Корпоративная сеть с открытой инфраструктурой – базовый
элемент управления и обучения
Д.В. Дюгуров,
доц. каф. информ. и матем.и, MCSA: Security Server 2003,dvoe_sm@mail.ru,
ГОУ ВПО «Удмуртский государственный университет», г. Ижевск
Аннотация
Обсуждается технология построения локальной вычислительной сети с открытой
инфраструктурой. Сама сеть рассматривается как инструмент обучения,
административного управления и средство для научных исследований
Abstract
The technology construction of
the local network with an open infrastructure is discussed. The network is
considered as the learning tool, administration managerial control and a resource
for scientific researches
Создание и рациональное
использование общих вычислительных ресурсов является одной из важнейших задач
информатизации в целом. Возможность масштабирования сетей, интеграции между
собой уже созданных сегментов напрямую зависит от выбранных сетевых платформ.
Особую актуальность эта проблема приобретает в профильных вузах. В данном
случае необходимо иметь инструмент для решения следующих задач:
·
обучение студентов
методам построение крупных и очень крупных корпоративных вычислительных сетей;
·
осуществление
расчетов, параллельных вычислений;
·
административное
управление учебным заведением;
·
хранение и организация
свободного доступа к результатам работ, создание базы научного и культурного наследия.
Безусловно, отдельные элементы
решения таких задач существуют и успешно используются, однако при соответствующем
подходе можно создать универсальный инструмент для решения всех этих задач
одновременно.
Во
всех названных ситуациях приходится решать именно задачу по организации
авторизованного доступа к общим ресурсам. В каких-то случаях это непосредственно файлы баз данных, в
каких-то – процессорное время и дисковое пространство, в иных –
административные рабочие места.
Для
решения поставленных задач необходимо:
·
собственно
компьютеры, объединенные в сеть;
·
защищенная база
данных, включающая в себя всю информацию об общих объектах (упрощает поиск),
пользователях, компьютерах (упрощает администрирование);
·
инструменты
управления этой базой данных;
·
инструменты
отказоустойчивости этой базы данных;
·
инструменты
восстановления этой базы и ее частей.
В качестве программного инструмента
управления общими ресурсами предлагается проект вычислительной сети факультета
ИТиВТ УдГУ на основе доменов MS Windows на
базе Активного каталога последнего поколения. В рамках базового домена в ней
выделены тестовый, административный и учебный поддомены. Данную сеть можно использовать
как инструмент обучения принципам организации корпоративных сетей, ее вычислительные
ресурсы можно использовать для реализации коммерческих проектов, а
административный поддомен будет инструментом управления учебным процессом.
Данная локальная
вычислительная сеть является
вычислительной сетью с открытой инфраструктурой. Причем «открытость» состоит
в том, что конфиденциальность физической инфраструктуры сети не является в
данном случае элементом политики
безопасности. Масштабы данной сети сопоставимы с сетью крупного
промышленного предприятия. Следует также отметить, что использование студентами
лицензионного программного обеспечения, установленного на факультетских
серверах, позволяет повысить культуру будущих специалистов и сократить количество
ошибок в их продуктах. Возможность поработать на «живых» серверах, управляя действующими в реальном бизнес-процессе
серверными ролями, является несомненным плюсом при подготовке системных
администраторов.
Существенным обстоятельством
здесь является то, что «открытость» не
является угрозой безопасности сети в целом. Безопасность такой сети заключается
не в сокрытии информации о ее логической и физической инфраструктурах, а
разделении уровней административного вмешательства пользователей в систему на
основе «принципа наименьших привилегий».
Смысл принципа наименьших
привилегий в следующем – каждому пользователю должен быть явно разрешен доступ
только к тем ресурсам системы, которые необходимы ему для выполнения своих
обязанностей или удовлетворении потребностей в рамках утвержденного
бизнес-процесса.
Открыв информацию и сетевой
инфраструктуре широкому кругу пользователей, наряду с разделением ролей мы
оставляем еще один элемент сетевой безопасности – учетные данные участников
безопасности (логины и пароли). На этапе первоначального функционирования
вычислительной сети с открытой инфраструктурой ее безопасность обеспечивают
встроенные стойкие алгоритмы аутентификации. В дальнейшем в систему безопасности можно вносить
коррективы, используя предложения пользователей сети, обнаруживших в ней «узкие
места». В этом механизме учтена и психологическая сторона вопроса, – никому из
пользователей не захочется сознательно портить или оставлять уязвимым
инструмент, который он использует в работе.
Базовыми участниками
безопасности данной сети будем считать учетные записи пользователей и
компьютеров. Унифицированное управление множеством участников безопасности в
сети организовано с помощью протокола LDAP, за
основной контейнер которого взят юнит
(организационное подразделение).
Аппаратная часть корпоративной
сети с открытой инфраструктурой – IBM-совместимые
компьютеры формата Wintel. Вычислительные мощности
серверов и количество их сетевых интерфейсов рассчитываются в зависимости от
масштабов сети. Сама сеть с открытой инфраструктурой, а точнее ее
административный поддомен, используется в качестве основы для ИАС[1]вуза.
Внутренняя структура каждого из поддоменов состоит из одинаковых базовых элементов.
При необходимости в каждом из поддоменов размещаются сервера со специфическими
ролями.
Каждый из поддоменов содержит
два контроллера домена (DC) с базой
данных Активного каталога (AD), один сервер
разрешения имен (DNS), один DHCP-сервер, один Web-сервер,
один подчиненный сервер сертификатов (SCA), один
межсетевой экран (ISA), используемый для соединения
подсетей друг с другом и с Интернетом.
Базу данных доменных имен
необходимо постоянно поддерживать в актуальном состоянии. Поэтому необходимо
организовать репликацию DNS на
соответствующие серверы в домене. Однако, мы использовали для этого другой
механизм и интегрировали базу DNS в активный
каталог, совместив роль DNS-сервера с
ролью контроллера домена. Это избавляет администратора от настройки репликации DNS, которая в данном случае происходит автоматически на
все контроллеры домена совместно с репликацией активного каталога. Это также
позволило усилить безопасность DNS, разрешив
только безопасные обновления записей в базе. Таким образом, только прошедшие на
контроллере домена проверку структуры (пользователи
или компьютеры) смогут изменять записи доменных имен. Это безусловный плюс
безопасности, который в принципе избавляет сеть от атак типа redirect.
Наличие DHCP-сервера обязательно в студенческой и тестовой
подсетях, а в административной подсети надобности в этом сервере нет. В учебной
подсети необходимы DHCP-ретрансляторы, так как все
важные сервера сосредоточены в одном помещении, а маршрутизаторы по умолчанию
не пропускают DHCP-трафик в удаленные сегменты.
На Web-серверах
размещаются внутренние сайты факультета, виртуальные каталоги и FTP-ресурсы студентов. Web-сервера развернуты на основе технологии IIS 6.0. Брандмауэры устанавливаются во всех подсетях.
Причем в студенческой подсети не предполагается наличие демилитаризованной зоны
(DZ), а в остальных подсетях будут размещены два межсетевых
экрана. Клиентские компьютеры во всех подсетях настраиваются как клиенты DNS, DHCP, и Web-proxy
одновременно. В каждой подсети будут развернуты сервера кэширования и
автоматического обновления (SUS). Эти функции
можно отдать ISA-серверу, если это не вызовет
его перегрузку.
Наличие
данного инструмента должно породить особое содружество студентов: инициативные
студенты, получая определенные заказы, могут формировать собственные команды,
используя факультетскую сеть в качестве средства разработки. Образовав
собственные компании после окончания вуза, они могут продолжать использовать
университетскую сеть и ее ресурсы. В результате вокруг университета образуется
бизнес-окружение, которое будет потреблять выпускников соответствующих
специальностей и снабжать студентов практической работой, что является
идеальным вариантом для вуза и высшего образования в целом. Это позволяет
университету участвовать в выгодных коммерческих проектах и повышает престиж
преподавательской деятельности среди бывших студентов, что обеспечит
воспроизводство кадров для университета за счет привлечения этих специалистов в
учебный процесс.
Во
внеучебное время вычислительные ресурсы данной сети можно использовать для
проведения численных экспериментов, лабораторного моделирования и прочих
расчетов.
Размещая
результаты исследований на собственных общедоступных Web-серверах можно самостоятельно контролировать доступ к
ним общественности не попадая в зависимость от провайдеров.
1.
Дюгуров Д.В.
Внедрение вычислительной сети с открытой инфраструктурой в образовательный
процесс // Тр. 14
всероссийской научно-методической конференции «Телематика 2007» / – СПб., 2007, Т.2. – С. 297.
2.
Дюгуров Д.В.
Управление факультетом и модернизация учебного процесса с помощью
вычислительной сети с открытой инфраструктурой. / Тр. 35 итоговой студ. научной конференции /
Удмуртский гос. университет. – Ижевск, – С. 39 – 40.
3.
Дюгуров Д.В. Сети
с открытой инфраструктурой: безопасный инструмент обучения и производства //
Сборник докладов 6 международной научно-методической конференции «НОТВ». –
Екатеринбург, УГТУ-УПИ, 2008. – С. 27 – 32.
4.
Дюгуров Д.В. К
вопросу о безопасности сетей с открытой инфраструктурой //Тр. 15 всероссийской
научно-методической конференции «Телематика 2008» – СПб, 2008. – С. 310.
5.
Дюгуров Д.В.
Концепция информатизации УдГУ. // Дистанционное обучение – М., 2008, №5.
6.
Дюгуров Д.В.
Принципы построения университетской сети с открытой инфраструктурой //
Научно-технические ведомости СПбГПУ, 2009. №6(69) – С. 64 – 68.
7.
Дюгуров Д.В. Сети
с открытой инфраструктурой: концепция проекта на базе факультета ИТИВТ Удмуртского
государственного университета // Труды международной конференции «Перспективы
развития телекоммуникационных систем и информационные технологии» – СПб,
Политехнический институт, – 2008, – С. 446 – 457.