Usnadněte si správu sítě se vzdálenými uživateli

Technologie pro vzdálený přístup k sítím umožňují podnikům připojit detašovaná pracoviště k centrální síti. ...


Technologie pro vzdálený přístup k sítím umožňují podnikům připojit detašovaná
pracoviště k centrální síti. Tato vzdálená pracoviště jsou však pro firmy často
zdrojem problémů: ačkoliv jsou daleko od mateřského podniku, musejí mít jejich
pracovníci k dispozici všechny běžné aplikace i data. V následujícím textu se
zamýšlíme nad technologiemi vzdáleného přístupu a nad protokoly, které umožňují
nejlépe zajistit dostatečnou bezpečnost a snadnou správu.
Provoz detašovaných pracovišť je spojen s řadou rizikových a nákladových
faktorů, které se správci sítí již mnoho let snaží zvládnout, protože
odpovídají i za správu vzdálených počítačů a serverů. K tomu přistupují
bezpečnostní rizika při používání telefonních sítí a také nedostatek kapacity v
důsledku stále rostoucího objemu aplikací a dat. Nové struktury počítačů, které
nahradily zastaralá prostředí SNA, zvýšily jak náklady na obsluhu, tak i
vlastní pořizovací náklady hardwaru a komunikační náklady. V organizacích s
mnoha filiálkami, jako jsou např. banky a pojišťovny, se uplatňuje architektura
typu klient/server, která pro pracoviště s 10 nebo nejvýše 15 pracovníky
vyžaduje ne jeden, nýbrž několik serve-rů (pro kancelářské aplikace, pro
vlastní produkty, pro finanční a smluvní agendu, podporu odbytu, zákaznická
rozhraní atd.). Tím se snižuje poměr klientských počítačů k serveru z průměrně
50 až 100 uživatelů na server u velkých pracovišť na 4 až 5 uživatelů na server
u detašovaných pracovišť.
Šířka pásma
Přenosy dat mezi detašovanými pracovišti a centrálou vyžadují šířku pásma až 64
Kb/s, při problémech se vzdáleným serverem může být zapotřebí dokonce až 2 Mb/s
nebo i větší spojovací kapacita. ISDN jako přístupová technologie se v takových
případech obvykle nedoporučuje, spíše se používají standardní pevné linky nebo
Frame Relay.
Směřování k extranetům a k celosvětovému Internetu s sebou nese nutnost stále
pečlivějšího vnímání bezpečnostní problematiky a vyžaduje zvýšenou kontrolu
prokazování totožnosti a oprávnění k přístupu. Nelze se proto divit, že byly
dychtivě implementovány nejrůznější modely, které měly problémy v této oblasti
řešit. Aby se snížila potřeba obsluhy a nároky na kapacitu, zavádějí správci
sítí pomocné prostředky jako např. distribuovaný software, správu adres a jmen
pomocí protokolů DHCP a DNS, kontrolu oprávnění k přístupu službami Radius a
Tacacs+, které v následujícím textu krátce představíme.
Jednoduchá správa
Kvůli jednoduché správě uživatelů, dat a aplikací byly vyvinuty zdokonalené
nástroje pro distribuci softwaru; jsou k dispozici programy jako CID od IBM,
SMS od Microsoftu, jakož i přídavné nástroje typu HP/ITO nebo TME10 od Tivoli.
Při správě konfiguračních dat (verze softwaru, ovladače, síťové a grafické
karty, data v diskových a hlavních pamětích) má pomáhat tzv. Desktop Management.
Wake-on-LAN nebo podobné funkce umožňují zálohování a dálkovou diagnózu, resp.
údržbu za nepřítomnosti uživatele. Je-li pro zálohování a distribuci ještě
rentabilní ISDN, anebo zda se má raději nasadit rozhraní Frame Relay, to se
řídí podle frekvence a průměrné délky provádění těchto pravidelných
administrativních činností.
Okolo IP adres
Ne právě triviálním úkolem v souvislosti s přístupem k sítím je správa IP adres
a IP konfiguračních parametrů. Zde může správci sítě významně pomoci protokol
DHCP. Pro správu IP adres a konfigurací pro několik nebo pro všechna pracoviště
stačí v podstatě jeden centrální DHCP server. Pomocí vysílání IP broadcast,
které je předáváno centrále, si uživatel nebo počítačový systém vyžádá svoji IP
adresu a IP konfiguraci.
Adresy se přidělují na určitý omezený časový interval. Lze je ovšem také
přidělit "kvazistaticky" tím, že se příslušná hodnota nastaví na nekonečno.
Dotaz se opakuje při každém bootování anebo při běžící relaci, uplyne-li doba
pronájmu adresy. Vedle adresy, podsíťové masky a implicitního routeru lze
předávat i libovolné další konfigurační IP parametry.
Protože by dynamická změna adres serverů, přepínačů a routerů měla dosti
katastrofální následky, umožňuje protokol DHCP pomocí rezervací také plně
statické zadání adres. Minimalizace náročnosti správy pomocí DHCP však často
brání žádané optimalizaci přenosové kapacity: protože se konfigurační dotaz
opakuje při každém bootování, dochází zejména v době špičky ke zvýšenému nároku
na kapacitu sítě.
Velmi krátké doby pronájmu adres, kratší než 1 hodina (u malých společných
adresových oblastí v poměru k počtu uživatelů), nejsou vhodné pro ISDN, protože
nový dotaz a přidělení adresy při stálém obnovování spojení způsobuje vysoké
náklady. Chce--li současně bootovat několik uživatelů, mohou u pevných linek s
velkou základní zátěží i u ISDN vznikat dlouhé čekací doby.
Služba DNS
Služba DNS (Domain Name Service) pracuje jako doplněk DHCP: spojuje hostitelská
jména s adresami IP, ovšem staticky podle vloženého seznamu. Uživatel pak při
navazování spojení nemusí vyvolávat neohrabané IP adresy, nýbrž jen hostitelské
jméno. Díky tomu pak nemusí ani správce při každém překonfigurování
hostitelského počítače zpřístupňovat všechny uživatelské systémy a měnit v nich
IP adresy příslušného hostitele. Místo toho se změna provede jen na serveru
DNS; přitom musí dojít k dynamickému vyrovnání mezi DHCP a servery DNS.
Při použití služby DNS platí stejné předpoklady pro techniku přístupu k síti
jako pro DHCP, avšak dotaz na jméno je kratší. Zato se však opakuje nejen při
bootování, ale při každém navázání spojení. Výhodou kombinace DHCP a DNS je
centralizovaná správa IP adres a konfigurací, snadná modifikace jednotlivých
konfiguračních parametrů bez přímého přístupu k příslušné uživatelské stanici a
automatická změna adres při přesunu nebo změnách sítě. Při nedostatku adres
nebo zapojení mobilních spolupracovníků lze využít společné adresové oblasti.
Nevýhodou je vyšší náročnost na vybavení serverů; také je zapotřebí větší
kapacita pro přístup k síti WAN, což je argument proti použití ISDN.
Problémy bezpečnosti
Popsané administrativní přístupy z centrály k detašovaným pracovištím a zejména
v opačném směru, tedy uživatelské přístupy z detašovaných pracovišť do
centrály, by měly probíhat výlučně přes autorizovaný síťový přístup. K tomu se
dají dobře využít služby jako je Radius nebo Tacacs+. Jejich implementace spolu
s nutnými službami WAN vedla ke vzniku nové kategorie produktů, tzv. službě RAS
(Remote Access Service).
U řešení pro vzdálený přístup lze rozlišovat zhruba dva modely: jednak je to
proprietární hardwarový box výrobců, jako jsou Cisco, 3Com, Lucent nebo
Nortel/Bay, jednak otevřené systémy na platformě NT serverů a běžných PC (např.
Rascom, Compaq nebo Acer). Zatímco otevřená řešení RAS mají tu velkou výhodu,
že se dají lépe integrovat do uživatelské správy sítí NT a mají rychleji k
dispozici jakákoli nová technická řešení, např. v podobě PC karet, prosazují se
proprietární přístupové servery vyšším výkonem, lepší kompresí, větší
koncentrací portů a různorodějšími rozhraními.
U řešení na platformě NT je, jak známo, problémem stabilita, konfigurování
některých hardwarových boxů zase předpokládá zvláštní zálibu v šifrovacích
řídících jazycích ("login authentication admins; modem ri-is-cd; interface
group-async 1; encaps ppp; ppp authentication pap ddialins" autentický
konfigurační extrakt jednoho vedoucího dodavatele sítí).
Použijme Radius
Radius je protokol typu klient/ /server, který umožňuje výměnu informací o
prokazování totožnosti, oprávnění, ale i jiných konfiguračních dat mezi
(centrálním) autentizačním serverem a decentralizovanými přístupovými servery.
Přístupový server detašovaného pracoviště centrální sítě (NAS Network Access
Server) se stává klientem serveru služby Radius. Iniciuje-li vzdálený uživatel
spojení, vyšle NAS dotaz s atributy, které uživatel zadal (jméno uživatele,
heslo, NAS--ID, Port-ID). Heslo se v každém případě přenáší šifrovaně. Server
služby Radius ověří ve své databance uživatelovy údaje, eventuálně i zadané
požadavky na spojení a požadované služby, resp. port TCP/UDP. To umožňuje, aby
byly každému jednotlivému uživateli zpřístupněny, nebo naopak zablokovány vyšší
IP protokoly.
Jsou-li všechny požadavky splněny, odpoví server služby Radius na přístupový
dotaz povolením přístupu. Potom může serveru NAS sdělit konfigurační detaily,
jako např. druh služby, IP adresu, podsíťovou masku, techniku komprese nebo
paketový filtr. Tak lze individuálně konfigurovat přístup k síti pro různá
detašovaná pracoviště a pro různé uživatele, přitom je však zachována centrální
správa.
Služba Radius má pro své uživatele některé výhody: správa uživatelů se vede v
jednotné konzistentní databázi na serveru služby Radius. Je-li implementován na
platformě Microsoft NT Server, lze aplikovat obecnou uživatelskou správu NT.
Odpadá tím nutnost separátní správy uživatelských práv a specifických
uživatelských konfiguračních dat, jakož i nutnost konfiguračních změn při
přemisťování sítě.
Jsou-li přístupové servery kompatibilní se službou Radius, odvíjí se
prověřování přes server této služby. Heslo se přenáší zašifrované, prokazování
totožnosti je pro uživatele transparentní, protože probíhá jako spojení podle
protokolu PPP, které iniciuje přístupový server. Tím se snižuje riziko
manipulace. Prověření totožnosti uživatele není vázáno na určitou techniku, ta
je volitelná (např. PAP, CHAP nebo Unic Login).
Vyúčtování (evidence) podle RFC 2139 se provádí odděleně pro každé uživatelské
spojení, přičemž může poskytnout významné informace o chybách ve spojení, i
další data, např. pro potřeby optimalizace.
Budoucí vývoj umožní importovat účtovací informace služby Radius do účtovacího
softwaru anebo do nástrojů pro analýzu trendů, kde budou dále zpracovány.
Nevýhodou je, že se všechny atributy s výjimkou hesla přenášejí nešifrovaně,
takže se k nim mohou dostat eventální vyzvědači.
Protokol Tacacs+
Tacacs+ je protokol podporovaný firmou Cisco. Pracuje podobně jako Radius, je
však na trhu již podstatně déle. Na rozdíl od Radiu používá TCP a podporuje
některé další protokoly (ARA, NASI, NetBIOS, Frame Protocol Control, PAD),
jejichž užívání však neustále ztrácí na významu.
V kostce
Jedno je jisté: techniky přístupu k sítím umožňují použití aplikací jako např.
vzdálený přístup k podnikovým zdrojům, staví však správce sítí před nové úkoly.
Správcům přitom pomáhá řada nástrojů, které ulehčují a zlevňují správu a provoz
vzdálených pracovišť. Moderní sítě s nejvyšší kvalitou služeb dokonce znovu
objevují přednosti starých velkých počítačů. Výrobci například slibují
uživatelské provozní třídy (Class of Service) pro přístup k sítím a využívání
zdrojů, bezpečnost a centralizaci zdrojů pro velký počet uživatelů, rozdělených
na více pracovišť.
Chtějí toho dosáhnout technologiemi, jako jsou DEN (Directory Enabled Networks)
a Policy Networks. Tyto technologie chtějí vyřadit redundantní a nekonzistentní
administrativní adresáře síťových operačních systémů a skoncovat s
nekompatibilními datovými formáty, uživatelskými rozhraními serverů DHCP, DNS a
Radius a v nejhorším případě i s různými uživatelskými jmény. Místo toho mají
uživatelé aplikací DENu získat jednoduchý způsob přihlášení se a navázání
spojení vč. vzdálené autokonfigurace. Přínosy adresářů
Libovolné síťové nebo systémové komponenty dostávají své konfigurační parametry
včetně dovolených nebo nedovolených technik přístupu k síti z centrálního
adresářového serveru. Místo rozdílných přístrojových konfigurací se bude systém
nebo složka sítě sama dálkově konfigurovat (autokonfigurovat), přičemž
příslušné parametry se zanesou do příslušných protokolem určených polí
(records).
Jako přístupový protokol se nabízí LDAPv3 (Lightweight Directory Access
Protocol verze 3), což je podstatně zeštíhlený další vývojový stupeň standardu
X.500 na platformě IP, který se omezuje na jednotné přístupové schéma s názvy
kompatibilními s X.500, aniž by však předepisoval konkrétní funkci adresáře.
Lze tak jednotně použít různé adresářové služby, např. Netware Directory
Services, Netscape Directory Services, Microsoft Active Directory nebo X.500
Directory.
Policy Networks
Pod pojmem "Policy Networks" se rozumí centrálně řízená správa síťových zdrojů,
tedy maximálně účinné využití výkonu serveru a výkonové kapacity. Každé
navázání spojení je provázeno kontrolním dotazem u Policy Serveru, zda daný
přístroj nebo uživatel může použít požadovanou aplikaci (soubor, databázi,
video, telefon) v daný okamžik, při dané prioritě a síťovém přístupu (ISDN, SFV
standardní pevná linka, Frame Relay), které jsou uváděny v dotazu. V tomto
kontextu jsou významnými protokoly např. RSVP (Reservation Protocol) pro
rezervace, IEEE 802.1p a Q pro stanovení priorit, Cops a DIAMETER jako Policy
Server.
Jak dál
Výše zmíněné technologie jsou vhodné nejen pro usnadnění správy sítí, ve
kterých jsou připojeny vzdálené počítače, ale pochopitelně i pro sítě obecně.
Důležitým aspektem v souvislosti s technikami přístupu k sítím jsou však další
administrativní problémy vyvolané technologiemi, jako jsou ADSL, ISDN nebo
radiové LAN. Použití nástrojů jako DHCP, DNS, nebo dalších výše jmenovaných
ušetří správcům sítí mnoho starostí.
Slovník zkratek
ARA Apple Remote Access
Chap Challenge Handshake Authentification Protocol
Cops Common Open Policy Service
DEN Directory Enabled Networks
DHCP Dynamic Host Configuration Protocol
DNS Domain Name Service
LDAP Lightweight Directory Access Protocol
NASI Netware Asynchronous Service Interface
PAD Packet Assembler/Disassembler
PAP Password Authentification Protocol
RAS Remote Access Service
Radius Remote Authentication Dial-In Service
RSVP Resource Reservation Protocol
Slip Serial Line Interface Protocol
SNA Systems Network Architecture
Tacacs+ Terminal Access Controller Access Control System
TCP/UDP Transfer Control Protocol/User Datagram Protocol
9 0575 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.