNS-сервер прежде всего должен определить, где находится нужная ему информация. Он запрашивает у одного из корневых серверов адрес управляющего сервера для домена первого уровня разрешаемого имени. Например, чтобы определить IP-адрес для имени www.microsoft.com, DNS-сервер посылает корневому серверу запрос об адресе управляющего сервера для домена com. Если инициирующий соединение компьютер размещен в зоне домена com, то DNS-серверу направляется адрес управляющего сервера для домена microsoft.com. Для других доменов корневой сервер подобрал бы адрес соответствующего сервера домена первого уровня, куда DNS-сервер отправил бы новый запрос об адресе управляющего сервера для домена второго уровня. Так при запросе компьютера, являющегося элементом другой зоны (не com), на разрешение имени www.microsoft.com DNS-сервер сначала узнает IP-адреса доменов com и micrisoft.com, а затем направляет запрос домену micrisoft.com о разрешении IP-адреса хоста www. Сервер micrisoft.com возвращает запрашиваемый IP-адрес, а DNS-сервер перенаправляет его клиенту.

Обратное разрешение имени

Система DNS предназначена для поиска IP-адреса по имени, но иногда TCP/IP-компьютеру необходимо совершить обратное преобразование – определить имя по IP-адресу. Поскольку пространство DNS-имен распределено по различным доменам, выполнить эту задачу путем опроса всех управляющих DNS-серверов практически невозможно. Для решения этой проблемы в пространство DNS-имен включен специальный домен in-addr.arpa. В нем обратное преобразование (адреса в имя) осуществляется с помощью разделения на домены, в качестве имен которых используются IP-адреса. Домен  in-addr.arpa разделен на 256 доменов третьего уровня, именами которых являются числа от 0 до 255, символизирующие первый байт IP-адреса. Каждый домен третьего уровня разбит на 256 доменов четвертого уровня, представляющих второй байт IP-адреса. Также устроены домены пятого и шестого уровней. С их помощью можно найти DNS-имя для любого возможного IP-адреса. Например, IP-адресу 192.168.2.6 соответствует домен с именем 6.2.168.192.in-addr.arpa. В записи ресурса этого домена содержится DNS-имя компьютера с заданным IP-адресом. В имени домена байты IP-адреса расположены в обратном порядке.

Службы удаленного терминального доступа Telnet и Rlogin

Приложения, позволяющие осуществить удаленный терминальный доступ, очень популярны в Internet, так как при их применении отпадает необходимость иметь аппаратный терминал на каждом из хостов. Можно осуществить терминальное подключение к одному из хостов, а затем посредством сети подключиться к любому другому хосту (в том случае, если на этом хосте существует открытый бюджет).

В сетях TCP/IP существуют два приложения, использующие стандарт клиент-сервер, позволяющие осуществить терминальный заход.

  1. Telnet - стандартное приложение, которое присутствует практически в каждой реализации TCP/IP. Оно может быть применено для связи между хостами, работающими под управлением различных операционных систем. Telnet использует согласование опций клиента и сервера, чтобы определить, какие характеристики имеют клиенты на обеих сторонах.
  2. Программа Rlogin первоначально была разработана для осуществления связи между Unix системами, однако впоследствии была перенесена и на другие операционные системы.

Рассмотрим пример, который описывает процедуры службы DNS, реализуемые посредством Rlogin. Обмен пакетами показан на рисунке.

 

В процессе реализации соединения осуществляются 11 шагов, при этом заранее никакой информации на сторонах клиента или сервера кэшировано (сохранено) не было.

1.  Клиент 1 начинает процедуру связи. Он вводит DNS-имя компьютера (клиента 2), с которым надлежит осуществить связь, и вызывает разборщик (приложение, реализующее функцию разрешения введенного DNS-имени хоста в IP-адрес). Запрос типа A отправляется на DNS-сервер зоны клиента 1. Ресурсная запись А представляет собой запрос простого преобразования доменного имени хоста в некоторый IP-адрес.

2.  Ответ от DNS-сервера зоны клиента 1 содержит имя DNS-сервера для домена, в котором находится Rlogin сервер.

3.  Разборщик клиента повторно отправляет запрос типа A на DNS-сервер корневого домена. Этот запрос обычно имеет установленный флаг "рекурсия необходима".

4.  В результате выполнения рекурсивных запросов клиенту 1 передается отклик с IP-адресом клиента 2.

5.  Клиент Rlogin (клиент 1) устанавливает TCP соединение с сервером Rlogin. TCP модули клиента и сервера обмениваются друг с другом тремя пакетами.

6.  Сервер Rlogin принимает сообщение от клиента 1 и вызывает свой разборщик, чтобы получить имя хоста (клиента 2) по его IP-адресу. Это реализуется посредством PTR запроса на DNS-сервер зоны клиента 2. Ресурсная запись типа PTR используется для организации процесса обратного разрешения IP-адреса в соответствующее доменное имя. Сервер Rlogin проверяет тот ли это сервер зоны, к которому обратился клиент 1 на шаге 1.

7.  Отклик корневого сервера содержит имя DNS-сервера домена in-addr.arpa хоста.

8.  Разборщик сервера повторно отправляет PTR запрос к DNS-серверу клиента 2.

9.  PTR отклик содержит FQDN клиента 2.

10.  Разборщик сервера отправляет запрос типа A к DNS серверу клиента 2, спрашивая IP-адрес, соответствующий имени, возвращенному в предыдущем шаге.

11.  Отклик от DNS-сервера содержит запись A клиента 1 для хоста (клиента 2). Сервер Rlogin сравнивает запись A с IP-адресом клиента 1, потребовавшего открыть TCP соединение.

Кэширование может уменьшить количество пакетов, которыми производится обмен в рассмотренном примере.

Защита сетевых сообщений

Механизмы защиты передаваемых сообщений действуют в основном в пределах одной сети (или подсети), т.е. ограничивают доступ пользователей только файлами и ресурсами, которые нужны им для работы. Большое количество опасностей сосредоточено вне частной сети, а входят они в нее через главный канал связи с внешним миром – подключение к Интернету. Брандмауэром (firewall) называется устройство или программа, защищающая сеть от несанкционированного доступа извне. Обычно брандмауэры применяют для защиты частной сети или интерсети от несанкционированного доступа через Интернет. Однако ничто не мешает использовать брандмауэры и для внутреннего употребления, чтобы защитить части сети от неавторизованного доступа из других ее частей. Брандмауэр, по сути, является границей между двумя сетями, которой весь входящий трафик (поток обмена информацией) оценивается на предмет возможности передачи в другую сеть.

Для проверки сетевого трафика и обнаружения потенциальных угроз разработано множество методов.

Фильтрование пакетов. Фильтр принимает пакеты, поступающие в его интерфейсы, анализирует информацию, которую оставили в заголовке пакета различные протоколы, использовавшиеся при его создании, и принимает решение о возможности передачи пакета в другую сеть.

Аппаратные адреса. Передавать данные в другую сеть разрешается только определенным компьютерам. С помощью такого подхода можно, например, ограничить круг компьютеров, допущенных в определенную локальную информационную сеть.

IP-адреса. Передавать данные в другую сеть разрешается только на заданные IP-адреса и/или пришедшие только с заданных IP-адресов.

Идентификаторы протоколов. Через фильтр пропускаются только те пакеты, IP-дейтаграммы в которых созданы заданными протоколами, например TCP.

Номера портов. Брандмауэр пропускает или задерживает пакеты, опираясь на номер целевого порта или порта-источника, указанный в заголовке транспортного уровня.



 
страницу вебмастерской Если вы хотите. символьное имя домена. Хорошо если доменное имя