WWW.VTS.SU.AC.YU
Administriranje
mreža Skripta za usmeni deo ispita
Administriranje mreža
- 2 -
1. Definicija administriranja računarskih mreža
2. Zadaci na polju administriacije racunarskih mreza.
3. Opišite administriranje konfiguracije.
4. Opišite administriranje učinka.
5. Opišite administriranje greške.
6. Opišite administriranje evidencije i obracuna.
7. Opišite administriranje sigurnosti.
8. Opišite administriranje servisa.
9. Opišite administriranje sa posebnim naglaskom na pouzdanost.
10. Menedžiranje kapaciteta.
11. Menedžiranje promena.
12. Osnove interneta. Pojam autonomnih sistema
13. Adresiranje na internetu
14. Korišćenje mrežne maske, podmreže i spajanje mreža.
15. Konfiguracija interfesa. Naredba ifconfig.
16. Menedžiranje interneta (IETF).
17. Arhitektura SNMP modela.
18. Format SNMP upita, format trap-a. Sigurnost SNMP protokola.
19. Format i analiza dnevnik zapisa SMTP i POP3 servisa.
20. Format i analiza dnevnik zapisa HTTP. Apache httpd.log.
21. Format DNS, konfig filea. Named.conf , format filea zone.
22. Upravljanje saobračajem (rutiranje). Održavanje tablice rutiranja. RIP i OSPF.
23. Prikaz mogućnosti TCPDUMP i wireshark programa.
24. Tipovi vatrenog zida (firewall, zaštitna barijera)
25. Squid proxy, analiza konfig filea, format i analiza dnevnik filea. Rad
hierarhičnih squid sistema.
26. Pojam NAT-a. Značaj globalnog NAT-a.
27. Opisati mogućnosti WEBMIN-a.
28. Opisati mogućnosti NAGIOS -a.
Administriranje mreža
- 3 -
1. DEFINICIJA ADMINISTRIRANJA RAČUNARSKIH MREŽA
Administriranje mrezom(network management) je process upravljanja slozenom
komunikacionom mrezom ciji je cilj maksimiranje efikasnosti I produktivnost mreze.
2. ZADACI NA POLJU ADMINISTRIACIJE RACUNARSKIH MREZA.
NM-network meagment obuhvata sve procese koje izvrsavamo u cilju da poboljsamo
efikasnost i automatizaciju sistema tj.sistem inzenjer,administratori,operateri,tehnicari i
korisnici.Po ISO standardu radimo upravljanje racunarskim mrezama .Podrazumevamo
kontinualno nadgledanje resursa a u slucaju menjamo parametre sistema u cilju bolje
efikasnosti.Postoje pet polja koja su zavisna:menadziranje ucinka,menadzirane obracuna i
evidencije,menadziranje konfiguracije,menadziranje gresaka i menadziranje sigurnosti
sistema.
3. OPIŠITE ADMINISTRIRANJE KONFIGURACIJE.
Cilj je da sistematicno rukujemo sa konfiguracijama svih resursa racunarske mreze da pratimo
sve promene u toku rada sistema I odrzavanja,Svi resursi mreze su:hardver,
Softver,hostovi,unutrasnji delovi,komunikacioni elementi (ruteri i svicevi),kablovi.Svi
Ovi resursi se stavljaju u bazu sa svim informacijama I svim promenama na sistemu
TIVOLI-program koji menadzira racunarske mreze.Menadzira konfiguraciju ,snima trenutno
stanje sistema .On sadrzi sve vrednosti u redzistru fajla.mozemo napraviti presek ,instalirati
nov softver,ponovo snimiti I uporediti dva snimka.Mogu otkriti viruse.Firmje daju oravilnik
koriscenja mreze Korisnici ne mogu samostalno da istaliraju programe vec samo
administratori.Virtualna masina wmware je nezavisna od hardvera ona sve fajlove stavlja u
jedan fajl .Mozemo unutar nje imati vise virtuelni masina ne moze ne zavisno da se menja
hardver u sistemu .Softver se menja daljinski mogu sr daljinski preuzeti tastatura I monitor
udaljenog racunara (desktop change program).
4. OPIŠITE ADMINISTRIRANJE UČINKA.
Redundantna linija
Ping trace
Cilj je da se pomocu merenja po raznim kriterijumima odrzi I poboljsa kvalitet vez.ping salje
ICMP pakete meri vreme odziva ,broj izgubljeni pakera,broj hopova do odredista .
TTL polje se postavljana neku vrednost u svakom cvoru ako je postavljeno 64 a dobije se
nazad 60 to znaci da ima 4 hopa .ako paketi dolaze do mreznnog nivoa onda je to hop.
ZASICENJE SAOBRACAJA –flow control je hrdverski nacin kontrole saobracaja .Salje
Administriranje mreža
- 4 -
Kontrolne pakete koji usporavaju ostale pakete ili odbacuje pakete vreme odziva na asihronoj
modenskoj vezi iznosi 120ms,64ksihrone veze I 30msADSL.
TRACE ROUTE-prati putanju paketa ,od svakog hopa dobija odziv kod svakog hopa moze
meriti min, max,srednje vreme Na osnovu ovih mereni vrednosti odlucuje o poboljsanju mogu
povecati memoriju,napraviti redundantu liniju.Bitno je da sto manje bude izgubljeni paketa I
ako ih ima da se ponovo salju.
5. OPIŠITE ADMINISTRIRANJE GREŠKE.
Cilj je da otkrijemo greske na mrezi i u servisima.Zadatak je da ove greske zapisemo u
dnevnik fajl (log file),da obavesti korisnike i administratora o nastaloj gresci i ako je moguce
da ukloni gresku.Postoje hardverske i softverske greske.
Hardverske greske se javljaju na interfejsu nekog hosta.Ping omogucava otkrivanje ove
greske.Ako nema odziva koristi se trace route do kojeg je mesta kanal prohodan.Problem
moze biti u kanalu interfejsa (prekid kanala)Moramo imati USPnapajanje u tajanju od 10-
30min koje omogucuje pravilno iskljucenje usled nepravilnog isklucenja mogu se pojedini
fajlovi ostetiti u ovu svrhu se koristi akumulator ili generator za vece sisteme.
Kod softverski servis je apac pratimo rad ovog servisa.Klijent udaljene masine telnet httpget
ako pravilno odgovori servis radi na udaljenom racunaru.Sadrzaj sranice mora biti ispravan
,servis moze da prati nadzor drugog servera.Losa konfiguracija je uzrok softverski gresaka.Do
greske ne dolazi odjednom vec postoje prethodni signali koji ukazuju na to.
6. OPIŠITE ADMINISTRIRANJE EVIDENCIJE I OBRACUNA.
Cilj je da vodimo informaciju o svim resursima racunarski mreza i o mjihovim pravima .Iza
stoji baza podataka,ona nije tablicna vec je baza X500 protokola,hijerarhiska za strukturu
direktorijuma.
ROOT KONTEJNER OBJEKTA DRUGI KONTEJNER(DIR)ROOT-JEDAN KONTENJER
(FAJLOVI)LIST-unutar kontejnera lici na fajl sisten
Postoje kontenjeri tipoa C(country),O(organization),OU(Evropa)
Listovi su korisnik,grupe korisnika,hostovi.
7. OPIŠITE ADMINISTRIRANJE SIGURNOSTI.
Cilj je da odrzavamo funkcionalnost mreze I da onemoguci neovlasceni pristup ostljivim
informacijama mreze.User policy-kontrola pristupa resursima za korisnika.Moze ograniciti
prava korisnika ,grupu korisnika I prava za grupu.Firewall-zastitna barijera stiti deo mreze na
Administriranje mreža
- 5 -
tri nacina :pomocu filtriranja paketa –paket se filtrira na osnovu izvorne I odredisne
adrese.Filtriranje poruka –proxy zastitni zid saceka celu poruku I filtrira je po sadrzaju,
virusu, duzini, velicini.Filtriranje aplikacije –radi na svakom racunaru
Host moze da koristi sva tri tipa filtriranja programi za filtriranje poruka ZORB I SVID.
Filtriranje paketa je na transportnom I mreznom znamo IP broj iport moze da se pusti,prosledi
I odbije paket.
Zastitni zid moze da utice I na izlazni I na ulazni interfejs.
8. OPIŠITE ADMINISTRIRANJE SERVISA.
Servisi su programi koji rade na hostu (serveri) i koji ostvaruju sve usluge koje mreza pruza i
daju usluge klijentima .Aplikacije se sastoje od vise procesa ,ako postavimo servis web servis
moze biti pokrenut kao sistemski ,ako radi odmah treba podesiti korisnicko ime ,indetifikator
grupe .Treba imati poseban nalog za svaki servis preciznije se odredjuju pravila nad fajl
sistemom ako neko udje u sistem preko nekog servisa onda on ima prava samo za stvari koje
su definisane za tog korisnika.Pojedine servise treba pokretati samo za minimalnim brojem
pravila .Svi glavni servisi se instaliraju na CHROOT
12.OSNOVE INTERNETA. POJAM AUTONOMNIH SISTEMA
INTERNET svetska kolekcija mreza koje dele zajednicke komunikacioni skup protokola
TCP/IP mreza nad mrezama .Nastao je 60ih kao reakcija amerike na hladni rad da stvori jedan
siguran sistem odbrane od nuklearnog napada pod nazivom ARPANET.Zahteve koje internet
zadovoljava prema RFS(standardu request protokol )su:Deljenje resursa medju razlicitim
mrezama tj. Razliciti mrezni protokoli moraju biti podrzani,nezavisnost od konkretnog
hardvera i softvera,pouzdanost,robusnost i osmisljavanje kvalitetni jednostavni za upotrebu i
efikasni protokola komunikacije TCP/IP koja ce da radi za velike kolicine saobracaja .
Savremeni internet podrazumeva dvoslojno rutiranje granica dva sloja def. Je kao pojam
autonomnog sistema.Autonomni sistem je deo mreze odnosno skup rutera ciji nadzor
upravljanje i odrzavanje obavlja jedna instituicija a izmedju koje se primenjuju indeticna
pravila rutiranja.Interno pravilo rutiranja usmerava pakete unutar A.S. precizno ka odredistu –
mrezi ili racunaru unutar A.S. Eksterno rutiranje grubo usmerava pakete pored odredjenih
Administriranje mreža
- 6 -
A.S.od polaznog ka odredisnom A.S.Za razmenu tabela rutiranja relevantnih za externo i
interno rutiranje ruteri koriste razlicite protokole.
13. ADRESIRANJE NA INTERNETU
Svaki računar ima fizičku adresu – to je broj koji proizvođač jednoznačno dodeljuje mrežnoj
kartici, međutim, van lokalne mreže mašine na internetu se adresiraju isključivo
upotrebljavajući IP adresu. IP je 32bitni (IPv4 struktura koja moze da ima 4milijarde hostova
podeljeni u 5 klas od A-E )broj koja se bično piše u vidu decimalnih brojeva razdvojenim
tackom u opsegu od 0-255 (npr, 192.168.0.6).. Ipv6: ima 128-bitnu adresu.Jedan računar
tipično ima jednu IP adresu, ali po potrebi može ih imati i više. Na primer, ako poseduje više
mrežnih kartica, ili mu je dodeljen veći broj virtuelnih IP adresa, može se spoljnom svetu
predstavljati kao više različitih mašina. Računari povezani na internet mogu poslati podatke
određenoj IP adresi, a ruteri i gateway-ji obezbeđuju dostavu poruke.Ljudi ne mogu lako da
upamte brojčane IP adrese, zato se koristi tekstualni ekvivalent IP adrese: host name npr.
Vts.su.ac.yu
14.KORIŠĆENJE MREŽNE MASKE, PODMREŽE I SPAJANJE MREŽA.
Pod IPv4 svaki uređaj na mreži ima jedinstvenu kompletnu mrežnu adresu.tj podeljeno na dva
dela: mrežne adrese (koja je zajednička za sve uređaje na istoj fizičkoj mreži) i adrese čvora
(koja je jedinstvena za svaki uređaj/čvor na toj mreži)
U originalu, IPv4 adrese su podeljene na sledeći način:
adresa mreže (prvih 8 bitova)
adresa čvora (preostala 24 bita)
Kreiranje podmreza se izvodi da bi se dobio veci broj mrezni adrasa u odnosu na broj koji
odredjuje IP licenca Ovakva podela je dovela do ograničenja od 256 (tačnije, 254) mreža što
je dovelo do nastanka klasa mreža. Postoje 4 klase mreža - A, B, C, D i E. Klase A, B i C
predstavljaju mreže sa različitom dužinom mrežnog broja dok klasa D služi za multicast
adrese a klasa E je rezervisana.
IP adrese mogu koristiti za određivanje mreže kojoj čvor pripada. Ova
informacija se takođe naziva i maska podmreže a reprezentuje se u vidu
kontinualnog niza jedinica (čiji je broj jednak broju bitova koji ulaze u adresu
mreže) praćenog nizom nula (čiji je broj jednak broju bitovakoji ulaze u adresu
čvora). Postoje maske tipa A,B i C
A 255 0 0 0
B 255 255 0 0
C 255 255 255 0
Klase A, B i C ne omogućavaju precizniju podelu mreže jer njihove makse
koriste isključivo sve bitove ili ni jedan iz svake grupe od 8 bitova. CIDR
omogućava dodatnu i precizniju podelu opsega adresa na mreže korišćenjem sva 32 bita u
kreiranju maske podmreže. CIDR (Classless Inter-Domain Routing) je
ujedno i poslednja dorada načina korišćenja IP adresa tj. zamena klasa mreža.
CIDR nudi veću fleksibilnost pri podeli IP adresa na opsege ili pod-mreže
zbog baziranja na bitovima (dok se klase mreža baziraju na grupama od 8 bitova tj.
bajtovima).
Administriranje mreža
- 7 -
15. KONFIGURACIJA INTERFESA. NAREDBA IFCONFIG.
Većina savremenih Linux distribucija nudi sopstvene alate (konzolne i GUI) za
jednostavnije podešavanje mrežnih adaptera (interfejsa). Međutim, većina ovih
alate se oslanja na osnovni alat za podešavanje mrežnih adaptera, ifconfig.
Ukoliko želimo da prvi mrežni adapter računara podesimo za rad na mreži klase C koja ima
sledeće parametre:
Mreža: 192.168.1.0
Mrežna maska: 255.255.255.0
Gateway: 192.168.1.1
Adresa računara: 192.168.1.10
korišćenjem ifconfig alata to možemo postići pomoću sledeće naredbe: #ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
Ukoliko želimo samo da izvršimo pregled trenutnih podešavanja interfejsa
pokrenućemo alat ifconfig bez parametara:
# ifconfig
IFCONFIG prestavlja jedanod glavnih mrežnih konfiguracionih alata. Ovaj alat se koristi za podešavanje mrežnih adaptera i za prikaz njihovih konfiguracionih parametara. Pomoću ovog alata se može podesiti mrežna adresa adaptera, mrežna maska, broadcast, aktivnost i sl. 16. MENEDŽIRANJE INTERNETA (IETF).
IETF je telo za standardizaciju čiji je fokus rada usmeren ka razvoju Internet mreže.
Specifičnost ove organizacije je u tome što nema zvanično članstvo što znači da svi
zaintesovani pojedinci i organizacije mogu imati pristup mejling-listama, prisustvovati
sastancima ili davati sopstvene predloge u razvoju standarda. Web sajt IETF-a se nalazi na
adresi www.ietf.org.
17. ARHITEKTURA SNMP MODELA.
Uloga SNMP protokola jeste da administratorima obezbedi informacije vezane za samu
računarsku mrežu koje je moguće iskoristiti za sprečavanje i rešavanje problema u radu
mreže.Za korišćenje SNMP protokola u mreži potrebno je obezbediti odgovarajuće
karakteristike mreže. Mreže sa omogućenim SNMP-om cine tri tipa SNMP
komponenti:
1. Mrežni uređaji sa podrškom za SNMP upravljanje (eng. managed
device).
2. SNMP agenti.
3. Sistemi za upravljanje mrežom (eng. Network Management System,
NMS).
Mrežni uređaji sa podrškom za SNMP upravljanje su članovi mreže koji sadrže
SNMP agente. Ovi uređaji kreiraju bazu podataka koja sadrži informacije o
njihovom radu u proteklom periodu. Podaci iz ove baze su dostupni sistemu za
upravljanje mrežom (NMS) putem SNMP protokola Uloga SNMP agenata je da
podatke iz baze podataka mrežnog uređaja prevede u oblik definisan SNMP
protokolom kao i da kontrolne podatke dobijene od NMS sistema primeni na
Administriranje mreža
- 8 -
lokalnom uređaju. Zadatak NMS sistema jeste da informacije dobijene od SNMP
agenata analiziraju kao i da kontrolišu mrežne uređaje. Jedan od glavnih problema vezanih za
SNMP protokol jeste nedostadak provere autentičnosti u oba smera. Iz tog razloga većina
proizvođača mrežne opreme u uređaje ugrađuje samo mogućnost davanja SNMP informacija
bez mogućnosti podešavanja rada uređaja putem SNMP-a
18. FORMAT SNMP UPITA, FORMAT TRAP-A. SIGURNOST SNMP PROTOKOLA.
„Treba slika koja je na kopiji prva‟i moze se teorija iz pitana 17 primeniti i ovde.
Postoje tri verzije SNMP protokola: SNMPv1,v2 i v3.
Management Information Base (MIB)-Ova baza podataka informacija upravljanja mrežom,
sadrži definicije informacija koje za koje je odgovoran SNMP. Postoji definicija MIB-a za
svaki, pojedinačni uređaj koga SNMP podržava. Konzola (Management Station) nadgleda i
ažurira vrednosti MIB-a pomoću agenta (Management Agent)
Naredbu Trap koriste upravljački uredjaji za izveštavanje NMS-a o asinhronim doganajima.
Naredba Trap je poruka koja prijavljuje problem ili značajniji doganaj. Kada se dogodi
odreneni tip dogadaja, upravljački urenaj pošalje trap NMS
Sigurnost. SNMP ima sigurnosni mehanizam gde svaki paket ima oznaku koja oznacava
nivo upravljacke kontrole mrežnog Managera nad mrežnim uredajem. Za nadzor sistema
potreban je samo read comunity right odnosno podaci se samo citaju, a na vecini uredaja
SNMP protokol je po default-u enabled
System upravljanja nad mrezom u okviru SNMP protokola
19. FORMAT I ANALIZA DNEVNIK ZAPISA SMTP I POP3 SERVISA.
SMTP protokol predstavlja osnovni protokol za prenos elektronske pošte u
računarskim mrežama i na Internetu. S obzirom na to da je ovo jedini opšte
prihvaćeni protokol za prenos elektronske pošte podrazumeva se njegova podrška kod svih
MTA softvera (Sendmail, MS Exchange, Postfix...).
Korisnici e-mail servisa koriste SMTP protokol samo za slanje
Administriranje mreža
- 9 -
elektronske pošte (prenos pošte od njhovog e-mail klijenta – MUA, Mail User
Agent – do lokalnog SMTP servera). Za pristup e-mail porukama koje je server
prihvatio u njihovo poštansko sanduče (eng. Mailbox) korisnici koriste POP3 ili
IMAP protokole.
POP3(postanski protokol verzija 3) protokol predstavlja jednostavniji protokol koji pristup
porukama obavlja putem sledećih akcija:
povezivanje na server
preuzimanje i uklanjajne poruka
raskidanje veze sa serverom
20. FORMAT I ANALIZA DNEVNIK ZAPISA HTTP. APACHE HTTPD.LOG
HyperText Transfer Protokol (HTTP) je osnovni protokol za distribuciju sadržaja
na Web-u. Osnovna funkcionalnost ovog protokola je prenos zahteva za HTML
dokumentima (od strane klijenta ka serveru) i prenost sadržaja HTML
dokumenata (od strane servera ka klijentu). HTTP je protokol aplikativnog nivoa.
Podrazumevani transportni protokol je TCP a port 80.
HTTP je protokol koji ne definiše stanje konekcije tj. Ne cuva adrese klijenata tako da svako
obracanje istog klijenta mora ponovo da uspostavlja konekciju ovaj problem je delimicno
resen uvodjenjem dinamicke stranice Drugi glavni problem kod HTTP protokola je ne
posedovanje nikakvih sistema zaštite podataka koji se njime prenose.
Ovaj problem je rešen uvođenjem HTTPS protokola (Secured HTTP). Apache je Open Source projekat, zasnovan na NCSA httpd izvornom kodu. Apache web server je jedan od najpopularnijih i najcešce korišcenih web servera na Internetu. razloge zbog kojih je Apache u prednosti nad konkurentskim web serverima cu:
mogucnost izvršavanja na UNIX/ Linux sistemima,
stabilnost,
solidne performanse.
Ove karakteristike Apache web servera su pre svega posledica modularne arhitekture. Apache se sastoji od manjeg operativnog jezgra preko koga je moguce ucitati razlicite module i skriptove. Time je omoguceno povezivanje sa mnogim drugim softverskim elementima na samom serveru i u njegovom operativnom sistemu. I na kraju sto je potpuno besplatan.
21. FORMAT DNS, KONFIG FILEA. NAMED.CONF, FORMAT FILEA ZONE.
Najvažnija funkcionalnost DNS-a(Domain Name System) je prevođenje IP adresa u ime
domena i obrnuto.DNS je organizovan u topologij stabla na vrhu stabla je root server koji je
nadlezan za sve ostale u svetu ih ima 13glavni servera,celo stablo je podeljeno u zone,zone su
skup cvorova administriranih od strane jednog dns servera jedan dns server moze da bude
nadlezan i za vise zona. Radi se o hijerarhijskoj organizaciji, razdvojenoj po tipu adrese (.com
za firme, .mil za vojsku, .edu za obrazovanje itd) i po zemljama (npr. yu za SCG).
Administriranje mreža
- 10 -
U konfiguracionom fajlu podesavamo kakav upit zelimo uglavnom se podesava kao
rekurzivni. Tu se jos podesava zona za koju je nadlezan dns server i sva prava koja moze dati
dns da ima nad odredjenom zonom.
22. UPRAVLJANJE SAOBRAČAJEM (RUTIRANJE). ODRŽAVANJE TABLICE
RUTIRANJA. RIP I OSPF
Da bi se paket poslao hostu koji se nalazi na drugoj mreži, potrebno je da u mreži
postoji uredjaj koji zna kako i gde isporuciti paket. Ovaj oblik isporuke paketa je poznat kao rutiranje. Rutiranje se obavlj na osnovu tabela rutiranja koje su baza podataka o dostupnosti pojedini mreza a rutiranje izvode ruteri koji usmeravaju pakete ka odredjenom interfejsu u zavisnosti od njixove IP adrese u zaglavlju. Postoji nekoliko tipova rutiranja tj odrzavanja tabela:
standardno rutiranje - svi paketi koji nisu namenjeni mreži šalju se na
podrazumevani izlaz. Ovaj tip rutiranja je primenljiv ukoliko mreža ima samo jedan izlaz;
staticko rutiranje - pomocu odredjene komande sam administrator formira staticke rute u tabeli. Ovaj nacin rutiranja upotrebljava se ukoliko iz mreže postoji nekoliko izlaza ka drugim mrežama, pri cemu se jedan koristi kao podrazumevani izlaz ka svim ostalim mrežama;mana lose resenje za velike mreze.
dinamicko rutiranje - sistem “osluškuje” broadcast pakete rutiranje i automatski podešava tabele. Mnogi Internet ruteri koriste ovaj metod rutiranja mana je sto svako moze svasta da oglasi. RIP i OSPF prestavljaju protokole koji se koriste za razmenu informacija o rutama tj.razmenjuju sadrzaj tabela rutiranja izmedju ruterta u mrezi.U zavisnost od nacina rada RIP spada u distance- Vector a OSPF U link-state a u zavisnost od IP klasa RIP spada u classaful a OSPF U u classeless
protokol.Osobine distance vektora su: svakom hop-u se dodeljuje fiksni faktor rastojanja i svaki ruting update poruka sadrzi vektor tipa (adress ili distance ) para a kod OSPF svakom interfejsu rutera je dodata cena i ruter salje updata poruku sa stanjem njegovog interfejsa zajedno sa faktorom cene.
23.PRIKAZ MOGUĆNOSTI TCPDUMP I WIRESHARK PROGRAMA.
TCPDUMP program spada u grupu sniffer-a, programa koji snimaju komunikaciju koja
se\odvija preko nekog lokalnih mrežnih adaptera. tcpdump razume osnovne Internet
protokole i ima mogućnost čuvanja rezultata zarad naknadne obrade.
Administriranje mreža
- 11 -
Sniffing je metod u kome se specijalnim programima (sniffer) presrecu TCP/IP paketi koji
prolaze kroz odredjeni racunar i po potrebi pregleda njihov sadržaj. Kako se kroz mrežu
obicno krecu podaci koji nisu šifrovani, snifer lako može doci do poverljivih informacija.
WireShark je besplatan programski paket za analizu mrežnog prometa koji je zamišljen kao
grafička verzija popularnog TCPDump programskog paketa. Pomoću WireShark programa
možete da analizirate saobraćaj direktno sa mreže, a utvrđeni promet možete da snimite u fajl
radi kasnije analize. Među brojnim kvalitetima ovog programa, treba posebno istaći veoma
moćne mogućnosti filtriranja i dekodiranja saobraćaja, praćenja pojedinih sesija itd. Dostupne
su i verzije za Windows i Linux operativne sisteme.
24.TIPOVI VATRENOG ZIDA (FIREWALL, ZAŠTITNA BARIJERA)
Mrežnim barijerama (firewall) kreiraju se kontrolne tacke bezbednosti na granicama
privatnih mreža. Na ovim kontrolnim tackama mrežne barijere ispituju sve pakete koji
prolaze izmedju privatne mreže i Interneta. Jednostavno receno, firewall se nalazi na
granici privatne mreže i filtrira saobracaj na relaciji privatna mreža – Internet.
Mrežne barijere koriste tri osnovna metoda zaštite na mrežnom, transportnom i
aplikacionom sloju. Mrežna barijera dozvoljava jedino prolaz IP paketa sa
ispravnom IP adresom iz spoljne mreže.
Na transportnom sloju mrežna barijera dozvoljava ili zabranjuje pristup TCP/IP portovima
zavisno od izvorišnih i odredišnih IP adresa. Na taj nacin se vrši kontrola pristupa TCP
servisima.
Na aplikacionom sloju proksi serveri prihvataju zahteve za pristup odredjenoj aplikaciji
koji dalje upucuju ka odredištu ili blokiraju. Proksi servisi uspostavljaju konekciju na
visokom aplikacionom nivou, cime se prekida konekcija na mrežnom sloju izmedju
racunara u privatnoj mreži i racunara iz spoljne mreže
Kao mrežna barijera može se koristiti skup uredjaja i servera od kojih svaki obavlja samo jednu od navedenih funkcija na pr.ruter.
25.SQUID PROXY, ANALIZA KONFIG FILEA, FORMAT I ANALIZA DNEVNIK FILEA. RAD
HIERARHIČNIH SQUID SISTEMA.
Kod linuxa squid je naj rasireniji proxy server glavna namema mu je da kesira tj. Sacuva
sadrzaj stranice koju je neko posetio i na taj nacin ubrza surfovanje ali i smanji protok jel se
ista stranica ne preuzima ponovo sa interneta .pr.ako imamo korisnika(A) jednog preduzeca i
on je pristupio googlu i ako korisnik B istog preduzeca zeli da pristupi googlu on preuzima
stanu sa proxy servera tog preduzeca i time ubrzava konekciju.Proxy moze da koristi samo
HTTP i FTP protokole jer samo oni dozvoljavbaju kesiranje.Da bi mogli da koristimo squid
moramo u linuxsu da konfigurisemo glavni konfiguracioni fajl a u njemu treba da podesimo
sledece:Onemogucavane kesiranja pojedini objekata,odrediti memoriju za squid,mesto za
skladistenje objekata,dozvoliti ili zabraniti pristup korisnicima odredjeni IP adresa,obratiti
paznju na pravila unutar direktorijuma gde se kesira,podesavanje SNMP,omoguciti
logovane.Ovim podesavanjima i pokretanjem squid olaksavamo komunikaciju nasoj mrezi
Administriranje mreža
- 12 -
26. PREVODJENJE MREŽNIH ADRESA(NAT)
Prevodjenje mrežnih adresa (Network Address Translation) je proces konverzije IP adresa
privatne mreže u jedinstvenu IP adresu na Internetu. NAT je implementiran samo na
transportnom sloju referentnog modela NAT efektivno skriva sve TCP/IP informacije o
racunarima u privatnoj mreži od napadaca sa Interneta.NAT takodje dozvoljava da se unutar
mreže koristi bilo koji opseg IP adresa,ukljucujuci i one koje su vecu upotrebi na
Internetu.Prilikom prolaza paketa kroz mrežnu barijeru NAT skriva IP adrese racunara iz
privatne mreže konvertujuci ih u adresu mrežne barijere (ili u adresu koja se odnosi na
mrežnu barijeru). Mrežna barijera zatim ponovo šalje podatke koji se u tom paketu nalaze sa
svoje adrese, koristeci pritom tablicu prevodjenja adresa.
U opštem slucaju NAT tabele mapiraju:
lokalnu IP adresu u globalnu IP adresu staticki,
lokalnu IP adresu u bilo koju adresu iz skupa dodeljenih globalnih IP adresa,
lokalnu IP adresu sa posebnim TCP portom u bilo koju adresu iz skupa dodeljenih
globalnih IP adresa,
globalnu IP adresu u jednu iz skupa lokalnih IP adresa na osnovu Round Robin
algoritma.
27. WEBMIN
Webmin je savremeni alat za administriranje svih linux sistema.Iz webmin-a se moze
administrirati ceo sistem od procesa,hardvera,softvera,servera,mreze i svega ostalog.
Webmin se sastoji od nekoliko podmenija a to su:System,servers,hardware,cluster,
others,network.
U podmeniju SYSTEM nalaze se alati za administriranje samog linux sistema na kome se
nalazi webmin.
U podmeniju SERVERS nalaze se alati za administriranje servera koji su instalirani na
sistemu.Webmin svojim default opcija u ovom podmeniju podrzava sledece servere:
web,dns,dhcp itd...
HARDWARE podmeni omogucava administraciju i instalaciju hardvera na sistemu.
U CLUSTER podmeniju se nalaze sledeci alati: Heartbeat monitor,
Cluster software packages, Cluster users and groups,
Cluster webmin server, Configuration.
OTHERS podmeni nudi alate za administriranje i nadgledanje nekih posebnih servisa kao sto
je SSH/telnet logovanje na sistem i nadgledanje samog statusa sistema.
NETWORK podmeni ima mogucnost komfigurisanja mreze kao i konfiguraciju FIREWALL-
a.
28. PROGRAMSKI PAKET NAGIOS
Nagios je besplatan open source Linux softver namenjen nadgledanju i
analizi stanja mrežnih resursa i komponenti. Nagios je originalno razvijen za rad pod Linux
platformom, ali paket je održan pod skoro svim ostalim Unix kompatibilnim
platformama.Neke od mnogih mogućnosti Nagiosa uključuju:
nadgledanje mrežnih servisa (SMTP, POP3, HTTP,itd.)
nadgledanje lokalnih resursa hostova (opterećenje procesora, iskorišćenost memorije hard
diskova, stanje mrežnih interfejsova, itd.)
Administriranje mreža
- 13 -
jednostavni plug-in koncept koji dozvoljava korisniku da lako razvija i implementira
sopstvene plaginove za nadgledanje specifičnih servisa
paralelno nadgledanje servisa
obaveštavanje u slučaju pojave neregularnog rada hostova ili servisa i njihovog oporavka
(putem e-maila, pejdžera, SMS-a
automatsku rotaciju log-a
podršku za implementaciju redundantnih servera za nadgledanje mreže
podršku za implementaciju distribuiranog nadgledanja mreže
opcioni web interfejs za uvid u tekući status mreže, obaveštavanje i uvid u
istoriju problema, log datoteka itd.
jednostavna šema autorizacije na web interfejsu kojom se lako kontrolišu
korisnička prava pristupa informacijama
Programski paket Nagios zasnovan je na jednostavnoj plug-in arhitekturi čiji
koncept podrazumeva funkcionalnu podelu paketa na jezgro programa i eksterne
programe koji se nazivaju plaginovima (engl. plug-in). Jezgro Nagiosa, koje čini
centralni proces, u dokumentaciji još označavan kao Nagios Process,
ne poseduje nikakve interne mehanizme provere statusa nadgledanih objekata.
Umesto toga, ono se u potpunosti oslanja na plaginove koji obavljaju celokupni
posao nadgledanja. Samim tim, Nagios jezgro je beskorisno bez svojih plaginova.Na slici 1.
prikazan je način na koji su plaginovi odvojeni od jezgra
programa. Nagios pokreće plaginove koji potom proveravaju lokalne ili udaljene
resurse ili servise nekog tipa. Kada plaginovi završe proveru resursa ili servisa,
prosto predaju rezultate provere nazad Nagiosu na obradu.
Dobra strana plagin arhitekture je što pruža praktično neograničene mogućnosti nadgledanja.
Loša strana plagin arhitekture jeste činjenica da Nagios apsolutno nije“svestan” onoga što se
nadgleda. Nadgledani objekat može biti napon na procesoru,temperatura itd.