Отчёт о прохождении производственно-технологической практики на примере компании «СофтЛайн Трейд»

Решения

• Решения на основе технологий Microsoft
• Виртуализация серверов, десктопов, приложений
• Облачные услуги: коммуникации, безопасность, хостинг
• Управление сетью и инфраструктурой
• Организация коммуникаций и совместной работы (почта, порталы, конференц-связь, документооборот, управление проектами и т.д.)
• Защита данных, в том числе персональных, защита систем и приложений, коммуникаций, виртуальных сред, DLP, IRM, идентификация и аутентификация, соответствие требованиям стандартов
• Инженерные решение: лазерное сканирование, быстрое прототипирование, трехмерная визуализация, инженерный документооборот, системы PDM и т.д.
• Решения на платформе Linux/open source
• Управление бизнес-процессами: CRM, ERP, аналитика

 

 

(схема 1. - IT-INFRASTRUCTURE)

 

 

 

 

 

 

5. Компании-разработчики программного обеспечения

 

 

 

6. Клиенты компании

Лукойл	Норильский Никель	Shiseido
Газпром	РАО ЕЭС	Аэрофлот
Балтика	Coca-Cola	Nestle
MTC	Билайн	Мегафон
Ростелеком	Вольво	Siemens
Мвидео	NEC	Sumsung

 

 

 

 

 

 

 

 

III. Индивидуальное задание и выполненная работа

 

        В ходе выполнения практики была проведена работа с клиент-сервером, в том числе подробно изучен стек протоколов TCP/IP(Transmission Control Protocol/Internet Protocol – протокол управления передачей) – набор сетевых протоколов разных уровней модели сетевого взаимодействия DOD, используемых в сетях. Протоколы работают друг с другом в стеке – это означает, что протокол, располагающийся на уровне выше, работает поверх нижнего, используя механизмы инкапсуляции.

Для правильной работы клиент-сервера  необходимо:

• Умение определить IP адреса системы, маску подсети, шлюз, первичный и вторичный сервер DNS и имя хоста
• Умение изменять настройки TCP/IP как временно, так и постоянно, так, чтобы изменения сохранялись после перезагрузки
• Умение использовать программы, входящие в BSD, а так же сторонние программы, для определения того, какие порты в системе открыты, и какие видны через брандмауэр
• Умение определить, доступна ли удаленная система через TCP/IP и, если да, уметь при помощи telnet(1) убедиться, отвечает ли сервис на клиентские запросы
• Умение посылать запросы серверу DNS о записях нужного типа, понимание, какой сервер авторитетен за зону, и понимание, готов ли сервер к пересылке зоны
• Умение выполнить обратный DNS запрос для определения сети, в которой находится машина с данным IP-адресом, и собрать информацию об этой сети
• Умение определить, в каком порядке опрашиваются различные системы при разрешении имен, и знание, в каком конфигурационном файле это определяется
• Знание, как устроена адресация IPv4 и как конвертировать адреса и сетевые маски из одного формата в другой
• Умение определить адрес подсети, широковещательный адрес, адреса хостов, возможных в данной подсети
• Понимание основы адресации IPv6, включая компоненты адреса, поддержку нескольких адресов на интерфейсе, различные способы записи адреса. В дополнение – понимание процесса автоконфигурирования, когда маршрутизатор отсылает префиксы или опрашивается, и как хост добавляет 64 бита, которые получаются из МАС-адреса, умение решать проблемы связи по протоколу IPv6
• Знание обычных номеров портов для распространенных ТСР и UDP сервисов, разницу между TCP/IP сервером и клиентом, и о «тройном рукопожатии»
• Понимание основы протокола ARP: обнаружение соседей, изучение arp-кеша, использование в сетях IPv6
• Умение сконфигурировать NTP и, если это требуется, вручную синхронизировать время с сервером времени
• Знание, как сконфигурировать клиента, перебить настройки, полученные с сервера DHCP, умение просмотреть текущие «арендованные» настройки, сбросить их и получить новые

1. Классификация сетевых протоколов

Для классификации сетевых  протоколов применяют так называемую эталонную семиуровневую модель OSI.

Сетевая модель OSI (англ. Open Systems Interconnection Reference Model — модель взаимодействия открытых систем) — абстрактная модель для сетевых коммуникаций и разработки сетевых протоколов.

Модель разбивает сетевые  протоколы на семь уровней:

1. Физический уровень (Physical layer).
2. Канальный уровень (Data Link layer);
3. Сетевой уровень (Network layer);
4. Транспортный уровень (Transport layer);
5. Сеансовый уровень (Session layer);
6. Уровень представления (Presentation layer);
7. Уровень приложения (Application layer).

Рассмотрим  интересующие нас протоколы:

Физический уровень OSI

Физический уровень предназначен непосредственно для передачи сигнала.

• Наличие несущей в проводе, подведенном к интерфейсу
• Характеристики Ethernet

Канальный уровень OSI

• На канальном уровне происходит упаковка сигналов в кадры (frames). Действует контроль ошибок. В заголовке кадра присутствует информация об адресате в виде его аппаратного адреса (MAC-адрес).
• На данном уровне работают коммутаторы (switch), мосты (bridge) и, конечно, собственно Ethernet-адаптеры (сетевые карты).

Заметим, что раз на данном уровне появилось понятие адреса, следовательно должна существовать маршрутизация. Канальная маршрутизация выполнена на аппаратном уровне.

Сетевой уровень OSI

На данном уровне функционируют  протоколы IP, IPv6, ARP, RARP и некоторые  другие, однако нас здесь будут  интересовать лишь эти четыре.

ARP

Протокол ARP предназначен для  того, чтобы преобразовывать адреса IP в MAC адреса. Таким образом, его предназначение состоит в том, чтобы обеспечить взаимодействие между сетевым и канальным уровнями, причём не любого сетевого протокола, а именно IP (не IPv6).

Когда у хоста появляется необходимость передать кадр с одного сетевого интерфейса на другой сетевой  интерфейс другого хоста, он сверяется  со своей маршрутной таблицей и решает находится ли хост назначения поблизости, то есть непосредственно в зоне досягаемости, или между ними есть роутер (маршрутизатор). В первом случае надо направить кадр непосредственно на сетевой интерфейс получателя, во втором на данный роутер, который в свою очередь будет сам решать задачу о том, куда ему направить данный Ethernet кадр. В обоих случаях надо превратить IP адрес в аппаратный MAC адрес, только в первом случае это будет IP назначения, а во втором IP маршрутизатора.

Для того, чтобы узнать MAC адрес по IP хост должен послать широковещательный запрос на MAC-адрес ff:ff:ff:ff:ff:ff. Данный запрос «слышат» все сетевые интерфейсы данного сегмента и тот интерфейс, которому соответствует данный IP адрес должен ответить, т.е. выслать свой MAC адрес:

# tcpdump -i rl0 -n arp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes

14:53:52.850637 arp who-has 192.168.25.158 tell 192.168.25.1

14:53:52.850695 arp reply 192.168.25.158 is-at 00:50:22:b0:7f:39

         

В приведённом примере  машина 192.168.25.1 выясняла аппаратный адрес  машины 192.168.25.158.

Чтобы система не делала ARP запросы при каждой попытке  отправить кадр, заводится некоторый ARP кеш, в котором находятся записи соответствия между IP адресами и MAC адресами. Обычно время жизни записи в этом кеше — 2 минуты. Даже в сильно нагруженной сети ARP запросы в норме совершаются 1 или 2 раза в секунду. Таким образом, сам по себе протокол ARP не нагружает систему, однако он уязвим с точки зрения безопасности: запрос ARP «слышат» все машины, в том числе и предполагаемый злоумышленник (конечно, если ему удалось проникнуть в сегмент сети), ничто не мешает злоумышленнику сформировать ложный ответ и, таким образом, перехватить трафик. Для борьбы с этим видом атаки существует множество разных способов, в том числе, можно использовать статические ARP таблицы и попросить сетевой интерфейс отключить у себя ARP протокол и не делать ARP запросов, а так же не отвечать на них.

RARP

Reverse ARP, обратный ARP протокол служит для того, чтобы по имеющемуся MAC адресу узнать IP адрес. Этот протокол используется в бездисковых машинах, загружающихся по сети. Первым делом такая машина должна узнать свой IP адрес, и параметры сети, чтобы она могла обратиться по сети, допустим к TFTP серверу, с которого она будет скачивать загрузочную запись. Единственное, что знает о себе эта машина — её MAC адрес. Она посылает в сеть широковещательный запрос с поиском RARP сервера и спрашивает у него, какой IP адрес будет ей соответствовать, если у неё вот такой MAC адрес. Это не тоже самое, что DHCP, хотя смысл похожий.

IP

Протокол IP предназначен для  передачи по сети пакетов IP. В соответствии с данным протоколом, на основании  маршрутной таблицы, выбирается сетевой  интерфейс через который должны передаваться данные, затем осуществляется ARP запрос и выясняется MAC адрес назначения, из пакета формируется кадр, а далее работает канальный уровень модели OSI.

Маршрутная таблица, это  таблица в ядре, в которой сказано через какой интерфейс надо посылать пакеты в ту или иную сеть, а так же, надо ли высылать пакеты непосредственно хосту получателю или их надо передать через следующий маршрутизатор, т.е. чей MAC адрес надо использовать, конечного хоста или следующего маршрутизатора.

 

Таблица маршрутизации

$ netstat -nr

Routing tables

 

Internet:

Destination        Gateway            Flags    Refs      Use  Netif Expire

default            xxx.yyy.zzz.254    UGS         0  1056785    rl0

127.0.0.1          127.0.0.1          UH          0    39839    lo0

172.16/30          link#2             UC          0        0    rl1

172.16.0.2         4c:00:10:54:dd:8e  UHLW        0    30428    rl1   1045

xxx.yyy.zzz.128/25 link#1             UC          0        0    rl0

xxx.yyy.zzz.254    00:50:8b:5c:98:4f  UHLW        1     1888    rl0   1189

Протокол IP предназначен для  передачи пакетов, задача формирования пакетов, контроль ошибок, в функции  протокола IP не входят. Это прерогатива  более высокоуровневых протоколов, таких как TCP, UDP, ICMP.

IPv6

Задачи протокола IPv6 те же, что и у IP, однако механизм их реализации иной. В частности протокол ARP не используется протоколом IPv6, его функции IPv6 берёт на себя сам, производя запросы  Router Solicition.

Транспортный  уровень OSI

На транспортном уровне нас  будут интересовать в первую очередь  протоколы ICMP, UDP и TCP.

ICMP

Протокол ICMP служит для передачи служебных сообщений.

Код	Описание
0	Echo Reply	ответ на запрос эхо
3	Destination Unreachable	адресат недостижим
4	Source Quench	приостановка отправителя
5	Redirect	переадресация
8	Echo	эхо-запрос
11	Time Exceeded	превышение контрольного времени
12	Parameter Problem	проблемы с параметрами
13	Timestamp	штамп времени
14	Timestamp Reply	ответ на запрос штампа времени
15	Information Request	запрос информации
16	Information Reply	ответ на запрос информации
Примечание: в некоторых  других, более поздних RFC могут быть добавлены дополнительные коды ICMP. Например в RFC 950 добавлены сообщения Address Mask Request (код 17) и Address Mask Reply (код 18)

(Таблица 1. Типы сообщений ICMP)

Название протокола ICMP расшифровывается как Internet Control Message Protocol, таким образом, протокол претендует на то, чтобы контролировать за функционированием Интернета. Примером может быть сообщение ICMP redirect. Пусть есть сеть в которой есть три машины A, B и C. Машина C является роутером (маршрутизатором), но у машины A в качестве маршрутизатора по каким-то причинам прописана машина B. В этом случае, когда машина A попробует связаться с внешним миром (например с машиной D), она обратится к машине B, а та вернёт ей ICMP redirect сообщение, с тем чтобы на адрес D машина A ходила напрямую через C. Таким образом, в данном случае, сообщения ICMP влияют на внутренние таблицы маршрутизации.