Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf232 |
Глава 16. Система телеконференций USENET |
Рис. 16.5. Архитектура взаимодействия программного обеспечения
в W 3-cncreMe
Фундаментом У/3-технологии являются четыре краеугольных камня гипертекстовой информационной системы:
1)язык гипертекстовой разметки документов HTML (HyperText Markup Language);
2)универсальный способ адресации URL (Universal Resource Lo cator);
3)протокол доставки гипертекстовых сообщений HTTP (Hyper Text Transfer Protocol);
4)универсальный межсетевой интерфейс CGI (Common Gateway Interface).
W 3-cncTeMa построена по хорошо известной схеме «клиентсервер». Рис. 16.5 иллюстрирует разделение функций в этой схеме.
Программа-клиент выполняет функции интерфейса пользова теля и обеспечивает доступ практически ко всем информационным ресурсам Internet. Фактически она выступает как интерпретатор HTML-текста и в зависимости от команд (разметки) выполняет раз личные функции. В круг этих функций входит не только размещение текста на экране, но и обмен информацией с сервером по мере анали за полученного HTML-текста. По результатам анализа URL-инфор мации (поступающей от процессов, функционирующих по другим протоколам) или по командам сервера программа-клиент запускает
раздел II. |
233 |
дополнительные внешние программы для работы с документами в форматах, отличных от HTML. Для запуска таких программ незави симо от типа документа была разработана программа «launcher», но в последнее время гораздо большее распространение получил спо соб согласования запускаемых программ в соответствии со стандар том MIME.
Другую часть программного \У3-комплекса составляет сервер HTTP-протокола, базы данных документов в HTML-формате, управляемые сервером, и программное обеспечение, разработанное в соответствии со стандартом CGI.
База данных HTML-документов - это часть файловой системы, которая содержит текстовые файлы в HTML-формате и связанные с ними графику и другие ресурсы. Документы, содержащие элемен ты экранных форм, реально обеспечивают доступ к внешнему про граммному обеспечению.
Прикладное программное обеспечение, работающее с сервером, можно разделить на шлюзы и прочие программы. Шлюзы (программ ные интерфейсы) - это программы, обеспечивающие взаимодействие сервера с серверами, работающими по другим протоколам. Прочие программы - это программы, принимающие данные от сервера и вы полняющие какие-либо действия: получение текущей даты, реали зацию графических ссылок, доступ к локальным базам данных или просто расчеты.
Компоненты \У3-технологии разработаны практически для всех типов компьютерных платформ и свободно доступны в сети. Любой, кто имеет доступ в Internet, может создать свой W3-cepBep, или, по крайней мере, посмотреть информацию, хранящуюся в других серверах.
16.4. Язык гипертекстовой разметки HTML1
Гипертекстовая база данных в концепции W3 - это набор тек стовых файлов, написанных на HTML-языке, который определяет формат представления информации (разметка) и структуру связей этих файлов (гипертекстовые ссылки). Кроме этого, такой подход предполагает наличие еще одного компонента Ш3-технологии - ин терпретатора языка. В \У3-технологии функции интерпретатора разделены между сервером гипертекстовой базы данных и интер-
1В настоящее время HTML-язык получил своё дальнейшее развитие и те перь носит наименование XML (Extensible Markup Language, RFC-3076).
234 |
Глава 16. Система телеконференций USENET |
фейсом пользователя. С одной стороны, сервер обеспечивает доступ к документам и обработку гипертекстовых ссылок, а также осущест вляет предварительную обработку документов. А с другой - интер фейс пользователя осуществляет интерпретацию конструкций язы ка, связанных с представлением информации.
Любой HTML-документ представляется в форме, так называемой теговой модели (от английского «tag» - тег, признак, метка, ярлык). Та кая модель описывает документ как совокупность элементов, каждый из которых окружен собственными метками (тегами). По своему зна чению теги близки к понятию скобок «begin/end» в универсальных языках программирования, которые задают области действия имен локальных переменных и др. Теги определяют область действия пра вил интерпретации текстовых элементов документа.
Элемент HTML-документа или гипертекстовый документ со стоит из двух частей - заголовка документа (HEAD) и тела докумен та (BODY):
<H T M L > (тег начала HTML-документа)
<H E A D > (тег начала заголовка HTML-документа)
Содержание заголовка
</H E A D > (тег окончания заголовка HTML-документа)
<B O D Y > (тег начала тела HTML-документа)
Содержание тела документа
< /B O D Y > (тег окончания тела HTML-документа) </НТМ 1_> (тег окончания HTML-документа).
Таким образом, структура HTML-документа представляет со бой совокупность вложенных друг в друга элементов (заголовка и тела документа).
16.5. Гипертекстовые URL-указатели
Собственно говоря, данный универсальный способ адресации является практической реализацией универсальной схемы иденти фикации информационных ресурсов (URI - Universal Resource Iden tifier, RFC-2396). В основу URI-идентификации были положены сле дующие принципы:
1)расширяемость - новые адресные схемы должны легко вписы ваться в существующий синтаксис URI-идентификации;
2)полнота - по возможности любая из существующих схем адре сации должна описываться посредством URI-идентификации;
3)читабельность - адрес должен быть легко читаем человеком (документы вместе со ссылками могут разрабатываться в обычном текстовом редакторе).
Раздел II. |
235 |
URI-идентификация определяет восемь схем адресации, одна из которых принадлежит W3 - HTTP-схема (W3). Схема W3 (адрес) включает:
1)идентификатор схемы адресации (для W3 - «http://»);
2)адрес ГВМ (сервера);
3)номер ТСР-порта;
4)путь в директории сервера;
5)критерий поиска и метка.
Например: http://144.206.160.40/risk/risk.html где http// - иден тификатор схемы адресации; 144.206.160.40/ - IP-адрес ГВМ; risk/ - путь в директории сервера; risk.html - имя гипертекстового файла.
Рассмотренная форма записи адреса (ссылки) и называется универсальным указателем информационных ресурсов (Universal Resource Locator), который используется для формирования ссылок в теле гипертекстового документа.
Гипертекстовые ссылки в HTML-документе делятся на два класса: контекстные и общие. Контекстные ссылки «вмонтированы» в тело документа, а общие ссылки связаны со всем документом в це лом и могут быть использованы при просмотре любого фрагмента документа. Однако, последние практически не применяются, а вот контекстные ссылки наиболее популярны.
Для записи гипертекстовой ссылки используется элемент: <А...>...............</А>,
который называют «якорь» (anchor). Якорь имеет несколько атрибутов:
• HREF (HyperText Reference) - простая ссылка:
<А HREF=http//....... > <А/>;
в NAME - ссылка для определения точек внутри текста: <А NAM E=http//....... > <А/>;
в SHAPE - ссылка для определения участка графического образа.
16.6. Протокол доставки гипертекстовых сообщений HTTP
Данный протокол (RFC-2616) является протоколом прикладно го уровня и обеспечивает обмен гипертекстовой информацией в In ternet. HTTP-протокол реализует различные формы доступа, бази рующиеся на URI-идентификации (в форме URL-ссылки/ адреса) и универсальном способе именования информационных ресурсов URN (Universal Resource Name).
В соответствии с этим протоколом сообщения по сети переда ются в формате, похожем на почтовое сообщение Internet или фор
236 |
Глава 16. Система телеконференций USENET |
мат сообщений MIME. HTTP-протокол обеспечивает взаимодейст вие клиентских программ и программ-шлюзов, разрешающих дос туп к информационным ресурсам ЭП Internet (SMTP-протокол), группам новостей (NNTP-протокол), файловым архивам (FTPпротокол) и другим системам. В основе такого информационного доступа лежат специальные уполномоченные (размещены в серве рах) программы (proxy), которые позволяют передавать информа цию между различными информационными службами без потерь. Обмен данными в HTTP-протоколе организован по принципу «за прос-ответ». Пользовательская программа (процесс) инициирует взаимодействие с уполномоченной программой (сервером) и посы лает запрос (содержит метод доступа, URI-адрес, версию протокола, сообщение о типе передаваемой информации, информацию клиен та и, возможно, тело сообщения клиента), имеющий вид:
<Полный запрос> := <Строка запроса> (<Общий заголовок |Заголовок запроса> |Заголовок обозначения информационного ресурса>) <символ новой строки> [<тело информационного ресурса>]
Например:
«POST http://polyn.net.kiae.su/cgi-bin/test НТТР/1.0».
На такой запрос сервер (уполномоченная программа) отвечает строкой состояния (содержит версию протокола, код возврата и со общение, по форме похожее на MIME и включающее информацию сервера, метаинформацию и тело сообщения), имеющей вид:
<Полный ответ> :=<Строка состояния> (<Общий заголовок |Заголовок ответа> |Заголовок информаци онного ресурса>) <символ новой строки> [<тело информационного ресурса>].
Например:
«НТТР/1.0 200 Success».
При работе в Internet для обслуживания HTTP-запросов ис пользуется 80 TCP-порт. В соответствии с алгоритмом функциони рования протокола пользователь (процесс) устанавливает соедине ние и ждет ответа от сервера (процесс, порожденный уполномочен ной программой). После отправки ответа сервер инициирует разъе динение. Следовательно, при передаче сложных гипертекстовых страниц соединение может устанавливаться несколько раз.
Формы доступа. В данном случае для \У3-технологии под формой информационного доступа понимаются объем и содержа ние ответа на полученный запрос. Наиболее распространенными формами доступа в Internet (W3) являются:
1)GET - в этом случае «заказчик» получает данные, заданные в форме URI в запросе на информационный ресурс;
2)HEAD - используется для получения информации о самом информационном ресурсе;
раздел II. |
237 |
3) POST - используется для передачи на сервер большого объема информации (аннотирование существующих ресурсов, по сылка почтовых сообщений, работа с различными формами интерфейсов внешних баз данных и исполняемых программ).
16.7. Универсальный межсетевой интерфейс CGI
CGI-интерфейс был разработан в Центре суперкомпьютерных приложений Университета штата Иллинойс (NCSA, США). Главное предназначение интерфейса - обеспечение единой формы инфор мационного потока и обмена данными между сервером и процессом (прикладной программой).
CGI-интерфейс, с одной стороны, определяет порядок (алго ритм) взаимодействия сервера с прикладной программой, при кото ром сервер является инициатором, а с другой - способ реального об мена данными и управляющими командами в этом взаимодействии.
Сущность CGI-интерфейса заключается в том, что он включает набор специальных программ (CGI-скрипты), которые выполняют функции шлюзов (трансляторов) при обмене данными с другими информационными системами. Иными словами, при обращении пользователя на сервер за определенными данными последний за пускает CGI-скрипт (шлюз) для корректного обращения за требуе мой информацией в другую систему (базу данных).
Глава 17. Протокол сетевого управления SNMP третьей версии
Управление ИТС и любой другой телекоммуникационной се тью отнюдь не является каким-то новшеством. Оно стало актуаль ным, ещё начиная с первого телефона, когда все соединения осуще ствлялись операторами.
С развитием и усложнением ИТС системы управления (СУ) такими сетями превращались в выделенные сети управления. Соб ственно говоря, это есть и первый способ реализации процесса управления ИТС. При втором способе реализации процессов управ ления такой ресурс не выделяется, а вся управляющая информация передается «внутри» информационного потока. Причем процесс передачи управляющих команд (сообщений) может быть организо ван синхронно (сообщения передаются с определенной периодич ностью), либо асинхронно (передаются по мере необходимости). Второй способ исповедуют разработчики стандартов для Internet (IETF).
В Internet в целях создания единого подхода к управлению оборудованием, подключенным к сетям IP, был разработан простой протокол сетевого управления (Simple Network Management Protocol - SNMPv3), который в дальнейшем был усовершенствован, и в на стоящее время стандартизирована третья версия этого протокола.
БЫМРуЗ-стандарт представляет собой модульную структуру и включает (это не только протокол доставки ЭЫМРуЗ-данных):
1)язык описания данных;
2)описание управляющей информации (База управляющей ин формации, Management Information Base - MIB);
3)описание протокола;
4)система безопасности и администрирования (управления). Первые три набора документов заимствованы из SNMPv2-
стандарта, а четвертая группа документов является новой, но пол ностью связана с тремя предшествующими.
17.1.Архитектура БММРуЗ-протокола
Впроцессе управления выделяют: объект управления (кем/чем управляют) и субъект управления (кто/что управляет), а также прямой канал (среду), по которому передается управляющее
Раздел II |
239 |
воздействие субъекта на объект, и обратный канал (среду), по кото рому передается реакция объекта после управляющего воздействия, либо его текущее состояние. Таким образом, сущность управления сводится к целенаправленной деятельности субъекта по сбору, на коплению и обработке информации о состоянии объектов, выра ботке соответствующих решений и воздействий, доведению их до объектов и получению результатов реагирования объектов на управляющее воздействие. Очевидно, что цель управления - до биться максимальной эффективности функционирования объекта (его элементов) управления по заданным критериям (критерию).
Система сетевого SNMP-управления включает в себя:
1)несколько (обычно много) управляющих сетевых узлов, каж дый из которых содержит базовый программный SNMPмодуль, обеспечивающий удаленный доступ к совокупности специализированных программных средств сетевого управле ния (SNMP-агент);
2)как минимум один базовый программный SNMP-модуль, вклю чающий набор прикладных программных субмодулей для реа лизации процесса сетевого управления (SNMP-менеджер);
3)протокол сетевого управления, используемый для транспор тировки управляющей информации между программными
SNMP-модулями.
Базовые программные SNMP-модули, осуществляющие функ ции генераторов команд, и прикладные программные SNMP-модули, принимающие команды на выполнение тех или иных управляющих операций/процедур, обеспечивают мониторинг и контроль управ ляемых сетевых элементов/устройств. К последним относятся 1Р-узлы, маршрутизаторы, сетевые и прикладные серверы и др., которые подвергаются процедурам мониторинга и контроля на основе дос тупа к ним с помощью данных управления.
Назначение SNMP-архитектуры заключается в реализации эффективного управления в различных сетевых топологиях и сис темах/сегментах. С точки зрения практической реализации, SNMP-архитектура включает в себя следующие компоненты:
1)базовые программные SNMP-модули, обеспечивающие функ ции приема команд (то есть ответного реагирования на посту пившие команды) и/или источника управляющих опера ций/процедур (SNMP-агент);
2)базовые программные SNMP-модули, обеспечивающие функ ции уполномоченного транслятора SNMP-сообщений (упол номоченные SNMP-агенты/ трансляторы);
3)базовые программные SNMP-модули, обеспечивающие функ ции организации канала управления, а также функции гене-
240 |
Глава 17. Протокол сетевого управления SNMP третьей версии |
раторов команд и / или приемников управляющих опера ций/процедур (SNMP-менеджер канала управления);
4)базовые программные SNMP-модули, обеспечивающие функ ции генераторов команд и/или приемников управляющих операций/процедур, а также функции приема команд и/или источника управляющих операций/процедур (промежуточ ный или сдвоенный SNMP-менеджер);
5)базовые программные SNMP-модули, обеспечивающие функ ции генераторов команд и/или приемников управляющих операций/процедур, а также другие возможные прикладные функции по управлению потенциально широкого спектра управляемых сетевых объектов (управляющий SNMP-узел).
17.2. Содержание архитектуры
Базовый программный SNMP-блок. Базовый программный SNMP-блок представляет собой практическую реализацию SNMPv3архитектуры. Каждый такой блок состоит из базового программного SNMP-модуля и одного или нескольких прикладных программных SNMP-модулей (рис. 17.1).
Рис. 17.1. Базовый программный SNMP-блок (SNMPv3-apxnTeKTypa)
Раздел II. |
241 |
Базовый программный SNMP-модуль обеспечивает передачу и прием сообщений, аутентификацию и шифрование сообщений, а также управление доступом к управляемым объектам. SNMP-архи тектура предусматривает взаимно однозначное соответствие (связь) между базовыми программными SNMP-модулем и SNMP-блоком.
Базовый программный SNMP-модуль включает следующие подсистемы:
1)диспетчеризации (диспетчер);
2)обработки сообщений;
3)обеспечения безопасности;
4)контроля доступа.
Идентификатор базового программного SNMP-модуля. В рам
ках административного сетевого сегмента, идентификатор базового программного SNMP-модуля («srimpEnginelD») является уникальным и однозначным идентификатором этого модуля. Так как существует вза имно однозначное соответствие (связь) между базовыми программны ми SNMP-модулями и базовыми программными SNMP-блоками, это позволяет уникально и однозначно идентифицировать базовый про граммный SNMP-блок в рамках административного сетевого сегмента.
Диспетчер. В составе базового программного SNMP-модуля размещается только один диспетчер. Это позволяет обеспечить од новременное обслуживание нескольких версий SNMP-сообщений в рамках одного базового программного SNMP-модуля. Такое обслу живание включает:
1)передачу и прием SNMP-сообщений в сети;
2)определение версии SNMP-сообщений и взаимодействие с со ответствующей моделью обработки SNMP-сообщений;
3)обеспечение абстрактного программного интерфейса с при кладными программными SNMP-модулями в целях доставки PDU-блока в прикладной процесс;
4)обеспечение абстрактного программного интерфейса с при кладными программными SNMP-модулями, которым разре шено передавать PDU-блоки на удаленные базовые программ ные SNMP-блоки.
Подсистема обработки SNMP-сЬЬбщений . . . |
|
|
|||||
Модель(и) |
| |
Модель(и) |
j |
Модель(и) |
Другая(ие) модель(и)!: |
||
обработки |
| |
обработки |
|
обработки |
|
обработки |
Г |
SNMPv3- | SNMPvl- [ |
SNMPv2c- |
j |
SNMP-сообщений |
I ■ |
|||
сообщений |
j |
сообщений |
! |
сообщений |
|
|
Рис. 17.2. Подсистема обработки SNMP-сообщений