Hálózati Operációs Rendszerek Bevezető Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv
Bemutatkozás Bilicki Vilmos Árpád tér 49-es szoba Telefon: 4810-as mellék (mobil: +36203133523) Web: http://www.inf.u-szeged.hu/~bilickiv Email: bilickiv@inf.u-szeged.hu Fogadóóra: Kedd 8-10
Követelmények Elmélet: Gyakorlat: Év végi eredmények: ZH 2005.10.31.-én Vizsga a vizsgaidőszakban Gyakorlat: 3 fős csoportokban egy kötelező feladatot leadni DVD-n Határidő: 2005.12.10 Beszámoló egy választható témából Év végi eredmények: ZH max 20 pont Gyakorlat max 40 pont: Beszámoló 15 pont Feladat 25 pont Vizsga max 40 pont Minden részből legalább 50%-ot kell teljesíteni
Gyakorlat A feladat egy szervezet infrastruktúrájának megtervezése és működtetése Platform: Windows Linux Kötelező (max 20 pont): Feladat: Két szerver Címtár replikálva Címtár séma bővítés (felhasználó szem szine, csoport neve) Webes felület biztosítása a címtárban szereplő felhasználók manipulálására (IIS/Tomcat/Apache+PHP) Egy kliens mely számára a címtár biztosítja az azonosítást, felhasználói jogok kiosztása Választható (max 5 pont): Windows: A kliens teljes menedzselése címtár segítségével (szoftver, jogok, …) Linux vagy egyéb: címtár + kerberos azonosítás, mail szever + címtár Formátum: DVD: 3 db. VPC fájl + pdf dokumentáció
Gyakorlat Környezet: Irinyi 225-ös terem: Virtual PC 2004 Minden csoportnak 4,5 GByte tárterület A szükséges CD, DVD image-k felcsatolva A 217 kivételével minden teremben használható a VPC A szoftverek hazavihetőek otthon is lehet dolgozni A gyakorlat folyamán 30 perces beszámoló majd a projekt folyamán felmerülő kérdések megválaszolása Nem kötelező gyakorlatra járni, azonban a vizsgán szó lehet a beszámolók témáiról is
Gyakorlat beszámoló témák Csoportmunka támogató szoftverek Lotus Notes: beszámoló, bemutató MS Exchange: beszámoló, bemutató Egyéb? Linux, Windows közös azonosítás megoldásai, buktatói: bemutató, beszámoló Microsoft ISA Server 2004: bemutató, beszámoló Linux netfilter: bemutató, beszámoló Microsoft Operations Management Server: beszámoló, bemutató Microsoft BizTalk szerver: beszámoló, bemutató RAS megoldás Linux + Címtár: bemutató, beszámoló RAS megoldás Windows + Címtár: bemutató, beszámoló Hálózat monitorozás: Nagios, Netdisco, … beszámoló, bemutató Cluster építés: Linux, Windows bemutató, beszámoló
Lehetőségek Ingyenes MCP vizsgalehetőség az 5 legaktívabb hallgatónak http://www.microsoft.com/learning/mcp/default.asp
A tantárgy célja A mai hálózati operációs rendszerek feladatainak, szolgáltatásainak bemutatása Áttekintés napjaink infrastruktúra menedzsment eszközeiről, megoldásairól Egy mai cég informatikai infrastruktúrájának megismerése Áttekintés az aktuális trendekről
Az Internet mint vállalati gerinc
Integrált megoldások
Egy tipikus telephely
A félév anyaga
Dinamikus Címkiosztás RARP BOOTP DHCP DNS
A címtárak alapjai NIS, NIS+ Címtár fogalma, szerepe X.500
LDAP LDAP LDAP névtér Kliens LDAP műveletek LDAP séma LDAP objektum struktúra LDAP objektum elnevezés Kliens LDAP műveletek Cimtárképes alkalmazások Keresés LDAP protokol LDAP séma Objektum osztályok Attribútumok Szintakszisok Egyezési szabályok OID-k Séma ellenőrzés Cimtár menedzsment
OpenLDAP OpenLDAP Névtér Műveletek és kliensek Séma Menedzsment Biztonság
Sun ONE Directory Server Névtér Adatbázisok Indexelés Hivatkozások Láncolás Kliens LDAP műveletek Kliensek Vezérlők Plug-in-ek Séma Csoportok Szabályok/Szerepkörök Szolgáltatás osztályok Menedzsment Replikáció Biztonság
Microsoft Active Directory Névtér Particiók Elosztott Címtár funkcionalitás Adatbázisok Kliens LDAP műveletek Kliensek Vezérlők Séma Osztályok Tulajdonságok Menedzsment Replikáció Biztonság
ADAM, PKI ADAM PKI és társai ADAM vs. Active Directory ADAM architektúra ADAM fizikai architektúra ADAM logikai architektúra PKI és társai Kivonat Szimmetrikus titkosítás Aszimmetrikus titkosítás Digitális aláírás Digitális tanúsítvány Tanúsítvány hatóság
Azonosítás Azonositási protokollok: TLS NTLM Kerberos V5 Közös kulcs Kulcs kezelés KDC Kulcs elosztás Kulcs tipusok Jegy igénylő jegy Jegy tulajdonságok Azonositás delegálás Smart card bejelentkezés
Windows biztonsági architektúra Elemek Bejelentkezés tipusok Interaktiv Nem interaktiv Számitógép indulás Objektum biztonság az AD.-ben
Virtuális Magánhálózat Fogalma, Felhasználási területe Átviteli megoldások: Internet Protocol Security Alagút mód Átviteli mód Layer 2 Transport Protocol L2TP/IPSec Point to Point Transport Protocol Point-to-Point Protocol PAP CHAP MS-CHAP, MS-CHAP v2 EAP
AAA - Felhasználó azonosítás, naplózás Remote Access Dial-Up Service Internet Authentication Service Terminal Access Controller Access System
Active Directory Active Directory Felépítés Globális katalógus Felhasználók, csoportok Csoportházirend Felépítése Felhasználó menedzsment Szoftver menedzsment
Hálózati Fájl Rendszerek Network File System (NFS) Andrew File System (AFS) CODA File System (CODA) Server Message Bolck (SMB), Common Internet File System (CIFS) Distributed File System (DFS) LanStore
SAN – Storage Area Network Trendek Igények Adattár kapcsolat fejlődés Adattárolási megoldások SAS NAS SAN Fibre Channel architektúra Pont-pont Gyűrű Kapcsolt SAN komponensek SAN megosztott adattár SAN menedzselés Gyűjtemények Adatmozgás, migrálás
Hálózati Biztonság Miért érdemes hálózati biztonsággal foglalkozni Tűzfal Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT
Alapvető fogalmak OSI modell Ethernet keret Kapcsoló, VLAN (nem WLAN!) IP csomag Útvonal választó
Az OSI modell jelentősége Kicsi könnyen érthető részekre bontja a hálózatot Szabványosítja a hálózati eszközöket Lehetővé teszi a különböző hardver, szoftver elemek együttműködését Megakadályozza, hogy az egyes rétegekben történt változások más rétegeket is érintsenek
Az OSI modell rétegei
Rétegek: Alkalmazási Réteg: Megjelenítési réteg: Viszony Réteg: Szolgálatásokat biztosít a külső alkalmazások számára: email, ftp, web, DNS Megjelenítési réteg: Adat megjelenítéssel, kezeléssel foglalkozik: tömörítés, titkosítás Viszony Réteg: A viszonyok kezelésével foglalkozik: NFS, SQL agent Szállítási réteg: Adat megbízható sorrendhelyes, szállítása. Folyam szabályozás. TCP, UDP
Rétegek: Hálózati réteg: Adatkapcsolati réteg: Fizikai réteg: Útválasztás, kapcsolat felépítés IP, IPX, … Adatkapcsolati réteg: Hozzáférés az átviteli közeghez: MAC, Hálózati topológia, Hiba jelzés, Folyam szabályozás Fizikai réteg: Bináris átvitel, Átviteli sebesség, Feszültség, …
Adat beágyazás (PDU):
Fizikai réteg 10 Base 2 1000 Base SX 10 Base 5 10 Base T
Adatkapcsolati réteg Kommunikál a felsőbb rétegekkel (LLC) Nem hierarchikus névtér (flat) Keretekbe szervezett adat (framing) Közeghozzáférési protokoll (MAC)
MAC Ethernet (802.3) esetén a közösen használt közegen mindenki látja mindenki keretét Keret: előtag (64 bit, szinkronizálásra szolgál) célcím (48 bit) forráscím (48 bit) típus (16 bit: arp,IP, … ) adat(46-1500 bájt) crc (4 byte) padding
MAC címek (IEEE 1650$/cím)
Fizikai Topológiák
LAN elemek Host (end system) NIC (2. réteg) Médium (1. réteg) Repeater (1. réteg, 5-4-3) Hub (1. réteg) aktív passzív Bridge (2. réteg) Switch (2. réteg) Router (3. réteg) Felhő Szegmens
Kapcsolók Kereteket kezelnek A címek alapján hozza meg döntéseit (cím táblák) VLAN támogatás Multicast támogatás 802.1X támogatás
Kapcsolók
Hálózati réteg IP cím, IP fejléc IP cím osztályok Fenntartott tartomány Út választás Álhálózatok (subnet) Álhálózat létrehozása Forgalomirányító
IP csomag, IP cím IPv4 4 oktet, 32 bit IPv6 16 oktet 128 bit Pl.: 160.114.55.244, 3ffe:1900:6545:3:230:f804:7ebf:12c2 Hierarchikus címtér képzési lehetőség
Cím osztályok (IPv4)
Alhálózatok Túl nagyok a címtartományok, szegmentálni szeretnénk
Forgalomirányítók
ARP, RARP, BOOTP, DHCP ARP: IP cím van MAC cím nincs RARP: MAC cím van saját IP nincs BOOTP: MAC cím van saját IP nincs, egyéb beállítások DHCP: Dinamikus IP cím kiosztás
Szállítási réteg TCP UDP Kapcsolat orientált Sorrendhelyes, hibamentes átvitel 3 utas kézfogás, ablakozó mechanizmus (Reno, Vegas) UDP Kapcsolatmentes Gyors Hibákkal nem foglalkozik
Portok
Alkalmazás SNMP DNS FTP TELNET RPC
A kabinet felépítése
Topológia
Lan kapcsolóelemek HP4108 (http://www.hp.com/rnd/products/switches/switch4108GL/summary.htm) 5 modul 24 csatlakozó-alyzat/modul,120 FTP kábel 36.6 Gbps 2 tápegység soros port, telnet, web, SNMP Portok összefogása Port figyelés statisztikák webes megjelenítése
Lan kapcsolóelemek HP5300 XL (http://www.hp.com/rnd/products/switches/switch5300XL/summary.htm) 5 modul 24 csatlakozó-alyzat/modul,120 FTP kábel 76.8 Gb/s 2 tápegység soros port, telnet, web, SNMP Statikus, dinamikus útvonalválasztás Csomagszűrés (ACL) Portok összefogása Port figyelés statisztikák webes megjelenítése
ACL ; Slammer Worm deny udp any any eq 1434 log ;Microsoft SQL Worms ; file sharing (netbios lookup) deny tcp any any eq 137 log ; BLASTER deny tcp any any eq 4444 log deny tcp any any eq 135 log deny tcp any any eq 69 log ; wemese ;permit udp any eq 53 160.114.37.90 0.0.0.0 gt 1024 ;permit tcp any eq 80 160.114.37.90 0.0.0.0 gt 1024 ;permit tcp any eq 443 160.114.37.90 0.0.0.0 gt 1024 deny tcp any 160.114.37.90 0.0.0.0 log deny udp any 160.114.37.90 0.0.0.0 log
Windows Infrastruktúra
Név Funkció Wanda (160.114.55.244) CAB elsődleges tartományvezérlő Fájl kiszolgáló DNS kiszolgáló Wilma (160.114.55.225) CAB másodlagos tartományvezérlő Másodlagos fájl kiszolgáló Másodlagos DNS kiszolgáló Wancsa (160.114.55.66) WINDEM tartomány kiszolgáló Terminál szerver Alkalmazás szerver (.NET) Wiki (160.114.37.200) INFORM elsődleges tartományvezérlő Wemese (160.114.37.202) INFORM másodlagos tartományvezérlő Wiola (160.114.37.201) Wmoni Az INFORM, CAB, WINDEM tartományokat monitorozó szerver. Itt található a Frissítés és a vírusirtó szerver is. A MOM is ezen a szerveren fut.
DNS kiépítés
DFS
Szofverek telepítése frissítése egy gép telepítése kb 8 óra -> központi menedzsment linux: közös /usr/local/ könyvtár, ssh+script windows: egyforma image, msi csomagok egyéb lehetőségek: SMS
Linux Klaszter
A következő előadás tartalma RARP BOOTP DHCP DNS