Понятие корпоративного сервера как системы

 

Корпоративный сервер представляет собой аппаратно программный комплекс позволяющий решать большинство задач, решение которых требуется для нормальной работы организации.

Типичные задачи, которые позволяет решать корпоративный сервер:

– Организация безопасного доступа в интернет;

– Внутрикорпотивный файлообмен посредствам файлового сервера;

– Подсчёт потребляемого трафика;

– Мониторинг сетевой активности;

– Блокировка нежелательных сайтов;

– Хранилище SQL баз данных организации;

Внедрение такой системы ставит перед IT департаментом новые задачи и новые возможности, например, создание собственного Web сервера, собственного почтового сервера. Примерами новых задач может служить то, что возникает необходимость в периодическом обновлении системы, во избежание возникновения уязвимостей и слабых мест в системе безопасности и как следствие возникновения опасности проникновения злоумышленника.

Между тем, по мнению Кастельса М., «созревание информационно-технологической революции в 1990-х годах трансформировало трудовой процесс, введя новые формы социального и технического разделения труда» [2, с. 233]. И далее «…новая информационная технология перестраивает трудовые процессы и работников, а, следовательно, структуру занятости и профессиональную структуру» [2, с. 242].

Внедрение новых информационных технологий требует разработки внутренней политики безопасности, регламента работы со средствами вычислительной техники. Разработка кадровой политики направленной на обучение и переквалификацию работников.

Новые возможности позволяют сотрудникам более эффективно выполнять свою работу, например использование электронной почты существенно увеличивает скорость документооборота. А использование Интернета позволяет сотрудникам оперативно получать доступ к необходимой информации, благодаря чему увеличивается эффективность выполнения ими своих обязанностей. Но тот, же доступ в Интернет нуждается в жестовой регламентации, поскольку помимо источника ценнейшей информации интернет является источником компьютерных вирусов и потенциальным путём проникновения для злоумышленника. Именно поэтому на отдел информационных технологий ложится задача защиты от различных информационных угроз, это требует комплексного подхода к проблеме. Игнорирование угроз может привести к серьёзным потерям не только финансовым, но и материальным. Также типичной задачей IT департамента является оказание поддержки пользователям, это связано с тем, что большинство рядовых сотрудником в большинстве своём не знакомо с внедряемыми технологиями. Наиболее простое решение данной проблемы это организация бесплатных курсов по информационным технологиям силами отдела информационных технологий или же направление сотрудников на специализированные курсы за счёт предприятия.

При организации корпоративного сервера следует уделять особое внимание, как программной составляющей, так и технической, особое внимание должно быть уделено программной части, поскольку именно она влияет на функционал сервера.

Аппаратная платформа определяет вычислительную мощность сервера. Аппаратная составляющая рассчитывается из нагрузки на сервер, а нагрузка в свою очередь вычисляется из количества пользователей и задач которые будут возложены на сервер. Существует огромный перечень различных аппаратных решений, начиная широкопрофильными и заканчивая узкоспециализированными.

Программная же часть, определяет функционал сервера. Её нужно подбирать исходя из того, какие функции должен выполнять сервер и на какой аппаратной платформе он будет функционировать. К выбору программной платформы нужно подходить наиболее тщательно, поскольку ошибка в выборе может привести к серьёзным материальным и финансовым потерям.

За последние время существенно расширился ряд, как программных серверных платформ, так и аппаратных. Предназначенных для решения различного рода задач, начиная от самых обычных и заканчивая задачами государственного и планетарного масштаба. Они различаются ценой качеством, функциональными особенностями, и т.д.

Что касается аппаратной части, то чаще всего используется продукция таких фирм как: HP, IBM, Intel, Dell, AMD, COMPAQ.

Программная же составляющая, в качестве OC: Microsoft Windows Server, или операционные системы семейства UNIX\LINUX различных фирм.

Продукция фирмы Microsoft более дружелюбна администратору, нежели UNIX\LINUX в плане удобства настройки и администрирования, но и стоит она соответственно немало, UNIX\LINUX в 99% случаев распространяется абсолютно бесплатно и редко требует больших финансовых расходов на приобретение, к тому, же и серверное ПО под UNIX\LINUX, в отличие от аналогичного по функциональным возможностям серверного ПО под Windows, распространяется также бесплатно.

Ко всему выше перечисленному операционные системы семейства UNIX\LINUX работают значительно стабильней, чем продукция фирмы Microsoft, и требуют меньших аппаратных мощностей, благодаря чему снижаются финансовые расходы на развертывание и поддержание работоспособности сервера. Поэтому операционные системы семейства UNIX\LINUX являются наиболее предпочтительными для организации корпоративного сервера, выполняющего задачу предоставления доступа в интернет

Сегмент рынка корпоративных серверов на базе LINUX, велик, но не достаточно, основную часть рынка составляет продукция корпорации Microsoft. Основными факторами достоинствами Linux являются.

– дешевизна;

– стабильность;

– гибкость;

Корпоративный сервер является частью общей IT инфраструктуры организации, такой же частью, как и вычислительная сеть организации. Именно ЛВС предприятия осуществляет передачу информации внутри организации.

В настоящее время наличие компьютерных сетей в офисе является неотъемлемым атрибутом успешного бизнеса. Локальная вычислительная сеть – это связанные между собой в единую информационную систему независимые персональные компьютеры, серверы, принтеры, факсы и другое телекоммуникационное оборудование.

Используя ресурсы локальной компьютерной сети, можно связать в единую корпоративную информационную систему несколько офисов, удалённых территориально. Современное оборудование позволяет передавать большие информационные потоки данных, как по проводным линиям, так и по радиоканалу, что увеличивает эффективность и гибкость создаваемых локальных и корпоративных сетей связи.

При правильном построении компьютерной сети и грамотном администрировании легко обеспечивается доступ к необходимой информации, а также ее защита от несанкционированного доступа. Вложенные на этапе организации финансовые средства обеспечивают системе долговечность и эффективность, в дальнейшем сеть быстро окупится и потребует минимальных затрат на эксплуатацию.

Основными требованиями, которым должна удовлетворять компьютерная сеть являются:

Открытость – возможность подключения дополнительных компьютеров и других устройств, а также линий (каналов) связи без изменения технических и программных средств существующих компонентов сети.

Гибкость– сохранение работоспособности при изменении структуры в результате выхода из строя любого компьютера или линии связи.

Эффективность– обеспечение требуемого качества обслуживания пользователей при минимальных затратах. [3]

Большая часть сетей построена по технологии Ethernet.

При создании локальных сетей чаще всего используется аппаратная архитектура, называемая Ethernet. В простейшем виде сеть Ethernet состоит из одного кабеля, к которому при помощи разъемов, коннекторов и трансиверов подключаются все сетевые узлы. Простая сеть Ethernet обходится относительно недорого, что в сочетании со скоростью передачи в 10, 100 и даже 1000 Мбит/с в значительной степени способствует ее популярности.

Существует три разновидности Ethernet, условно называемые толстый, тонкий и витая пара. При использовании тонкого и толстого Ethernet данные передаются через коаксиальные кабели, отличающиеся по диаметру и способу подключения к компьютеру. Для подключения компьютера к тонкому кабелю Ethernet используется специальный коннектор Т-образной формы (Т-коннектор), который вставляется в разрыв кабеля и подключается к разъему на задней стенке компьютера. Чтобы подключить компьютер к толстому кабелю Ethernet, необходимо просверлить в кабеле небольшое отверстие и при помощи специального прокалывающего приспособления (vampire tap) подсоединить к нему вспомогательный трансиверный кабель. К трансиверному кабелю можно подсоединить один или несколько сетевых узлов. Тонкий кабель Ethernet может достигать 200 метров в длину, а толстый – 500 метров. Эти разновидности Ethernet называют 10base-2 и 10base-5 соответственно. Связка base происходит от термина «baseband modulations», означающего, что данные передаются непосредственно в кабель, минуя модем. Число в начале определяет скорость в Мбит/с, а число на конце – максимальную длину кабеля в сотнях метров. При использовании витой пары используется кабель, состоящий из двух пар медных проводов. Обычно при этом требуется установить дополнительное устройство, называемое активным концентратором (active hub). Витую пару обозначают термином 10base-T (Т – twisted pair, то есть «витая пара»). Для витых пар со скоростью передачи 100 Мбит/с, используется обозначение 100base-T.

Чтобы подключить новый сетевой узел к тонкому кабелю Ethernet, требуется прервать передачу всех данных, по крайней мере, на несколько минут, поскольку при этом необходимо разорвать кабель и вставить в разрыв новый Т-коннектор. Подсоединить новый узел к сети, использующей толстый кабель Ethernet, несколько сложнее, однако при этом не требуется останавливать работу сети. С витой парой дело обстоит еще проще. В этой технологии используется устройство, называемое концентратором (hub) и выполняющее функции точки соединения. Подключение и отключение узлов от концентратора абсолютно не мешает работе других пользователей.

Чаще всего для создания малых сетей используется тонкий кабель Ethernet, поскольку этот вариант обходится очень дешево. Карты Ethernet стоят около 15 долларов (многие компании отдают их почти задаром), а кабель обходится в несколько центов за метр. Тем не менее, для крупномасштабных сетей больше подходит толстый кабель или витая пара. Сети на базе витой пары также получили очень широкое распространение. Стоимость концентраторов падает, а небольшие устройства сейчас продаются по цене, вполне подходящей даже для малых домашних сетей. Прокладка витой пары обходится существенно дешевле для больших сетей, а сам кабель обладает существенно большей гибкостью, чем коаксиальные кабели, используемые в других системах Ethernet.

Одним из недостатков технологии Ethernet является ограничение на длину кабеля, что позволяет использовать Ethernet только при создании локальных сетей. Однако несколько сетевых сегментов Ethernet можно соединить друг с другом при помощи повторителей (repeaters), мостов (bridges) или маршрутизаторов (routers). Повторитель просто передает сигнал из сегмента в сегмент, при этом усиливая его. Благодаря этому все сегменты сети работают так, будто они являются единым сегментом Ethernet. Из-за ограничений, связанных с временными задержками, между любыми двумя сетевыми узлами может быть установлено не более четырех повторителей. Мосты и маршрутизаторы устроены более сложно. Они анализируют поступающие данные и передают их в другой сегмент только в случае, если принимающий сетевой узел расположен в другом сегменте сети.

Сеть Ethernet работает подобно единой шине, через которую любой узел может пересылать пакеты (или фреймы) размером до 1500 байт на другой узел, подключенный к тому же сегменту Ethernet. Узел адресуется шестибайтовым адресом, хранящимся в постоянном запоминающем устройстве сетевой карты Ethernet (Network Interface Card, NIC). Адрес Ethernet обычно записывают как последовательность из шести Двухзначных шестнадцатеричных чисел, разделенных двоеточиями – например, aa:bb:cc:dd:ee:ff.

Фрейм, посланный одним из узлов, принимается всеми подключенными станциями, но только узел назначения обращает на него внимание и начинает его обработку. Если два узла пытаются переслать фрейм одновременно, происходит коллизия (collision), или столкновение. Коллизии в Ethernet очень быстро обнаруживаются электронными схемами сетевых карт. Чтобы разрешить конфликт, оба узла прекращают передачу и осуществляют новую попытку спустя случайно выбранный интервал времени. Вам предстоит услышать немало историй о проблеме коллизий в Ethernet и о том, что из-за них Ethernet используется только на 30 процентов своей потенциальной пропускной способности. Коллизии в Ethernet считаются нормальным явлением, и в очень занятой сети Ethernet частота коллизий вполне может доходить до 30 процентов. При использовании сетей Ethernet причина для беспокойства обычно появляется лишь тогда, когда частота коллизий доходит до 60 процентов. [4]

Не одна сеть не обходится без прокладки проводов. Для сети используются провода типа витая пара UTP.

Витая пара UTP (Unshielded Twisted Pair) представляет собой изолированные попарно свитые одножильные провода, при чем, число переплетений пар имеет разный шаг, на определенном отрезке длины кабеля. Это делается для сокращения перекрестных наводок между проводниками.

Во время монтажа кабеля типа «витая пара», важно обеспечить минимально допустимую величину развития пар кабеля, для уменьшения потерь сигнала в кабеле.

Для построения сетей применяются следующие разновидности кабеля:

UTP (unshielded twisted pair) – незащищенная витая пара – витые пары которого не имеют экранирования;

 

Рис. 2 Витая пара

 

FTP (Foiled Twisted Pair) – фольгированная витая пара – имеет общий экран из фольги, однако у каждой пары нет индивидуальной защиты;

 

Рис. 3. Витая пара

 

STP (shielded twisted pair) – защищенная витая пара – каждая пара имеет собственный экран;

 

Рис. 4. Витая пара

 

Табл. 3. Разновидности UTP кабелей

Категории:	Применение:
1	Телефон; POTS (Plain Telephone System, услуги традиционной телефонии); системы сигнализации
2	Телефон; миникомпьютеры IBM и терминалы; ARCNET; LocalTalk
3	Локальные сети Token Ring и Ethernet 10Base T, голосовые каналы и другие низкочастотные приложения (в настоящее время не рассматривается).
5	Локальные сети со скоростью передачи данных до 100 Mbit/s
5E	Локальные сети со скоростью передачи данных до 1000 Mbit/s
6	Локальные сети со скоростью передачи данных до 1000 Mbit/s
7	Локальные сети со скоростью передачи данных до 1000 Mbit/s

 

Помимо основных спецификаций, стандарт ANSI/TIA/EIA-568 определяет уровни производительности для кабеля UTP, в соответствии с которыми кабель разделяется на категории. Чем выше категория кабеля, тем он более эффективен. Основное отличие между категориями кабеля заключается в разном количестве витков пар проводов. [5]

Также кроме кабельных сетей, в некоторых случаях целесообразно воспользоваться технологией WiFi, благодаря ей появилась возможность строить без проводные сети.

Беспроводная сеть Wi-Fi состоит из точек доступа и клиентских устройств (настольных компьютеров, ноутбуков, КПК), оснащенных беспроводными адаптерами. Точки доступа могут работать в пяти различных режимах:

– собственно точка доступа (Access Point);

– мост «точка – точка» (Wireless Bridge);

– мост «точка – много точек» (Multi-point Bridge);

– репитер (Repeater);

– беспроводной клиент (Wireless Client).

Также в состав беспроводной сети могут входить различные устройства со встроенными точками доступа – ADSL-модемы, маршрутизаторы, принт-серверы, видеокамеры и т.д.

Точка доступа (access point, AP) – приемо-передающее радиоустройство, обеспечивающее связь между мобильными пользователями и их подключение к проводной локальной сети.

Точки доступа, работающие в режиме беспроводного моста, обеспечивают беспроводное соединение между двумя проводными сетями. Точки доступа в режиме репитера используются для расширения площади покрытия беспроводной сети. Точки доступа в режиме беспроводного клиента выполняют функции клиентского адаптера. Этот режим используется, когда нет возможности установить в компьютер обычный адаптер Wi-Fi, но имеется интерфейс Ethernet.

Беспроводной адаптер предоставляет клиентскому устройству подключение к сети через точку доступа (инфраструктурный режим) либо выполняет прямое подключение к другому адаптеру (режим Ad-Hoc). Выпускаются адаптеры с различными интерфейсами – для установки в настольные компьютеры (PCI), в ноутбуки (Cardbus), в КПК (CompactFlash), в принтеры. Есть также адаптеры, которые подключаются через интерфейс USB. Таким образом, к сети Wi-Fi может быть подключено практически любое современное клиентское устройство.

Режимы работы: инфраструктурный и Ad-Hoc.В инфраструктурном режиме беспроводной сети устройства взаимодействуют друг с другом через точку доступа. Точка доступа также обеспечивает связь беспроводных устройств c проводной частью сети. Большинство сетей Wi-Fi работают именно в инфраструктурном режиме.

Режим Ad-Hoc предназначен для прямого соединения клиентских устройств без участия точки доступа. В этом режиме не обеспечивается связь с проводной инфраструктурой. Режим Ad-Hoc предназначен в основном для создания временных сетей.

SSID

SSID (Service Set Identifier) – уникальное наименование беспроводной сети, отличающее одну сеть Wi-Fi от другой. В настройках всех устройств, которые должны работать в одной беспроводной сети, должен быть указан одинаковый SSID. SSID выбирается администратором сети самостоятельно и может содержать до 32 символов. Значение SSID на клиентском устройстве, равное «ANY», означает возможность подключения к любой доступной сети.

WEP

WEP (Wired Equivalent Privacy) – протокол безопасности для сетей Wi-Fi, определенный стандартом IEEE 802.11b. WEP был разработан для обеспечения уровня безопасности, аналогичного тому, какой существует в проводных локальных сетях.

WEP обеспечивает шифрование данных, передаваемых по радиоканалу.

К сожалению, протокол оказался не столь надежным, как ожидалось. Основным его недостатком является использование статического ключа для шифрования данных. Злоумышленник может тем или иным способом узнать этот ключ и получить доступ к беспроводной сети.

На смену WEP приходят более надежные протоколы WPA и 802.11i. Тем не менее, протокол WEP продолжает широко использоваться, так как не все WEP – лучше, чем ничего.

Open System, Shared Key

При использовании протокола WEP возможны два типа взаимной аутентификации беспроводных устройств (Authentication Type): Open System и Shared Key. При аутентификации Open System к беспроводной сети может подключиться любое устройство с соответствующим значением SSID. Ключи WEP в процессе аутентификации не проверяются.

Аутентификация типа Shared Key требует, чтобы точка доступа и беспроводной адаптер имели одинаковый ключ WEP.

Процесс аутентификации в режиме Shared Key выглядит следующим образом. В ответ на запрос клиентского устройства на подключение к сети Wi-Fi точка доступа посылает незашифрованное тестовое сообщение (challenge text). Клиент зашифровывает это сообщение своим ключом WEP и возвращает точке доступа. Точка доступа расшифровывает сообщение с помощью своего ключа WEP и, если результат совпадает с исходным сообщением, разрешает доступ. Тип аутентификации Shared Key значительно безопаснее, чем Open System, поэтому, если нет специальных противопоказаний, следует использовать именно Shared Key Authentication.

В русскоязычной версии Microsoft Windows режим аутентификации Shared Key называется «Проверка подлинности сети».

802.1x

Протокол, определенный стандартом IEEE 802.1x, используется при аутентификации и авторизации пользователей с последующим предоставлением доступа к среде передачи данных. При этом применяются динамические ключи вместо статических, используемых в WEP. Протокол предполагает совместную работу трех протоколов:

– EAP (Extensible Authentication Protocol) – расширяемый протокол аутентификации;

– TLS (Transport Layer Security) – протокол безопасности транспортного уровня;

– RADIUS (Remote Authentication Dial-In User Server) – сервер аутентификации удаленных пользователей.

Запрос пользователя на доступ к сети переадресовывается на сервер RADIUS, который выполняет аутентификацию и разрешает или запрещает доступ.

Протокол 802.1x предусматривает частую смену ключей шифрования, что сильно затрудняет взлом сети.

Большим недостатком протокола 802.1x для пользователей домашних и малых офисов является требование обязательного наличия сервера RADIUS.

WPA, 802.11i, PSK.В настоящее время существуют два очень похожих стандарта аутентификации и шифрования в сетях Wi-Fi – WPA и 802.11i. WPA (Wi-Fi Protected Access) был разработан в Wi-Fi Alliance как решение, которое можно применить немедленно, не дожидаясь завершения длительной процедуры ратификации 802.11i в IEEE.

В настоящее время стандарт IEEE 802.11i вступил в силу, но производители не слишком торопятся включать его поддержку в свои устройства, так как при сходном уровне безопасности он требует большей вычислительной мощности, чем WPA. Кроме того, поддержка WPA может вводиться на старых устройствах путем обновления встроенного программного обеспечения (чего не скажешь о 802.11i). Оба протокола используют механизм 802.1x для обеспечения надежной аутентификации, оба используют сильные алгоритмы шифрования, оба предназначены для замены протокола WEP.

Основное отличие двух стандартов заключается в использовании различных механизмов шифрования. В WPA применяется Temporal Key Integrity Protocol (TKIP), который так же, как и WEP, использует шифр RC4, но значительно более безопасным способом. Стандарт 802.11i предусматривает шифрование с помощью алгоритмов, основанных на технологии Advanced Encryption Standard (AES), и обеспечивает наиболее устойчивое шифрование из доступных в настоящее время.

Стандартами WPA и 802.11i предусмотрен режим Pre-Shared Key (PSK), который позволяет обойтись без сервера RADIUS.

DHCP

DHCP (Dynamic Host Configuration Protocol) не относится непосредственно к беспроводным технологиям, но поскольку серверы DHCP часто входят в состав точек доступа, то, наверное, есть смысл дать здесь определение и этому термину.

DHCP – протокол динамического конфигурирования сетевых устройств. Он используется для автоматического предоставления IP-адресов (вместе с информацией о маске подсети, шлюзе по умолчанию и DNS-серверах) компьютерам в сети.

MAC-адрес

MAC-адрес – уникальный шестнадцатеричный номер, назначаемый каждому сетевому устройству Ethernet (в том числе беспроводному) для его идентификации. Этот адрес устанавливается на заводе при изготовлении устройства.

Вместо термина «MAC-адрес» могут встречаться «MAC-ID», «физический адрес», «Physical Address». [6]

Основываясь на вышеописанном можно сделать следующий вывод: сервер на базе LINUX, не является какой-то универсальной системой решающей все задачи и проблемы. Система требует адаптации под определённую организацию, под адаптацией подразумевается правильный расчёт нагрузки на сервер, следовательно, необходимо правильно выбрать аппаратную составляющую системы. Аппаратная часть не должна иметь слабую вычислительную мощность. Аппаратная часть должна быть рассчитана на реальную нагрузку, плюс некоторый запас «прочности», рассчитанный на расширение организации. Для решения этой задачи необходимо провести исследование и необходимо тесное сотрудничество всех отделов предприятия. Сотрудничество необходимо для того чтобы отдел информационных технологий имел полное представление о тех задачах которые будут возложены на сервер, а так же имел возможность рассчитать нагрузку. В противном случае, если нагрузка окажется выше расчётной, могут возникнуть проблемы с обслуживанием сотрудников и как следствие снижение эффективности их работы, и как следствие снижение производительности работы организации в целом, что может привести к значительным финансовым потерям.