Лекция №7

Вид материалаЛекция
Подобный материал:
Лекция № 7

14.04.2009

Денисов


В прошлый раз мы закончили говорить про сетевой мониторинг (управление производительностью, управление сбоями и управление учетом потребления услуг)

Осталось рассмотреть две области, которые тяготеют к сетевому контролю, сетевому управлению. Это управление конфигурацией и именованием и управление безопасностью.


Управление конфигурацией.

Configuration management

На пальцах всем примерно понятно, чем эта область занимается. Состояние сетевого элемента отображается как совокупность некоторых атрибутов, которые и описывают это устройство для системы управления. Понятно, что управление конфигурацией может меня эти настройки.

С другой стороны задача управления конфигурацией входит изменение параметров.

Три раздельных фазы
  1. Момент инициализации
  2. момент номального функционирования
  3. момент завершения

Задачи
  1. определение конфигурационной информации
  2. определение и идентификация значений атрибутов
  3. определение и идентификация отношений
  4. инициализация, сопровождение и завершение функционирования
  5. распространение программного обеспечения
  6. чтение значений и отношений
  7. построение отчетов о конфигурации

Заметим, что последние два пункта относятся к мониторингу.


Определение конфигурационной информации

Устройство определяется для системы сетевого управления как набор атрибутов. Как выглядят эти атрибуты? Как они связаны? Существует три способа определения информации
  1. структурированный список (дерево) – самый простой и понятный. Используется в SNMP.
  2. реляционная модель. Таблицы и связи между ними, множественные операции. Плюс – эта модель очень хорошо изучена теоретически. Практически все системы кроме SNMP построены на ней. Минус – громоздкость, сложность модификации структуры.
  3. объектно-ориентированная модель. Цепочка естественных описаний объектов со ссылками на другие объекты. Плюс – близка к тому, как человек думает, простое определение объектов. Минус – реальные системы управления очень сложны.

Ну и понятно, что должен быть формальный способ определения синтаксиса атрибутов, перечисление какого они типа, определение методики транспортного кодирования. Т.е. структура управляющей информации.


Определение и идентификация значений атрибутов.

Вмешиваться, менять значения атрибутов.

Важный момент: способ разграничения безопасности.

Кроме того: существую атрибуты которые нельзя менять (н-р объем RAM или температура процессора)
  1. Изменение значения атрибута не приводит к изменению работы устройства
  2. Команда – изменение значения атрибута приводит к однократному изменению работы устройства. Важно что нет длящегося эффекта.
  3. Изменение значения атрибута приводит к долговременному изменению работы устройства (например, увеличиваем размер файла или скорость сетевого интерфейса)


Определение и идентификация отношений.

Наша сеть пронизана отношениями (например, отношение физической связанности, логической связанности, отношения именований (адреса разных уровней))

Этими отношениями необходимо управлять, например если появилось новое устройство, то нужно открыть интерфейсы, прописать связи, настроить адреса различных уровней.


Инициализация, сопровождение и завершение функционирования.

При инициализации сетевого элемента это настройка сетевых интерфейсов с нужными адресами. Сначала нужно загрузить определенную конфигурацию по умолчанию. (эта конфигурация контекстная, если маршрутизатор – одна, если сервак – другая). Затем, система известит всех администраторов о тех настройках которые нужно выполнить вручную. Проконтролировать готовность устройства к вводу в эксплуатацию. Ввод в эксплуатацию. Внести согласованные изменения в настройки других сетевых элементов.

В ходе функционирования. Контролирует текущие настройки. Взаимодействие с прочими функциональными областями для внесения изменений в настройки.

Завершение функционирования. Обратно инициализации. Сохранить текущую конфигурацию. Сохранить несистемные данные.


Распространение программного обеспечения.

ПО бывает системное и прикладное. Настроить файервол, обновить антивирусные базы.


Область управление безопасностью.

Вызывает больше всего вопросов.

Главная идея: управление безопасностью не есть сама безопасность.

Система сетевого управления это часть сетевой инфраструктуры и как её часть она подвержена угрозам извне. Общие угрозы: DDoS, несанкционированный доступ, перехват данных, модификация кода. Специфические угрозы: маскарад агента, маскарад станции, вмешательство в коммуникации между агентом и станцией.

Маскарад, с ним все ясно, злоумышленник может выдать себя за агента системы сетевого управления и получить информацию, а может выдать за станцию сетевого управления и поменять настройки или получить доступ.

Вмешательство в коммуникации – только специфические вмешательства – когда какие-то сообщения не доходят до станции сетевого управления.

С другой стороны система сетевого управления может оказывать помощь сервисам в борьбе с вирусами
  1. Управление сервисами обеспечения безопасностью
  2. управление средствами разграничения доступа
  3. Управление сервисами шифрования.

Управление сервисами обеспечения безопасности.

Сервисы аутентификации, аудита, антивирус, межсетевые экраны, средства системы обнаружения вторжения, Задача – обеспечить согласованное функционирование всех этих сервисов. Например, антивирус нашел на компьютере вирус, он извещает систему сетевого управления, и система отрезает внутри сегмент сети.

Управление средствами разграничения доступа.

То есть паролями, смарт-карты и пр. Необходимо согласовано управлять этими средствами разграничения доступа. А так же мониторинг этой системы.

Управление сервисами шифрования.

Сохранение конфиденциальной информации. Создание и поддержка инфраструктуры открытого ключа. Этим нужно управлять согласовано. На сегодняшний день это самая слабая разработанная область.