Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
СЬ
ЛИ
ЛИ
ТЯ Е
Ж ПИ
ЗА ДНИ
НУ
РА КУ
ЛЫ ГО
ТИ РАС
К У ВО
РО
№5(54) май 2007
НИ НО
СТ
БЫ
подписной индекс 20780
КА
www.samag.ru
ИС НН
ЕН
УС
БО
НА ТПУ
ИЛ ДА
ТП
НЧ ЖИ
ВО
РА Е О
Разворачиваем кластер
КО НЕО
АВ СЛ
Л
Л
ХА
ПО
УЕ
ЗА
Используем Cisco PIX
Так видит журнал читатель, оформивший подписку: для обеспечения VPN‑подключений
к локальной сети
Split DNS: заставим BIND
работать на два фронта!
UserGate –
безопасный прокси‑сервер
Резервное копирование
и восстановление СУБД Oracle
средствами ОС
Технологии защиты ядра NT
ПОДПИШИТЕСЬ И ЧИТАЙТЕ!
Всё, что вы хотели знать
Роспечать – 20780, 81655 о протоколе SIP
Пресса России – 87836
Интер-почта – тел. (495) 500-00-60
в номере
3 ТЕНДЕНЦИИ 50 Разворачиваем кластер на основе
Windows Server 2003
РЕПОРТАЖ Отказоустойчивые кластеры распространены в сетях
средних и крупных компаний. Но у многих администра-
4 Sun Tech Days в Санкт-Петербурге торов внедрение и обслуживание кластерных систем
Итоги конференции Sun Tech Days, ежегодно проводи- по-прежнему вызывает много вопросов.
мой корпорацией Sun Microsystems. Андрей Бирюков
Иван Максимов mex_inet@rambler.ru
ivan_maksimov@inbox.ru
56 Резервное копирование и восстановление
8 Конференция РИТ-2007 собрала базы данных Oracle средствами ОС
веб‑разработчиков России Мы установили какое-либо приложение, хранилищем
Впечатления от первой конференции «Российские ин- данных в котором служит СУБД Oracle. Но вводить
тернет-технологии – 2007». Дмитрий Шурупов систему в производственную эксплуатацию еще ра-
osa@samag.ru но. Предварительно нужно создать надежную мето-
дику резервного копирования и восстановления ба-
АДМИНИСТРИРОВАНИЕ зы данных. Сергей Косько
sergkosko@ua.fm
12 Обзор новой версии дистрибутива
Debian GNU/Linux 4.0 ЧЕЛОВЕК НОМЕРА
Говоря о Debian, поневоле приходится использовать
превосходную степень: самый всеобъемлющий, са- 62 Мечты сбываются
мый свободный, самый плодовитый дистрибутив Linux. Глава одноименной фирмы Майкл Делл не боится ста-
В апреле была объявлена стабильной четвёртая вер- вить нереальные задачи и планомерно воплощать их
сия Debian. Что же в этом особенного? в жизнь. Оксана Родионова
Евгений Балдин rodion@dol.ru
E.M.Baldin@inp.nsk.su
БЕЗОПАСНОСТЬ
17 UserGate – безопасный прокси-сервер
Рассматривая богатые возможности UserGate, проана- 66 Технологии защиты ядра NT
лизируем, обладает ли он всей необходимой функци- О внутреннем устройстве этих технологий защиты ядра
ональностью для организации совместного доступа NT известно немного. А между тем они серьезно раз-
в сеть Интернет. Иван Максимов личаются, как от версии к версии NT, так и на разных
ivan_maksimov@inbox.ru машинах и к тому же далеко не совершенны.
Артем Баранов
18 Обзор программ удаленного доступа: artembaranov@yandex.ru
выбирайте подходящую
Чем рабочее место системного администратора отлича- 74 m0n0wall – дистрибутив для создания
ется от рабочего места пользователя? Тем, что на нем, межсетевого экрана
как правило, установлен клиент системы удаленного Интернет не только средство обмена информацей,
доступа, а иногда и не один. Чтобы виртуально побы- но и источник многих проблем – вирусы, атаки хаке-
вать на удаленном компьютере, используется широкий ров... Первым барьером на их пути стоят межсетевые
диапазон программ. Рашид Ачилов экраны. Сергей Яремчук
achilov-rn@askd.ru grinder@ua.fm
М
есто проведения было выбрано было разделено на 4 потока: Java EE, скучно посетителям не будет, все по-
удачно – гавань, выставочный Java SE, Solaris и мастер-класс, 12 ап- лучат подарки и будут разыграны фир-
комплекс ЛенЭкспо, огромное реля на: Java ME, Java, Solaris и опять менные рабочие станций Sun.
помещение, способное вместить тыся- же мастер-класс, а 13 апреля на 3 сек- Итак, конференция открылась и на-
чи посетителей. ции: NetBeans, OpenSolaris и Java-уни- чалась с награждения победителей
«Технические дни» состояли из верситет. в конкурсах JavaKonkurs и Electronic
трех основных мероприятий: собс- Jungle, к сожалению, не все победите-
твенно Sun Tech Days 11,12 апреля День первый ли конкурсов смогли прибыть на кон-
и OpenSolaris Day с NetBeans Day, про- Ранним пасмурным утром, пройдя ференцию, но приехавших наградили
водившиеся в один день – 13 апреля. к большому комплексу и зайдя в 7-й грамотами, вручили футболки и ви-
Мероприятия были открыты для же- павильон посетители увидели пре- деокарты.
лающих узнать о продуктах и даль- красных блондинок, одинаково одетых Далее на сцену вышел Джефф
нейших планах развития компании Sun в фирменные белые футболки и чер- Джексон (Jeff Jackson) – старший вице-
Microsystems. ные бейсболки компании Sun, встреча- президент группы разработки Solaris
Программа конференции включа- ющих всех входящих посетителей. в компании Sun Microsystems. Он рас-
ла в себя ежедневный пленарный до- Пройдя регистрацию, все направ- сказал о больших достижениях ком-
клад в первой половине дня, а затем лялись в конференц-зал слушать всту- пании на рынке серверного и клиент-
программа разделялась по разным на- пительное слово организаторов. Пер- ского программного обеспечения, бы-
правлениям. 11 апреля мероприятие вое, что пообещали организаторы, – ли упомянуты успехи сотрудничест-
репортаж
ва Sun и AMD в области высоких тех-
нологий.
Пленарный доклад включал в себя
много вводных понятий о преимущес-
тве открытого программного обеспе-
чения, о продукции компании Sun, та-
кой как среды разработки Sun Studio
12 и NetBeans 5.5. Наибольший инте-
рес у посетителей вызвал показ де-
моверсии нового объектно ориен-
тированного языка программирова-
ния под кодовым названием «F3».
Как и следовало ожидать, язык очень
похож на Java. Как заявили докладчи-
ки, с помощью этого языка и средств
разработки от Sun создавать ПО ста-
нет проще. Во время презентации бы-
ла показана игра lines, написанная
на «F3», состоящая всего из 360 стро-
чек кода. При этом в процессе добав-
ления новых функций в игру на пре-
зентации произошел небольшой курь-
ез: выполнив операцию <Ctrl + Insert> Место проведения конференции, 7 павильон выставочного комплекса ЛенЭкспо
и <Shift + Insert>, содержимое буфера
обмена «вставилось» 5 раз в различ- зирована работа ОС Solaris с процес- вопросов. Сложно объяснить, с чем бы-
ных местах кода программы, поиск сорами Intel. ло связано такое оживление, возмож-
ошибок сопровождался бурными ап- Далее было рассказано об улуч- но, с тем, что конференция все же бы-
лодисментами посетителей. шении работы PostgreSQL в ОС Solaris ла нацелена на разработчиков и те-
После перерыва аудитория разде- и богатых возможностях Ser vice ма оптимизации компиляторов «заде-
лилась, каждый выбирал то направ- Management Facility, о том, что эта ОС ла за живое» аудиторию, но, возмож-
ление, которое было ему интереснее; одна из самых быстрых UNIX-подобных но, это было связано и с тем, что вы-
не являясь Java-разработчиком, я вы- ОС, о многоплатформенности, в кон- ступал первый русскоговорящий до-
брал поток, посвященный ОС Solaris. це Крис похвастался тем, что у Sun кладчик в этот день. Только по одно-
Технический обзор о Solaris на- Microsystems крупные партнеры, такие му этому поистине кульминационно-
чал Крис Армс (Chris Armes) – дирек- как AMD, Intel, HP, Dell и другие. му моменту, когда возникли шумные
тор подразделения Solaris Revenue Передали слово нашему соотечес- споры и было задано множество воп-
Products Engineering. Нужно сразу за- твеннику, и был начат доклад на тему росов, можно с уверенностью сказать,
метить, что весь поток Solaris в первый Sun Studio 11. Аудитории рассказыва- что Sun Tech Day ждали!
день конференции не совсем был пос- ли, что данный пакет – среда разработ- После обеда посетители разо-
вящен операционной системе, скорее ки, набор инструментов и компилято- шлись рассматривать установленные
он был о программном обеспечении ров для разработчиков, распростра- на конференции стенды. Один из них
компании Sun Microsystems. няемый бесплатно, но только в бинар- с сервером Sun Fire T2000. Рассмат-
Крис Армс рассказывал о том, никах. Отличие от платной версии со- ривая дорогую «игрушку», попроси-
что Sun – единственная компания, ко- стоит в том, что нет технической под- ли сотрудников Sun продемонстриро-
торая гарантирует совместимость би- держки и некоторых модулей. Нужно вать возможность горячего отключе-
нарных пакетов во всех ОС Solaris от 2 заметить, что, как только зашла речь ния блоков сервера; ответом на дан-
до 10 версий, также говорил о плюсах о компиляторах Sun, о том, что мно- ную просьбу было легкое движение
открытого и свободного программно- гоядерность/многопоточность всегда руки и изъятие блока питания из ра-
го обеспечения. Далее Крис демонс- была «коньком» компании, зал резко бочей машины. На просьбу повторить
трировал достоинства пакета Sun оживился и, не дав завершить обзор, то же самое с процессором ответили
Studio 11, вкратце рассказав о плюсах засыпал докладчика вопросами: «По- отказом, мотивируя это тем, что про-
оптимизации и компиляторах С, С++, чему и за счет чего достигается опти- цессор установлен в одном экземп-
Fortran, входящих в пакет. мизация?», «Совместима ли Студия ляре. В ходе дальнейшего разговора
Отдельно было упомянуто о со- с GCC?», «Возможна ли установка под с сотрудниками Sun выяснились ин-
трудничестве Sun и Intel. Крис объ- Linux?», «Как компилятор работает тересные факты об аппаратной части
явил, что отныне два гиганта будут бо- с потоками?» и многие, многие другие. сервера, о том, что используемая ар-
лее плотно сотрудничать между собой, В итоге из зала на сцену вышел один из хитектура sparc в Sun открыта (http://
были заключены определенные дого- российских разработчиков Sun Studio www.opensparc.net), и другие моменты,
вора о сотрудничестве, будет оптими- и попытался ответить на большинство но наиболее интересным оказалось то,
репортаж
репортаж
ми являются раздача статики, под-
держка режима Keep-Alive, обработ-
ка большого количества соединений,
проксирование. Среди достоинств ав-
тор выделил гибкость настройки, воз-
можность обновления конфигурации
налету, быструю ротацию логов и лог
для отладки. Особое внимание бы-
ло уделено планам на будущее. Сре-
ди них: различное кэширование, огра-
ничение числа соединений с backend,
введение возможности просмотра со-
стояния сервера (в удобном виде), раз-
витие встроенного модуля Perl, небло-
кируемая работа с MySQL (в привязке
к Perl), фильтры тела запроса, замена
модуля rewrite на собственный script-
модуль (в докладе не раз сообщалось,
что автору не нравится существующий Разработчик nginx – Игорь Сысоев
движок rewrite).
Сысоев продолжил секцию, вы- систем». В качестве примера для рас- о популярности языков программиро-
ступив со вторым сообщением. Те- смотрения был по очевидным причи- вания, на которых написано использу-
перь уже по настройке операцион- нам взят проект веб-почты, где все емое в Яндексе ПО, Оболенский отве-
ной системы FreeBSD (рассматрива- глобальные задачи разделены между тил, что 80% на C++, 15% на Java, ос-
лась версия 6.2, однако присутствова- backend (приложения для которого на- тальное – на Perl и других языках.
ли некоторые комментарии и по дру- писаны на C/C++ – для скорости рабо-
гим веткам/релизам) в случаях высо- ты) и frontend (на скриптовом языке для Хостинг, AdRiver
кой нагрузки (вариант обслуживания лучшей и более быстрой адаптации в Дмитрий Даниленко из .masterhost
порядка 100-200 тысяч соединений). случае появления новых требований выступил с докладом о том, как в его
В качестве способов улучшения быс- у заказчика). Сама структура храни- компании пришли к предоставлению
тродействия были приведены такие мой почты устроена по следующему виртуальных серверов и какие пре-
рекомендации, как, например, огра- принципу: пользователь представля- имущества это дает клиентам. В ка-
ничение по количеству mbufs, увели- ет собой каталог в файловой систе- честве базы для виртуальных сер-
чение количества буферов (kern.ipc. ме, письмо – файл (в том виде, в ка- веров была выбрана ОС GNU/Linux
nmbclusters), увеличение памяти, до- ком письмо было принято). Кроме то- с Virtuozzo [5]. Однако на мой вопрос,
ступной для ядра. го, для каждого каталога должен гене- почему, например, не Linux-VServer,
рироваться индексный файл с уже от- адекватного ответа так и не после-
LAMP, большие системы, сортированным списком и обработан- довало, если, конечно, не восприни-
архитектура Яндекса ными полями MIME, чтобы не обраба- мать за таковой фразы в стиле «Ведь
После кофе-брейка тематика смес- тывать письма при каждом запросе на всегда нужно что-то выбирать!»... Ис-
тилась в сторону организации проек- просмотр их списка. ходя из этого (VZ) уже была опреде-
тов крупной архитектуры. Здесь пер- Олегу Оболенскому своим ярким лена и панель управления – Plesk:
вым выступил один из бывших раз- выступлением по архитектуре Яндекса от того же производителя (компании
работчиков СУБД MySQL Петр Зай- удалось развлечь слушателей перед SWsoft), обладающая хорошей интег-
цев, который рассказал о распреде- обедом. Привнеся в зал веселую и не- рацией с Virtuozzo. «Главным в VPS»
ленной архитектуре LAMP-приложе- принужденную атмосферу (возмож- была названа оптимизация, к которой
ний (Linux, Apache, MySQL, Perl/PHP/ но, не самую подходящую для уровня причислены жесткие и мягкие ограни-
Python). Видимо, ввиду собственных доклада), он сохранял ее до победно- чения по ресурсам. Также Даниленко
профессиональных интересов сразу го конца, при этом рассказывая об ис- особо выделил vzmigrate, что обеспе-
после краткого введения докладчик пользуемой в Яндексе с 2001 года ар- чивает переход на другой тарифный
перешел к вопросам масштабируе- хитектуре CORBA (Common Object план хостинга, как правило, без оста-
мости MySQL. И только затем вернул- Request Broker Architecture). Особый новки сервера.
ся к некоторым другим проблемам уже акцент был поставлен на модульность: Позже Сергей Бакунин рассказал
на уровне Web, HTTP, а также связан- в случае «падения» какого-либо ком- о более простом (по сравнению с пер-
ным с большими файлами. понента на его месте на сайтах выво- вым докладчиком этой части сек-
Следующим перед аудиторией за- дится либо кэш, если он еще актуа- ции) решении RU-CENTER, где до сих
ла №1 предстал Александр Горный, лен (в таком случае пользователь ни- пор используют виртуальный хостинг.
продюсер Почта.ру, с общим докладом чего и не замечает), либо какая-то дру- А между двумя докладами по хостингу
по «разработке архитектур больших гая доступная информация. На вопрос Всеволод Потапов со своим коллегой
10
репортаж
frontend-архитектор». Автор попы-
тался донести до слушателей смысл
этой новой профессии, которая еще
фактически никак не представлена
в России, хотя потребность в ней есть.
Frontend-архитектор должен не только
обладать огромным багажом знаний
в различных областях (как в верстке,
так и в программировании, usability,
accessibility, дизайне UI и многом-мно-
гом другом), но и уметь общаться на
языке разработчиков, принимать кри-
тические решения, а также постоянно
следить за технологиями. В некотором
смысле эта профессия схожа с уже ус-
тоявшейся должностью «системно-
го архитектора», но у последней – ос-
новной акцент делается на техничес-
кую сторону. «Инженерный психолог» Дмитрий Сатин представил доклад об usability
Затем опять выст упил Андре-
ев с призывом ко всем переходить ло вкратце освещено будущее (в час- ными. Разумеется, до совершенства
на UTF‑8 (в рамках «важнейших при- тности, сказано, что текущее поло- далеко (как, впрочем, и всему в этом
нципов работы с текстом и кодиров- жение готово к росту в 3‑5 раз). Од- мире), однако она действительно по-
ками»). нако публике представленные дан- лучилась намного более практической,
ные явно не пришлись по душе, и один полезной и просто приятной, чем это
Базы данных за другим посыпались комментарии «обычно» бывает на подобных мероп-
После обеда открылась новая сек- с претензиями к такой организации, риятиях.
ция «Базы данных», открыл выступ- на что докладчики отвечали не очень Появились основания полагаться
ления в которых «старый знакомый»: уверенно. на то, что в будущем организаторам
Петр Зайцев теперь сосредоточился Иван Золотухин выступил с со- удастся повышать уровень конферен-
на своем любимом занятии – оптими- общением про другую Open Source- ции и не только сделать его «замеча-
зации MySQL. В случае возникнове- СУБД – PostgreSQL. После краткого тельным» поводом для веб-разработ-
ния проблем с производительностью введения докладчик перешел к бо- чиков, чтобы встретиться, но и помо-
он посоветовал удостовериться в том, лее детальному описанию таких до- гать в формировании, укреплении та-
что дело вообще в MySQL, а уже по- стоинств этой СУБД, как отказоустой- кого сообщества в России.
том предложил несколько методик чивость, балансировка нагрузки, мас-
оптимизации. Среди них были затро- штабирование, репликация, а также P.S.
нуты такие аспекты, как лог медлен- некоторых решений: pgpool‑II, Slony‑I, Отмечу, что в обзоре кратко освещена
ных запросов, настройка MySQL (важ- PgCluster, проекты Skype (PL/Proxy лишь малая часть конференции, и на-
ные параметры), оптимизация схемы для проксирования запросов, лег- помню, что выступления/обсуждения
и запросов. кий менеджер соединений PgBounce, проходили одновременно в 4 залах.
После этого был представлен до- SkyTools для управления кластером).
клад, который вызвал резонанс в ау- Позже его дополнил Олег Барту- P.P.S.
дитории. Назывался он вполне безо- нов с докладом о реализации про- Архив презентаций, которые были
бидно: «Опыт использования MySQL двинутого полнотекстового поиска представлены на конференции, вы
в LiveInternet.ru». В нем Андрей Гу- в PostgreSQL, которая сейчас исполь- можете найти на сайте конферен-
рьянов рассказал об архитектуре зуется на официальном сайте этой ции [1].
LiveInternet.ru: 2 frontend-сервера, 5 – СУБД. С аналогичным сообщением
backend (0w-http и PHP), 3 – с малы- (по полнотекстовому поиску) примени- 1. http://www.rit2007.ru.
ми базами данных (3-6 ГБ), 1 - с кэ- тельно к MySQL вновь выступил Зай- 2. http://sysoev.ru/nginx.
шем (memcached), 1 – с резервной ко- цев, который сфокусировался на про- 3. http://www.nixp.ru/news/8248.
пией. Все работает под управлением екте Sphinx [8]. 4. http://sysoev.ru/nginx/changes.html.
FreeBSD 6.1/6.2, а в качестве СУБД ис- Обобщил сведения об оптимизации 5. http://www.swsoft.com/en/virtuozzo.
пользуется MySQL 4.0.27. производительности баз данных веду- 6. http://www.djangoproject.com.
Коллега Гурьянова Максим Быст- щий секции Денис Бесков-Доронин. 7. http://www.rubyonrails.org.
ров обозначил основные методы оп- 8. http://www.sphinxsearch.com.
тимизации: отказ от JOIN, минимиза- Вердикт
ция количества таблиц, разделение В целом впечатления от конференции Дмитрий Шурупов,
таблиц, кэширование. После чего бы- остались на удивление положитель- фото автора
Ян Мердок
Евгений Балдин
Говоря о Debian GNU/Linux, поневоле приходится использовать превосходную степень: самый
всеобъемлющий, самый свободный, самый плодовитый дистрибутив GNU/Linux. 8 апреля 2007
года была объявлена стабильной четвёртая версия Debian. Что же в этом особенного?
Немного истории вряд ли кто-то рискнул бы предска- social_contract) был представлен сле-
Всё началось в 1993 году, когда Ян зать, что к 2007 году число активных дующим после Яна лидером проек-
Мердок (Ian Murdock) анонсировал разработчиков Debian будет превы- та Брюсом Перенсом (Bruce Perens)
создание некоммерческого проек- шать 1060 человек. в 1997 году. После месячного обсуж-
та по созданию дистрибутива GNU/ Человеку на необитаемом остро- дения договор, в котором постули-
Linux, поддерживаемого и развива- ве нет необходимости в социальных ровалась приверженность свобо-
емого исключительно добровольца- навыках, но когда для достижения де (лицензионная чистота програм-
ми. Ян дал имя своей идее в честь са- общей цели собирается сообщество, много обеспечения) и честности (за-
мого себя (Ian) и своей подруги, а ны- необходим общественный договор. прет на сокрытие любой информа-
не жены Деборы (Debra). В то время И такой договор (http://www.debian.org/ ции от пользователей), был принят
12
администрирование
сообществом Debian. Значение этого Что нового n ARM (arm);
общественного договора трудно пе- С момента выхода предыдущего рели- n IBM S/390 (s390);
реоценить. По этим правилам сооб- за Debian 3.1 (Sarge) прошло чуть мень- n AMD64 (amd64).
щество живёт и развивается уже бо- ше двух лет. Для современного мира,
лее десяти лет. Ян Мердок давно ото- где гонка релизов рядовое явление, Своего часа на включение ждут:
шёл от своего детища и сейчас являет- это может показаться вечностью. В ка- n PPC64 (ppc64);
ся главой отдела операционных плат- ком-то смысле так оно и есть, и объ- n Hitachi SuperH (sh);
форм в Sun Microsystems, а Debian ём изменений, внесённых в Debian 4.0 n big-endian ARM (armeb);
GNU/Linux движется вперёд несмотря (Etch), вполне оправдывает затрачен- n Renesas Technology RISC (m32r).
на отсутствие своего основателя. ное на внесение их время. Счёт идёт
на тысячи программных пакетов: до- GNU/Linux является не единс-
Структура Debian бавлено свыше 6,5 тысяч, обновле- твенным ядром проекта. Существу-
Debian состоит из трёх различных дис- но свыше 10,5 тысяч, правда, и удале- ют социальные ветки разной степе-
трибутивов или веток: но по разным причинам чуть больше ни законченности для Debian/GNU
n stable или на текущий момент 3,5 тысяч программ. Несмотря на сле- Hurd (hurd‑i386), Debian GNU/NetBSD
Etch – наиболее под ходящий дование духу и букве свободного про- (netbsd-i386 и netbsd-alpha), Debian
для сервера дистрибутив. Про- граммного обеспечения разработчики GNU/kFreeBSD (kfreebsd-gnu).
граммы в стабильной ветке об- дистрибутива осознают, что пользова- Пока отдельно, в неофициальном
новляются только для исправ- тели хотят использовать и не совсем порядке, существует проект Nexenta
ления обнаруженных уязвимос- свободные программы. Свыше пяти- (http://www.gnusolaris.org) или Debian
тей. Стабильная ветка поддержи- сот таких пакетов помещено в специ- GNU/Solaris.
вается и обновляется специаль- альный раздел non-free. В качестве базы в дистрибутиве
ной командой безопасности DSA С выходом Etch, наконец-то, в спи- Etch теперь используется gcc (GNU
(http://security.debian.org – Debian сок официально поддерживаемых про- Compiler Collection) версии 4.1.1 и glibc
Security Team). Реакция на обнару- цессорных Debian GNU/Linux архитек- (GNU C library) 2.3.6. Чем дальше,
женную уязвимость очень опера- тур была включена AMD64. тем более популярным становится
тивна. После выхода нового рели- Вместе с ней этот список содержит скриптовый язык Python (версия 2.4.4),
за предыдущая стабильная версия 11 архитектур: не говоря уже о PHP (версия 5.2).
поддерживается в течение некото- n Sun SPARC (sparc); Почту предполагается по умолча-
рого времени, достаточного для не- n HP Alpha (alpha); нию рассылать с помощью Exim 4.63,
спешного тестирования и перехода. n Motorola/IBM PowerPC (powerpc); но никто не запрещает использовать,
Например, предыдущий стабиль- n Intel IA-32 (i386); скажем, Postfix 2.3.8 или Sendmail
ный релиз Debian Sarge будет под- n Intel IA-64 (ia64); 8.13.8.
держиваться ещё год. Установив n HP PA-RISC (hppa); Для создания веб-сервера предла-
на компьютер Debian Etch, можно n big-endian MIPS (mips); гается Apache 2.2. Базу данных мож-
жить размеренной и скучной жиз- n little-endian MIPS (mipsel); но выбирать среди популярной MySQL
нью без каких-либо неожиданных
сюрпризов. Если же очень хочет-
ся более нового софта, то всегда
этот софт можно собрать самому
или прибегнуть к услугам сторон-
них репозитариев, например, http://
www.backports.org.
n testing или на текущий момент
Lenny – дистрибутив, ориенти-
рованный на десктоп. Прежде
чем попасть в эту ветку, програм-
мное обеспечение обязательно
тестируется, но не вылизывает-
ся. Как следствие при обновле-
нии иногда возможны неожидан-
ности, как и в других дистрибути-
вах. Это плата за свежие програм-
мы. Тестовая ветка является заро-
дышем будущей стабильной.
n unstable или вечный Sid – дист-
рибутив для тестирования новых
программ. Это выбор разработчи-
ков и экспериментаторов. Текстовый инсталлятор Debian. Выбор языка
14
администрирование
Чуть-чуть об установке
Сам процесс можно разбить на следу-
ющие основные этапы, которые требу-
ют вмешательства человека:
Перед установкой в обязательном
порядке следует сделать копию уже
имеющихся на жёстком диске пользо-
вательских данных.
Далее нужно загрузиться с устано-
вочного DVD/CD/USB-брелка или даже
флоппи-диска.
Если после загрузки на первый воп-
рос «Press F1 for help, or Enter to Boot:»
нажать <Enter>, то далее предлагается
выбрать язык установки. Стандартный
инсталлятор Etch переведён на 58 язы-
ков. В дальнейшем текст подсказки бу-
дет идти на этом языке. Также предла-
гается выбрать страну проживания, ло-
каль и раскладку клавиатуры.
После загрузки базовой систе-
мы предполагается настройка се- Первый вход под пользователем
ти. Это необходимо, если установка
идёт не с CD/DVD, а по сети. По воз- При желании можно выбрать графи- читать примечания к выпуску Etch:
можности всё определяется автома- ческую версию установщика (надо на- http://www.debian.org/releases/etch/
тически с помощью DHCP, но можно брать installgui при первом запросе), хо- releasenotes.
это сделать и вручную. Спрашивается тя она ничем не лучше стандартной. Определённо полезным для зна-
имя компьютера и домен, к которому Установочный диск также можно комства с системой является офици-
он принадлежит. использовать в качестве инструмента альный сайт проекта http://www.debian.
Программа установки предлагает спасения (Rescue). Для этого в качест- org/. Этот сайт многоязычный, и рус-
автоматически разметить и отформа- ве загрузочных параметров достаточ- ский является одним из основных язы-
тировать имеющийся диск. При жела- но добавить «rescue/enable=true». ков. Новички также могут почерпнуть
нии можно вмешаться в этот процесс. После установки имеет смысл под- интересную информацию на Debian-
После выбора часового пояса нуж- писаться на список рассылки команды Wiki http://wiki.debian.org.
но ввести пароль суперпользователя безопасности (подробности на http://
и завести непривилегированного поль- security.debian.org). Куда идёт Debian
зователя/пользователей. В качестве одного из источников В результате голосования в апреле
Когда установка базовой системы пакетов полезно указать сервер этой 2007 года новым лидером Debian стал
закончится, будет дана возможность команды, добавив в /etc/apt/sources.list Самуэль Хокевар (Samuel Hocevar)
выбрать из нескольких стандартных строку вида: из Франции. В своём предвыборном
наборов программного обеспечения. манифесте будущий лидер отказал-
В процессе настройки устанавливае- deb http://security.debian.org/ ↵ ся мириться с необходимостью выби-
stable/updates main contrib ↵
мых программных пакетов может пот- non-free рать две из трёх опций: большой, сов-
ребоваться ответить на несколько воп- ременный и качественный. Несмотря
росов уже по программам. Возможно, на ближайшем зеркале на крен в сторону размера и качества,
Несмотря на свою славу как сер- Debian есть копия этого архива, тогда, Debian развивается всё более и более
верного дистрибутива, Debian удиви- если это зеркало является безопасным, динамично. Хоть и с большим «скри-
тельно прост в настройке. Надо толь- можно указать и его. пом», но Etch вышел почти в два ра-
ко уметь читать, так как простых под- При обновлении с предыдущего за быстрее, чем предыдущий релиз
сказок и подробной документации стабильного релиза Debian 3.1 (Sarge) Sarge без ущерба качеству. Только
здесь в избытке. На любом этапе ус- никаких особых сложностей произойти большое и сплочённое сообщество
тановки всегда можно вернуться к на- не должно. Достаточно после указания позволит вобрать все современные
чалу. При желании для большего кон- источника пакетов в /etc/apt/sources.list идеи, не жертвуя при этом интереса-
троля процесса установки можно вой- выполнить стандартные команды: ми пользователей.
ти в режим эксперта (на первый воп- Сообщество у Debian большое.
рос сразу после загрузки надо набрать > aptitude update Останется ли оно сплочённым, по-
> aptitude upgrade
слово expert). кажет время – главный судья всех
Инсталлятор поддерживает в том Естественно, до прохож дения проектов. Больше решений хороших
числе и зашифрованные разделы. этой процедуры необходимо про- и разных!
Ч
тобы подключить локальных поль- Также в прокси-серве-
зователей к сети Интернет, приме- ре имеются гибкие сете-
няются различные технологии. На- вые правила, позволяющие
иболее распространенний способ – ор- настраивать доступ поль-
ганизация доступа с помощью прокси- зователям, предоставляя
серверов. Среди множества подобных им только необходимые се-
программ стоит выделить одну, обла- тевые службы, например,
дающую мощными средствами адми- применяя строгую политику
нистрирования, гибкими политиками «Запрещено все, кроме того,
доступа, средствами защиты и в то же что явно разрешено». Затра-
время простую в эксплуатации, разра- гивая тему управления поль-
ботанную отечественными специалис- зователями, стоит заметить,
тами – прокси-сервер UserGate. что в прокси-сервер встро-
Чем выгодно отличается российс- ены все распространенные
кая разработка от разработок конку- и необходимые средства ав-
рентов? Прокси-сервер поддерживает торизации клиентов.
технологию NAT, осуществляет антиви- Во-первых, классический
русную проверку проходящего трафи- механизм идентификации, по IP‑адре- тью и стабильностью работы основных
ка, имеет встроенный межсетевой эк- су и/или MAC-адресу машины. Во‑вто- сетевых служб.
ран, информативную систему статис- рых, по имени пользователя и паро-
тики, журнал событий, средства управ- лю. В-третьих, экзотическая авториза- Вместо итогов
ления трафиком (создания тарифных ция, но не менее удобная по Windows Прокси-сервер UserGate обладает мно-
правил), различные механизмы авто- login. В-четвертых, используя поль- жеством других полезных свойств. Port
ризации и многое другое. Но не буду зователей Active Directory, что очень mapping – функция, позволяющая пере-
заострять ваше внимание на простых удобно при работе в сети контролле- направлять соединения с одного порта
и распространенных функциях, а пе- ра домена. на другой. Функция автодозвона при
рейдем к изюминкам UserGate. Что ж, подходим к главной изюмин- использовании модемного соединения
ке прокси-сервера UserGate – двойной и инициализируемая, если это необхо-
Безопасность офиса проверке трафика на вредоносный код. димо, при запросе со стороны клиента.
Организация безопасного совместного В чем она заключается? В UserGate Гибкие настройки кэш-хранилища, рег-
доступа в сеть Интернет весьма не про- встроены две антивирусные програм- ламентирующие время жизни, размер
стая задача. Для эффективной защиты мы – от «Лаборатории Касперского» и тип хранимых данных. Возможность
периметра сети в первую очередь не- и Panda Software, что позволяет гаран- использовать прокси в каскаде (спис-
обходимо защитить сам шлюз, для че- тировать «чистоту» информации, пос- ки). Мощные средства ограничения кон-
го в прокси-сервер UserGate встроен тупающей в офис, и безопасность ра- тента трафика для повышения инфор-
эффективный межсетевой экран, поз- боты клиентов. Дополнительно име- мационной безопасности офиса.
воляющий контролировать все входя- ются гибкие возможности настройки Рассматривая богатые возможнос-
щие и исходящие соединения, при этом антивирусов: можно выбирать, какой ти UserGate, можно уверенно сказать,
имеется функция журналирования всех трафик (http, ftp, почтовый), какой про- что он прекрасно подходит для орга-
происходящих событий, будь то раз- граммой будет проверяться. Допустим, низации совместного доступа в сеть
решенное или неразрешенное дейс- необходимо, чтобы поступающая кор- Интернет, обладая всей необходимой
твие. Так как современное серверное поративная почта была чиста от вредо- функциональностью. При всем этом,
программное обеспечение немысли- носного кода, будем проверять ее дву- описываемый прокси-сервер выго-
мо без возможности удаленного адми- мя антивирусами. В то же время необ- ден по экономическим параметрам –
нистрирования, в описываемом прокси- ходимо проверять http-трафик, где ско- нет переплаты за бренд и в то же вре-
сервере такая функция присутствует, рость работы является главным крите- мя простой в настройке и эксплуата-
так же как и необходимые средства ав- рием, здесь подойдет Panda. ции, что избавляет от сложных техни-
торизации. Для повышения общей бе- По совокупности всех функций ческих решений. Как ни крути – золо-
зопасности системы в UserGate имеет- можно заметить, что UserGate позво- тая середина.
ся опция запрета одновременной рабо- ляет достичь высокого уровня защиты,
ты нескольких администраторов. не жертвуя при этом функциональнос- Иван Максимов
Рашид Ачилов
18
администрирование
Такие разные клиенты
Появлению большого количества
средств удаленного доступа способс-
твовали как объективные, так и субъ-
ективные причины, среди которых не
последнее место занимает банальная
человеческая лень – если можно зада-
чу сделать не сходя со своего рабочего
места, то зачем куда-то идти?
Здесь надо сразу заметить, что рас-
сматривать мы будем в основном про-
цедуры удаленного доступа в гетеро-
генной сети, а также в сети, состоящей
исключительно из компьютеров под уп-
равлением Windows.
В ко м п ьюте ра х, раб отаю щ и х
под управлением UNIX, проблема бы-
ла решена изначально путем установ-
ки средств удаленного доступа вместе
с операционной системой. Рисунок 1. Внешний вид окна настроек сервера Remote Administrator
Проблема возникла с распростра-
нением операционных систем Windows, Как правило, решение вопро - Все VNC-средства под Windows,
работающих исключительно в графи- са о том, каким же клиентом пользо- Timbuktu Pro, а также такие «гиганты»,
ческом режиме. ваться, начинается с вопроса «А ка- как Radmin и NetOp, относятся ко вто-
У системных администраторов, ра- кие задачи из числа тех, что нужны рой группе.
ботающих в службе технической под- мне, он умеет решать?» Для этого мы Все средства под UNIX, а также
держки, зачастую возникает необхо- разобьем все перечисленные клиен- RDC и Xmanager относятся к первой
димость показать что-то пользовате- ты на несколько групп по типу решае- группе.
лю, который может находиться на боль- мых ими задач: IDEAL Administration относится к са-
шом расстоянии – например, в дру- n Группа 1: средства организации мой малочисленной – третьей группе.
гом городе. терминальных сессий (терминаль-
У операторов серверов, как прави- ные сервера). Предназначена для Программы группы
ло, возникает необходимость работать имитации сети «майнфрейм – тон- «удаленный помощник»
на сервере, у которого зачастую может кие клиенты», когда несколько Начнем мы со второй группы, и как
вообще не быть монитора и клавиату- пользователей одновременно ра- с самой многочисленной, и как на-
ры, либо использоваться KVM. ботают за одним компьютером. Не- иболее ярко соответствующей назва-
Все это привело к возникновению смотря на то что в мире UNIX это су- нию «средства удаленного управле-
средств удаленного доступа как специ- ществовало изначально, в Windows ния». Основной причиной их появле-
ального отдельного класса программ. это появилось только с Windows NT ния стало то, что лучше один раз уви-
Итак, программы, участвующие Server Terminal Service Edition деть, чем сто раз услышать, и лучше
в обзоре: n Группа 2: средства «удаленной по- один раз показать, чем сто раз объяс-
n Remote Administrator (Radmin) мощи», когда локальный и удален- нять по телефону. Все программы этой
версии 3.0. ный пользователь используют од- группы основаны в той или иной мере
n Danware NetOp версии 9.00. ну и ту же сессию – перемещение на некогда изобретенном в AT&T прин-
n MetaVNC версии 0.6.0. курсора мыши локальным пользо- ципе удаленного кадрового буфера
n TightVNC версии 1.3.8. вателем видно удаленному и на- (remote frame buffer), при использова-
n UltraVNC версии 1.1.0.2. оборот. нии которого по сети передается толь-
n RealVNC версии 4.2.8. n Группа 3: средства «удаленного вы- ко копия экрана пользователя.
n Pointdev IDEAL Administration вер- полнения задач», не предоставля- Основной задачей программ груп-
сии 7.5. ющие непосредственного доступа пы является любой ценой показать
n Remote Desk top Connection к локальному
(RDC). указателю мы-
n Timbuktu Pro версии 8.6.3. ши и экрану, но
n Xmanager версии 2.0. имеющие воз-
n NX Client для Windows версии можность уда-
2.1.17. ленного выпол-
n TridiaVNC версии 1.4. нения опреде-
n Rdesktop версии 1.5.0. ленного набо-
n Free NX server версии 1.4.0. ра команд. Рисунок 2. Внешний вид программы Radmin Viewer
Рисунок 3. Внешний вид окна Radmin Viewer, подключенного Рисунок 5. Внешний вид окна NetOp Guest, подключенного
к удаленному узлу к удаленному узлу
пользователю, что ему следует делать, или хотя бы уви- клиента и наоборот. При этом, разумеется, совместимость
деть содержимое экрана пользователя. достигается ценой потери дополнительных возможностей –
Поскольку управляемый компьютер может находиться передачи файлов, шифрования потока и т. д.
в общем случае в произвольной точке земного шара, в ход Программы же Radmin и NetOp не совместимы ни с чем.
идут разнообразные технические средства, призванные ус- Основные параметры программ приведены в итоговой
корить и упростить обмен кадровыми буферами. таблице (в конце статьи).
Это и компрессия потока, и блокировка на стороне сер-
вера визуальных эффектов перед передачей – удаление Remote Administrator (Radmin)
фоновой картинки, блокировка хранителя экрана, отклю- Первая в нашем обзоре – программа Remote Administrator
чение показа содержимого окон при перетаскивании и от- (Radmin), которая давно и прочно заняла свою нишу мел-
ключение передачи определенного вида событий – напри- ких и средних сетей. Неприхотливая, небольшая по обье-
мер, перемещений мыши на удаленную сторону, и пониже- му (11 Мб – дистрибутив сервера и 9 Мб – клиента), про-
ние настроек графики, и даже полное отключение управ- стая в настройках, способная работать «из коробки», рус-
ления – переход в режим «только просмотр». В данном ре- ский интерфейс – в этом, видимо, и состоит секрет попу-
жиме программа, имеющая возможность скрытого старта, лярности Radmin. Шифрование передаваемого контента
может использоваться как средство наблюдения. всегда включено, как-либо повлиять на его работу (задать
Как правило, все программы имеют серверную и кли- другие алгоритмы шифрования, изменить длину ключа) не-
ентскую компоненты – серверная часть принимает соеди- возможно. Программа использует собственные алгоритмы
нения, клиентская является программой для подключения упаковки потока.
и удаленной работы. При установке программа регистрируется как систем-
Практически все программы на основе VNC совместимы ный сервис. Впрочем, это можно изменить. Управление
друг с другом так, что, используя, например, UltraVNC в ка- доступом осуществляется как на основе Windows Security,
честве сервера, можно использовать RealVNC в качестве так и на основе внутренних списков пользователей, каждо-
му из которых могут быть сопоставлены отдельные права,
которые настраиваются довольно гибко – отдельные права
на управление компьютером, на просмотр экрана, на пере-
дачу файлов или обмен сообщениями.
Дополнительно управление доступом может осущест-
вляться на основе списков IP-адресов. Программа не име-
ет возможности скрыть факт своего присутствия и не име-
ет возможности заблокировать действия пользователя
по остановке сервиса (для пользователей, работающих
не с правами администратора), хотя, по словам разработ-
чиков, по специальному запросу под дополнительное со-
глашение представляется версия, которая может работать
в stealth-режиме.
При запуске программа размещает в системном лотке
значок, который светится синим при отсутствии подключе-
Рисунок 4. Внешний вид окна сервера Danware NetOp Host ния и желтым при подключении.
20
администрирование
При запуске поначалу кажется, что модули, программы дозвона до порно-
настроек меньше, чем у других про- сайтов и пр. Некогда в эхоконферен-
грамм. Присмотревшись, обнаружива- ции AVP.SUPPORT развернулась об-
ешь, что почти все настройки «на мес- ширная полемика на тему «Права ли
те», просто размещены они несколь- Kapsersky Lab, что включает Radmin
ко непривычно – на манер настро- в список программ, обнаруживае-
ек SSH-клиента PuTTY – слева дере- мых системой защиты». В настоящий
во настроек, справа – значения теку- момент по заявлению разработчи-
щей ветви. ков Radmin из программа полностью
Полностью отсутствуют настрой- удалена изо всех баз.
ки оптимизации контента (отключения Программа имеет русскоязычный
фоновой картинки, отключения визу- интерфейс, а также переведена еще
альных эффектов), настройки шиф- на 8 языков. Распространяется по ком-
рования потока и настройки оповеще- мерческой лицензии. Стоимость про-
ния о входящем соединении (впрочем, граммы составляет 49 долларов. От-
это реализовано только в NetOp). Зато мечу также, что клиента для платформ,
Рисунок 6. Внешний вид окна настроек
есть очень интересная настройка (ко- отличных от Windows, для данной про- сервера Danware NetOp Host
торая есть также и в NetOp) – можно граммы не существует.
настроить Radmin так, что перед под- Личное мнение: программа силь- граммах других производителей) ты
ключением будет спрашиваться разре- но уступает по возможностям NetOp, можешь изменить, а какие нет.
шение локального пользователя, и ес- но и для двух компьютеров она обой-
ли он откажет (или настроен автома- дется значительно дешевле, а бес- Danware NetOp
тический отказ), соединения не про- платную UltraVNC превосходит только В программе NetOp чувствуется сис-
изойдет. красивым интерфейсом и возможнос- темный подход. Разработчики про-
Здесь еще необходимо заметить, тью второй консольной сессии (правда, граммы не ограничились простым
что Radmin в отличие от NetOp не раз- надо сказать, довольно полезная воз- «удаленным помощником», а выстро-
личает ситуацию, компьютер заблоки- можность). Профессионалу, который или целую систему функций, в кото-
рован или не открыта локальная сес- привык сам выбирать, каким шифром рой режим «удаленного помощника» –
сия – если настроить автоматический какой длины шифровать поток и что только одна их них. Программа имеет
отказ и компьютер будет заблокирован, в этом потоке передавать, эта про- набор так называемых коммуникаци-
Radmin не сможет предоставить доступ грамма вряд ли подойдет – здесь есть онных профилей – набор заранее за-
к удаленному компьютеру, потому что определенный психологический мо- данных настроек для получения досту-
выдает запрос на подтверждение до- мент, когда возникает предубеждение па с использованием тех или иных про-
ступа на консоль, за которой никого против того, что нельзя самому решить, токолов. Набор профилей потрясает –
нет. Настроек, связанных с отключе- какие настройки в программе (из тех, здесь и IPX, и NetBIOS и HTTP, и, ко-
нием компонент программы – переда- что присутствуют в аналогичных про- нечно же, LAN. Программа позволяет
чи файлов, обмена сообщениями, тек-
стовой консоли, – достаточно.
К дополнительным сервисам, пре-
доставляемым программой, относят-
ся открытие дополнительной тексто-
вой консоли на целевом сервере и пе-
резагрузка целевого сервера.
Программа использует порт 4899,
который можно переопределить как
на сервере, так и на клиенте. Програм-
ма имеет возможность передачи фай-
лов между клиентом и сервером, а так-
же возможность текстового или аудио-
визуального обмена сообщениями.
Программа не совместима с други-
ми средствами удаленного доступа.
Дополнительно можно сказать,
что одно время программа пользова-
лась стойкой нелюбовью у Kaspersky
Antivirus – даже Radmin Viewer пери-
одически оказывался в так называ-
емых расширенных базах, в которых
перечислены рекламные и шпионские Рисунок 7. Внешний вид программы Danware NetOp Guest
Рисунок 8. Внешний вид окна настроек сервера UltraVNC Рисунок 10. Внешний вид программы UltraVNC Viewer
в широком диапазоне настроить оптимизацию передавае- все отключены. В этом случае с использованием режима
мого контента – отключить можно не только фоновую кар- «только просмотр» программа может быть использована
тинку, но и визуальные эффекты и даже Active Desktop. как средство удаленного мониторинга.
Программа имеет широкий диапазон настроек аутенти- Разумеется, не забыты и такие вещи, как передача фай-
фикации доступа – на основе Windows Security, а также на лов, обмен сообщениями, текстовыми и аудиовизуальными.
основе внутренних списков пользователей. Каждому поль- Но настоящей «изюминкой» NetOp является так называе-
зователю могут быть предоставлены некоторые права, ко- мый remote management (я не перевожу этот термин, пото-
торых достаточно много, почти два десятка действий, – пра- му что для обозначения обычной сессии NetOp использует
ва на использование удаленной клавиатуры и мыши, права термин «remote control», что переводится практически точ-
на передачу файлов, на выполнение команд, на обмен сооб- но так же). Remote management реализует некоторый набор
щениями и т. д. Дополнительно можно задать пару MAC-IP задач, схожий с «Управлением компьютером» из стандарт-
для ограничения доступа только с определенных MAC‑адре- ной оснастки Windows-домена позволяет просмотреть со-
сов. Настройки шифрования контента могут быть выбраны стояние дисков, системные журналы, реестр, списки поль-
в широких пределах – от минимальных, при которых про- зователей и групп, открыть сессию текстовой консоли и про-
водится только проверка целостности данных, до полной смотреть отчет об аппаратном и программном обеспечении
шифровки 256-битным ключом. сервера. Это действительно уникальная возможность, ко-
Программа имеет возможность скрыть факт своего торая делает NetOp незаменимым помощником системно-
присутствия. Если программа запущена в так называемом го администратора сетей Windows. Вы, конечно, спросите –
stealth-режиме, ее можно «проявить», запустив специаль- а чем же она уникальна, когда все это есть в стандартных
ную программку showhost.exe. средствах? А тем, что компьютер, на котором установлен
Программа имеет режим настраиваемых оповещений модуль Host, может входить в совсем другой домен или же
о подключении – звуковые, визуальные, которые могут быть не входить ни в какой.
Если значок сервиса не скрыт из системного лотка,
то при подключении символическое изображение воздуш-
ного змея обводится двойной рамкой.
Порт, используемый программой в профилях LAN (TCP),
Internet (TCP) и TCP/IP – 6502. Его значение можно пере-
определить. В профиле HTTP используется стандартный
порт 80. Программа не совместима с другими средствами
удаленного доступа.
Программа пока не имеет русскоязычного интерфейса,
хотя версия для Windows переведена более чем на 10 языков.
По информации представителей Danware в России, компа-
нии «Аксис Проекты» (http://www.cybercontrol.ru) перевод
на русский язык планируется в конце года. Распространя-
ется по коммерческой лицензии. Стоимость программы
вычисляется в зависимости от количества приобретаемых
лицензий, причем модули сервера и клиента (Host и Guest)
лицензируются отдельно. При этом стоимость варьируется
в пределах – от $275 до 1 Host + 1 Guest, до $40 за 1 Host
Рисунок 9. Внешний вид окна UltraVNC Viewer, подключенного
к удаленному узлу при покупке более 500 лицензий Host.
22
администрирование
Личное мнение: программа неза- чения обработки событий мыши и кла-
служенно непопулярна, в то время как виатуры. Работает программа на стан-
она обеспечивает значительно боль- дартном порту 5900. Из дополнитель-
шую гибкость в настройках и значи- ных сервисов присутствует только
тельно более функционально насыще- HTTP-сервер на стандартном же пор-
на, нежели Radmin. Программа идеаль- ту 5800, при заходе на который с по-
на для Windows-администратора. Сво- мощью Java-апплета можно управлять
их денег она стоит – если уж покупать удаленным компьютером, так же как
программу – то хорошую. Программа из запущенного клиента.
рассчитана на объемные корпоратив- UltraVNC Viewer позволяет подклю-
ные сети. читься к произвольному порту VNC,
а не только к стандартному (это будет
UltraVNC актуально при рассмотрении способов
Следующие программы представляют подключения к не Windows-компьюте-
собой развитие протокола VNC, разра- рам). Порт задается стандартным об-
ботанного AT&T, в отличие от двух пре- разом через двоеточие после IP-адре-
дыдущих, в основе работы которых ле- са. Программа имеет возможность пе-
жат закрытые коммерческие реализа- редачи файлов между сервером и кли- Рисунок 11. Внешний вид окна
ции протоколов. Протокол VNC име- ентом, но только в том случае, если настроек сервера RealVNC
ет открытую реализацию и на основе и сервером и клиентом являются про-
этой реализации разработано несколь- граммы UltraVNC (поскольку все реа-
ко клиентов, как свободно распростра- лизации VNC совместимы между со-
няемых, так и коммерческих. бой, сервер и клиент могут быть раз-
UltraVNC – одна из наиболее удач- ных версий). Также программа имеет
ных открытых реализаций протокола возможность обмена текстовыми со-
Рисунок 12. Внешний вид программы
VNC. Хотя по функциональной насы- общениями. RealVNC Viewer
щенности она и не может сравнить- Если значок не скрыт из системно-
ся с NetOp, но задачу предоставления го лотка, то при подключении клиента доставляет некоторые возможности,
доступа к удаленному компьютеру она он меняет цвет с синего на зеленый. отсутствующие в свободных реализа-
решает. Программа позволяет исполь- Программа не имеет русскоязыч- циях VNC.
зовать аутентификацию Windows или ного интерфейса. Распространяется В первую очередь, это авториза-
собственную. Собственная аутенти- бесплатно, в виде исходных текстов ция. Программа может использовать
фикация реализуется одним паролем, или готовых к установке пакетов по ли- авторизацию Windows или свою собс-
предоставляющим полный доступ. цензии LGPL. твенную. При собственной авториза-
Программа имеет возможность Дополнительно можно заметить, ции имеется ограниченный набор ло-
шифровки контента с помощью под- что последние версии Dr.Web рас- кальных пользователей с фиксирован-
ключаемого плагина MSRC4Plugin.dsm. познают UltraVNC как Вирус:Program. ными именами – «Admin», «ViewOnly»,
Правда, возможность его использова- Remoute.Admin.37. История повторя- «InputOnly» или же один пользователь.
ния есть только тогда, когда с другой ется... Во вторую очередь, это шифро-
стороны работает тоже UltraVNC. На- Личное мнение: если необходим вание контента. Для шифрования ис-
строить шифрование автоматически лицензионно чистый и бесплатный кли- пользуется алгоритм AES со 128-бит-
тоже не получится – необходимо сна- ент VNC – то UltraVNC – это ваш выбор. ным ключом. Настраивается шифро-
чала скопировать файл MSRC4Plugin. Со своей за да-
dsm из подкаталога plugin в основной чей он справляет-
каталог, потом сгенерировать ключ ся вполне, имеет
в файл new_rc4.key, переименовать богатые возмож-
его в rc4.key, и только потом можно ис- ности по настрой-
пользовать. ке. Конечно, он не
Программа имеет возможность ра- обладает всеми
боты в stealth-режиме и даже возмож- возможностями
ность запретить пользователю закрыть NetOp, но... зато
процесс WinVNC (для пользователя, бесплатный.
не являющегося администратором
удаленного компьютера), что делает RealVNC
ее идеальным инструментом для на- RealVN C – э то
блюдения в режиме view-only. своего рода ком-
Программа имеет возможность от- м е р ч е с к и й в а -
ключения фоновой картинки, пониже- риант UltraVNC,
ния настроек графики, а также отклю- а потому он пре- Рисунок 13. Внешний вид окна настроек сервера TightVNC
вание автоматически, стоит его вклю- что на его компьютере установлен кли- ента довольно скромная – в отличие
чить. Правда, работает только в том ент удаленного доступа, а во-вторых, от всех остальных клиентов, которые
случае, если с обеих сторон запущен видит, когда к нему подключается уда- формируют панель инструментов над
RealVNC, в противном случае шиф- ленный клиент. верхним краем окна подключенного
рование автоматически отключает- Программа имеет возможность от- сервера, клиент RealVNC встраива-
ся. (Это большой камень в огород ключения обработки событий мыши ет действия в меню, выдаваемое при
UltraVNC, в котором нужно вручную и клавиатуры, обеспечивая тем самым нажатии правой кнопкой на заголо-
включать и выключать шифрование, переход в режим view-only. Работает вок окна. Впрочем, смотреть там осо-
да и то оно работает нестабильно.) программа на стандартном порту 5900. бо не на что – можно изменить опции
Программа имеет возможность от- Из дополнительных сервисов присутс- подключения либо посмотреть инфор-
ключения фоновой картинки, отклю- твует только HTTP-сервер на стандар- мацию о соединении. Программа поз-
чения визуальных эффектов и пони- тном же порту 5800, при заходе на ко- воляет задавать произвольный порт
жения настроек графики вплоть до торый с помощью Java-апплета можно для подключения через двоеточие пос-
2‑битного цвета. В качестве дополни- управлять компьютером. ле IP-адреса.
тельных мер безопасности программа Клиентская часть программы очень При подключении клиента цвет
имеет возможность задавать перечень бедна функциями. Такое впечатление, значка в системном лотке меняется
IP-адресов или сетей, соединения с ко- что все силы ушли на разработку шиф- на инверсный и становится черным.
торых принимаются или запрещаются. рования контента, и на функцию пере- Программа не имеет русскоязыч-
По умолчанию разрешено все. дачи файлов ничего не осталось. ного интерфейса и распространяется
Программа не имеет возможнос- Программа не имеет ни возмож- по коммерческой лицензии. Стоимость
ти скрытия факта своего присутствия ности передачи файлов, ни обмена со- программы составляет 50 долларов.
в системе, так что локальный поль- общениями между компьютерами, да- Существует также свободная версия
зователь, во-первых, всегда видит, же текстового. Да и реализация кли- программы, в которой все «лишние»
Рисунок 16. Внешний вид программы Timbuktu Рисунок 17. Внешний вид программы Krdc
24
администрирование
функции типа передачи файлов между сервером и клиен-
том обрезаны.
Личное мнение: еще одна программа, которая не сто-
ит своих денег. Выкладывать 50 долларов за удовольс-
твие управлять удаленным компьютером по шифрован-
ному каналу? Клиентская часть программы очень бедная,
а при использовании клиентов от других пакетов, как пра-
вило, все расширенные функции типа передачи файлов
недоступны.
MetaVNC и TightVNC
Программы объединены вместе по той простой причине,
что они на самом деле похожи, как близнецы-братья. Точ-
нее говоря, как отец и сын, поскольку MetaVNC создан на
базе кода TightVNC. Не совсем понятно, почему TightVNC
получил такое название (tight (англ.) – узкий, тесный), на-
верное, разработчики старались подчеркнуть факт, что ком-
Рисунок 18. Внешний вид Krdc, подключенного
пьютеры, связанные этой программой, связаны очень тес- к удаленному узлу
но. На деле же эти программы – наиболее простые и огра-
ниченные по возможностям. Скриншоты программы MetaVNC похожи на TightVNC
Это единственные программы, в которых отсутствует как братья-близнецы.
поддержка авторизации Windows, возможна только локаль- По сути, единственное отличие, которое есть у MetaVNC
ная авторизация с одним-единственным паролем, предо- от TightVNC – это умение делать прозрачный фон главно-
ставляющим полный доступ. го окна.
Шифрование контента в программах отсутствует как Личное мнение: несмотря на то что TightVNC был пер-
класс. Из всех настроек для упрощения передачи изобра- вой программой VNC, с которой я имел дело, сказать о нем
жения по сети присутствует только возможность отключе- хорошего я могу только «он работает». Это совершенно за-
ния фоновой картинки.Программы также не имеют возмож- урядная, весьма ограниченная по функциям программа, ко-
ности ни скрытия факта своего присутствия в системе, ни торая, конечно, работает, но не умеет ничего такого, чего
защиты от завершения процесса пользователем. Хотя воз- не умела бы UltraVNC.
можность отключения обработки событий удаленной мы-
ши и клавиатуры все-таки присутствует. Timbuktu Pro
Программы имеют возможности понижения настроек Эта программа – единственная в нашем обзоре, с помощью
графики. Из дополнительных сервисов присутствует толь- которой можно из Windows управлять компьютером под уп-
ко стандартный для VNC сервера сервис – HTTP-сервер, равлением MacOS или наоборот.
заходя на который с помощью Java-апплета можно управ- К сожалению, на этом какие-либо замечательные сторо-
лять компьютером. Программы имеют возможность пере- ны этой программы заканчиваются. Да, она не самая бед-
дачи файлов между клиентом и сервером. Причем они на- ная по возможностям – имеется и возможность отключе-
столько похожи друг на друга, что функция передачи фай- ния фоновой картинки, и возможность отключения визуаль-
лов работает даже в том случае, когда сервер – MetaVNC, ных эффектов и понижение цветности, причем это единс-
а клиент TightVNC и наоборот. твенная программа, в которой можно цветной экран серве-
Программы используют стандартный для VNC порт ра превратить в черно-белый экран клиента.
5900 (5800 для HTTP-сервера), кото-
рый можно изменить в настройках
сервера.
Клиентская часть программ не поз-
воляет подключаться к произвольно-
му порту сервера – при использова-
нии стандартной формы адрес:порт
из‑за ошибок в обработке строки про-
грамма пытается использовать со-
вершенно другой порт, нежели задан-
ный. При подключении клиента зна-
чок MetaVNC меняет цвет букв с сине-
го на белый, а значок TightVNC меня-
ет цвет фона на инверсный.
Программы не имеют русскоязыч-
ного интерфейса. Распространяются
свободно, по лицензии LGPL. Рисунок 19. Внешний вид модуля KDE, выполняющего роль сервера VNC
26
администрирование
называется nxviewer. Несмотря на то, что проект TridiaVNC щается замедление работы более заметное, чем при под-
больше не разрабатывается, о чем сказано на сайте про- ключении к серверу Windows в подобном режиме.
екта, порт для FreeBSD существует, и его все еще можно Личное мнение: подключение к UNIX в графическом ре-
скачать и собрать. жиме – задача весьма экзотическая, а подключение к раз-
Внешний вид клиента Krdc приведен на рис. 17. деляемой сессии – экзотическая вдвойне. Но для того, ко-
Программа vncviewer обеспечивает понижение настро- му она может понадобиться – она есть, она работает. При-
ек графики и отключение обработки событий мыши и кла- мерно на уровне TightVNC, но работает.
виатуры. Разумеется, ни обмен файлами, ни обмен сооб-
щениями между сервером и клиентом не поддерживаются. «Удаленный помощник» в Windows XP
Не поддерживается также шифрование контента. Разумеется, Microsoft не мог спокойно пройти мимо то-
Подключенный к Windows клиент выглядит точно так же, го, что посторонние фирмы зарабатывают деньги на про-
как и его многочисленные собратья – над окном размеща- граммном обеспечении, которое он не может предложить.
ются служебные кнопки и меню. Меню Advanced не содер- И в Windows XP появился так называемый удаленный по-
жит ничего интересного – информация о соединении да воз- мощник. Что он представляет собой? По сути дела, это
можность завершения сеанса. встроенный сервер, организовывающий подключение к
Внешний вид подключенного клиента приведен на разделяемой сессии, только с использованием протоко-
рис. 18. ла RDC, лишенный дополнительных функций типа пере-
А что же до сессии «удаленного помощника» для UNIX? дачи файлов и использующий для авторизации средства
Думаете, такое невозможно? Ошибаетесь. Хоть оно, с мо- Windows. В «серверной» части можно только его включить
ей точки зрения, и не сильно востребовано, но возможно.
А это значит, что кем-то оно используется. KDE содержит
в своем составе сервер VNC, который называется «Shared
Desktop». Он может быть включен, как и любой другой ком-
понент KDE, через Control Center. Данный сервер поддержи-
вает только упрощенную авторизацию с помощью одного
пароля либо авторизацию, основанную на модели «пригла-
шений» (Invitations), в которых указывается пароль на дан-
ное приглашение.
Все приглашения имеют ограниченный срок действия.
Возможно установить режим view-only, а также отключить
показ фоновой картинки.
Внешний вид модуля KDE, выполняющего роль серве-
ра VNC, показан на рис. 19.
Внешний вид клиента, подключенного к UNIX-десктопу
(UltraVNC Viewer), показан на рис. 20.
Ради справедливости должен заметить, что при работе
в клиенте, подключенном к серверу VNC под UNIX (в режи-
Рисунок 24. Внешний вид клиента rdesktop,
ме «удаленного помощника», а не в отдельной сессии), ощу- подключенного из KDE
28
администрирование
Manager. Эта служба работает на всех
серверных версиях Windows, начиная
с Windows 2000 Server. Правда, здесь
Microsoft пошла на хитрость. Сущест-
вует также служба Terminal Server
Licensing, в отсутствие которой служ-
ба Terminal Server принимает макси-
мум 2 одновременных удаленных со-
единения, а также (для Windows 2003
Server) работает только 120 дней с мо-
мента приема первого соединения.
А служба Terminal Server Licensing тре-
бует лицензии, стоящие отдельных де-
нег. Так что желающим запустить сер-
вер приложений, работающий через
RDC, стоит подумать над весьма не-
маленьким бюджетом такого реше-
ния (пакет лицензий из 5 штук – $700,
из 20 – $2800, информация взята с сай-
та http://www.softline.ru).
Terminal Server имеет достаточ- Рисунок 27. Внешний вид Xmanager, подключенного к клиенту
ное количество настроек. Большинс-
тво из них предназначены для на- Внешний вид клиента RDC приве- Личное мнение: rdesktop – основ-
стройки процесса регистрации поль- ден на рис. 23. ной инструмент системного админис-
зователя в системе – возможно, на- тратора, а krdc – бесполезная игрушка.
пример, отключить выполнение про- Организация терминальных Список серверов, который она должна
грамм из секции автозапуска, настро- сессий UNIX → Windows выдавать, строится только на основа-
ить группы устройств, которые будут Организация терминальных сессий нии протокола SLP и в сетях Windows
автоматически подключаться – дис- UNIX → Windows практически ничем совершенно бесполезен. С моей точ-
ки, принтеры и т. д., ограничить сес- не отличается от терминальных сес- ки зрения, более удобно меню, в ко-
сию пользователя по времени. Можно сий Windows → Windows. Меняется раз- тором вызывается непосредственно
задать настройки шифрования, ука- ве что клиент – вместо Remote Desktop rdesktop со всеми необходимыми па-
зать группу (или группы) пользова- Connection используется rdesktop с ин- раметрами.
телей, которые смогут пользоваться терфейсом из командной строки или
данным сервисом и понизить качес- «оболочка оболочек» Krdc, который Терминальная сессия
тво графики для ускорения работы. тем не менее все равно требует нали- Windows → UNIX через Xvnc
Внешний вид подключенного клиента чия rdesktop. Да-да, вы не ошиблись. Это возмож-
ничем не отличается от обычного ра- Если используется Krdc, то при под- но. И даже не очень сложно. Для это-
бочего стола и напоминает «Windows ключении клиента сверху появляется го достаточно на Windows иметь VNC-
внутри Windows». небольшая панель инструментов, кото- клиента, который умеет подключаться
С клиентской стороны в свою оче- рая практически бесполезна. к произвольному порту VNC (UltraVNC,
редь можно указать имя пользовате- Настроек у Krdc значительно мень- RealVNC), а на сервере – програм-
ля, домен и пароль, понизить настрой- ше, чем у Remote Desktop Connection, му Xvnc и ее скрипт запуска vncserver.
ки графики и задать разрешение экра- можно указать разрешение экрана, на- Обе эти программы входят в пакеты
на, указать, какие локальные ресур- стройки графики, тип протокола RDC TightVNC или TridiaVNC.
сы будут подключаться к соответству- и работу в режиме «view-only», при- Работает это все следующим обра-
ющим удаленным (диски, принтеры, чем большинство параметров придет- зом – пользователь запускает на UNIX
COM-порты), отключить лишние визу- ся задавать из командной строки. Имя сервер VNC с помощью скрипта
альные эффекты, фоновую картинку, пользователя, пароль и домен берут- vncserver. Vncserver запускает Xvnc, ко-
темы, анимацию. ся из настроек KDE. Для rdesktop эти торый создает новый X-сервер на за-
Дистрибутив клиента находится значения указываются в командной данном порту плюс 1 и HTTP-сервер
в %SYSTEMROOT%/system32/clients/ строке. Если не указано ничего, соот- на заданном HTTP-порту плюс 1. Ес-
tsclient/win32. ветствующие строки при начале со- ли в домашнем каталоге отсутствовал
Сервер RDC работает на TCP-порту единения будут пустыми, если указа- подкаталог .vnc, то он создается, в нем
3389 и не предоставляет возможности ны – будут подставлены указанные создается стартовый скрипт по умол-
его изменить. значения. чанию xstartup, который вызывается
Внешний вид программы для на- Внешний вид клиента rdesktop, при начале сессии на данном сервере.
строек терминального сервера приве- подключенного из KDE, приведен Здесь же записывается журнал, в ко-
ден на рис. 22. на рис. 24. торый выводятся все сообщения (ана-
30
администрирование
точно таким же, как при локальной ре-
гистрации.
Планировка устройств выполняет-
ся самим Xmanager. Также здесь обяза-
тельно нужно заметить, что Xmanager –
это только X-сервер, создающий сес-
сии путем подключения к клиентам.
Он не способен сам принимать кли-
ентские подключения. Внешний вид
Xbrowser, подключившегося к клиен-
ту UNIX, приведен на рис. 27.
Личное мнение: Все, что мне по-
надобилось сделать для того, чтобы
этот метод заработал, – это разрешить
kdm рассылать широковещательные
сообщения XDMCP. Фактически это
и есть терминальная сессия, в том ви-
де, как мы привыкли ее воспринимать
при работе по RDC.
которого фиксированного набора за- ши – не главное (хотя возможное, если ленный домен, тип компьютера (сер-
дач на целевом компьютере. Мы крат- на той стороне настроен TightVNC или вер, рабочая станция) или операци-
ко рассмотрим один вариант – IDEAL совместимый сервис). Главное – полу- онную систему (правда, здесь список
Administration под Windows. чить информацию и/или выполнить за- исчерпывается Windows, Novell, Apple
данную задачу. Любую. От получения и пр.). Внешний вид главного окна при-
IDEAL Administration информации о свойствах компьютера, веден на рис. 30.
С первого взгляда на программу IDEAL до его удаленного выключения. От мо- Как и положено, нажатие правой
Administration от Pointdev сразу понима- ниторинга открытых файлов до низко- кнопки мыши вызывает появление кон-
ешь, что это не просто амбициозное уровневого редактирования объектов текстного меню, которое поражает сво-
название. В программе действительно Active Directory. ими размерами (рис. 31).
есть все или почти все, что может пона- Построена программа в привычном Здесь представлены все возмож-
добиться системному администратору для администраторов Windows-стиле – ные операции, которые можно про-
Windows в его работе, чтобы, не вста- слева список объектов – сетей, доме- вести с данным компьютером. Я не бу-
вая с места, обслуживать десятки ком- нов, групп компьютеров и т. д., справа – ду их перечислять – их названия гово-
пьютеров. Для этой программы пре- «обозреватель сети», в котором мож- рят сами за себя, и их прекрасно зна-
доставить доступ к клавиатуре и мы- но выбрать все компьютеры, опреде- ет любой Windows-администратор. Но
это еще не все – контекстное меню, вы-
падающее при нажатии на компьютер
в «обозревателе», отличается от кон-
текстного меню в списке слева – оно
меньше на пункты с операциями син-
хронизации с DC, частичной или пол-
ной. А возможность удаленного уп-
равления процессами! А возможность
удаленного просмотра свойств фай-
лов (дата создания, дата модифика-
ции, атрибуты, владелец, права на
файл, см. рис. 32)! Заметьте, что я пе-
речисляю только те задачи, которые
невозможно решить через «Управле-
ние компьютером».
Но это еще не все, чем богат IDEAL
Administration. Не секрет, что основным
инструментом для Windows-админист-
ратора является MMC. А для управле-
ния учетными записями пользоваете-
лей – оснастки «Пользователи и ком-
Рисунок 33. Редактор для создания и управления объектами «Пользователь»,
«Группа», «Компьютер» в IDEAL Administration пьютеры», «Домены и доверительные
32
администрирование
Сводная таблица по продуктам
Программа Radmin NetOp UltraVNC MetaVNC TightVNC RealVNC Timbuktu
Используемый порт 4899 6502 5900 5900 5900 5900 407
Стоимость ($), за одну ли- 49 40-275 2
бесплатно бесплатно бесплатно 50 89
цензию
Клиенты Windows Windows, Linux, DOS, Solaris, Windows Windows Windows, Linux, Windows Windows,
Mac OS, Windows Mobile FreeBSD Mac OS
Отключение нет да да да да да да
Настройки графики
фона
Отключение нет да нет нет нет да да
визуальных
эффектов
Понижение нет да да да да да да
цветности
Отключение да да да да да да да
Настройки управления
удаленной мыши
Отключение да да да да да да да
вводом данных
удаленной
клавиатуры
View-only да да да да да да да
Авторизация Local (multi), Local (multi), Windows Local (single), Local (single) Local (single) Local (multi), Local (multi),
Windows Windows Windows Windows
Наличие русского да нет нет нет нет нет нет
интерфейса
Удобство использования1 высокое высокое среднее низкое низкое среднее среднее
Шифрование да да да нет нет да нет
Скрытие значка нет 3
да да нет нет нет нет
Файлообмен да да да да да нет да
Обмен сообщениями да да да нет нет нет да
Дополнительные сервисы да да нет нет нет нет нет
1
Удобство использования – категория субьективная, она отражает оценку автора обзора и не более.
2
В зависимости от числа покупаемых лицензий цена меняется от 275 (1 Host + 1 Guest) до 40 за 1 Host при покупке более 500 Host-лицензий.
3
По специальному запросу под дополнительное соглашение представляется версия, которая может работать в stealth-режиме.
отношения» и «Сети и сервисы». Кроме от количества приобретаемых лицен- те подобрать программу, которая соот-
того, многие системные администра- зий. Одна лицензия стоит 399 евро. ветствует вашим требованиям.
торы используют программы для низ-
коуровневого редактирования Active Заключение 1. Remote Administrator (Radmin) – http://
Directory, например ADSI Edit. Так вот, Сейчас уже трудно представить себе www.radmin.com.
IDEAL Administration содержит собс- сеть без программ удаленного управ- 2. Danware NetOp – http://www.netop.com.
твенный вариант оснастки «Пользо- ления. Программы «удаленного помощ- 3. MetaVNC – http://metavnc.sourceforge.net.
ватели и компьютеры», который, с мо- ника» используются для того, чтобы, 4. TightVNC – http://www.tightvnc.com.
ей точки зрения, ничуть не хуже, чем не сходя с места, показать пользовате- 5. UltraVNC – http://ultravnc.sourceforge.net.
от Microsoft (см. рис. 33). Единственный лю, как ему следует поступить в той или 6. RealVNC – http://www.realvnc.com.
его минус – невозможность тут же пе- иной ситуации, программы терминаль- 7. Pointdev IDEAL Administration –http://
рейти в редактор групповой политики. ных сессий используются для удален- www.pointdev.com.
Но и это еще не все. ного администрирования серверов или 8. Remote Desktop Connection (RDC) –
IDEAL Administration содержит так- одновременной работы на них (в осо- http://www.microsoft.com.
же средство управления удаленной ус- бенности если там установлено какое- 9. Timbuktu Pro версии 8.6.3 – http://www.
тановкой программного обеспечения либо уникальное программное обеспе- netopia.com.
IDEAL Dispatch (это самостоятельный чение), программы удаленного выпол- 10. Xmanager версии 2.0 – http://www.
продукт, но он входит сюда). нения задач применимы для выполне- netsarang.com.
Эта программа хороша всем, кро- ния каких-либо фиксированных задач, 11. NX Client для Windows – http://www.
ме отсутствия русского интерфей- которые, конечно, можно выполнить nomachine.com.
са. Это не удивительно – зарубежные и через удаленного помощника или тер- 12. TridiaVNC версии 1.4 – http://www.
разработки вообще редко снисходят минальную сессию, но для использо- tridiavnc.com.
до «не-английского» интерфейса. Про- вания данных программ (под Windows) 13. Rdesktop – http://www.rdesktop.org.
грамма распространяется по коммер- не нужна клиентская часть. И может 14. Free NX server – http://www.nomachine.
ческой лицензии, стоимость ее зависит быть, прочитав эту статью, вы сможе- com.
Ильяс Кулиев
Существует множество способов предоставить удалённым пользователям доступ
к ресурсам локальной сети компании. Предлагаем вам решить задачу с помощью
специально разработанного для подобных целей межсетевого экрана Cisco PIX.
Исходные данные ще всего термин «VPN» ассоциирует- Этот младший представитель се-
Идея виртуальной частной сети (VPN) ся с передачей данных именно через мейства PIX 500 позиционируется
проста – это инкапсуляция пакетов Интернет. как устройство для использования
или фреймов в датаграммы 3-го или Одним из промышленных стандар- в малых и домашних офисах. Несмотря
4‑го уровня сетевой модели OSI для то- тов для VPN является семейство про- на это, его быстродействия достаточ-
го, чтобы можно было передать их че- токолов IPSec, о нем и пойдет речь се- но для работы в качестве firewall в по-
рез сети с глобальной адресацией. Та- годня. токе данных со скоростью до 60 Мбит/с.
кой сетью с глобальной адресацией В качестве сервера, принимающе- Применительно к VPN быстродействия
может быть не только Интернет – су- го VPN-подключения удаленных поль- PIX 501 хватает для обеспечения
ществует много операторов, предо- зователей, используется распростра- шифрования данных по алгоритму
ставляющих VPN через собственные ненный межсетевой экран Cisco PIX 3DES на скорости до 3 Мбит/с, а при
глобальные сети – но, как правило, ча- модель 501 (см. рис .1). использовании более современно-
34
администрирование
го алгоритма шифрования AES-128 – Как видите, на нашем firewall уста-
до 4.5 Мбит/с. Аутентификация уда- новлены лицензии, позволяющие ис-
ленных пользователей может произво- пользовать его для работы с VPN, алго-
диться как с помощью логина и паро- ритмы шифрования DES, 3DES и AES.
ля, так и по цифровым сертификатам Количество одновременных VPN-под-
X.509. Мы остановимся только на пер- ключений ограничено 10 пользовате-
вом способе аутентификации. лями (строчка IKE peers).
Для простоты допустим, что этот В случае если на PIX не установле-
Рисунок 1. Внешний вид межсетевого
же firewall PIX будет использовать- ны лицензии VPN, их можно бесплат- экрана Cisco PIX 501
ся для предоставления внутренним но получить на веб-сайте Cisco: http://
рабочим станциям доступа в Интер- www.cisco.com/go/license. Предвари- Войдя в режим конфигурирования,
нет (NAT). тельным условием для этого является начнем настройку:
В качестве сервера аутентифи- регистрация: http://tools.cisco.com/RPF/
кации будет использоваться сервер register/register.do. # conf t
Microsoft Windows 2003. Наличие тако- Мы будем использовать для на- pixfirewall(config)#
го или подобного сервера типично для шей VPN алгоритм шифрования 3DES,
сети небольшого предприятия. На нем как наиболее защищенный. Как уже го- Определим внешний и внутренний
же зачастую работают сервисы DHCP, ворилось, PIX 501 имеет известное ог- интерфейсы и присвоим им IP‑адреса:
DNS, WINS – все это пригодится нам раничение производительности в этом
в дальнейшем (см. рис. 2). режиме – не более 3 Мбит/с – но учиты- # interface ethernet0 auto
# interface ethernet1 auto
Для VPN-подключения на компью- вая, что у нас в любом случае не может # nameif ethernet0 outside ↵
терах удаленных пользователей ис- быть одновременно подключено более security0
# nameif ethernet1 inside ↵
пользуется штатный VPN-клиент Cisco. 10 пользователей, это не столь важно. security100
Его можно приобрести у поставщи-
ков оборудования Cisco (Part Number
CVPN‑CLIENT-K9=). Почитать о нем вы
можете на странице поддержки Cisco
Systems: http://www.cisco.com/application/
pdf/en/us/guest/products/ps2308/c1650/
cdccont_0900aecd801a9de9.pdf.
pixfirewall> enable
Username: pix
Password: *****
pixfirewall#
# show version
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1) Рисунок 2. Схема сети
(часть вывода удалена)
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: 50
Throughput: Unlimited
IKE peers: 10
Рисунок 3. Создание нового RADIUS-клиента в IAS
# ip local pool vpnclient 192.168.250.1-192.168.250.14 Поскольку на firewall PIX по умолчанию запрещены вхо-
дящие IP-пакеты, нужно в явном виде дать ему разреше-
Включим NAT, и учтем при этом, что пакеты, направляю- ние принимать входящие VPN-подключения:
щиеся из локальной сети к клиентам VPN, подвергать NAT
не нужно. Для того чтобы исключить эти пакеты из процес- # sysopt connection permit−ipsec
са NAT, напишем простой access-лист:
Подготовительные шаги завершены, теперь начина-
# access−list 101 permit ip 192.168.224.0 255.255.255.0 ↵ ем настраивать VPN. Сначала определим, какой алгоритм
192.168.250.0 255.255.255.240
шифрования и подписывания пакетов будет использовать-
ся. Мы уже решили, что шифрование данных будет осущест-
вляться по алгоритму 3DES. Описываем это в трансформе
с условным именем mytrans1:
36
администрирование
Настроим его:
О строчке «vpngroup pixvpn split-tunnel 101» следует ска- Рисунок 9. Добавление группы в создаваемую политику
удаленного доступа
зать особо. В ней VPN-клиенту дается указание шифровать
исключительно сетевой трафик, передаваемый по VPN
и предназначенный для локальной сети (ACL 101), весь.
В противном случае после подключения к VPN у удален-
ного пользователя пропал бы доступ в Интернет, и остал-
ся лишь доступ через VPN к локальной сети.
Выходим из режима настройки:
# exit
Рисунок 10. Новая политика создана
Рисунок 11. Свойства созданной Рисунок 12. Выбор метода аутентификации Рисунок 13. Выбор метода шифрования
политики для удаленных соединений данных для удаленных соединений
38
администрирование
шифрования, поскольку канал передачи уже и так зашиф-
рован IPSec. Для этого выберите закладку «Authentication»
(см. рис. 12).
По этой же причине нужно разрешить нешифрованную
передачу данных (закладка «Encryption», см. рис. 13).
Дело сделано. Осталось добавить выбранных пользова-
телей домена в группу «VPN users» и перейти к настройке
клиентского программного обеспечения Cisco VPN.
жение» и с большими удобствами подключаться к сетевым Имеет смысл также заглядывать в этот журнал в том
ресурсам домена. случае, если по каким-то причинам не проходит вторая сту-
Любопытства ради можно взглянуть в журнал событий пень аутентификации. Записи о событиях сервиса IAS по-
на сервере Windows. Мы увидим там примерно такое: могут разобраться в причинах происходящего.
Event Type: Information
Event Source: IAS Заключение
Event Category: None Описанный в статье метод настройки межсетевого экрана
Event ID: 1
Date: 3/30/2007 Cisco относится не только к модели 501, но и ко всей линей-
Time: 3:10:54 PM ке PIX, при том, однако, условии, что межсетевой экран ра-
User: N/A
Computer: MAIN
ботает под управлением операционной системы версии 6.x.
Description: Как уже говорилось, серьезным ограничением PIX 501 явля-
User i.petrov was granted access.
Fully-Qualified-User-Name = peanuts-unlimited.local/Users/Ivan Petrov
ется количество одновременных подключений VPN – не бо-
NAS-IP-Address = 192.168.224.1 лее десяти. Если нужно обеспечить возможность одновре-
NAS-Identifier = <not present>
Client-Friendly-Name = pix501
менной работы большего количества удаленных пользова-
Client-IP-Address = 192.168.224.1 телей, следует подумать о модели 506 (до 25 пользовате-
Calling-Station-Identifier = 2.2.2.2 лей) или даже модели 515E (до 2000 пользователей).
Яков Коваленко
Вы системный администратор организации, которая использует много внешних адресов
и свои DNS-серверы? У вас единое адресное пространство для внешних и внутренних серверов?
Вы используете разные DNS-серверы для внутренней и внешней сети? Не стоит так усложнять
себе жизнь. Есть способ заставить BIND работать на два фронта!
B
IND – DNS-сервер для UNIX. именами все свои серверы и рабочие мы с безопасностью и дополнитель-
Для воплощения в жизнь инфор- компьютеры. ные финансовые затраты.
мации из этой статьи вам потре- Н а п р и м е р, с е р в е р р а з р а б о т- Я знаю несколько системных ад-
буются знания UNIX и BIND на уровне ки dev.hornsandhooves.ru, почтовые минис траторов, которые пок упа-
продвинутого пользования. серверы – mx1.hornsandhooves.ru ли и настраивали совершенно отде-
Что такое Split DNS-конфигурация? и mx2.hornsandhooves.ru, компьюте- льные DNS-серверы, один для интер-
Конфигурация BIND, позволяющая ры сотрудников тоже захочется на- нет-сервисов, другой для внутренних
использовать различные настройки звать понятными именами, например сервисов. Схема их сети была такой,
DNS в зависимости от адреса источ- bender.hornsandhooves.ru, panikovsky. как на рис. 1. Как видим – DNS раз-
ника запроса. hornsandhooves.ru и так далее. делен на внутренние серверы, кото-
Для чего это может быть полез- Получается, что внутренние ком- рые обеспечивают разрешение имен
но? Допустим, ваша организация на- пьютеры и внешние серверы объеди- внутренних сервисов, кэшируют запро-
зывается «Horns And Hooves inc.» нены общим именным пространством. сы, разрешают имена и делают прочую
и соответс твенно доменное имя Это, на первый взгляд, очень удоб- полезную работу.
hornsandhooves.ru. Вероятно, систем- но при администрировании, но несет За брандмауэром расположены
ному администратору покажется удоб- в себе дополнительные трудозатра- DNS-серверы для обслуживания зо-
ным назвать логичными и понятными ты при администрировании, пробле- ны hornsandhooves.ru.
40
администрирование
Вполне логичная и безопасная схе- Листинг 1. Файл ext.hornsandhooves.ru
ма, но экономически не эффективна $TTL 86400
и усложнена для администрирования. hornsandhooves.ru. IN SOA ns1.hornsandhooves.ru. noc.hornsandhooves.ru.
(
Давайте попробуем разобраться, 2007032900 ; serial
каким образом, используя всего одну 21600 ; refresh (6 hours)
1200 ; retry (20 minutes)
пару DNS-серверов, отдавать в Интер- 86400 ; expire (1 day)
нет только то, что положено – www‑сер- 432000 ; minimum (5 days)
)
вер с внешним адресом, DNS-сервер, IN NS ns1.hornsandhooves.ru.
почтовые серверы, а внутренним кли- IN NS ns2.hornsandhooves.ru.
ентам – адреса внутренних серверов IN MX 5 mx1.hornsandhooves.ru.
и клиентских компьютеров, так на- IN MX 10 mx2.hornsandhooves.ru.
зываемое «затененное пространство IN A 194.0.1.1
имен», которое показывать в Интер- www IN A 194.0.1.1
нете минимум опасно. ns1 IN A 194.0.1.3
ns2 IN A 194.0.1.4
Расщепление пространства mx1 IN A 194.0.1.3
имен. Виды mx2 IN A 194.0.1.4
Нам потребуется создать 2 разных
файла зоны hornsandhooves.ru: один Листинг 2. Файл int.hornsandhooves.ru
из них будет содержать информацию $TTL 86400
для Интернета, второй будет содер- hornsandhooves.ru. IN SOA ns1.hornsandhooves.ru. noc.hornsandhooves.ru.
(
жать информацию для внутренних 2007032900 ; serial
клиентов. 21600 ; refresh (6 hours)
1200 ; retry (20 minutes)
Примечание: все доменные име- 86400 ; expire (1 day)
на и IP-адреса вымышлены, совпаде- 432000 ; minimum (5 days)
)
ния случайны. IN NS ns1.hornsandhooves.ru.
В файле зоны ext.hornsandhooves.ru IN NS ns2.hornsandhooves.ru.
указан минимальный набор серверов, IN MX 5 mx1.hornsandhooves.ru.
необходимых для того, чтобы компания IN MX 10 mx2.hornsandhooves.ru.
нормально работала, разрешала свои IN A 192.168.1.1
интернет-имена и принимала почту. www IN A 192.168.1.1
При условии, что у регистратора зоны ns1 IN A 192.168.1.3
прописаны ваши DNS-серверы как от- ns2 IN A 192.168.1.4
ветственные за зону (см листинг 1). mx1 IN A 192.168.1.3
А в файле int.hornsandhooves.ru, mx2 IN A 192.168.1.4
кроме внешних интернет-сервисов, dev IN A 192.168.1.10
но с внутренними адресами, мы ви- gate IN A 192.168.1.11
filesrv IN A 192.168.1.12
дим еще несколько адресов, а имен- dhcp IN A 192.168.1.13
но адреса внутренних сервисов, о ко-
bender IN A 192.168.1.20
торых незачем знать внешнему Ин- panikovsky IN A 192.168.1.21
тернету, плюс адреса рабочих стан- funt IN A 192.168.1.22
shura IN A 192.168.1.23
ций, о которых Интернету знать тоже
незачем (см. листинг 2).
Итак, мы создали 2 разных фай- В каждом сервере по два сетевых нета, а в другом – зону для внутренней
ла для зоны, теперь осталось научить интерфейса. Один имеет внешний сети. Назовем их external и internal.
BIND отдавать информацию из этих IP-адрес (194.0.1.3 для ns1 и 194.0.1.4 Файл конфигурации named.conf
файлов дифференцированно. Зоны д ля ns2), второй интерфейс име - для master-сервера:
обратного отображения тоже должны ет адрес из внутренней сети
быть разными. (192.168.1.3 и 192.168.1.4 соот- options {
directory "/var/named";
ветственно). notify yes;
Конфигурирование О конфигурации с одним pid-file "/var/run/named/named.pid";
statistics-file "named.stats";
named.conf интерфейсом с внутренним
Для начала разберемся с конфигура- адресом (например, если у вас };
цией наших DNS-серверов. DMZ) будет сказано в конце
У нас 2 сервера, master и slave. Ns1 статьи. controls {
inet 127.0.0.1 allow { localhost; } ↵
и ns2 соответственно. Они по совмес- В BIND 9 есть замечатель- keys { rndckey; };
тительству являются почтовыми серве- ная возможность создавать };
рами, ничто им не мешает заниматься Views (виды). В одном View мы // Создадим ACL, в котором укажем,
еще и почтой. расположим зону для Интер- // что внутренние адреса – подсеть 192.168.1
view "external" {
Теперь, если с компьютера из внутренней сети сде-
match-clients {"any"; };
лать запрос на разрешение имени www.hornsandhooves.ru,
то в ответ получим 192.168.1.1, если из Интернета, то полу- query-source address 194.0.1.4 port 43303;
42
администрирование
allow-recursion { localhost; };
// Здесь мы указываем, что забираем зону
// с внешнего интерфейса – только для него
// на мастере внешняя зона отдается
transfer-source 194.0.1.4;
//ROOT zone
zone "." IN {
type hint;
file "named.ca";
};
//Forward zones
zone "hornsandhooves.ru" in {
type slave;
file "slave/ext.hornsandhooves.ru";
masters { 194.0.1.3; };
};
//Reverse zone
zone "1.0.194.in-addr.arpa" in {
type slave;
file "reverse/1.0.194";
masters { 194.0.1.3; };
};
};
Рисунок 1. Модель обычной расстановки DNS-серверов
include "/etc/rndc.key"; без использования Split DNS
Строим Jabber-сервер
с OpenFire
Сергей Яремчук
Сегодня для более эффективной организации совместной работы сотрудников все чаще
используют системы мгновенного обмена сообщениями. Рассмотрим, как установить
и настроить Jabber-сервер OpenFire.
Н
аиболее известным протоко- дуктам. Но в то же время использо- ше, чем электронной почте и инфор-
лом мгновенного обмена со- вание ICQ в корпоративных целях мо- мации на веб-сайтах. Такие системы
общениями (instant messaging, жет иметь и отрицательные последс- всегда привлекали и будут привлекать
IM) несомненно, является ICQ. В не- твия. Вероятно, из-за обмена сообще- в будущем большое внимание со сто-
которых организациях подключаются ниями в реальном времени, когда ве- роны хакеров, вирусописателей, не-
к этой сети и используют ее возмож- дется обычный диалог, пользователи равнодушны к ним и фишеры. Поэто-
ности, не прибегая к сторонним про- часто доверяют IM-сетям даже боль- му в любой момент компьютер может
44
администрирование
быть атакован через ошибки в клиент-
ских программах, ссылка, вставленная
в сообщение, может привести на вре-
доносный ресурс. Не стоит забывать,
что ICQ – это закрытый протокол, под-
верженный частым изменениям. Да и
вообще сеть иногда попросту не рабо-
тает. Итак, назревает вопрос о созда-
нии своего сервера.
Если просмотреть доступные бес-
платные предложения, то можно об-
наружить, что в качестве ICQ-сер-
вера на всех ресурсах рекомендует-
ся только один – IServerd (ICQ server
daemon) [1], изначально работающий
только под UNIX-совместимыми систе-
мами и весьма простой в настройках.
Список же Jabber-серверов [2] на по-
рядок больше. Напомню, что в Jabber
для обмена сообщениями используют Рисунок 1. Настройка соединения с базой данных
открытый протокол XMPP (eXtensible
Messaging and Presence Protocol), ба-
зирующийся на XML. Последнее да-
ет большую гибкость и возможность
расширения. Так, в принципе любой
Jabber-сервер вполне способен под-
держивать множество других протоко-
лов – ICQ, IRQ, MSN, RSS, Yahoo и др.
В одних это заложено в базовой конс-
трукции, а в других с использовани-
ем дополнительных модулей. Также
Jabber позволяет организовать и груп-
повые чаты. Поэтому вместо двух сер-
веров (ICQ и IRC) вполне возможно
обойтись и одним, что гораздо удоб-
нее для пользователей и админист-
раторов. Сам Jabber отличает проду-
манная система защиты информации,
все реализации серверов поддержи-
вают SSL, а клиенты – шифрование
с помощью PGP/GPG, пароли переда- Рисунок 2. Создание пользователя
ются не в открытом виде, а использу-
ются md5-хеши. Проблем с кодировкой не должно никого пугать. Но зато его лее он предназначен исключительно
тоже нет, так как изначально исполь- можно установить в любой системе, для административных целей, а лю-
зуется Unicode. для которой доступен Java Runtime бой админ так или иначе должен вла-
Environment (AIX, *BSD, HP-UX, Linux, деть базовым английским. В установке
Проект OpenFire MacOS X, Solaris, Windows). Для сохра- по умолчанию OpenFire имеет большое
После знакомства со списком, при- нения различных настроек и профи- количество возможностей, среди кото-
веденным по ссылке [1], особен- лей можно использовать как внутрен- рых управление списком пользовате-
но со столбцами «Feature Score» и нюю базу данных HSQLDB, так и вне- лей и отображение списка пользова-
License=Gnu GPL, из всех присутству- шнюю. В качестве последних подде- телей на клиентах, отправление сооб-
ющих можно отобрать лишь несколь- рживаются: MySQL, Postgres, Microsoft щений пользователям, которые на дан-
ко. Особо выделяется проект OpenFire SQL Server, Oracle, IBM DB2. Для ра- ный момент отключены, поиск пользо-
(ранее – Wildfire), который позицио- боты с ними понадобится JDBC-драй- вателей, а остальное (Asterisk, широ-
нируется как открытая альтернатива вер. OpenFire очень прост в настрой- ковещательные сообщения, IM‑шлюз,
проприетарным серверам мгновен- ке, все операции осуществляются че- контент-фильтр и прочее) реализуется
ных сообщений масштаба предпри- рез понятный веб-интерфейс, кото- посредством плагинов. Поддерживает
ятия. Написан на Java, по-моему, се- рый хотя и не локализован, но разо- работу по протоколам SSL/TLS. Опци-
годня использование этого языка уже браться с ним будет просто. Тем бо- онально сервер способен использо-
Устанавливаем OpenFire
Перед началом установки OpenFire
следует инсталлировать пакеты sun- Рисунок 3. Установленные плагины
java6-jre. И если планируется использо-
вать внешний сервер базы данных, то и его. Тестовая уста- сервера. По умолчанию используется вывод hostname, хо-
новка производилась на Ubuntu 7.04 в качестве БД – MySQL. тя можно здесь использовать IP-адрес. Впоследствии имя
Для других дистрибутивов все сказанное, кроме особен- можно изменить, после чего понадобится изменение и сер-
ностей работы менеджеров пакетов, будет действительно. тификатов. Здесь же указываем порт, который будет ис-
пользоваться при администрировании сервера, обычный
$ sudo apt-get update и с использованием защищенного соединения (по умолча-
$ sudp apt-get install sun-java6-jre mysql-server
нию соответственно 9090 и 9091).
Теперь распаковываем полученный архив в каталог /opt: Следующий шаг позволяет определить, какую из баз
данных мы будем использовать для работы. Самым прос-
$ cd /opt/ тым вариантом будет выбор встроенной базы (Embedded
$ sudo tar xzvf /home/source/openfire_3_3_0.tar.gz
DataBase). В этом случае никаких дополнительных настроек
В результате в каталоге /opt появился подкаталог далее делать не нужно. Для небольшого количества поль-
openfire, в котором содержатся все библиотеки и исполня- зователей ее производительности вполне хватает. Мы же
емые файлы. используем MySQL, поэтому отмечаем «Standard Database
Создаем необходимую для работы базу данных: Connection» и жмем Continue. В следующем окне указываем
параметры подключения к базе данных. Для этого в строке
$ sudo mysqladmin --user=root --password=db_passwd ↵ Database Driver Presets выбираем тип базы, с которой бу-
create jabber
$ cat ./openfire/resources/database/openfire_mysql.sql | ↵ дем работать, в строке Database URL все слова в квадрат-
mysql --user=root --password=db_passwd --database=jabber ных скобках подменяем своими значениями (то есть вмес-
то [host-name] пишем адрес сервера, на котором располо-
В указанном каталоге находятся файлы и для осталь- жена база MySQL, а вместо [database-name] пишем имя ба-
ных баз данных, поддерживаемых OpenFire. зы, в нашем случае база называется jabber). То есть, если
Запускаем сервер (привилегий администратора не тре- MySQL установлен на том же компьютере, в поле Database
буется): URL получается:
$ cd openfire/bin jdbc:mysql://localhost:3306/jabber
$ ./openfire
testing JVM in /usr ...
Далее вводим имя пользователя и пароли и пробуем
Usage: ./openfire {start|stop|status}
соединиться с базой данных. Шаг «Profile Settings» позво-
$ ./openfire start лит выбрать вариант сохранения информации о пользова-
телях. Это может быть внутренняя база данных либо LDAP.
Теперь набираем в браузере http://localhost:9090/ и пе- В последнем случае настраиваем соединение с сервером,
реходим к этапу настройки. предоставляющим соответствующие услуги.
Как уже говорилось выше, сервер очень прост в нас- И последний шаг настройки – установка пароля адми-
тройке. Необходимо будет последовательно пройти всего нистратора. Учетная запись в этом поле пишется с добав-
5 этапов. Вначале выбираем язык интерфейса, русского лением домена – admin@example.com. По окончании на-
в списке нет, поэтому придется довольствоваться англий- стройки система предложит нажатием на кнопку «Login to
ским. На следующем шаге в строке Domain указываем имя the admin console» зарегистрироваться в консоли админис-
46
администрирование
тратора. Конфигурация сохраняется
в файле /opt/openfire/conf/openfire.xml,
если что-то не получилось можно заме-
нить его, взяв версию из архива, либо
удалить из него предпоследнюю стро-
ку, начинающуюся с <setup>. После че-
го повторить установку. Сервер теперь
готов принимать клиентов, хотя стоит
поначалу все-таки обратиться к неко-
торым настройкам.
Настройки в консоли
администратора
Настроек в OpenFire предостаточно,
все их описать невозможно, скажу
только о некоторых. На главной стра-
нице, которая будет выведена после
регистрации в консоли, будет показа-
на статистика сервера и текущие на-
стройки. Чтобы отредактировать имя Рисунок 4. Сертификаты сервера
сервера, порт подключения сервер-
сервер, клиент-сервер и консоли адми- зовать внутри организации, лучше твие сервера, если новый пользова-
нистратора, а также включить или вы- запретить пользователям самосто- тель попробует зайти с именем, кото-
ключить поддержку SSL, следует на- ятельно создавать учетные записи. рое уже задействовано (протокол это
жать кнопку Edit Properties в самом ни- Для этого переходим в «Registration & допускает).
зу страницы. Далее идем в «Language Login» и устанавливаем переключа- Теперь можно зазывать пользова-
and Time Settings» в «Choose Time тель в Disabled в поле «Inband Account телей на новый ресурс, но если выбра-
Zone», выбираем свой часовой пояс, Registration». Используя переключа- на политика, запрещающая самостоя-
если он выставлен неправильно (бе- тель в поле «Anonymous Login», мож- тельную регистрацию, сначала регис-
рется из системных настроек). Пе- но разрешить или запретить аноним- трационные записи нужно будет со-
рейдя в «Email Settings», указываем ные подключения к серверу. И, нако- здать. Для чего переходим в «Users/
SMTP-сервер и учетные данные, не- нец, можно ограничить соединения Groups», выбираем «Create New User»
обходимые для отправки почтовых со- с сервером только диапазоном опреде- и вводим имя пользователя и пароль.
общений. ленных адресов, указав их в «Restrict Опционально можно ввести и имя
Сервер OpenFire может быть на- Login» в виде 192.168.1. Переключа- с почтовым адресом. Если создает-
строен как закрытый, так и в качест- тель в поле «Change Password» лучше ся сразу несколько учетных записей,
ве открытого ресурса, к которому мо- установить в Enabled, тем самым раз- удобнее после заполнения всех па-
гут подключаться новые пользовате- решив пользователям самостоятельно раметров нажимать кнопку «Create
ли. По умолчанию он настроен имен- изменять свои пароли. Меню «Conflict & Create Another». В этом случае пос-
но так. Если его планируется исполь- Policy» позволяет определить дейс- ле создания нового пользовательско-
го бюджета появится снова окно на-
eJabberd фейс. Конфигурационный файл весьма по- строек, иначе будет показано окно
Еще одним популярным Jabber-серве- нятен по структуре, хотя к его редактиро- со свойствами учетной записи. Ана-
ром является eJabberd (http://www.process- ванию следует относиться весьма внима- логично создаются и группы.
one.net/en/ejabberd). Написан он на язы- тельно. Так как любая погрешность приве- Параметров, как видите, немного,
ке Erlang (http://erlang.org), который пред- дет к тому, что сервер будет работать не так, но если добавить плагин registration,
назначен для создания отказоустойчи- как надо. В настройках сервера есть свои появится новый пункт «Registration
вых распределенных приложений. Поэто- особенности. Так, все изменения, произ- Properties», в котором можно активи-
му eJabberd изначально может работать веденные через веб-интерфейс, заносятся ровать соответствующие пункты и за-
в кластере, когда один домен физически сразу в базу данных, в конфигурационном тем указать IM контакты и адреса элек-
обслуживает сразу несколько компьютеров, файле они никак не отражаются. При нали- тронной почты, на которые будут от-
синхронизируя информацию через единую чии записей override_* они будут действи- сылаться сообщения о новых пользо-
базу данных. Откомпилированные прило- тельны до первой перезагрузки. В качест- вателях, группу по умолчанию, в ко-
жения выполняются в Erlang (JAM) emulator, ве базы данных используется Mnesia, хо- торую будет включен пользователь
в этом он несколько похож на Java. Подде- тя поддерживаются и некоторые другие – и приветствие после успешной регис-
рживаются все популярные сегодня опера- MySQL, PostgreSQL. Большинство возмож- трации.
ционные системы. Все настройки осущест- ностей реализовано из коробки. Для созда- Здесь же можно разрешить регист-
вляются путем внесения изменений в кон- ния транспорта ICQ <-> Jabber понадобится рацию через веб-форму, для чего поль-
фигурационный файл или через веб-интер- PyICQt (http://pyicq-t.blathersource.org). зователь должен будет зайти по адре-
Возможна ситуация, когда придется создавать клю- 1. Домашняя страница проекта IServerd – http://iserverd.khstu.ru.
чи и сертификаты самому, также необходимо обязатель- 2. Список Jabber-серверов – http://www.jabber.org/software/
но сменить пароль к keystore с changeit на что-то более бе- servers.shtml.
зопасное. Это в принципе просто. Переходим в каталог 3. Д о м а ш н я я с т р а н и ц а п р о е к т а O p e n F i r e – h t t p : / /
ключей. www.igniterealtime.org/projects/openfire.
48
администрирование
Андрей Бирюков
50
администрирование
Приступая к работе Прежде всего я поставлю зада- серверную лицензию на операцион-
Одним из необходимых условий ста- чу, решению которой будет посвяще- ную систему на каждый узел класте-
бильного функционирования сети на эта статья. ра. Плюс лицензии клиентского досту-
крупной организации является отка- У нас имеется два сервера с иден- па (CAL) в том же количестве, что и для
зоустойчивость. Даже минутный сбой тичной аппаратной частью. Требова- одного сервера.
может привести к весьма неприятным ние идентичности не является обяза- Поясню на примере. Если у вас
последствиям. тельным, но желательно, чтобы мощ- в организации 250 пользователей и вы
Так, например, во время перезаг- ность серверов была сходной. разворачиваете двухузловой клас-
рузки почтового сервера в разгар ра- Необходимо объединить их в отка- тер, то вам необходимо приобрести
бочего дня сотрудники компании бу- зоустойчивый кластер. В качестве при- две серверные лицензии на Windows
дут получать сообщения об ошибке мера настройки отказоустойчивого ре- Server 2003 и 250 лицензий клиент-
и, как правило, звонить в службу тех- сурса я настрою службу File Share. ского доступа.
нической поддержки компании, при- Подробнее о типах кластеризу- Таким образом, количество узлов
бавляя работы системным админис- емых ресурсов мы поговорим чуть в кластере не влияет на число клиент-
траторам. позже. ских лицензий.
Это особенно неприятно, когда о
недоступности почты или любого дру- О редакциях и лицензиях Новые понятия
гого сервиса сообщает руководство. Перед тем как начать описание про- Для лучшего понимания концепции
Избежать подобных проблем можно цесса установки и настройки клас- кластеризации мы рассмотрим не-
с помощью отказоустойчивых клас- тера, нам необходимо определить- сколько основных понятий.
теров. ся с редакциями операционной сис- Отказоустойчивый кластер, как
Кластер серверов – это группа не- темы, которая будет использоваться, правило, состоит из четырех узлов,
зависимых узлов, которые взаимо- а также рассмотреть вопросы лицен- использующих общий дисковый ре-
действуют как одна система. Они ис- зирования. сурс для обмена данными. Этот ре-
пользуют общую базу данных класте- При построении кластера следу- сурс также именуется кворум-устройс-
ра, которая позволяет выполнять вос- ет запомнить, что наиболее распро- твом (quorum).
становление в случае отказа любо- страненная редакция Windows Server В идеале это кворум-устройство
го узла. 2003 Standard не поддерживает клас- должно представлять из себя отде-
Данные решения могут быть как теризацию. льное аппаратное хранилище данных
аппаратными, так и программными. Таким образом, при построении с собственной поддержкой отказо-
Выбор зависит от размера вашей орга- отказоустойчивой системы следует устойчивости (диски RAID 1, RAID 5),
низации, критичных для бизнеса при- использовать Windows Server 2003 подключающееся ко всем узлам клас-
ложений и, естественно, бюджета, вы- Enterprise Edition. тера.
деляемого на IT-инфраструктуру. Кстати, редакцию Enterprise нуж- Подобные решения предоставляют
В своей статье я рассмотрю про- но использовать и при построении IBM, EMC и другие производители.
граммную реализацию двухузлового кластеров для Microsoft Exchange Но в случае ограниченных финан-
кластера на основе службы Microsoft и Microsoft SQL Server 2000. В против- совых возможностей компании для со-
Clustering Service. Такое решение яв- ном случае вы не сможете кластери- здания кворум-устройства можно ис-
ляется наиболее приемлемым для ор- зовать почту и базы данных. пользовать диск на разделяемой SCSI-
ганизаций средних размеров с неболь- Что касается вопросов лицензи- шине, подключенный ко всем узлам
шим IT-бюджетом. рования, то необходимо приобретать кластера.
Кластер содержит два различных При устранении причины отказа n Стандартный разделяемый фай-
типа сетей: частная сеть, которая ис- исходного узла вся группа передается ловый ресурс, когда видна только
пользуется для поддержки соединений назад в исходный узел в соответствии папка верхнего уровня, представ-
между узлами кластера, и сеть общего с политикой возврата после восстанов- ленная разделяемым именем.
пользования (локальная сеть), которая ления (failback) для данной группы. n С разделяемыми подпапками,
используется клиентами кластера для когда папка верхнего уровня и каж-
подсоединения к службам в этом клас- Ресурсы – наше все дая из ее непосредственных подпа-
тере. Обе эти сети могут совместно ис- Следующим понятием являются ресур- пок предоставляются для разделя-
пользовать одну сетевую карту и од- сы – логические или физические эле- емого доступа с различными име-
но физическое соединение, но лучше менты, которые можно подсоединять нами.
держать их отдельно. или отсоединять от сети. n Автономный корень распреде-
Поскольку соединение между узла- В систему Windows Server 2003 ленной файловой системы Dfs
ми кластера – это потенциальная точ- Enterprise Edition включено несколько (Distributed File System). Но вы
ка отказа, оно всегда должно предус- различных типов ресурсов: не можете использовать ресурс
матривать избыточность. n Physical Disk; File Share кластерного сервера
В случае, если используются два n DHCP; как часть отказоустойчивого кор-
сетевых интерфейса, то при отказе од- n WINS; ня Dfs.
ного из них администратор сможет без n Print Spooler;
особых усилий переключиться на ис- n File Share; Internet Protocol Address и Network
пользование второго. К тому же ис- n Internet Protocol Address; Name используется для создания вир-
пользование двух интерфейсов уве- n Local Quorum; туального сервера, который позволя-
личивает скорость обмена данными n Majority Node Set; ет клиентам использовать то же имя
и в конечном счете увеличивает ско- n Network Name; для доступа к кластеру даже после пе-
рость работы всего кластера в целом. n Generic Application; рехода по отключению failover.
Следующим важным понятием n Generic Script; Ресурс Local Quorum использует-
кластеризации являются группы. n Generic Service. ся для управления системным диском
Группы – это блоки для перехо- в локальном узле кластера.
да по отключению (failover). Каждая Несколько слов по каждому из ви- Majority Node Set применяется
группа содержит один или несколько дов ресурсов. для управления конфигурацией дан-
ресурсов. При отказе любого из ре- Physical Disk используется для кво- ных кластера, которые могут распо-
сурсов внутри группы для всей груп- рум-ресурса. Требуется для всех сер- лагаться на ЗУ кластера или вне этого
пы выполняется совместный переход веров кластера. устройства. Используется для согла-
по отключению согласно политике пе- DHCP и WINS используются в ка- сования данных между географически
рехода по отключению, определенной честве ресурса кластера для обес- разбросанными устройствами.
для данной группы. печения отказоустойчивости данных Тип ресурса Generic Application
В любой момент времени группа служб. позволяет вам управлять в кластере
может принадлежать только одному Print Spooler позволяет кластери- обычными приложениями, не распоз-
узлу. При отказе какого-либо ресурса зовать службы печати. нающими своего присутствия в клас-
внутри группы он должен быть пере- Тип ресурса File Share позволя- тере.
мещен в альтернативный узел вмес- ет управлять разделяемыми файло- Generic Script – управление сце-
те со всеми остальными ресурсами выми системами тремя различными нариями операционной системы как
этой группы. способами: кластерным ресурсом.
52
администрирование
Generic Service – позволяет управ- Приведу небольшой пример пост- адреса, чтобы впоследствии не воз-
лять службами Windows Server 2003 роения дерева зависимостей для ре- никло проблем с соединением.
как ресурсами кластера. сурса File Share. После успешной установки необ-
Очевидно, что этот ресурс зави- ходимо дать имена каждому из узлов
Важность планирования сит от Physical Disk, так как это ос- кластера. Для простоты назовем узлы
Для стабильной работы кластера не- новной ресурс, используемый всеми Node1 и Node2.
обходимо заранее спланировать, ка- узлами кластера. Далее для ресур- Далее на сервере Node 1 захо-
кие приложения будут выполняться, сов общего доступа важно сетевое дим в «Administrative Tools → Cluster
а также точно выбрать, без каких при- имя Network Name. Но в свою очередь Administrator». В окне «Open Connection
ложений вы можете обойтись и какие Network Name не может использовать- to Cluster» выбираем «Create new
приложения должны поддерживаться ся без IP Address. cluster». Запустится мастер создания
при любых обстоятельствах. Таким образом, получаем следу- нового кластера.
Вначале необходимо определить ющие зависимости: ресурс File Share В следующем окне необходимо
количество групп или виртуальных явно зависит от Physical Disk и Network указать имя домена, в котором на-
серверов. Name и неявно – от IP Address. ходятся узлы, а также имя кластера
Приложения и ресурсы, находящи- В случае, если вы забудете указать (см. рис. 1).
еся в одной группе, будут передавать- какую-либо зависимость, вы получите Далее в поле Computer Name ука-
ся по отключению все вместе одному сообщение об ошибке в процессе ус- зываем имя первого узла в кластере.
серверу. То есть вам необходимо оп- тановки ресурса. На следующем этапе мастер автома-
ределить, какие приложения зависят Завершая тему планирования, хо- тически анализирует конфигурацию
друг от друга, и им требуется совмес- чу напомнить, что каждый из узлов (см. рис. 2).
тная работа. кластера должен обладать достаточ- Если проверка по всем пунктам за-
Таким образом, перед началом раз- ной мощностью и не быть перегружен кончилась успешно, то в следующем
вертывания кластера вам необходи- дополнительными, некластеризован- окне вам необходимо указать IP-ад-
мо составить список всех приложе- ными приложениями, так как в случае, рес кластера.
ний в вашей среде, четко определить, если после переключения хозяином Затем требуется указать учетную
для каких из них допускается отказ, ресурса оказался менее мощный сер- запись, из под которой кластер будет
а для каких требуется переход по от- вер, это обязательно отразится на быс- запускаться. Это может быть сущес-
ключению. тродействии приложений, и, возможно, твующая или новая учетная запись.
Далее определите зависимость приведет к сбоям. Данному пользователю будут предо-
этих приложений и ресурсы, которые ставлены права локального админис-
им требуются для работы. Зависимые Установка тратора на всех узлах кластера.
приложения нужно объединить в од- Обсудив особенности реализации Наконец, переходим к последней
ну группу. Microsoft Cluster Service, приступим не- странице, в которой выводятся дан-
Обратите внимание на то, что ре- посредственно к развертыванию. ные для подтверждения. Здесь можно
сурс не может охватывать группы, по- Первым делом на каждый из узлов указать кворум-устройство, как пока-
этому если несколько приложений за- устанавливаем Windows Server 2003 зано на рис. 3.
висят от ресурса, они должны содер- Enterprise Edition. При нажатии «Next» запускается
жаться в одной группе или в одном Сам процесс установки стандарт- процесс установки кластера, внешне
виртуальном сервере, тогда будут ис- ный и описывать его в статье нет смыс- схожий с уже описанным анализом
пользоваться одни и те же политики ла. Единственное, о чем следует упо- конфигурации.
перехода по отключению и после вос- мянуть, – это IP-адресация. Необходи- После успешной установки долж-
становления. мо сразу выставить фиксированные но открыться окно администрирова-
54
администрирование
«Active Groups» для сервера, на ко- Третьим по списку мы должны со- так как полноценная аппаратная ре-
тором будет находиться ресурс типа здать ресурс типа IP Address. ализация требует определенных, за-
File Share, и выберите пункт «Group» По аналогии с предыдущим разде- частую немалых, финансовых затрат.
в меню «New». Появится окно мастера лом выбираем пункт «Resources» в на- А с помощью виртуального кластера
создания группы «New Group Wizard» шей группе, далее – «New». Указываем протестировать систему или подгото-
(см. рис. 7). тип ресурса – IP Address, затем – воз- виться к сертификационному экзаме-
Далее введите имя группы (File можные владельцы. ну можно без каких-либо дополнитель-
Share) и описание (User’s folders). В следующем окне, Dependencies, ных расходов.
В следующем окне необходимо должен появиться уже созданный на- К примеру, для того чтобы развер-
указать предпочтительных владельцев ми ресурс Physical Disk. Но выбирать нуть двухузловой кластер на основе
ресурса Preffered Owners. Здесь можно его не нужно, так как в данном случае VMware, мне достаточно было рабо-
указать несколько узлов в зависимос- никакой зависимости нет. чей станции с 1 Гб оперативной па-
ти от их предпочтительности. На следующей странице необхо- мяти. И никаких внешних SCSI-дис-
К примеру, вполне логично в нача- димо указать настройки для IP-адре- ков, шумных серверов и прочей ап-
ле списка указать наиболее мощные са. Затем нажимаем «Finish». паратуры.
и менее загруженные узлы кластера. Создадим ресурс типа Network Так что, если вас интересует реали-
В нашем случае необходимо вы- Name. Для этого необходимо еще раз зация кластеров на базе виртуальной
брать узел и нажать «Add», затем ана- проделать все те действия, которые машины VMware, то рекомендую обра-
логично добавить Node 2. После на- мы выполняли ранее для других ти- титься к статье [3].
жатия кнопки «Finish» группа будет пов ресурсов.
создана. Но в разделе Dependencies теперь Заключение
Но обратите внимание на то, что необходимо указать зависимость от Итак, мы развернули отказоустойчи-
сейчас она находится в автономном ресурса IP Address. вый двухузловой кластер и установили
состоянии, так как с ней не связаны Приступаем к завершающему эта- разделяемый ресурс File Share.
никакие активные ресурсы. пу в создании кластерного ресурса Однако одним из наиболее рас-
Теперь пришло время создать ре- File Share. пространенных применений службы
сурс типа Physical Disk. Для этого щел- Повторим все те же действия, но при Microsoft Cluster Services является ор-
кните правой кнопкой мыши на толь- указании зависимостей Dependencies ганизация кластеров почтовых серве-
ко что созданной группе и выберите необходимо выбрать все три элемен- ров MS Exchange.
пункт «Resource». та списка. В следующей статье я подробно
Заполните поля Name и Description Далее нажимаем «Next» и в окне рассмотрю процесс установки и на-
и выберите в раскрывающемся спис- File Share Parameters указываем имя стройки отказоустойчивой почтовой
ке «Resource Type» вариант «Physical разделяемого ресурса и путь. системы Microsoft Exchange.
Disk». В разделе Advanced можно ука-
На следующем шаге укажите воз- зать скрывать ли разделяемые ресур- 1. Рассел Ч. Microsoft Windows Server 2003.
можных владельцев ресурса Possible сы-поддиректории. Справочник администратора.
Owners. Тут нужно указать те машины, Разделяемый ресурс создан. 2. Бережной А. Строим сетевую инфра-
которые могут содержать этот ресурс Обратите внимание на то, что структуру на основе VMware Server.
(Node1, Node2). по умолчанию для ресурса File Share //Системный а дминистратор, №3,
Далее необходимо указать Depend- будут заданы полномочия Read Only. 2007 г. – С. 14-18.
encies (зависимости). Сейчас страница Изменить эту установку можно в окне 3. Статья о развертывании кластера
должна быть пустой, так как это пер- File Share Parameters. на VMware – http://www.rootpermissions.
вый ресурс в группе. Итак, мы получили отказоустой- net/Files/MS_Windows_2003_Cluster_
На следующем этапе указываем чивый ресурс в кластере и тем са- on_VMware_GFX_3.rar.
параметры диска (Disk Parameters). мым повысили доступность файло-
В раскрывшемся списке будут пред- вых ресурсов с помощью кластеров
ставлены все ресурсы типа Physical Microsoft.
Disk, которыми может управлять служ-
ба кластера. Кластеры в виртуальной
Следует обратить внимание на тот реальности
факт, что эта служба может управлять Последнее время все более широкое
только базовыми дисками, но не ди- распространение получают виртуаль-
намическими, и все используемые ные машины [2].
службой кластера разделы этого дис- Виртуальные машины помимо про-
ка должны быть отформатированы, чего чрезвычайно удобны при разра-
как NTFS. ботке и тестировании различных сис-
После указания диска нажмите тем, обучении и демонстрации.
на кнопку «Finish», чтобы создать этот Эти свойства особенно полезны
ресурс. при работе с кластерными системами,
Резервное копирование
и восстановление базы данных
Oracle средствами ОС
Сергей Косько
56
администрирование
О
дним из самых функциональных Возьмём в качестве исходной сле-
/ora/oracle/oradata/Redo-Ctrl/
средств резервного копирова- дующую информацию: replica1 – вторая копия управля-
ния от Oracle является утили- n В тестах будем использовать СУБД ющих и журнальных файлов;
та RMAN. Однако использовать столь Oracle версии 10.2. для ОС Solaris. /ora/oracle/oradata/log – файлы
сложную систему для резервного ко- n СУБД настроена на работу в режи- архивных журналов.
пирования зачастую избыточно (если ме АRCHIVELOG.
эксплуатируется одна-две базы дан- n Рассмотрим 2 сценария восстанов- Сделаем полную копию БД двумя
ных). Кроме того, RMAN, как правило, ления: полного и неполного. вышеуказанными способами:
использует отдельную базу в качест- n Будем исходить из того предпо- 1. Холодная копия (cм. листинг 1).
ве хранилища своей собственной ин- ложения, что мы восстанавлива- Это самый простой пример, он
формации. Чтобы избежать ситуации, ем данные на тот же самый сер- применяется редко. Мы рассмот-
когда данные, необходимые для вос- вер (или точную копию рабочего рим его в целях сравнения с более
становления базы, хранятся в этой сервера БД, на котором уже уста- сложными примерами.
же базе, для резервного копирования новлена ОС, ПО СУБД Oracle, все
собственно каталога RMAN необходи- необходимые исправления и со- $backuponl.sh ORCL /backup/hot
мо использовать другие средства. Раз- здана необходимая структура ка-
личные универсальные программы ре- талогов). 2. Горячая копия (см. листинг 2). Со-
зервного копирования, которые могут n Для наглядности создадим отде- здаёт практически аналогичный
работать с базами данных Oracle, тоже льные архивы для файлов данных, набор файлов данных, за исключе-
избыточны или небесплатны. Что же управляющих файлов, файлов ини- нием того, что копии активных жур-
выбрать? Самый простой и эконом- циализации и паролей. налов redo делать не нужно. Сохра-
ный способ – решить эту задачу с по- n Выполним полную копию базы дан- ним в архиве одну копию управля-
мощью обычных скриптов и стандарт- ных двумя способами: ющего файла и скрипт control.sql
ных системных утилит. с остановкой экземпляра (хо- для его пересоздания.
Основным критерием качества лодная копия);
методов восстановления данных яв- без остановки работы экземп- $backup.sh ORCL /backup/cold
ляется их адекватность, способность ляра (горячая копия).
восстановить необходимые данные n Расположение файлов базы дан-
при любом возможном сбое. Предла- ных имеет следующую структуру: Сценарии восстановления
гаю вам свой способ решения этой за- /ora /oracle/oradata /ORCL – Будем имитировать сбой носителя
дачи для СУБД Oracle. файлы данных; в некоторый момент времени после
Рассмотрим несколько примеров /ora/oracle/oradata/Redo-Ctrl/ выполненного резервного копирова-
резервного копирования-восстановле- replica0 – первая копия управ- ния, выполняя несколько принудитель-
ния без использования RMAN или дру- ляющих и журнальных фай- ных переключений активных журна-
гих утилит. лов; лов командой:
Это практически единственный случай, когда могут при- Проведём восстановление только файлов данных из го-
годиться копии активных (не путать с архивными) журна- рячей резервной копии (см. листинг 3):
лов базы данных. Во всех остальных случаях необходимо
восстановление БД, и устаревшие копии уже не содержат testcase$cd /backup/hot
testcase$tar xvf data.tar
актуальной информации. Гораздо важнее иметь полный testcase$recover.sh ORCL
(без пропусков) набор архивных журналов. На самом деле
в данном случае активные журналы тоже не обязательны. В зависимости от версии базы данных и операцион-
Часто при создании копии рабочей базы нет необхо- ной системы может понадобиться пересоздать временный
димости запускать базу именно с опцией NORESETLOGS. файл – это можно сделать, например, скриптом (см. лис-
Если есть холодная копия, но без копии журналов (файл тинг 4):
redo.tar), после восстановления файлов из архива нужно
сделать следующее: testcase$tmprecov.sh ORCL
58
администрирование
Сценарий 3. Восстановление файлов управления log_archive_format, выполнить неполное восстановление
Если мы потеряли часть наших управляющих файлов, но со- и открыть базу с опцией RESETLOGS (потери зафиксиро-
хранилась хотя бы одна копия из указанных в файле init.ora/ ванных транзакций при этом не произойдёт, но нумерация
spfile.ora, нужно скопировать эту копию во все указанные архивных журналов начнётся сначала).
местоположения (например, если пропали файлы в катало-
ге replica0, нужно скопировать их из каталога replica1). Ес- Сценарий 4. Восстановление БД при утере копии
ли пропали все копии управляющих файлов, и только они, добавленного файла
необходимо отредактировать файл control.sql (полученный После выполнения резервного копирования был добав-
при выполнении горячей копии БД, листинг 2) и выполнить лен один файл базы данных (см. листинг 5), и впоследс-
пересоздание управляющего файла. Если такого скрипта мы твии произошла поломка жесткого диска. А копии управля-
заранее не создали, тогда нам остаётся только воспользо- ющего файла и нового файла данных мы сделать не успе-
ваться сделанными ранее копиями управляющих файлов: ли. Если попытаться провести восстановление базы из су-
ществующих резервных копий, восстановление будет ид-
testcase$tar xvf control.tar ти только до момента создания нового файла, после чего
testcase$cp control01.ctl ↵
/ora/oracle/oradata/Redo-Ctrl/replica0/control01.ctl возникнет ошибка:
…
testcase$cp control01.ctl ↵ SQL> alter database recover automatic using backup ↵
/ora/oracle/oradata/Redo-Ctrl/replica1/control03.ctl controlfile;
testcase$sqlplus "/ as sysdba"
SQL>startup mount alter database recover automatic using backup controlfile
SQL> alter database backup controlfile to trace as ↵ *
'control.sql' ; ERROR at line 1:
SQL>shutdown ORA-00283: recovery session canceled due to errors
SQL>exit ORA-01244: unnamed datafile(s) added to control file by media recovery
Затем отредактировать и выполнить скрипт. Сущест- Я думаю, самым надёжным способом избежать подоб-
вует ещё один способ: скопировать текущий активный ной ситуации будет иметь достаточное количество реплик
журнал в местоположение log_archive_dest в формате файла управления и всегда делать резервную копию добав-
ляемых файлов. Если же такая ситуация произошла, можно
Листинг 3. Полное восстановление БД (файл recover.sh) воспользоваться последовательностью команд, представ-
ленной в листинге 6. Отмечу, что это не готовый скрипт,
#!/bin/sh
# а лишь примерная последовательность команд с коммен-
if [ $# -ne 1 ] тариями, поскольку невозможно заранее предугадать но-
then echo "script needs one parameter: \${ORACLE_SID}"
exit; мера и названия файлов данных.
fi
#
ORACLE_SID=${1};export ORACLE_SID Сценарий 5. Восстановление при потере активных
sqlplus "/ as sysdba" <<EOF журналов БД
startup mount;
alter database recover automatic ; Если потеряны не все группы REDO, а только какая-то од-
alter database open; на реплика REDO файлов БД, то остановки базы при этом
exit;
EOF не происходит. В этом случае журналы можно пересоздать
или при перезагрузке скопировать файлы из одного катало-
Листинг 4. Добавление к БД нового временного файла га в другой. Если же мы потеряли все файлы REDO (или хо-
(файл tmprecov.sh) тя бы как минимум активную группу), полное восстановле-
#!/bin/sh ние невозможно. Остаётся вариант неполного восстанов-
# ления и последующий запуск БД с опцией RESETLOGS.
if [ $# -ne 1 ]
then echo "script needs one parameter: \${ORACLE_SID}" В этом случае возможна потеря зафиксированных тран-
exit; закций, и произойдёт сброс последовательности архи-
fi
# вных журналов.
ORACLE_SID=${1};export ORACLE_SID Смоделируем ситуацию:
#
#Temporary files
templist=`sqlplus -s "/ as sysdba" <<EOF testcase$dbshut
set heading off testcase$cd /ora/oracle/oradata/Redo-Ctrl
set pagesize 0 testcase$find . –type f -name \*.log –exec rm –f {} \;
set linesize 300 testcase$sqlpplus "/ as sysdba"
set feed off SQL>startup mount
select file_name from dba_temp_files; SQL>recover database until cancel
exit;
EOF` ...
for i in ${templist} cancel
do
sqlplus "/ as sysdba" <<EOF SQL> alter database open resetlogs;
alter database tempfile '$i' drop INCLUDING DATAFILES; SQL>exit
ALTER TABLESPACE "TEMP" ADD TEMPFILE '$i' size 25M ↵
autoextend on;
exit; Из этого примера видно, как важно иметь хотя бы две
EOF реплики активных журналов базы данных (redo log). В слу-
done
чае их уничтожения – потеря информации (пусть иногда и
60
bugtraq
Мечты сбываются
чить школу экстерном как Майкл, прос-
то бы посмеялись. Это что значит –
«не желаю учиться в старших классах,
в жизни хватает важных дел»? Но толь-
ко не в Америке. В этой стране дело-
вой подход приветствуется, и неваж-
но, сколько тебе лет… У юного Делла,
правда, не вышло сразу обойти такую
глыбу, как государственное образо-
вание, но только потому, что родите-
ли были достаточно консервативными
людьми. Сами они учились как положе-
но – в школе, в вузе, получили уважа-
емые профессии ортодонта и брокера,
и представляли, что сын пойдет по сто-
пам отцам, тоже станет медиком. Од-
нако Майкл оказался не просто упря-
мым мальчиком, но и целеустремлен-
ным. Параллельно с учебой он стал го-
товить себя к взрослой жизни. Торго-
вал марками (заработал две тысячи
долларов), продавал подписку на го-
родскую газету Houston Post (зарабо-
тал 18 тысяч долларов). Но главным
событием его школьной жизни стало
знакомство с персональным компью-
тером. Майкл Делл был семиклассни-
ком, когда в своей школе в Хьюстоне,
штат Техас, он впервые попал к экрану
монитора, и, по его словам, «был весь-
ма восхищен тем, что мог дать новый
инструмент». В пятнадцать лет Делл
купил свой собственный комп фир-
мы IBM и «тут же разобрал его, пото-
му что хотел узнать, как он работает».
Итак, дело, о котором американец меч-
тал еще в раннем детстве, нашло свое-
Глава одноименной фирмы Майкл Делл не боится ставить го героя! Как и в случае со школой, ко-
нереальные задачи и планомерно воплощать их в жизнь. торая встала поперек славной биогра-
фии Делла, Майкл-пользователь ком-
В
сем известен сюжет преслову- он работает с людьми, чтобы осущест- пьютера, потребитель продукции ком-
той «американской мечты»: бед- вить это. Именно эта комбинация, я ду- пьютерной фирмы, а также клиент ди-
ный юноша просыпается бога- маю, делает его работу столь эффек- лера, который продал ему машину, за-
тым и знаменитым после энного ко- тивной». Если проследить жизненный метил несколько серьезных недостат-
личества перипетий, бедная и гордая путь Делла, окажется, что от мечтате- ков: «Первое – путь от производителя
девушка выходит замуж за принца… ля в нем ничего и нет. Потому что, начи- до потребителя очень долог, часто год
И так далее и тому подобное. Является ная мечтать о чем-то, он сразу вопло- и более. Второе – розничные компании
ли судьба миллиардера Майкла Делла, щает свою мечту в реальность. И сбо- неэффективны, продают компьютеры
владельца одноименной компании, но- ев за 42 года практически не было, с весьма солидной наценкой. Третье –
вой историей воплощения американс- а если и бывают неполадки, то скорее люди, продававшие компьютеры, за-
кой мечты? И да, и нет. В марте этого по вине коллег и сподвижников. В кон- частую почти ничего о них не знают,
года на вручении мистеру Деллу награ- це концов, нельзя объять необъятное, и, хуже того, не могут предоставить
ды с претенциозным названием «Пат- даже если ты слывешь с младых ног- поддержки и сервиса. Может, у кого-
риот цифровых технологий» его колле- тей вундеркиндом… то другой опыт, но это то, что я видел».
га по сфере IT, президент Google, Inc. Цитата современная, но юный Делл
Эрик Шмидт сказал: «Майкл одновре- 8 лет думал точно так же, иначе не стал бы
менно мечтатель и живой человек. Хочу заниматься делом разбирать сложную технику, куплен-
В роли мечтателя он перестраивает В любом другом обществе над малень- ную за свои кровные. Он просто знал,
промышленность. Как живой человек, ким мальчиком, который решил закон- что благодаря множеству умных спра-
62
человек номера
вочников можно легко вернуть все де-
тали на место. Сегодня, кстати, такой
номер не прошел бы. Майкл смеется:
«Сейчас, если вы снимете корпус одно-
го из компьютеров, которые мы произ-
водим, то увидите внутри большой чер-
ный чип с надписью «Пентиум», и 260
контактов, соединяющих его с кла-
виатурой, и у вас не будет ни малей-
шего понятия, как эта штука работа-
ет. И не думаю, что кто-то вам об этом
расскажет». Мечта о своем деле при-
обрела вполне реальные очертания –
исправить чужие ошибки и зарабо-
тать на этом.
19 лет Форд» модели «Т» сделал автомобиль доступным массам, Майкл Делл сделал то же
Хочу быть знаменитым с компьютерами
и богатым
Делл вспоминает: «В 1984 году, в кон- Пол Отеллини, президент Intel ните с цифрой 1991 финансового го-
це моего первого курса в университете Corporation: «Если бы Майкл не изоб- да – 546 миллионов), корреспондент
Техаса я основал нашу компанию. Идея рел свою первую модель, бизнес был популярного делового издания «Fast
была простой: продавать компьютеры бы намного меньше, персональные Company» Чарльз Фишман букваль-
непосредственно потребителям. И мне компьютеры – намного дороже и до- но прорвался на интервью со звез-
повезло, что я жил в Америке, где но- ступны гораздо меньшему количест- дой сферы IT.
вые идеи могут пробиться, даже если ву людей в мире. «Форд» модели «Т» Штаб-квартира компании Dell в Ра-
они исходят от 19-летнего юнца, поки- сделал автомобиль доступным массам, унд Роке была как непреступный фор-
нувшего колледж». Реверанс в сторо- Делл сделал то же с компьютерами». пост для «акул пера» с личными воп-
ну системы ценностей родной страны Мег Уитмэн, президент eBay Inc.: росами. Но журналист как-то сумел
вполне искренний: свобода предпри- «Компьютеры и Интернет стали потря- упросить уделить ему немного време-
нимательства позволила Майклу со- сением для нашего поколения. Это яв- ни, и узнал кое-что о семье и привыч-
здать фирму Dell Computer, выбиться ление столь же важное, как и промыш- ках Майкла.
в люди и очень скоро доказать родите- ленная революция на рубеже веков
лям, что он не зря покинул первый курс в смысле влияния на общество, обра- Опишите ваш рабочий день.
биологического факультета Техасского зование, здравоохранение, на все важ- Встаю в 5.45 или 6. Зарядка. Бег. Или
государственного университета. Через ные аспекты жизни общества. Компа- штанга. Или плавание. В 7.15-7.30 отво-
много лет корреспондент спросил Дел- ния Dell, сам Майкл были на переднем жу детей в школу и еду на работу.
ла: «Нет ли у вас чувства, что вы что-то крае этой революции. Сколько людей
упустили, бросив колледж? Например, вы знаете, у которых есть персональ- Вы готовите детям завтрак?
курс истории искусств?» – «Нет, не ис- ные компьютеры или ноутбуки компа- (Выглядит озадаченным.) Не совсем.
торию искусств! Я был в колледже це- нии Dell? Практически у всех». Они знают, что им делать. Один раз
лый год, так что успел получить многое Гэри Шапиро, президент CEA: «Он я испек им оладьи (смеется). Первая
из того, ради чего люди поступают в вуз. корпоративный лидер, деловой лидер, порция была не очень, зато вторая
Я полагаю, что, занимаясь тем, чем я за- лидер в области защиты окружающей уже лучше.
нимался, я научился гораздо большему, среды, но одновременно – жесткий В этом вся система Делла! Я всег-
чем если бы оставался студентом». конкурент. Он настоящий новатор». да учусь на своих ошибках.
В чем состоит революция, которую Знаменитым – стал, богатым – не- Приезжаю домой около 6.30 и про-
совершил техасский паренек Майкл сомненно. Он миллиардер и крупней- вожу время с семьей, ужинаю с детьми.
Делл, хорошо известно: он предло- ший держатель акций собственной Я с этим хорошо справляюсь.
жил своим клиентам, частным лицам компании. А ведь в такое сказочное бу- Немного работаю с электронной
и организациям, компьютеры на заказ, дущее не верили ни родители, ни пер- почтой, пока дети готовятся ко сну.
под нужды каждого конкретного поку- вые партнеры по бизнесу… Читаю им что-нибудь на ночь и укла-
пателя, он значительно снизил цены, дываю их. Когда они ложатся, возвра-
убрав из системы продаж посредников, 36 лет щаюсь к почте. Это прекрасное время
он организовал систему мгновенного Хочу красавицу-жену, детей, для работы. Тихо. И все остальные то-
сервиса. И теперь его партнеры дела- дом… же работают.
ют ему комплименты, сильно смахива- В 2001 году, в зените славы, ког-
ющие на фрагменты учебника «Успеш- да продажи компании Dell взлетели А чем в это время занимается ва-
ный бизнес, как его организовать». до 32 миллиардов долларов (срав- ша жена?
64
безопасность
Артем Баранов
За всю историю своей эволюции ядро NT постоянно развивалось. Ему прививались различные
технологии защиты. О внутреннем устройстве этих технологий известно немного. А между тем
они серьезно различаются как от версии к версии NT, так и на разных машинах. К тому же
они далеко не совершенны, что и подтверждается растущим числом атак на ядро.
66
безопасность
Я
дро операционной системы –
Thread execution Thread execution
это тот программный модуль
или набор модулей, который
предоставляет минимум базовых воз-
Win32 layer (kernel32, user32,
можностей операционной системы, Nt call Nt call gdi32, advapi32)
без которых она работать не может.
Также ядро ответственно за распре-
int 0x2e int 0x2e
деление ресурсов, что является од- sysenter sysenter Native layer (ntdll)
ной из важнейших функций операци-
онной системы. Поэтому если целос-
тность ядра нарушается, нарушается
работа всей системы. Соответствен-
Executive layer (ntoskrnl,
но ядру нужно предоставить какой-то Hal call
Win32k)
уровень защиты, чтобы драйверы, со-
держащие в себе «жучки», не смогли
бы повредить код или данные ядра опе-
HAL layer (hal)
рационной системы.
На Intel x386 NT может работать Рисунок 1. Обработка системного сервиса NT
в пользовательском режиме и режи-
ме ядра. Соответственно потоки са-
0xC0300000
мой ОС работают в привилегирован- Page Table 0, VPN: 0x0 – 0x3FF
PDE0 0xC0000000
ном режиме, а потоки приложений – 0xC0300004
Page Table 1, VPN: 0x400 – 0x7FF
в пользовательском режиме. Таким PDE1 0xC0001000
0xC0300008
образом, из четырех уровней защи- Page Table 2, VPN: 0x800 – 0xBFF
ты процессора NT пользуется толь- PDE2 0xC0002000
0xC030000C
ко двумя. В x386 режим работы про- Page Table 3, VPN: 0xC00 – 0xFFF
PDE3 0xC0003000
цессора характеризуется селектором
в регистре CS, а точнее, его первыми … …
0xC03007FC
двумя битами, которые и определяют
PDE511 0xC01FF000 Page Table 511, VPN: 0x7FC00 – 0x7FFFF
CPL кода. Пользовательские прило- 0xC0300800
жения для перехода в нулевое кольцо PDE512 0xC0200000 Page Table 512, VPN: 0x80000 – 0x803FF
используют либо инструкцию int 0x2e, 0xC0300804
Write-Protected System Code
Начиная с Windows 2000 код ядра может быть защищен
от записи. Соответствующие страницы кода Ntoskrnl до-
ступны только для чтения (бит Write в PTE обнулен). Но так
происходит не на всех системах. Защита может быть акти-
вирована только в системе с ОЗУ меньше 128 Мб памяти,
а для Windows XP ОЗУ меньше 256 Мб. В противном слу-
чае ядро для оптимизации TLB (буфер быстрого преобра-
Рисунок 3. Главное окно Driver Verifier зования адресов, который содержит скэшированные про-
екции виртуальных страниц на физические, а также статус
того, находятся ли они в физической памяти или нет), бу-
дет проецироваться 4 Мб-страницами. Точнее, для этого бу-
дет использоваться TLB, кэширующий проекции 4 Мб-стра-
ниц. В таком случае код и данные ядра окажутся на одном
фрейме страницы и ей уже не может быть присвоен атри-
бут Read‑Only. На уровне каталога страниц, это означает,
что он адресует не таблицу страниц, описывающую данный
4 Мб-диапазон, а самую большую страницу. В итоге код ре-
жима ядра может свободно модифицировать не только дан-
ные ядра, но и его код!
Недостаток такого метода защиты в том, что в режи-
ме ядра он может быть отключен. В управляющем регис-
тре x386 (cr0) существует бит WP (Write Protection), кото-
Рисунок 4. Окно выбора драйвера, подлежащего проверке рый управляет всей защитой на уровне страниц. По умол-
чанию этот бит установлен ядром в единицу, но установка
Несмотря на все старания разработчиков ядра NT, на се- этого бита в ноль полностью отключает защиту на уровне
годняшний день оно является крайне незащищенным. В не- страниц. Как следствие, процессор может писать данные
которых случаях (в системах с определенной конфигура- даже на фреймы страниц, в PTE которых бит W равен 0.
цией) код и данные ядра защищены еще меньше, чем код Код, отключающий Write‑Protected System Code, применя-
обычного приложения. ется в руткитах режима ядра при модификации ntoskrnl.
Как следствие, именно сейчас все более вредонос- Также он был представлен в книге Hoglund, Butler «Rootkits.
ные программы ориентируются на работу в режиме ядра. Subverting windows kernel».
Как только код начинает работать в режиме ядра, он обла- Для наглядного представления техники Write-Protected
дает такими же привилегиями (в том числе и аппаратными), System Code на рис. 2 изображены каталог и таблицы стра-
как и само ядро. Это и является самым опасным. ниц Windows XP SP2 с выключенной защитой.
Ниже рассматриваются механизмы, которые применя- Как видно из рис. 2, каталог, который адресует Ntoskrnl,
ли разработчики ядра для того, чтобы хоть как-то обезопа- адресует 4 Мб-страницу, на которую Ntoskrnl вмещает-
сить ядро от разрушения. ся целиком, поэтому невозможно отделить код от данных.
Нужно также понимать, что с выходами новых Service На уровне больших страниц атрибут защиты адресуется
Pack ситуация все равно не изменится. Это обусловлено самим PDE, так как он адресуется не к таблице, а к само-
тем, что в NT изначально не было интегрированной систе- му фрейму с данными.
мы защиты ядра. В результате погони за оптимизацией Microsoft пони-
зила степень защищенности ядра. Как следствие, код яд-
Как и что нужно защищать ра стал еще менее защищенным, чем код любого прило-
Защита структур данных ОС не может быть обеспечена жения.
только программно. Соответствующая поддержка должна
быть и со стороны процессора. ОС должна защищать свои Patch Guard
структуры данных и программный код ядра. Ядром NT яв- В Microsoft прекрасно понимали, что подобная незащищен-
ляется файл Ntoskrnl, который и содержит важнейшие для ность ядра пагубно сказывается на работе системы в це-
работы ядра структуры данных и его код. Собственно, та- лом. Нужен был механизм защиты, не зависящий от аппа-
кие структуры и должны быть защищены. В x386 с линей- ратуры и увязанный в системных компонентах ядра. Зави-
ной моделью памяти NT это может быть сделано на уров- симость от процессора также не самым лучшим образом
не страниц. Однако нужно понимать, что не все структу- сказывается на защите, так как код режима ядра ее может
ры данных могут быть защищены, а лишь данные образа. просто отключить, как это было с Write-Protected System
68
безопасность
Code. Но ввести программную защиту ядра значило нару-
шить совместимость с существующими драйверами, ко-
торые могли использовать на тот момент вполне «закон-
ную» модификацию ядра. При этом обычно подвергалась
модификации таблица диспетчеризации системных серви-
сов (System Service Descriptor Table, SSDT) – KiServiceTable
и таблица дескрипторов прерываний (IDT).
С выпуском 64-разрядных версий NT – Windows Server
2003 64-bit и Windows XP 64-bit ситуация изменилась.
Microsoft «наложила запрет» на модификацию структур
данных ядра, аргументируя это тем фактом, что код яд-
ра для 64-разрядных версий перекомпилировать, а отчас-
ти и переписывать все равно придется, поэтому разработ-
чики могут внести в драйверы изменения и не опираться Рисунок 5. Окно выбора настроек для проверяемого драйвера
на модификацию ядра. Новая защита получила название
Patch Guard. И представляет собой программную техноло-
гию защиты ядра от записи. Технология защищает следу-
ющие критические структуры:
n SSDT.
n Таблицу глобальных дескрипторов (GDT).
n IDT.
n Спроецированные образы ядра, включая ntoskrnl.exe,
ndis.sys, hal.dll.
n MSR-регистры, предназначенные для активации дис-
петчера системных сервисов по sysenter.
70
безопасность
если эта проверка активирована, то все ти. При включенном DEP для 32‑раз-
подкачиваемые данные ядра прину- рядной Windows XP последняя будет
дительно откачиваются на диск (вы- работать в PAE-режиме (т.е. параметр
водятся из системного рабочего набо- /PAE в boot.ini будет установлен). Соот-
ра), таким образом, если драйвер со- ветственно, будет использована PAE-
держит в себе неуправляемый указа- версия ядра и процессор также будет
тель, который при условиях, что отка- работать в PAE-режиме. В 64-разряд-
чиваемые страницы еще спроецирова- ной версии (с соответствующей подде-
ны на физические, в результате обра- ржкой со стороны процессора) DEP при-
щения к ним не вызовет нарушения до- меняется ко всем 64-разрядным про-
ступа, то с включенной проверкой сра- граммам и драйверам, а также к стра-
зу же произойдет крах системы с кодом, ницам стеков потоков. Однако в 32-раз-
указывающим на сбойный драйвер. рядной версии защита применяется
только к страницам с данными в поль-
DEP зовательском режиме (включая стеки
Не секрет, что самомодификация в потоков). При активации DEP в boot.ini
NT является простым делом. Доста- заносится параметр /NOEXECUTE. Та-
точно поменять атрибуты страницы ким образом, когда ntldr передаст уп-
на PAGE_WRITE, как код сразу же мож- равление ядру, последняя будет знать,
но править. Хотя в макросах, предна- что DEP включена.
Рисунок 8. Диалоговое окно, управляющее
значенных для защиты страниц, и пре- Защитой можно управлять и из са- некоторыми настройками DEP
дусмотрены специальные атрибуты ти- мой Windows. Для этого нужно перей-
па PAGE_EXECUTE, но все зависит от ти: «Пуск → Панель управления → Сис- ром, и следы его деятельности ни-
аппаратной платформы и тех атрибу- тема → Дополнительно → Параметры как не проверяются. Возможно даже,
тов защиты страниц, которые она пре- быстродействия → Предотвращение что сам руткит пройдется по PTE, ко-
доставляет. В x386 в PTE существует выполнения данных». При этом вы уви- торые адресуют фреймы страниц ко-
один бит, предназначенный для конт- дите окно как на рис. 8. да ntoskrnl, и установит у них бит Write,
роля вида доступа. Сброс или установ- Эти два параметра влияют на по- отключая таким образом защиту сис-
ка этого бита не влияет на то, будет вы- ведение DEP для 32‑разрядных про- темного кода от записи.
полняться код на странице или нет. грамм. Верхний параметр говорит Структуры данных, создающиеся
С Windows XP SP2 и Windows Server о том, что DEP будет применяться толь- и уничтожающиеся в пулах, вообще не-
2003 SP1 Microsoft стала продвигать ко к программам самой Windows. Ниж- льзя контролировать на запись, чтение,
технологию Data Execution Prevention ний параметр говорит о включении так как пул управляется не страницами,
(DEP), которая, разумеется, базируется DEP для всех 32‑разрядных программ, а из него возможно выделение данных
на аппаратной поддержке. Intel и AMD кроме тех, что добавлены в список. Об- произвольного размера. Хотя и здесь
ввели для своих процессоров новые би- ратитесь к документации по своему ядру можно привить некоторую интел-
ты защиты страниц. Для AMD функция процессору, чтобы определить, под- лектуальность. Если бы ядро изначаль-
называется no-execute page-protection держивает он DEP или нет. но было построено как защищенное
(NX), а для Intel – Execute Disable Bit Кроме редактирования DEP че- и контролировало бы доступ к своим
(XD). Попытка выполнить код на стра- рез Панель управления, вы также мо- структурам данных, то ничего не меша-
нице с таким атрибутом приведет к ге- жете вручную отредактировать файл ло бы системе выделять себе структу-
нерации исключения процессором. boot.ini, задав необходимые значения ры данных на отдельной странице пу-
NT также применяет эту защиту к сте- в форме /noexecute=value, где value ла и контролировать обращения к ней.
кам потоков, что блокирует действия может принимать значения указан- Контроль обращения в нерезидентном
многих червей и Shell-кода, которые по- ные в таблице. пуле можно организовать, специаль-
лучают управление через стек. но выводя из системного рабочего на-
DEP работает по-разному на раз- Заключение бора фреймы страниц со структурами.
ных машинах. Это зависит не толь- Ограничение существующих методов Затем, когда происходит #PF на стра-
ко от платформы, но и от версии NT очевидно в том, что, как только в ре- нице, то сравнить содержимое в стеке,
(32‑или 64-разрядная). При этом сле- жиме ядра запускается вредоносный сохраненного регистра EIP, на диапа-
дует учитывать некоторые особеннос- код, он также по сути становится яд- зон принадлежности ntoskrnl; если он
входит в диапазон, то само ядро обра-
Значение value в файле boot.ini щается к структурам данных.
Значение Описание Несмотря на все эти методы защи-
OptIn
Используется по умолчанию. Включает DEP для системных программ на компьютерах с аппаратной ты, здесь скорее нужен другой при-
поддержкой DEP
нципиальный подход. Например, за-
OptOut DEP включена для всех процессов, кроме тех, что указаны в списке (см. рис. 8) пуск только проверенного (подписан-
AlwaysOn DEP включена для всей системы (в том числе и для всех процессов) ного) кода режима ядра, как это сде-
AlwaysOff DEP отключена для всей системы, независимо от аппаратной поддержки лано в Vista.
72
bugtraq
Сергей Яремчук
Интернет не только средство обмена сообщениями и информации, но и источник многих
проблем. Среди них – вирусы, атаки хакеров, программы-шпионы, утечка информации,
использование ресурсов в личных целях. Первым барьером на пути стоят межсетевые экраны.
С
егодня существует большое Возможности m0n0wall Актуальной на момент написания
количество решений, как ап- Задачу, которую поставил перед со- статьи версия m0n0wall была 1.23. Ее
паратных, так и программных, бой автор m0n0wall Маньюэл Каспер размер составляет менее 6 Мб. И это
позволяющих превратить обычный (Manuel Kasper), кратко можно сфор- при том, что в его состав помимо необ-
ПК в межсетевой экран, работающих мулировать так – создание полноцен- ходимых для работы ядра и пользова-
под разными операционными систе- ного межсетевого экрана, по функци- тельских утилит включены: легкий веб-
мами, отличающимися стоимостью ональности не уступающего коммер- сервер, поддерживающий PHP, сер-
и лицензией. ческим решениям, легкого в настрой- вер DHCP, кэширующий DNS Dnsmasq
Крупные организации могут себе ке и простого в использовании, но при и для обновления DNS-таблиц ez-
позволить использовать такие продук- этом бесплатного. ipupdate, racoon (IPsec IKE), UCD-SNMP,
ты, как ISA 2006 Server. Но стоимость В качестве основы послужила BPALogin, MPD, сервер ISC и choparp.
последнего вместе с операционной FreeBSD. Поначалу m0n0wall пред- Обеспечиваются NAT/PAT, PPPoE, тун-
системой для средних и тем более не- ставлял собой простой веб-интер- нели IPsec VPN и PPTP, поддержка
больших компаний будет значительной фейс для фильтра пакетов, первая бе- беспроводных устройств, статичес-
расходной статьей в бюджете. та-версия которого появилась в 2003 кая маршрутизация, режим фильтру-
В этом случае на помощь могут году. Полноценный анонс состоял- ющего моста, обновление через веб-
прийти специализированные реше- ся в начале 2004 года после более 20 интерфейс и многое другое.
ния на базе свободных операционных предрелизов. Начиная с версии 1.1 появилась
систем. Они просты в настройке, не- Сейчас архитектура m0n0wall зна- возможность посылки сигнала с ад-
требовательны к системным ресурсам чительно переработана. Для большей министративного интерфейса «Wake
и в большинстве случаев бесплатны. гибкости интерфейса все системные on Lan» для включения клиентов, на-
В журнале уже шла речь о неко- настройки сохраняются в файле фор- стройка максимальной полосы пропус-
торых реализациях [1, 2, 3], проект мата XML, во время загрузки вместо кания для клиентских машин «Magic
m0n0wall [4] предлагает решение, с ко- привычных сценариев оболочки ис- Shaper» поддержка 802.1Q VLAN.
торым стоит познакомиться. пользуется PHP. Для работы m0n0wall можно ис-
74
безопасность
пользовать Flash-карту, жесткий диск
или привод компакт-дисков. В пос-
леднем случае все настройки авто-
матически сохраняются на вставлен-
ной дискете, и при перезагрузке кон-
фигурация восстанавливается. Кро-
ме стандартной x86 PC-платформы,
m0n0wall поддерживает встроенные
системы: net45xx/net48xx от Soekris
Engineering (www.soekris.com) и WRAP
(Wireless Router Application Platform)
от PC Engines (www.pcengines.ch). Пос-
ледние две платформы весьма ин-
тересны, занимают мало места, ма-
лошумны, экономичны и надежны,
так как большинство из них не имеет
жесткого диска (движущихся частей).
Распространяется m0n0wall под собс-
твенной лицензией, разрешающей ис-
пользование и модификацию исходно- Рисунок 1. Статус работы m0n0wall
го текста, без какого-либо ограниче-
ния, но при условии, что будет остав- навливать образ. Под Linux вводим та- Проблема здесь одна, часто весь-
лено авторское соглашение. кую команду: ма проблематично определить, какой
из интерфейсов m0n0wall посчитал
Записываем образ # gunzip -c generic-pc-1.23.img | ↵
dd of=/dev/hdb bs=16k
за LAN. Особенно если на компьюте-
Минимальные требования m0n0wall – ре установлено несколько однотипных
это компьютер с процессором i486-100, Аналогично устанавливаются об- сетевых карт, отличающихся только
ОЗУ 64 Мб, 2 и более сетевых карты, разы для Soekris и WRAP. В случае сетевыми адресами. Загрузка проис-
поддерживаемые FreeBSD 4.11, жес- с CD‑ROM просто записываем образ ходит очень быстро (около 40 секунд),
ткий диск или карта Flash с IDE-ин- и загружаемся. за выводимой информацией уследить
терфейсом размером не менее 8 Мб. трудно. В этом случае можно подобрать
Если BIOS поддерживает загрузку Установки из консоли имя сетевой карты экспериментально.
с CD‑ROM, то можно выбрать и этот ва- Теоретически к системному блоку мож- Обычно номера картам присваивают-
риант. Сравнив системные требования но не подключаться вообще, а зай- ся, начиная от процессора, хотя мне
с подобными дистрибутивами, можно ти сразу удаленно через webGUI, от- встречался вариант, когда m0n0wall
увидеть, что m0n0wall очень требова- куда и произвести все необходимые поступил с точностью наоборот. Пос-
телен к объему ОЗУ. Объясняется это действия. Установки по умолчанию ле загрузки в консоли будет выведе-
просто: m0n0wall ориентирован на ра- весьма рациональны, и m0n0wall вы- но следующее меню:
боту с Flash, которые критичны к коли- полняет основную свою задачу из ко-
LAN IP address: 192.168.1.1
честву циклов записи/перезаписи. По- робки, без какого либо дополнитель-
этому обращение к носителю сокраще- ного вмешательства. Так LAN‑интер- Port configuration:
но до минимума. После загрузки образ фейс будет использовать IP‑адрес LAN -> sis0
помещается в ОЗУ, обращение к носи- 192.168.1.1/24, на нем будет запуще- WAN -> sis1
телю идет только во время сохранения на служба DHCP, раздающая адре-
m0n0wall console setup
конфигурации и обновления системы са в диапазоне 192.168.1.100–199. Ис- **********************
или программного обеспечения, вхо- пользуется перенаправление DNS-за- 1) Interfaces: assign network ports
2) Set up LAN IP address
дящего в его состав. просов (адреса DNS-серверов берутся 3) Reset webGUI password
При загрузке дистрибутива сле- при DHCP‑подключении WAN), поэто- 4) Reset to factory defaults
дует выбрать образ под используе- му внутренние системы могут исполь- 5) Reboot system
6) Ping system
мую систему или вариант использо- зовать m0n0wall в качестве DNS-сер-
вания. В случае с ПК это generic-pc вера. Интерфейс WAN получает адрес Очевидно, m0n0wall ориентиро-
(жесткий диск, Flash) или CD‑ROM. по DHCP. Внешний трафик блокирует- ван больше на встроенные устройс-
В первом случае для переноса обра- ся, весь поступающий из LAN, наобо- тва, поэтому иногда выплывают име-
за на диск при работе в Windows ис- рот, разрешен. Для внутренней сети на вроде sis. Для указания того, какие
пользуем утилиту physdiskwrite.exe, включен NAT. Доступ к webGUI разре- карты, какому интерфейсу принадле-
которая доступна на сайте. Для чего шен только из LAN. Часовой пояс уста- жат, выбирается первый пункт. После
в командной строке необходимо ввес- новлен в Etc/UTC, периодически произ- ввода 1 будет выведена информация
ти «physdiskwrite generic-pc-1.23.img» водится синхронизация времени с сер- об интерфейсах, один из которых бу-
и затем указать, на какой диск уста- вером pool.ntp.org. дет активирован.
76
безопасность
пользовать псевдонимы (aliases), кото-
рые можно использовать для назначе-
ния понятных имен IP-адресам и под-
сетям и затем использовать в прави-
лах межсетевого экрана и других на-
стройках m0n0wall. Настроить псев-
донимы просто: заходим в «Firewall →
Aliases», нажимаем кнопку «+» и вво-
дим имя (псевдоним), тип псевдонима
(узел или сеть), вводим адрес и в поле
Description краткое описание. Теперь
в случае изменения сетевых настроек,
например IP-адреса, достаточно ука-
зать эти изменения в Alias, после чего
правила брандмауэра будут работать,
как обычно. Очень удобно.
Ограничение полосы пропускания
устанавливается во вкладке «Firewall →
Traffic shaper». Для начала следует ука-
зать максимальную полосу на вне- Рисунок 3. Правила брандмауэра
шнем интерфейсе для входящего и ис-
ходящего трафика. Для этого перехо- са. Сначала заходим в Pipes, нажима- TOS, флаги ТСР и другие параметры
дим в вкладку «Magic shaper wizard» ем «+» и создаем новое правило. Вво- (большинство которых не являются
и указываем необходимые значения дим в Bandwidth значение максималь- обязательными). Обратите внимание
в «Downstream speed» и «Upstream ной полосы, параметры Delay и Packet на наличие флажка «not» в некоторых
speed». Чтобы трафик распределял- loss rate в большинстве случаев стоит позициях. С его помощью можно со-
ся равномерно между всеми подклю- установить в 0, а поле Queue size оста- здавать исключения, например, огра-
ченными компьютерами, устанавлива- вить пустым. Поле Mask устанавлива- ничив канал для всех, кроме шефа, ус-
ем флажок в «Share bandwidth evenly ем в source или destination (входящий тановив IP-адрес его компьютера в по-
on LAN». А чтобы понизить приоритет или исходящий). Нажимаем «Save», ле Source и активировав not.
для пользователей P2P-сетей, включа- в Pipes появится новое правило. Те- Для разрешения просмотра статис-
ем «Set P2P traffic to lowest priority». На- перь в Rules, в котором необходимо тики и изменения некоторых парамет-
жимаем кнопку «Install/Update». После привязать созданное правило к источ- ров самими пользователями в «User
внесения изменений в трех остальных нику. Нажимаем «+» и попадаем в ок- manager», можно создать группы
вкладках (Rules, Pipes и Queues) поя- но «Edit Rule». Выбираем в раскрываю- и включить в них пользователей. Ана-
вились правила. Они действительны щемся списке Target созданное в Pipes логично производятся и остальные на-
для всех пользователей. Теперь созда- правило, затем указываем интерфейс, стройки. Как видите, это несложно.
дим правило для конкретного IP-адре- протокол, источник, порт, направление, Дистрибутив m0n0wall представля-
ет собой мощный и удобный в исполь-
зовании продукт, позволяющий ор-
ганизовать совместный доступ в Ин-
тернет пользователям нескольких се-
тей и защитить их от нападения из-
вне. Настроить его сможет любой ад-
министратор, понимающий конечную
цель и необязательно разбирающий-
ся в особенностях UNIX-систем.
Андрей Погребенник
Что общего у Microsoft Exchange 2007, Asterisk и Google Talk? А общим здесь является
использование протокола SIP, который обещает единое решение задач как реализации
мультимедийных функций в веб-приложениях, так и переноса сигнального трафика в сетях
операторов связи.
78
IP-телефония
В
одном из писем своим компа-
ньонам Александер Грэм Белл История разработки SIP или иначе касается SIP. Так, рабочая груп-
впервые в истории и при этом Проект, который со временем стал стан- па SIPPING (SIP Investigation) была сфор-
весьма подробно изложил план соз- дартом SIP, был начат в 1996 году Хенин- мирована для исследования новых облас-
дания в большом городе телефонной гом Шулзри (Колумбийский университет) тей применения SIP, выработки требова-
сети, базирующейся на центральном и Марком Хэндли (UCL), участниками рабо- ний к расширениям SIP и документов ре-
коммутаторе. В письме он настаивал чей группы MMUSIC (Multi-Party Multimedia комендательного характера касательно
на том, что в целях рекламы было бы Session Control) ассоциации IETF. Черновик применения SIP в приложениях. Рабочая
желательно бесплатно установить те- IETF, описывающий SIP версии 1.0, увидел группа SIMPLE (SIP for Instant Messaging
лефонные аппараты в центральных свет в 1997 году. В следующем году был из- and Presence Leveraging Extensions) была
магазинах города. Это письмо стало дан уже черновик версии 2.0. Статус пред- сформирована для стандартизации расши-
первоисточником привычной теле- ложенного стандарта SIP получил в марте рений SIP для обмена мгновенными сооб-
фонной лексики, в том числе фразы 1999 года, а в апреле того же года был опуб- щениями и информацией о статусе состо-
«алло, центральная», которая умер- ликован RFC первой предложенной версии яния абонента.
ла лишь при появлении автоматичес- стандарта – RFC 2543. В сентябре 1999 го- Другие рабочие группы по SIP – ENUM
ких телефонных станций. В течение да была образована SIP Working Group, ра- (работающая над интеграцией SIP‑адре-
более чем 100 лет все значимые из- ботающая с тех пор над самим протоколом сации и принятых в ТфОП номерных пла-
менения, происходившие с телефон- и его расширениями. В июле 2000 года был нов), SIGTRAN (Signaling Transport, пере-
ной станцией, касались именно теле- опубликован RFC 2543 «bis», содержащий нос сигнализации SS7 поверх IP) и AVT
фонной станции. И лишь в эпоху Ин- множественные поправки и улучшения (Audio/Video Transport (RTP), отвечающая
тернета стало возможным говорить к оригинальной спецификации. Этот доку- за поддержку и расширение протокола
о действительно новом направлении мент лёг в основу RFC 3261 (2002 года), яв- RTP). MMUSIC же ответственна за SDP
коммуникаций. ляющегося и на сегодняшний день основ- (Session Description Protocol), SAP (Session
Путь будущего развития комму- ным SIP RFC. Заметьте, что номер версии Announcement Protocol), RTSP (Real Time
никаций лежит через разделение ло- всё ещё равен 2.0. Streaming Protocol) и исследование воз-
гики работы сетей и предоставления Постепенно были образованы и другие можностей применения SIP для мультиме-
услуг. Новые услуги будут предостав- рабочие группы IETF, работа которых так диа-конференций.
ляться опорной сетью, т.е. независимо
от сети доступа. Таким образом, в лю- Protocol/Multiprotocol Label Switching), ции; его задачи аналогичны тем, кото-
бом месте, при использовании любо- подключения корпоративных клиен- рые выполняет протокол общеканаль-
го метода доступа к сети и с любого тов, управления вызовами и обслу- ной сигнализации №7 (ОКС7 или SS7)
оконечного устройства пользователь живания клиентских устройств – и всё в обычной телефонии, а протоколы
может обращаться к одним и тем же это, как правило, с меньшими затрата- H.323 и MGCP (Media Gateway Control
услугам. В опорных сетях уже сейчас ми в сравнении с сетями TDM. Protocol) – в IP‑телефонии. Основны-
происходит переход от сетей с комму- Происходящие в последние годы ми функциями SIP являются:
тацией каналов и мультиплексирова- изменения на мировом рынке услуг n Определение местонахождения
нием с разделением по времени (Time- телефонной связи сравнимы по сво- адресата.
division Multiplexing, TDM), на которых ей значимости с переходом телефо- n Определение готовности адреса-
реализована вся традиционная теле- нии на автоматическую коммутацию. та установить контакт.
фония, к пакетным сетям. Дополня- Эти изменения не в последнюю оче- n Обмен данными о функциональ-
ет картину Fixed Mobile Convergence – редь связаны с появлением так назы- ных возможностях участников се-
идея интеграции функционала мо- ваемых услуг SIP-телефонии, активно анса.
бильных и фиксированных сетей. обсуждаемых в телекоммуникацион- n Изменение параметров медиапо-
Операторы готовят инфраструк- ном сообществе. Протокол SIP был тока уже установленного сеанса.
туру к предоставлению услуг следу- стандартизирован в апреле 1999 го- n Управление сеансом связи.
ющего поколения путем применения да, а актуальная спецификация (вер-
программных коммутаторов, отлича- сия 2.0 протокола SIP) датирована Непосредственным носителем
ющихся большой гибкостью. Програм- 2002 годом. голосовых или видеоданных являет-
мные коммутаторы реализуют функ- ся протокол RTP (Real-time Transport
ции сопряжения с телефонной сетью Назначение SIP Protocol), SIP-сообщение же выпол-
общего пользования (ТфОП), обеспе- Session Initiation Protocol (SIP) – это няет роль контейнера для сообще-
чивают централизованный биллинг, клиент-серверный протокол приклад- ний протокола описания сеансов свя-
управление и интеллектуальную ди- ного уровня, предназначенный для ус- зи SDP (Session Description Protocol).
намическую маршрутизацию звон- тановления, изменения и окончания Сообщение SDP описывает медиа-
ков. Их применение означает для опе- сеансов связи с одним или несколь- данные в рамках сессии: тип меди-
раторов фиксированной и мобильной кими участниками для обмена интер- аданных, транспортный протокол,
связи возможность предоставления активным трафиком: голосом, видео, формат данных и пр. RTP и SDP бу-
услуг транзита голосового трафика мгновенными сообщениями. SIP отно- дут рассмотрены в следующей ста-
через опорную сеть IP/MPLS (Internet сится к классу протоколов сигнализа- тье цикла, сейчас же сделаем акцент
80
IP-телефония
INVITE sip:bob@bigisp.com SIP/2.0 Таблица 3. Методы SIP
Via: SIP/2.0/UDP pc33.example.com;branch=z9hG4bK776asdhds Метод Описание Спецификация
Max-Forwards: 70
To: Bob <sip:bob@bigisp.com> INVITE
Абонент или услуга приглашаются для
RFC 3261
From: Alice <sip:alice@example.com>;tag=1928301774 установления связи
Call-ID: a84b4c76e66710@pc33.example.com Подтверждение получения финального ответа
CSeq: 101 INVITE ACK
на INVITE
RFC 3261
Contact: sip:alice@pc33.example.com
Content-Type: application/sdp OPTIONS
Запрос информации о функциональных
RFC 3261
Content-Length: 142 возможностях терминала адресата
BYE Запрос завершения сеанса RFC 3261
v=0
o=alice 2890844526 2890844526 IN IP4 example.com CANCEL Отмена вызова в стадии установления RFC 3261
c=IN IP4 10.1.3.33 Запрос регистрации пользовательского агента
t=0 0 REGISTER RFC 3261
на сервере регистрации
m=audio 49172 RTP/AVP 0
a=rtpmap:0 PCMU/8000 Запрос, предназначенный для обмена
INFO сигнальной информацией в процессе RFC 2976
установления и поддержания соединения
Теперь детально рассмотрим каждую строку запроса. Переносит мгновенное сообщение в теле
MESSAGE RFC 3428
Первая, или стартовая, строка запроса имеет следу- запроса
<Номер версии SIP> <Код статуса> <Текст причины> Уровни протокола SIP.
Понятия транзакции и диалога
Код статуса – это 3-значное число, первая цифра кото- SIP представляет собой многоуровневый протокол, но не
рого указывает на класс ответа, а остальные две – иденти- каждый элемент, работающий по протоколу SIP, содер-
фицируют конкретный ответ в каждом классе. Устройство жит все уровни, а сами элементы, работающие в сети
может не знать, что означает код ответа, но должно обя- SIP, являются скорее логическими, нежели физическими.
зательно знать класс ответа. Всего существует 6 классов На рис. 1 показаны уровни протокола SIP; он также пос-
ответов (таблица 5). Информационные ответы сообщают лужит нам иллюстрацией того, из каких логических ком-
о стадии выполнения запроса, они не являются заверше- понентов состоит каждый элемент сети SIP. Самый ниж-
нием транзакции. Остальные же классы ответов завер- ний уровень отвечает за синтаксис и кодирование сооб-
шают транзакцию. щений. Вторым уровнем протокола является транспорт-
ный уровень – он определяет, как клиент передаёт запро-
Адресация в SIP сы и получает ответы от сервера и как сервер получает
Для идентификации абонентов и ресурсов в протоколе запросы и передаёт ответы клиенту; эти функции свойс-
SIP используются SIP URI-идентификаторы, описанные твенны всем элементам сети, следовательно, все они со-
в RCF 2396. SIP URI состоит из двух частей: первая часть – держат транспортный уровень.
82
IP-телефония
Следующий уровень – это уровень Via совпадают с соответствующими
транзакций. О SIP говорят как о тран-полями запроса, образовавшего тран-
закционном протоколе. Транзакцией закцию. В случае проверки соответс-
называют совокупность соообщений, твия запроса ACK серверной тран-
состоящую из запроса, отправленно- закции, Request-URI, теги заголовков
го клиентом серверу, и всех ответов From и To, заголовки Call-ID, Cseq и Via
сервера на этот запрос (см. рис. 2). запроса ACK сравниваются с таковы-
Уровень транзакций содержит кли- ми в изначальном INVITE, а To-тег – с
ентскую часть, называемую клиент- тегом первого ответа серверной тран-
ской транзакцией, и серверную часть, закции на INVITE. Аналогично выпол-
называемую серверной транзакцией. няется проверка соответствия ответа Рисунок 3. Работа сервера регистрации
Уровень транзакций предпринимает клиентской транзакции.
повторную передачу сообщений, оп- Наконец, диалог – это равноправ- вающего абонента и недвусмыс-
ределяет соответствие ответов за- ное взаимодействие двух элементов ленно идентифицирует диалог
просу и уведомляет верхний уровень сети SIP в виде последовательности на уровне данного пользователь-
протокола о срабатывании таймеров. SIP-сообщений между ними. Диалог ского агента.
И на самом верху находится уровень всегда инициируется пользователь- n Тег заголовка From генерируется
пользователя транзакций (Transaction ским агентом, но другие элементы се- пользовательским агентом вызы-
User, TU), который управляет созда- ти также в нём участвуют. Сообщения ваемого абонента и также иденти-
нием транзакций. Все элементы сети в рамках одного диалога отличают- фицирует диалог на уровне данно-
SIP, за исключением прокси-сервера ся одинаковыми Call-ID и тегами за- го пользовательского агента.
без хранения состояния, обязательно головков From и To, а порядковый но-
содержат уровни транзакций и поль- мер в поле CSeq монотонно возраста- Компоненты SIP.
зователя транзакций. ет. Фактически CSeq идентифицирует Пользовательские
Правила проверки соответствия транзакцию в рамках диалога, а диа- агенты (User Agent – UA)
запроса серверной транзакции тако- лог является последовательностью Этим термином называют конечное
вы: сервер анализирует верхний за- транзакций, из которых только одна устройство сети SIP или приложение,
головок Via на предмет наличия па- может быть активна в каждый момент способное установить сеанс, управ-
раметра branch. Если он присутству- времени. Однако, кроме диалогообра- лять им и разорвать его, а также про-
ет и в начале его значения стоит на- зующих запросов, существуют и за- изводить обмен медиаданными с дру-
бор символов «z9hG4bK», как в рас- просы, не образующие диалогов. гими пользовательскими агентами.
смотренном выше примере: Здесь также уместно разъяснить Поскольку SIP – это одновременно
значение заголовка Call-ID и From- и и протокол типа «точка-точка», и кли-
Via: SIP/2.0/UDP pc33.example.com;
To-тегов: ент-серверный протокол, конечная
branch=z9hG4bK776asdhds,
n Call-ID – это некая уникальная точка SIP должна быть способна от-
следовательно запрос был сгенери- строка, идентифицирующая вы- вечать на запросы сессии SIP и ини-
рован клиентом, поддерживающим зов. Call-ID, как правило, не меня- циировать их. Следовательно, конеч-
RFC 3261 в полной мере, и параметр ется на протяжении всех диалогов, ная точка должна содержать два SIP-
branch уникален в каждой транзак- составляющих один вызов. стека одновременно:
ции данного клиента. Запрос прина- n Тег заголовка From генерируется n User Agent Client (UAC) – инициа-
длежит транзакции в том случае, если пользовательским агентом вызы- тор запросов.
значение параметра branch запроса
совпадает с таковым из запроса, об-
разовавшего транзакцию, а имя мето-
да из поля заголовка CSeq совпадает
с таковым из запроса, образовавше-
го транзакцию.
Если же параметр branch отсутс-
твует, как показано ниже:
Via: SIP/2.0/UDP pc33.example.com,
n User Agent Server (UAS) – иници- та SIP-запроса. Данный URI запроса ный номера CSeq, Call-ID, маршрут-
атор ответов на запросы. UAS мо- всегда определяет хост, но не всегда – ные заголовки и характеристики ме-
жет взаимодействовать с пользо- порт и протокол. Если хост через ад- диапотоков.
вателем, поэтому вместе с запро- рес IP указан явным образом, UAC пы- Шлюзы, выполняющие преобразо-
сом SIP пользователь иногда в той тается связаться с UAS по этому ад- вание H.323 в SIP, ISDN в SIP или SS7
или иной форме получает уведом- ресу. Если URI запроса специфици- в SIP, с точки зрения SIP функциональ-
ление от UAS. рует полностью определенное домен- но ничем не отличаются от пользова-
ное имя Fully Qualified Domain Name тельских агентов (ведь другие элемен-
Для UA существует также другое (FQDN), UAC опрашивает службы ты сети SIP не «знают», действует ли
название – SIP-клиент. DNS для разрешения имен, используя UA, руководствуясь командами поль-
Сообщение SIP – это или запрос для этого ADDRESS, CNAME или дру- зователя или сообщениями/события-
от UAC к UAS, или ответ UAS компо- гие данные в ресурсной записи. Если ми других протоколов).
ненту UAC. В оригинальной специфи- URI запроса содержит номер порта,
кации SIP описано шесть возможных UAC пытается установить соединение Серверы регистрации
типов запросов (или методов), кото- с UAS, используя данный номер; если Архитектура SIP поддерживает пер-
рые может выдать UAC: INVITE, ACK, же URI запроса не указывает номер сональную мобильность пользовате-
OPTIONS, BYE, CANCEL и REGISTER. порта, UAC по умолчанию использует лей. Пользователи могут перемещать-
Расширения SIP, описанные в RFC, оп- в качестве порта назначения 5060. Ес- ся без ограничений в пределах сети,
ределяют дополнительные методы – ли URI запроса указывает транспорт- поэтому услуги связи должны предо-
такие, как MESSAGE, INFO и NOTIFY. ный протокол (TCP или UDP), UAC ис- ставляться им в любом месте этой се-
Когда UAC инициирует SIP-сессию, пользует его. В противном случае UAC ти. Пользователю присваивается уни-
он определяет протокол, порт и IP-ад- предпринимает попытку связи по UDP, кальный идентификатор, а сеть предо-
рес UAS, которому посылается запрос. а в случае ошибки UAC пытается за- ставляет ему услуги связи вне зависи-
При отсутствии любой информации действовать TCP. мости от того, где он находится. Поль-
о локально настроенном прокси-сер- Каждый UA должен хранить со- зователь косвенно информирует прок-
вере, UAC использует данные в URI стояние диалога, а именно: помнить си-сервер или сервер переадресации,
запроса для определения маршру- теги From и To, локальный и удалён- по какому адресу следует обращаться
84
IP-телефония
для установления сеанса связи. Обработкой этой инфор- конкретной сети, но мы рассмотрим некий усреднённый
мации и занимается сервер регистрации: получая от поль- пример. Итак,
зовательского агента запрос REGISTER, он создаёт вре- n Запросы к абонентам, принадлежащим к тому же ад-
менную связку из присвоенного пользователю SIP URI (на- министративному домену, что и прокси-сервер, марш-
зываемого также Address of Record – AOR) и URI заголов- рутизируются на основе:
ка Contact, который указывает на адрес, куда следует на- базы данных сервера регистрации;
правлять запросы (см. рис. 3). База данных с информацией статистически заданных маршрутов (например, для
о местоположении пользователей доступна для всех сер- вызовов по номеру 911).
веров в рамках данного административного домена (для n Запросы к абонентам, принадлежащим к другому доме-
прокси-серверов и серверов перенаправления), что делает ну, маршрутизируются исходя из результатов DNS-за-
возможной маршрутизацию входящих вызовов. Сам запрос проса ресурсной записи SRV (указывающей на распо-
REGISTER может использоваться для получения списка те- ложение службы).
кущих привязок, удаления всех привязок или добавления n Запросы, адресованные по некоторым предопределён-
новой. Отклик 200 OK на запрос REGISTER содержит заго- ным номерам, маршрутизируются к специализирован-
ловок Expires, указывающий, через сколько секунд нужно ным серверам приложений (например, *98 для доступа
обновлять регистрацию, а также один или несколько заго- к серверу голосовой почты).
ловков Contact со всеми текущими привязками. n Запросы, адресованные на номер в формате E.164, мар-
шрутизируются, основываясь на:
Сервер переадресации Заранее заданных таблицах маршрутизации;
Сервер переадресации возвращает пользовательскому Динамически получаемых (например, от биллинго-
агенту новый адрес для прямой маршрутизации вызова вой системы) маршрутов;
по этому адресу, иными словами – производит перенаправ- ENUM (см. врезку «ENUM» на стр. 84).
ление вызывающей стороны к другому серверу (см. рис. 4).
Сервер переадресации отвечает на запрос, но никогда не Запись типа SRV предоставляет механизм для полу-
пересылает запрос дальше и не хранит состояние. Впрочем, чения списка хостов, предоставляющих некоторую служ-
нельзя сказать, что он применяется часто: каждый оператор бу посредством разных транспортных протоколов, с упо-
предпочитает полностью контролировать сеанс связи. рядочиванием по предпочтению. Для примера, пусть кли-
ент пытается разрешить URI sip:user@example.com. Клиент
Прокси-серверы производит DNS-запрос и выбирает ресурсные записи ти-
Наличие прокси-сервера является обязательным атрибу- па NAPTR для данного домена:
том каждой корпоративной или операторской сети. Прок-
;;;; Записи NAPTR для различных услуг SIP сети
си-сервер действует как посредник, который обслуживает ; order pref flags service regexp replacement
запросы пользовательских агентов и пересылает их даль- IN NAPTR 50 50 "s" "SIPS+D2T" "" _sips._tcp.example.com.
IN NAPTR 90 50 "s" "SIP+D2T" "" _sip._tcp.example.com.
ше, выполняя маршрутизацию сообщений. Прокси-серве- IN NAPTR 100 50 "s" "SIP+D2U" "" _sip._udp.example.com.
ры играют ключевую роль в сетях SIP, поскольку связыва-
ют вместе пользовательские агенты и другие элементы SIP- В примере видно, что сервер поддерживает TCP, UDP
сети в одном или множественных доменах, реализуя логи- и TCP через ТLS. Затем, обрабатывая записи SRV, кли-
ку маршрутизации. Прокси-сервер не генерирует запросы ент определяет сервер назначения (или список серверов)
самостоятельно (за исключением CANCEL), а лишь отве- для предпочитаемого им типа транспортного протокола:
чает или пересылает запросы, полученные от UAC. Также
;;;; Записи SRV для каждой SIP услуги
он выполняет интерпретацию, удаление, добавление или ;; Служба.протокол.имя Приоритет Вес Порт Цель
модификацию заголовков, касающихся прямых функций _sips._tcp.example.com SRV 10 1 5061 proxy1.example.com.
SRV 20 1 5061 proxy2.example.com.
прокси-сервера (таких, как Record-Route или Via), но ни- _sip._tcp. example.com SRV 10 1 5060 proxy1.example.com.
чего не «знает» о SDP-части. А основные функции прокси- SRV 20 1 5060 proxy2.example.com.
_sip._udp.example.com SRV 10 1 5060 proxy1.example.com.
сервера следующие: SRV 20 1 5060 proxy2.example.com.
n Маршрутизация – определение получателя вызова, по-
иск маршрута для отправки сообщения и собственно от- Дальнейшее разрешение имён производится с помощью
правка. привычных ресурсных записей адреса узла (A).
n Безопасность – с помощью функций контроля доступа Когда proxy-сервер пересылает SIP-запрос, он до-
прокси-сервер авторизирует доступ к той или иной ус- бавляет своё имя (имя сервера) в начало списка в поле
луге или ресурсу со стороны конечных абонентов или Via в заголовке SIP-сообщения. Это поле позволяет воз-
других прокси-серверов. вращать ответы по тому же маршруту, по которому про-
n Дополнительные услуги – прокси-серверы могут пре- ходил запрос. На «обратном» пути каждый proxy-сервер
доставлять набор дополнительных услуг, такик как: пе- удаляет своё имя из поля Via после обработки SIP-отве-
ренаправление вызова, уведомление о пропущенных та (см. рис. 5).
вызовах, обеспечение приватности и т. д. Обобщённый же алгоритм работы прокси-сервера мож-
но представить следующим образом:
Алгоритм маршрутизации не поддаётся формализа- 1) Проверка корректности составления входящего запро-
ции, поскольку определяется архитектурой и политикой са.
86
ретроспектива
Патентные войны:
оберегай своё, не посягай на чужое
Дмитрий Мороз
Термин «патентный терроризм» был придуман в 2001 году ассистентом Intel Питером Диткином
неспроста. Ведь сегодня, в мире высоких технологий, отстаивание компаниями своей
интеллектуальной собственности является одной из наиболее насущных тем.
Ч
ем громче имя компании, тем боль- Однако чаще всего на месте истцов кую огласку, поскольку на кону сто-
ше конкурентов старается раз- оказываются обиженные конкуренты, ят не только очень большие суммы,
личными способами «насолить» или компании-аутсайдеры, вознаме- но и, что также немаловажно, репу-
её имиджу и репутации, попутно пожи- рившиеся напомнить миру о своём су- тация компаний.
вившись чужим технологическим «ба- ществовании. Сегодня рассказ пойдёт о наибо-
гажом». За примерами далеко ходить Если раньше каждый судебный иск лее громких и скандальных судебных
нет необходимости: гиганты инфор- был событием из ряда вон выходящим, процессах, в центре внимания которых
мационных технологий, такие как Intel, то сегодня практически ежедневно по- оказывались аппаратные разработки.
Microsoft и Apple, становятся жертвами являются новости об очередных «по- Первыми в списке идут производители
судебных разбирательств практичес- терпевших», требующих возмещения центральных процессоров, поскольку
ки ежемесячно. Иногда против обви- нанесённого им ущерба. именно на их долю выпало наибольшее
няемых компаний выступают изобре- Преднамеренно или нет, эти об- количество патентных «войн».
татели-одиночки, заявляющие о нару- винения становятся основой судеб-
шении их «нажитых непосильным тру- ных исков, призванных решить, кто Судебные тяжбы
дом» патентов. Обычно подобные ис- прав, а кто виновен. Часто судебные двух гигантов
ки предъявляются лишь с одной це- разбирательства в сфере информа- Intel против AMD. Ещё со времён их
лью – заполучить энную сумму денег. ционных технологий получают широ- основания (Intel – в 1968 году, AMD –
88
ретроспектива
в 1969 году) эти компании неустанно не имела права доступа к разработ- разъёмы которых были бы физичес-
враждовали между собой. кам Intel. В результате инженерам ком- ки совместимы с процессорами Intel
Начало многолетним распрям бы- пании пришлось путём обратной инже- следующей за Pentium архитектуры.
ло положено в феврале 1982 года, ког- нерии (reverse-engineering) разобрать В свою очередь, Intel также решила
да по требованию IBM между обеими процессор i386, дабы изучить его архи- «расстаться» с 18 миллионами, ушед-
компаниями был подписан договор тектуру, принципы работы и быть спо- шими на счёт AMD. С тех пор обе ком-
о кросс-лицензировании их разрабо- собным в дальнейшем производить пании идут каждая своим курсом.
ток, согласно которому Intel получала его клоны (если быть более точным,
доступ к разработкам AMD, а послед- обратная инженерия была использо- И снова в суде
няя – возможность производить клоны вана AMD ещё на этапе проектирова- Относительное перемирие между Intel
процессоров 8086 и 8088. ния клона сопроцессора 80287). и AMD длилось на протяжении поч-
В то время подобное соглашение Процесс закончился успешно, ти десяти лет. Исключение составил
было обыденным явлением, посколь- и в том же 1991 году на свет появил- лишь судебный иск 1997 года, выдви-
ку многим крупным корпорациям и пра- ся чип Am386. Несмотря на то что про- нутый Intel против AMD и Cyrix. В нём
вительственным организациям требо- цессор имел другую архитектуру, от- обе компании обвинялись в непра-
вались электронные компоненты, про- личную от 386, по части микрокода вильной трактовке аббревиатуры MMX
изводимые несколькими компаниями (т.н. код элементарных команд ЦПУ) (MultiMedia eXtension), которой Intel рек-
одновременно. Оно позволяло в слу- они полностью совпадали. К тому же ламировала набор расширенных инс-
чае возникновения проблем с постав- по частоте работы процессора Am386 трукций для работы с мультимедийны-
ками электронных устройств из одно- был опять вне конкуренции – 40 МГц ми данными, встроенный в её новые
го источника быстро перейти на про- против 33 МГц у i386. процессоры. Ответчики признали MMX
дукцию другого. Теперь уже настал черед Intel по- торговой маркой Intel и её собственнос-
Однако AMD не просто копирова- давать в суд на AMD, обвиняя её в на- тью, после чего иск был отклонён.
ла процессоры Intel, а выпускала чипы рушении своей патентной базы. Ком- Гром разразился 7 февраля 2005 го-
с большим быстродействием, к тому пания требовала прекращения выпус- да, когда AMD Japan подала иск про-
же продававшиеся по более низкой це- ка Am386, объёмы продаж которых за тив японского представительства Intel,
не. Например, максимальная частота, один только 1991 год достигли милли- обвиняя её в злоупотреблении своим
на которой работал чип 80286 произ- она единиц. AMD, в свою очередь, за- монопольным положением на рынке,
водства Intel, равнялась 12,5 МГц, тог- щищалась договором 1982 года, со- а также оказании давления на другие
да как у AMD она составляла 16 МГц. гласно которому Intel сама выдала ей компании: Fujitsu, Hitachi, NEC, Sony
Понятное дело, что в клиенты пред- лицензию на производство клона i386. и Toshiba. В документе указывалось,
почитали «платить меньше, получая Как и следовало ожидать, приговор что Intel посредством угроз, а также
больше». был вынесен в пользу ответчика. денежных выплат заставляла их от-
Intel с подобным положением дел Ну а пока Intel апеллировала реше- казываться от покупок процессоров
мириться не собиралась, и в 1986 го- ние суда, опять-таки благодаря искус- AMD либо же ограничить подобные
ду, когда AMD в соотвествии с согла- ству обратной инженерии AMD произ- закупки.
шением, потребовала выдать ей доку- вела на свет клон уже 486-го процес- Согласно решению Торговой ко-
ментацию по дизайну архитектуры но- сора. Последовавшая за этим череда миссии Японии (Japanese Fair Trade
вого процессора 80386 (i386), ответила взаимных судебных исков и апелляций Commission), вынесенному 26 июня
отказом, попутно расторгнув договор закончилась победой AMD. Однако бы- 2005 года, Intel отныне возбраняет-
четырёхлетней давности. Своё реше- ла ли она довольна этим? ся предоставлять японским компани-
ние Intel мотивировала тем, что при на- Затяжные судебные тяжбы меж- ям скидки на свои процессоры в об-
личии нескольких фабрик, располо- ду двумя гигантами процессоростро- мен на условие, что они не будут ис-
женных в различных регионах, необ- ения – причина нестабильности всего пользовать в своей продукции чипы
ходимость во втором подрядчике уже рынка, в которой не была заинтересо- конкурента.
не была существенной. К тому же она вана ни одна из компаний. Дабы ис- На следующий день, 27 июня, AMD
рекламировала себя в качестве разра- править ситуацию, 30 декабря 1994 го- подала подобный иск в окружной суд
ботчика передовых технологий, на ко- да между враждующими сторонами округа Дэлавер, США. Обвинения
торого равняются остальные. был подписан договор, согласно ко- против Intel выдвигаются те же, одна-
AMD ничего не оставалось, как об- торому AMD, выплатив 58 млн. долла- ко на этот раз в список было занесе-
ратиться в суд. Иск против Intel был ров за убытки, нанесённые Intel во вре- но 38 компаний, подвергшихся давле-
подан в верховный суд Калифорнии мя судебных разбирательств, получа- нию со стороны ответчика.
в 1987 году. Процесс длился вплоть ла доступ к архитектурам процессо- Если решение судьи будет в поль-
до 1991 года, когда Intel, признанная ров 386 и 486 и имела полное право зу AMD, перед ней откроются новые
виновной, была вынуждена выплатить выпускать их клоны. Также компания рынки сбыта собственной продукции.
истцу 10 млн. долларов. могла производить процессоры, сов- Например, компании Dell и Apple, под-
На первый взгляд, AMD осталась местимые с Pentium по части микро- писавшие эксклюзивные соглашения
в выигрыше. Однако получив мате- кода и системного разъёма. При этом с Intel, отныне не будут «связаны» рам-
риальную компенсацию, она отныне AMD возбранялось выпускать чипы, ками своих договоров и смогут исполь-
90
ретроспектива
а также наборов системной логики рующей разработку и продвижение лишь год спустя. По прогнозам ана-
к ним. OPTi потребовала прекраще- беспроводного стандарта, насчиты- литиков, в 2007 году продажи пор-
ния производства и продаж продук- вается свыше шести тысяч компаний. тативных проигрывателей перева-
ции, а также выплаты компенсации Почему же были выбраны лишь один- лят за 200 млн. единиц. К 2010 го-
за нанесённый ущерб. Кроме данно- надцать из них? ду эта цифра перевалит за 250 млн.
го иска, на счету AMD как ответчика Дело в том, что иск WRF направлен штук, а сам рынок будет оцениваться
уже висит несколько неразрешённых против электронных продуктов, кото- в 21,5 млд. долларов. Сумма, а так-
судебных процессов, инициатор одно- рые оснащены чипами компании CSR же оперативность Texas MP3 в пода-
го из которых – компания MicroUnity, Plc. По словам представителей орга- че иска говорят лишь об одном – же-
о которой я рассказывал в прошлом низации, микросхемы CSR использу- лании в кратчайшие сроки, да к тому
номере журнала. ют Bluetooth-технологию без данно- же «малой кровью» оторвать как мож-
Последней на данный момент ком- го ею разрешения. WRF лицензиро- но больший кусок этого пирога. «Па-
панией, на которую «обиделась» OPTi, вала права на свои разработки дру- тентный терроризм» налицо.
стала Apple. Произошло событие 19 ян- гому производителю Bluetooth-чипов –
варя 2007 года. Согласно иску, Apple Broadcom. Поэтому к компаниям, вы- И снова о «Яблоке»
производит и продаёт устройства, в ко- пускающим устройства на их основе, О компании Apple и её семействе
торых используется технология «Пре- претензий нет. сверхпопулярных плееров iPod я уже
диктивной выборки». Если учесть, что на сегодняшний говорил. Однако это не единствен-
В то время как Apple встраивала день в мире насчитывается более од- ные судебные разбирательства, пос-
процессоры производства AMD в свои ного миллиарда устройств, оснащён- тоянным объектом которых являет-
базовые станции беспроводного до- ных интерфейсом Bluetooth, сумма ся iPod. Например, в декабре 2006 го-
ступа AirPort Base Station, все её ком- материального ущерба, который бу- да компания Quantum Research Group
пьютеры, как настольные, так и порта- дет выплачен WRF в случае выигрыша (QRG) подала иск против Apple, обви-
тивные, оснащены чипами Intel. Так что процесса, может исчисляться девяти- няя её в нарушении патента, описы-
нельзя отрицать, что вслед за AMD или даже десятизначной цифрой. вавшего «Технологию передачи заря-
и Apple в числе обвиняемых окажет- да» (Charge-transfer Technology). Широ-
ся и она. MP3-плееры ко разрекламированное навигацион-
под прицелом ное колесо Click Wheel в старых пле-
Bluetooth в центре Ещё более громким стал иск, подан- ерах iPod изготовлялось на основе
внимания ный компаний Texas MP3 Technologies тактильного сенсора, который Apple
Гиганты компьютерного рынка – не против Apple, Samsung и SanDisk. Со- лицензировала у компании Synaptics.
единственные, «на чьи головы сыплют- гласно патенту, Texas MP3 обладает Однако, согласно данным QRG, новые
ся» судебные иски. К компаниям, зани- правами на технологию «портативного модели портативных проигрывателей,
мающимся выпуском потребительской аудиоустройства, пригодного для вос- в список которых вошли оба поколения
электроники, также часто наведывают- произведения данных, закодирован- Nano, а также iPod Video пятого поко-
ся чужие юристы. Одним из последних ных в формате MPEG, оснащённого ления, используют в своём составе но-
стал иск некоммерческой организации набором входов, памятью для хране- вый сенсор, построенный на базе чи-
Washington Research Foundation (WRF), ния данных, дисплеем, аудиовыходом, пов компании под названием Cypress
поданный ею против одиннадцати ве- как минимум одним процессором и ба- PSoC. Их использование и нарушает
дущих игроков рынка электронной про- тареей». То есть само название доку- патент QRG.
дукции. Причина – беспроводной ин- мента – это краткая характеристика Данные судебные разбирательс-
терфейс Bluetooth, которым оснащены MP3-плеера. тва – одни из доброго десятка исков,
выпускаемые ими устройства. Texas M P3 пр и о бр ел а п ате н т которые выдвигаются против Apple
В декабре 2006 года WRF подала 15 февраля этого года у SigmaTel (про- сегодня. Правда, в основном они ка-
иск против Matsushita Electric, Samsung изводитель чипов для MP3-плееров) саются программного обеспечения,
Electronics и Nokia. Согласно нему, ком- и уже на следующий день подала иск разрабатываемого компанией (iTunes
пании нарушили четыре патента орга- в суд. «Мы приняли решение избавить- Music Store), а также торговых марок
низации, которые описывают техноло- ся от патента, поскольку для обеспе- (иск Cisco по поводу торговой мар-
гию, позволяющую пользователям об- чения его большой коммерческой цен- ки «iPhone»). Этому, а также много-
мениваться информацией между мо- ности необходимы миллионы долла- му другому и будет посвящена следу-
бильными телефонами, компьютера- ров, которые пришлось бы потратить ющая статья.
ми и другими устройствами без ис- на гонорары юристам», – мотивиро-
пользования проводных интерфейсов. вал решение о продаже исполнитель- 1. http://www.theregister.co.uk.
Совсем недавно, 27 марта этого года, ный директор SigmaTel Рон Иджиртон 2. http://www.zdnet.com.
к списку обвиняемых были добавле- (Ron Edgerton). 3. http://www.cnet.com.
ны ещё восемь компаний: Apple, Dell, Сам патент был зарегистриро- 4. http://blog.wired.com.
Sony, Logitech, Motorola, Sony Ericsson, ван двумя корейскими изобретате- 5. http://www.usatoday.com.
Toshiba и Plantronics. В организации лями ещё в 1997 года, тогда как пер- 6. http://www.wikipedia.org.
Bluetooth Special Interest Group, кури- вые МР3‑плееры появились на рынке 7. http://www.hmcourts-service.gov.uk.
92
книжная полка
Криптографические протоколы
и их применение в финансовой
и коммерческой деятельности:
Учебное пособие для вузов
Сергей Запечников
мерция». В этом издании главным об- тежей (СЭП) и различные виды таких
разом уделяется внимание последней. систем, а в четвертой – электронная
Предполагается, что читатели владе- коммерция в более широком понима-
ют не только необходимой математи- нии этой сферы, т.е. рассматриваются
ческой базой, но и разбираются в ос- аспекты безопасности для документо-
новах криптографии. оборота, сделок, транзакций.
Однако первая глава пособия, Как и свойственно учебным посо-
вводная и теоретическая, посвящена биям, каждая глава снабжена конт-
базовым в области криптографии ве- рольными вопросами и задачами, ко-
щам: общим сведениям о протоколах, торые проверят, хорошо ли усвоен ма-
В предисловии автор выделяет три способах аутентификации и различных териал.
основные области, где в современ- схемах цифровой подписи. Во второй
ном мире применяется криптографи- главе рассказывается об инфраструк- n
Издательство: «Горячая Линия-Телеком»
ческая защита (в контексте компью- туре криптосистем и в первую очередь, n
Год издания: 2007
терных систем): «традиционная» (во- конечно, о криптографических ключах, n
Количество страниц: 320
енные, дипломатия и т. п.), «электрон- их управлении, сертификации, рас- n
ISBN: 978-5-93517-318-2
ное правительство» (для диалога го- пределении (с анализом конкретных n
Цена: ≈ 254 руб.
сударства с юридическими и физи- протоколов). В третьей главе описана К н и г а п р е д о с т а в л е н а и з д ат е л ь с т в о м
ческими лицами), «электронная ком- структура систем электронных пла- «Горячая Линия-Телеком».
Редакционная подписка
для физических лиц
n Вы можете оформить подписку n Вы можете оформить подписку n Журнал высылается почтой прос-
на любой российский адрес. с любого месяца на любой срок. той бандеролью только после пос-
n При заполнении квитанции обя‑ n В графе «Сумма» проставьте сумму тупления денег на расчетный счет
зательно РАЗБОРЧИВО укажи‑ за выбранное количество номеров. и копии заполненного и оплачен‑
те фамилию, имя, отчество пол‑ Стоимость одного номера журна- ного бланка, отправленной в ре‑
ностью, почтовый индекс и ад‑ ла 150 руб. За 10 месяцев (с марта дакцию по факсу: (495) 628‑82‑53
рес получателя (область, город, по декабрь) – 1500 руб. НДС и поч- или на элек тронный а д рес:
улица, номер дома, номер квар‑ товые расходы включены в стои- info@samag.ru.
тиры), контактный телефон. мость.
94
подписка на 2007 год
Российская Федерация печати «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
n
Подписной индекс: годовой – 20780, полугодовой – 81655 n
Казахстан – по каталогу «Российская Пресса» через
Каталог агентства «Роспечать» ОАО «Казпочта» и ЗАО «Евразия пресс»
n Подписной индекс: 87836 n
Беларусь – по каталогу изданий стран СНГ через РГО
Объединенный каталог «Пресса России» «Белпочта» (220050, г. Минск, пр-т Ф. Скорины, 10)
Адресный каталог «Подписка за рабочим столом» n
Узбекистан – по каталогу «Davriy nashrlar» российс-
Адресный каталог «Библиотечный каталог» кие издания через агентство по распространению пе-
n Альтернативные подписные агентства: чати «Davriy nashrlar» (7000029, г. Ташкент, пл. Муста-
Агентство «Интер-Почта» (495) 500-00-60, курьерская киллик, 5/3, офис 33)
доставка по Москве n Армения – по списку номенклатуры «АРЗИ» через
Агентство «Вся Пресса» (495) 787-34-47 ГЗАО «Армпечать» (375005, г. Ереван, пл. Сасунци Да-
Агентство «Курьер-Прессервис» вида, д. 2) и ЗАО «Контакт-Мамул» (375002, г. Ереван,
Агентство «ООО Урал-Пресс» (343) 375-62-74 ул. Сарьяна, 22)
ЛинуксЦентр www.linuxcenter.ru n Грузия – по списку номенклатуры «АРЗИ» через АО
n Подписка On-line «Сакпресса» ( 380019, г. Тбилиси, ул. Хошараульская, 29)
http://www.arzi.ru и АО «Мацне» (380060, г. Тбилиси, пр-т Гамсахурдия, 42)
http://www.gazety.ru n Молдавия – по каталогу через ГП «Пошта Молдовей»
http://www.presscafe.ru (МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
СНГ г. Тирасполь, ул. Ленина, 17)
В странах СНГ подписка принимается в почтовых отделе- по прайс-листу через ООО Агентство «Editil Periodice»
ниях по национальным каталогам или по списку номенк- (МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
латуры «АРЗИ»: n Подписка для Украины:
n Азербайджан – по объединенному каталогу россий- Киевский главпочтамт
ских изданий через предприятие по распространению Подписное агентство «KSS», тел./факс (044)464-0220
Подписные
индексы:
20780*
81655**
по каталогу
агентства
«Роспечать»
87836
по каталогу
агентства
«Пресса
России»
*
годовой
**
полугодовой
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
номере:
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец Корпоративная красное время познакомиться с ALT
Ответственный секретарь телефонная сеть на базе Linux 4.0 Server и узнать об особен-
Наталья Хвостова АТС Samsung ностях дистрибутива! Обзор в июнь-
sekretar@samag.ru Однажды руководитель вызывает ском номере поможет вам сформи-
Технический редактор вас, и указывая на непонятную груду ровать и свои «первые впечатления»
Владимир Лукин коробок на полу, говорит: «Это АТС. о грядущей новинке.
Главный редактор Она будет установлена в нашем фи-
электронного приложения
лиале в другом городе. Разберитесь, Разворачиваем кластер
«Open Source»
как настроить ее так, чтобы звонить Microsoft Exchange
Дмитрий Шурупов
Внештатные редакторы не по межгороду, а через Интернет Служба электронной почты – неотъ-
Алексей Барабанов и при этом использовать короткие но- емлемый элемент бизнес-процессов
Алексей Алексеев мера, также как в офисе». Продолже- и для надежной работы данной службе
Андрей Бирюков ние истории читайте в следующем но- необходимо обеспечить отказоустой-
мере журнала. чивость. В статье рассмотрим вопро-
РЕКЛАМНАЯ СЛУЖБА сы, связанные с установкой и настрой-
тел./факс: (495) 628-8253 Патентные войны: кой отказоустойчивого кластера почто-
Евгения Тарабрина оберегай своё, не посягай вой системы. В качестве примера возь-
reсlama@samag.ru на чужое. Часть вторая – мем создание двухузлового кластера
Верстка и оформление
программная на основе Microsoft Exchange.
«Патентный терроризм» в сфере ин-
maker_up@samag.ru
Дизайн обложки формационных технологий затраги- Борьба со спамом,
Николай Петрочук вает не только аппаратные разработ- как фактор, снижающий
ки. Сегодня средства массовой инфор- надежность почтовой
По вопросам распространения мации пестрят сообщениями о различ- доставки
обращайтесь по телефону: ных исках по патентам и на програм- Внедрение систем фильтрации почто-
(495) 628-8253 (доб. 120) мное обеспечение. Кто? Когда? Как? вых сообщений очень часто оборачи-
Ответы на эти вопросы – в следую- вается непредсказуемыми задержка-
107045, г. Москва, щем выпуске. ми или даже потерями важной дело-
Ананьевский переулок, дом 4/2, стр. 1 вой корреспонденции. В этом случае,
тел./факс: (495) 628-8253
Сайт журнала: www.samag.ru
ALT Linux 4.0 Server: как правило, вся ответственность ло-
что день грядущий жится на системного администрато-
ИЗДАТЕЛЬ нам готовит? ра. А те, кто в начале требовал изба-
ЗАО «Издательский дом Пусть финальная версия нового сер- вить их от спама, мешающего работе,
«Учительская газета» верного решения от ALT Linux еще и в полном соответствии с известными
не увидела свет, эта долгожданная оте- законами Мерфи, начинают считать ис-
Отпечатано типографией чественная разработка уже на финиш- точником всех своих проблем деятель-
ГП «Московская Типография №13» ной прямой и готова для работы. Пре- ность сисадмина.
Тираж 15000 экз.
96