Vous êtes sur la page 1sur 13

WWW.VTS.SU.AC.

YU

Administriranje mrea
Skripta za usmeni deo ispita

Administriranje mrea

1. Definicija administriranja raunarskih mrea 2. Zadaci na polju administriacije racunarskih mreza. 3. Opiite administriranje konfiguracije. 4. Opiite administriranje uinka. 5. Opiite administriranje greke. 6. Opiite administriranje evidencije i obracuna. 7. Opiite administriranje sigurnosti. 8. Opiite administriranje servisa. 9. Opiite administriranje sa posebnim naglaskom na pouzdanost. 10. Menediranje kapaciteta. 11. Menediranje promena. 12. Osnove interneta. Pojam autonomnih sistema 13. Adresiranje na internetu 14. Korienje mrene maske, podmree i spajanje mrea. 15. Konfiguracija interfesa. Naredba ifconfig. 16. Menediranje interneta (IETF). 17. Arhitektura SNMP modela. 18. Format SNMP upita, format trap-a. Sigurnost SNMP protokola. 19. Format i analiza dnevnik zapisa SMTP i POP3 servisa. 20. Format i analiza dnevnik zapisa HTTP. Apache httpd.log. 21. Format DNS, konfig filea. Named.conf , format filea zone. 22. Upravljanje saobraajem (rutiranje). Odravanje tablice rutiranja. RIP i OSPF. 23. Prikaz mogunosti TCPDUMP i wireshark programa. 24. Tipovi vatrenog zida (firewall, zatitna barijera) 25. Squid proxy, analiza konfig filea, format i analiza dnevnik filea. Rad hierarhinih squid sistema. 26. Pojam NAT-a. Znaaj globalnog NAT-a. 27. Opisati mogunosti WEBMIN-a. 28. Opisati mogunosti NAGIOS -a.

-2 -

Administriranje mrea
1. D EFINICIJA ADMINISTRIRANJA RAUNARSKIH MREA Administriranje mrezom(network management) je process upravljanja slozenom komunikacionom mrezom ciji je cilj maksimiranje efikasnosti I produktivnost mreze.

2. ZADACI NA POLJU ADMINISTRIACIJE RACUNARSKIH MREZA.

NM-network meagment obuhvata sve procese koje izvrsavamo u cilju da poboljsamo efikasnost i automatizaciju sistema tj.sistem inzenjer,administratori,operateri,tehnicari i korisnici.Po ISO standardu radimo upravljanje racunarskim mrezama .Podrazumevamo kontinualno nadgledanje resursa a u slucaju menjamo parametre sistema u cilju bolje efikasnosti.Postoje pet polja koja su zavisna:menadziranje ucinka,menadzirane obracuna i evidencije,menadziranje konfiguracije,menadziranje gresaka i menadziranje sigurnosti sistema. 3. OPIITE ADMINISTRIRANJE KONFIGURACIJE . Cilj je da sistematicno rukujemo sa konfiguracijama svih resursa racunarske mreze da pratimo sve promene u toku rada sistema I odrzavanja,Svi resursi mreze su:hardver, Softver,hostovi,unutrasnji delovi,komunikacioni elementi (ruteri i svicevi),kablovi.Svi Ovi resursi se stavljaju u bazu sa svim informacijama I svim promenama na sistemu TIVOLI-program koji menadzira racunarske mreze.Menadzira konfiguraciju ,snima trenutno stanje sistema .On sadrzi sve vrednosti u redzistru fajla.mozemo napraviti presek ,instalirati nov softver,ponovo snimiti I uporediti dva snimka.Mogu otkriti viruse.Firmje daju oravilnik koriscenja mreze Korisnici ne mogu samostalno da istaliraju programe vec samo administratori.Virtualna masina wmware je nezavisna od hardvera ona sve fajlove stavlja u jedan fajl .Mozemo unutar nje imati vise virtuelni masina ne moze ne zavisno da se menja hardver u sistemu .Softver se menja daljinski mogu sr daljinski preuzeti tastatura I monitor udaljenog racunara (desktop change program).

4. OPIITE ADMINISTRIRANJE UINKA. Redundantna linija

Ping trace Cilj je da se pomocu merenja po raznim kriterijumima odrzi I poboljsa kvalitet vez.ping salje ICMP pakete meri vreme odziva ,broj izgubljeni pakera,broj hopova do odredista . TTL polje se postavljana neku vrednost u svakom cvoru ako je postavljeno 64 a dobije se nazad 60 to znaci da ima 4 hopa .ako paketi dolaze do mreznnog nivoa onda je to hop. ZASICENJE SAOBRACAJA flow control je hrdverski nacin kontrole saobracaja .Salje

-3 -

Administriranje mrea
Kontrolne pakete koji usporavaju ostale pakete ili odbacuje pakete vreme odziva na asihronoj modenskoj vezi iznosi 120ms,64ksihrone veze I 30msADSL. TRACE ROUTE-prati putanju paketa ,od svakog hopa dobija odziv kod svakog hopa moze meriti min, max,srednje vreme Na osnovu ovih mereni vrednosti odlucuje o poboljsanju mogu povecati memoriju,napraviti redundantu liniju.Bitno je da sto manje bude izgubljeni paketa I ako ih ima da se ponovo salju. 5. O PIITE ADMINISTRIRANJE GREKE . Cilj je da otkrijemo greske na mrezi i u servisima.Zadatak je da ove greske zapisemo u dnevnik fajl (log file),da obavesti korisnike i administratora o nastaloj gresci i ako je moguce da ukloni gresku.Postoje hardverske i softverske greske. Hardverske greske se javljaju na interfejsu nekog hosta.Ping omogucava otkrivanje ove greske.Ako nema odziva koristi se trace route do kojeg je mesta kanal prohodan.Problem moze biti u kanalu interfejsa (prekid kanala)Moramo imati USPnapajanje u tajanju od 1030min koje omogucuje pravilno iskljucenje usled nepravilnog isklucenja mogu se pojedini fajlovi ostetiti u ovu svrhu se koristi akumulator ili generator za vece sisteme. Kod softverski servis je apac pratimo rad ovog servisa.Klijent udaljene masine telnet httpget ako pravilno odgovori servis radi na udaljenom racunaru.Sadrzaj sranice mora biti ispravan ,servis moze da prati nadzor drugog servera.Losa konfiguracija je uzrok softverski gresaka.Do greske ne dolazi odjednom vec postoje prethodni signali koji ukazuju na to. 6. O PIITE ADMINISTRIRANJE EVIDENCIJE I OBRACUNA.

Cilj je da vodimo informaciju o svim resursima racunarski mreza i o mjihovim pravima .Iza stoji baza podataka,ona nije tablicna vec je baza X500 protokola,hijerarhiska za strukturu direktorijuma.

ROOT

KONTEJNER OBJEKTA

DRUGI KONTEJNER(DIR)ROOT-JEDAN KONTENJER (FAJLOVI)LIST-unutar kontejnera lici na fajl sisten

Postoje kontenjeri tipoa C(country),O(organization),OU(Evropa) Listovi su korisnik,grupe korisnika,hostovi. 7. O PIITE ADMINISTRIRANJE SIGURNOSTI . Cilj je da odrzavamo funkcionalnost mreze I da onemoguci neovlasceni pristup ostljivim informacijama mreze.User policy-kontrola pristupa resursima za korisnika.Moze ograniciti prava korisnika ,grupu korisnika I prava za grupu.Firewall-zastitna barijera stiti deo mreze na -4 -

Administriranje mrea
tri nacina :pomocu filtriranja paketa paket se filtrira na osnovu izvorne I odredisne adrese.Filtriranje poruka proxy zastitni zid saceka celu poruku I filtrira je po sadrzaju, virusu, duzini, velicini.Filtriranje aplikacije radi na svakom racunaru

Host moze da koristi sva tri tipa filtriranja programi za filtriranje poruka ZORB I SVID. Filtriranje paketa je na transportnom I mreznom znamo IP broj iport moze da se pusti,prosledi I odbije paket.

Zastitni zid moze da utice I na izlazni I na ulazni interfejs.

8. O PIITE ADMINISTRIRANJE SERVISA. Servisi su programi koji rade na hostu (serveri) i koji ostvaruju sve usluge koje mreza pruza i daju usluge klijentima .Aplikacije se sastoje od vise procesa ,ako postavimo servis web servis moze biti pokrenut kao sistemski ,ako radi odmah treba podesiti korisnicko ime ,indetifikator grupe .Treba imati poseban nalog za svaki servis preciznije se odredjuju pravila nad fajl sistemom ako neko udje u sistem preko nekog servisa onda on ima prava samo za stvari koje su definisane za tog korisnika.Pojedine servise treba pokretati samo za minimalnim brojem pravila .Svi glavni servisi se instaliraju na CHROOT 12.O SNOVE INTERNETA. POJAM AUTONOMNIH SISTEMA INTERNET svetska kolekcija mreza koje dele zajednicke komunikacioni skup protokola TCP/IP mreza nad mrezama .Nastao je 60ih kao reakcija amerike na hladni rad da stvori jedan siguran sistem odbrane od nuklearnog napada pod nazivom ARPANET.Zahteve koje internet zadovoljava prema RFS(standardu request protokol )su:Deljenje resursa medju razlicitim mrezama tj. Razliciti mrezni protokoli moraju biti podrzani,nezavisnost od konkretnog hardvera i softvera,pouzdanost,robusnost i osmisljavanje kvalitetni jednostavni za upotrebu i efikasni protokola komunikacije TCP/IP koja ce da radi za velike kolicine saobracaja . Savremeni internet podrazumeva dvoslojno rutiranje granica dva sloja def. Je kao pojam autonomnog sistema.Autonomni sistem je deo mreze odnosno skup rutera ciji nadzor upravljanje i odrzavanje obavlja jedna instituicija a izmedju koje se primenjuju indeticna pravila rutiranja.Interno pravilo rutiranja usmerava pakete unutar A.S. precizno ka odredistu mrezi ili racunaru unutar A.S. Eksterno rutiranje grubo usmerava pakete pored odredjenih -5 -

Administriranje mrea
A.S.od polaznog ka odredisnom A.S.Za razmenu tabela rutiranja relevantnih za externo i interno rutiranje ruteri koriste razlicite protokole. 13. ADRESIRANJE NA INTERNETU Svaki raunar ima fiziku adresu to je broj koji proizvoa jednoznano dodeljuje mrenoj kartici, meutim, van lokalne mree maine na internetu se adresiraju iskljuivo upotrebljavajui IP adresu. IP je 32bitni (IPv4 struktura koja moze da ima 4milijarde hostova podeljeni u 5 klas od A-E )broj koja se bino pie u vidu decimalnih brojeva razdvojenim tackom u opsegu od 0-255 (npr, 192.168.0.6).. Ipv6: ima 128-bitnu adresu.Jedan raunar tipino ima jednu IP adresu, ali po potrebi moe ih imati i vie. Na primer, ako poseduje vie mrenih kartica, ili mu je dodeljen vei broj virtuelnih IP adresa, moe se spoljnom svetu predstavljati kao vie razliitih maina. Raunari povezani na internet mogu poslati podatke odreenoj IP adresi, a ruteri i gateway-ji obezbeuju dostavu poruke.Ljudi ne mogu lako da upamte brojane IP adrese, zato se koristi tekstualni ekvivalent IP adrese: host name npr. Vts.su.ac.yu

14.K ORIENJE MRENE MASKE, PODMREE I SPAJANJE MREA. Pod IPv4 svaki ureaj na mrei ima jedinstvenu kompletnu mrenu adresu.tj podeljeno na dva dela: mrene adrese (koja je zajednika za sve ureaje na istoj fizikoj mrei) i adrese vora (koja je jedinstvena za svaki ureaj/vor na toj mrei) U originalu, IPv4 adrese su podeljene na sledei nain: adresa mree (prvih 8 bitova) adresa vora (preostala 24 bita) Kreiranje podmreza se izvodi da bi se dobio veci broj mrezni adrasa u odnosu na broj koji odredjuje IP licenca Ovakva podela je dovela do ogranienja od 256 (tanije, 254) mrea to je dovelo do nastanka klasa mrea. Postoje 4 klase mrea - A, B, C, D i E. Klase A, B i C predstavljaju mree sa razliitom duinom mrenog broja dok klasa D slui za multicast adrese a klasa E je rezervisana. IP adrese mogu koristiti za odreivanje mree kojoj vor pripada. Ova informacija se takoe naziva i maska podmree a reprezentuje se u vidu kontinualnog niza jedinica (iji je broj jednak broju bitova koji ulaze u adresu mree) praenog nizom nula (iji je broj jednak broju bitovakoji ulaze u adresu vora). Postoje maske tipa A,B i C A 255 0 0 0 B 255 255 0 0 C 255 255 255 0 Klase A, B i C ne omoguavaju precizniju podelu mree jer njihove makse koriste iskljuivo sve bitove ili ni jedan iz svake grupe od 8 bitova. CIDR omoguava dodatnu i precizniju podelu opsega adresa na mree korienjem sva 32 bita u kreiranju maske podmree. CIDR (Classless Inter-Domain Routing) je ujedno i poslednja dorada naina korienja IP adresa tj. zamena klasa mrea. CIDR nudi veu fleksibilnost pri podeli IP adresa na opsege ili pod-mree zbog baziranja na bitovima (dok se klase mrea baziraju na grupama od 8 bitova tj. bajtovima).

-6 -

Administriranje mrea
15. K ONFIGURACIJA INTERFESA. N AREDBA IFCONFIG . Veina savremenih Linux distribucija nudi sopstvene alate (konzolne i GUI) za jednostavnije podeavanje mrenih adaptera (interfejsa). Meutim, veina ovih alate se oslanja na osnovni alat za podeavanje mrenih adaptera, ifconfig. Ukoliko elimo da prvi mreni adapter raunara podesimo za rad na mrei klase C koja ima sledee parametre: Mrea: 192.168.1.0 Mrena maska: 255.255.255.0 Gateway: 192.168.1.1 Adresa raunara: 192.168.1.10 korienjem ifconfig alata to moemo postii pomou sledee naredbe:
#ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255

Ukoliko elimo samo da izvrimo pregled trenutnih podeavanja interfejsa pokrenuemo alat ifconfig bez parametara: # ifconfig IFCONFIG prestavlja jedanod glavnih mrenih konfiguracionih alata. Ovaj alat se koristi za podeavanje mrenih adaptera i za prikaz njihovih konfiguracionih parametara. Pomou ovog alata se moe podesiti mrena adresa adaptera, mrena maska, broadcast, aktivnost i sl. 16. M ENEDIRANJE INTERNETA (IETF). IETF je telo za standardizaciju iji je fokus rada usmeren ka razvoju Internet mree. Specifinost ove organizacije je u tome to nema zvanino lanstvo to znai da svi zaintesovani pojedinci i organizacije mogu imati pristup mejling-listama, prisustvovati sastancima ili davati sopstvene predloge u razvoju standarda. Web sajt IETF-a se nalazi na adresi www.ietf.org.

17. ARHITEKTURA SNMP MODELA. Uloga SNMP protokola jeste da administratorima obezbedi informacije vezane za samu raunarsku mreu koje je mogue iskoristiti za spreavanje i reavanje problema u radu mree.Za korienje SNMP protokola u mrei potrebno je obezbediti odgovarajue karakteristike mree. Mree sa omoguenim SNMP-om cine tri tipa SNMP komponenti: 1. Mreni ureaji sa podrkom za SNMP upravljanje (eng. managed device). 2. SNMP agenti. 3. Sistemi za upravljanje mreom (eng. Network Management System, NMS). Mreni ureaji sa podrkom za SNMP upravljanje su lanovi mree koji sadre SNMP agente. Ovi ureaji kreiraju bazu podataka koja sadri informacije o njihovom radu u proteklom periodu. Podaci iz ove baze su dostupni sistemu za upravljanje mreom (NMS) putem SNMP protokola Uloga SNMP agenata je da podatke iz baze podataka mrenog ureaja prevede u oblik definisan SNMP protokolom kao i da kontrolne podatke dobijene od NMS sistema primeni na -7 -

Administriranje mrea
lokalnom ureaju. Zadatak NMS sistema jeste da informacije dobijene od SNMP agenata analiziraju kao i da kontroliu mrene ureaje. Jedan od glavnih problema vezanih za SNMP protokol jeste nedostadak provere autentinosti u oba smera. Iz tog razloga veina proizvoaa mrene opreme u ureaje ugrauje samo mogunost davanja SNMP informacija bez mogunosti podeavanja rada ureaja putem SNMP-a 18. FORMAT SNMP UPITA, FORMAT TRAP - A. SIGURNOST SNMP PROTOKOLA. Treba slika koja je na kopiji prvai moze se teorija iz pitana 17 primeniti i ovde. Postoje tri verzije SNMP protokola: SNMPv1,v2 i v3. Management Information Base (MIB)-Ova baza podataka informacija upravljanja mreom, sadri definicije informacija koje za koje je odgovoran SNMP. Postoji definicija MIB-a za svaki, pojedinani ureaj koga SNMP podrava. Konzola (Management Station) nadgleda i aurira vrednosti MIB-a pomou agenta (Management Agent) Naredbu Trap koriste upravljaki uredjaji za izvetavanje NMS-a o asinhronim doganajima. Naredba Trap je poruka koja prijavljuje problem ili znaajniji doganaj. Kada se dogodi odreneni tip dogadaja, upravljaki urenaj poalje trap NMS Sigurnost. SNMP ima sigurnosni mehanizam gde svaki paket ima oznaku koja oznacava nivo upravljacke kontrole mrenog Managera nad mrenim uredajem. Za nadzor sistema potreban je samo read comunity right odnosno podaci se samo citaju, a na vecini uredaja SNMP protokol je po default-u enabled

System upravljanja nad mrezom u okviru SNMP protokola

19. FORMAT I ANALIZA DNEVNIK ZAPISA SMTP I POP3 SERVISA. SMTP protokol predstavlja osnovni protokol za prenos elektronske pote u raunarskim mreama i na Internetu. S obzirom na to da je ovo jedini opte prihvaeni protokol za prenos elektronske pote podrazumeva se njegova podrka kod svih MTA softvera (Sendmail, MS Exchange, Postfix...). Korisnici e-mail servisa koriste SMTP protokol samo za slanje -8 -

Administriranje mrea
elektronske pote (prenos pote od njhovog e-mail klijenta MUA, Mail User Agent do lokalnog SMTP servera). Za pristup e-mail porukama koje je server prihvatio u njihovo potansko sandue (eng. Mailbox) korisnici koriste POP3 ili IMAP protokole. POP3(postanski protokol verzija 3) protokol predstavlja jednostavniji protokol koji pristup porukama obavlja putem sledeih akcija: povezivanje na server preuzimanje i uklanjajne poruka raskidanje veze sa serverom 20. FORMAT I ANALIZA DNEVNIK ZAPISA HTTP. APACHE HTTPD .LOG HyperText Transfer Protokol (HTTP) je osnovni protokol za distribuciju sadraja na Web-u. Osnovna funkcionalnost ovog protokola je prenos zahteva za HTML dokumentima (od strane klijenta ka serveru) i prenost sadraja HTML dokumenata (od strane servera ka klijentu). HTTP je protokol aplikativnog nivoa. Podrazumevani transportni protokol je TCP a port 80. HTTP je protokol koji ne definie stanje konekcije tj. Ne cuva adrese klijenata tako da svako obracanje istog klijenta mora ponovo da uspostavlja konekciju ovaj problem je delimicno resen uvodjenjem dinamicke stranice Drugi glavni problem kod HTTP protokola je ne posedovanje nikakvih sistema zatite podataka koji se njime prenose. Ovaj problem je reen uvoenjem HTTPS protokola (Secured HTTP).
Apache je Open Source projekat, zasnovan na NCSA httpd izvornom kodu. Apache web server je jedan od najpopularnijih i najcece koricenih web servera na Internetu. razloge zbog kojih je Apache u prednosti nad konkurentskim web serverima cu: mogucnost izvravanja na UNIX/ Linux sistemima, stabilnost, solidne performanse. Ove karakteristike Apache web servera su pre svega posledica modularne arhitekture. Apache se sastoji od manjeg operativnog jezgra preko koga je moguce ucitati razlicite module i skriptove. Time je omoguceno povezivanje sa mnogim drugim softverskim elementima na samom serveru i u njegovom operativnom sistemu. I na kraju sto je potpuno besplatan.

21. FORMAT DNS, KONFIG FILEA. N AMED .CONF , FORMAT FILEA ZONE. Najvanija funkcionalnost DNS-a(Domain Name System) je prevoenje IP adresa u ime domena i obrnuto.DNS je organizovan u topologij stabla na vrhu stabla je root server koji je nadlezan za sve ostale u svetu ih ima 13glavni servera,celo stablo je podeljeno u zone,zone su skup cvorova administriranih od strane jednog dns servera jedan dns server moze da bude nadlezan i za vise zona. Radi se o hijerarhijskoj organizaciji, razdvojenoj po tipu adrese (.com za firme, .mil za vojsku, .edu za obrazovanje itd) i po zemljama (npr. yu za SCG).

-9 -

Administriranje mrea

U konfiguracionom fajlu podesavamo kakav upit zelimo uglavnom se podesava kao rekurzivni. Tu se jos podesava zona za koju je nadlezan dns server i sva prava koja moze dati dns da ima nad odredjenom zonom.

22. U PRAVLJANJE SAOBRAAJEM ( RUTIRANJE ). O DRAVANJE TABLICE RUTIRANJA. RIP I OSPF


Da bi se paket poslao hostu koji se nalazi na drugoj mrei, potrebno je da u mrei postoji uredjaj koji zna kako i gde isporuciti paket. Ovaj oblik isporuke paketa je poznat kao rutiranje. Rutiranje se obavlj na osnovu tabela rutiranja koje su baza podataka o dostupnosti pojedini mreza a rutiranje izvode ruteri koji usmeravaju pakete ka odredjenom interfejsu u zavisnosti od njixove IP adrese u zaglavlju. Postoji nekoliko tipova rutiranja tj odrzavanja tabela: standardno rutiranje - svi paketi koji nisu namenjeni mrei alju se na podrazumevani izlaz. Ovaj tip rutiranja je primenljiv ukoliko mrea ima samo jedan izlaz; staticko rutiranje - pomocu odredjene komande sam administrator formira staticke rute u tabeli. Ovaj nacin rutiranja upotrebljava se ukoliko iz mree postoji nekoliko izlaza ka drugim mreama, pri cemu se jedan koristi kao podrazumevani izlaz ka svim ostalim mreama;mana lose resenje za velike mreze. dinamicko rutiranje - sistem oslukuje broadcast pakete rutiranje i automatski podeava tabele. Mnogi Internet ruteri koriste ovaj metod rutiranja mana je sto svako moze svasta da oglasi. RIP i OSPF prestavljaju protokole koji se koriste za razmenu informacija o rutama tj.razmenjuju sadrzaj tabela rutiranja izmedju ruterta u mrezi.U zavisnost od nacina rada RIP spada u distanceVector a OSPF U link-state a u zavisnost od IP klasa RIP spada u classaful a OSPF U u classeless protokol.Osobine distance vektora su: svakom hop-u se dodeljuje fiksni faktor rastojanja i svaki ruting update poruka sadrzi vektor tipa (adress ili distance ) para a kod OSPF svakom interfejsu rutera je dodata cena i ruter salje updata poruku sa stanjem njegovog interfejsa zajedno sa faktorom cene.

23.PRIKAZ MOGUNOSTI TCPDUMP I WIRESHARK PROGRAMA. TCPDUMP program spada u grupu sniffer-a, programa koji snimaju komunikaciju koja se\odvija preko nekog lokalnih mrenih adaptera. tcpdump razume osnovne Internet protokole i ima mogunost uvanja rezultata zarad naknadne obrade.

- 10 -

Administriranje mrea
Sniffing je metod u kome se specijalnim programima (sniffer) presrecu TCP/IP paketi koji prolaze kroz odredjeni racunar i po potrebi pregleda njihov sadraj. Kako se kroz mreu obicno krecu podaci koji nisu ifrovani, snifer lako moe doci do poverljivih informacija . WireShark je besplatan programski paket za analizu mrenog prometa koji je zamiljen kao grafika verzija popularnog TCPDump programskog paketa. Pomou WireShark programa moete da analizirate saobraaj direktno sa mree, a utvreni promet moete da snimite u fajl radi kasnije analize. Meu brojnim kvalitetima ovog programa, treba posebno istai veoma mone mogunosti filtriranja i dekodiranja saobraaja, praenja pojedinih sesija itd. Dostupne su i verzije za Windows i Linux operativne sisteme. 24.TIPOVI VATRENOG ZIDA ( FIREWALL, ZATITNA BARIJERA) Mrenim barijerama (firewall) kreiraju se kontrolne tacke bezbednosti na granicama privatnih mrea. Na ovim kontrolnim tackama mrene barijere ispituju sve pakete koji prolaze izmedju privatne mree i Interneta. Jednostavno receno, firewall se nalazi na granici privatne mree i filtrira saobracaj na relaciji privatna mrea Internet. Mrene barijere koriste tri osnovna metoda zatite na mrenom, transportnom i aplikacionom sloju. Mrena barijera dozvoljava jedino prolaz IP paketa sa ispravnom IP adresom iz spoljne mree. Na transportnom sloju mrena barijera dozvoljava ili zabranjuje pristup TCP/IP portovima zavisno od izvorinih i odredinih IP adresa. Na taj nacin se vri kontrola pristupa TCP servisima. Na aplikacionom sloju proksi serveri prihvataju zahteve za pristup odredjenoj aplikaciji koji dalje upucuju ka odreditu ili blokiraju. Proksi servisi uspostavljaju konekciju na visokom aplikacionom nivou, cime se prekida konekcija na mrenom sloju izmedju racunara u privatnoj mrei i racunara iz spoljne mree
Kao mrena barijera moe se koristiti skup uredjaja i servera od kojih svaki obavlja samo jednu od navedenih funkcija na pr.ruter.

25.SQUID PROXY , ANALIZA KONFIG FILEA, FORMAT I ANALIZA DNEVNIK FILEA. R AD HIERARHINIH SQUID SISTEMA. Kod linuxa squid je naj rasireniji proxy server glavna namema mu je da kesira tj. Sacuva sadrzaj stranice koju je neko posetio i na taj nacin ubrza surfovanje ali i smanji protok jel se ista stranica ne preuzima ponovo sa interneta .pr.ako imamo korisnika(A) jednog preduzeca i on je pristupio googlu i ako korisnik B istog preduzeca zeli da pristupi googlu on preuzima stanu sa proxy servera tog preduzeca i time ubrzava konekciju.Proxy moze da koristi samo HTTP i FTP protokole jer samo oni dozvoljavbaju kesiranje.Da bi mogli da koristimo squid moramo u linuxsu da konfigurisemo glavni konfiguracioni fajl a u njemu treba da podesimo sledece:Onemogucavane kesiranja pojedini objekata,odrediti memoriju za squid,mesto za skladistenje objekata,dozvoliti ili zabraniti pristup korisnicima odredjeni IP adresa,obratiti paznju na pravila unutar direktorijuma gde se kesira,podesavanje SNMP,omoguciti logovane.Ovim podesavanjima i pokretanjem squid olaksavamo komunikaciju nasoj mrezi

- 11 -

Administriranje mrea
26. PREVODJENJE MRENIH ADRESA(NAT) Prevodjenje mrenih adresa (Network Address Translation) je proces konverzije IP adresa privatne mree u jedinstvenu IP adresu na Internetu. NAT je implementiran samo na transportnom sloju referentnog modela NAT efektivno skriva sve TCP/IP informacije o racunarima u privatnoj mrei od napadaca sa Interneta.NAT takodje dozvoljava da se unutar mree koristi bilo koji opseg IP adresa,ukljucujuci i one koje su vecu upotrebi na Internetu.Prilikom prolaza paketa kroz mrenu barijeru NAT skriva IP adrese racunara iz privatne mree konvertujuci ih u adresu mrene barijere (ili u adresu koja se odnosi na mrenu barijeru). Mrena barijera zatim ponovo alje podatke koji se u tom paketu nalaze sa svoje adrese, koristeci pritom tablicu prevodjenja adresa. U optem slucaju NAT tabele mapiraju: lokalnu IP adresu u globalnu IP adresu staticki, lokalnu IP adresu u bilo koju adresu iz skupa dodeljenih globalnih IP adresa, lokalnu IP adresu sa posebnim TCP portom u bilo koju adresu iz skupa dodeljenih globalnih IP adresa, globalnu IP adresu u jednu iz skupa lokalnih IP adresa na osnovu Round Robin algoritma. 27. WEBMIN Webmin je savremeni alat za administriranje svih linux sistema.Iz webmin-a se moze administrirati ceo sistem od procesa,hardvera,softvera,servera,mreze i svega ostalog. Webmin se sastoji od nekoliko podmenija a to su:System,servers,hardware,cluster, others,network. U podmeniju SYSTEM nalaze se alati za administriranje samog linux sistema na kome se nalazi webmin. U podmeniju SERVERS nalaze se alati za administriranje servera koji su instalirani na sistemu.Webmin svojim default opcija u ovom podmeniju podrzava sledece servere: web,dns,dhcp itd... HARDWARE podmeni omogucava administraciju i instalaciju hardvera na sistemu. U CLUSTER podmeniju se nalaze sledeci alati: Heartbeat monitor, Cluster software packages, Cluster users and groups, Cluster webmin server, Configuration. OTHERS podmeni nudi alate za administriranje i nadgledanje nekih posebnih servisa kao sto je SSH/telnet logovanje na sistem i nadgledanje samog statusa sistema. NETWORK podmeni ima mogucnost komfigurisanja mreze kao i konfiguraciju FIREWALLa. 28. PROGRAMSKI PAKET N AGIOS Nagios je besplatan open source Linux softver namenjen nadgledanju i analizi stanja mrenih resursa i komponenti. Nagios je originalno razvijen za rad pod Linux platformom, ali paket je odran pod skoro svim ostalim Unix kompatibilnim platformama.Neke od mnogih mogunosti Nagiosa ukljuuju: nadgledanje mrenih servisa (SMTP, POP3, HTTP,itd.) nadgledanje lokalnih resursa hostova (optereenje procesora, iskorienost memorije hard diskova, stanje mrenih interfejsova, itd.) - 12 -

Administriranje mrea
jednostavni plug-in koncept koji dozvoljava korisniku da lako razvija i implementira sopstvene plaginove za nadgledanje specifinih servisa paralelno nadgledanje servisa obavetavanje u sluaju pojave neregularnog rada hostova ili servisa i njihovog oporavka (putem e-maila, pejdera, SMS-a automatsku rotaciju log-a podrku za implementaciju redundantnih servera za nadgledanje mree podrku za implementaciju distribuiranog nadgledanja mree opcioni web interfejs za uvid u tekui status mree, obavetavanje i uvid u istoriju problema, log datoteka itd. jednostavna ema autorizacije na web interfejsu kojom se lako kontroliu korisnika prava pristupa informacijama Programski paket Nagios zasnovan je na jednostavnoj plug-in arhitekturi iji koncept podrazumeva funkcionalnu podelu paketa na jezgro programa i eksterne programe koji se nazivaju plaginovima (engl. plug-in). Jezgro Nagiosa, koje ini centralni proces, u dokumentaciji jo oznaavan kao Nagios Process, ne poseduje nikakve interne mehanizme provere statusa nadgledanih objekata. Umesto toga, ono se u potpunosti oslanja na plaginove koji obavljaju celokupni posao nadgledanja. Samim tim, Nagios jezgro je beskorisno bez svojih plaginova.Na slici 1. prikazan je nain na koji su plaginovi odvojeni od jezgra programa. Nagios pokree plaginove koji potom proveravaju lokalne ili udaljene resurse ili servise nekog tipa. Kada plaginovi zavre proveru resursa ili servisa, prosto predaju rezultate provere nazad Nagiosu na obradu.

Dobra strana plagin arhitekture je to prua praktino neograniene mogunosti nadgledanja. Loa strana plagin arhitekture jeste injenica da Nagios apsolutno nijesvestan onoga to se nadgleda. Nadgledani objekat moe biti napon na procesoru,temperatura itd.

- 13 -

Vous aimerez peut-être aussi