«Локальные сети. Полное руководство. Перевод с английского Криста Андэрсон с Марком Минаси Локальные сети. Полное руководство: Пер. - К.: ВЕК+, М.: ЭНТРОП, с англ.-СПб.: КОРОНА принт, 1999.— 624 с., ил. ISBN ...»

Что нужно шифровать? Все данные - пароли, текст или другая информация, могут и должны шифроваться — по крайней мере, на время передачи по общедоступной сети, а иногда и в другое время. Шифрование — весьма удобный метод засекречивания локально хранящихся личных файлов, особенно если компьютером пользуются сразу несколько лиц. Чем больший ущерб может нанести рассекречивание информации, тем больше оснований использовать шифрование для ее защиты.

В частности, пароли никогда не должны передаваться по сети или сохраняться как простой текст, хотя иногда встречается и такое. (В конце 1998 г. внутренняя сеть Стэндфордского университета была кем-то взломана с помощью программы-анализатора (sniffer), и на протяжении примерно трех недель взломщик перехватил около 4500 паролей, посланных по сети в виде простого текста.) Чтобы ваша сеть хотя бы отдаленно соответствовала требованиям сетевой защиты, следует шифровать пароли, пересылаемые на сервер входной регистрации (authentication server). Даже система вызова/ отклика LM лучше, чем ничего. Если не использовать шифрование, то для расшифровки паролей злоумышленнику не понадобится даже L0phtcrack или его эквивалент. Любую NOS, которая не поддерживает какой-либо метод шифрования передаваемых паролей, вообще нельзя назвать защищенной.

Примечание Заметим: выбор методов шифрования паролей, передаваемых для идентификации пользователя (если он есть вообще) не слишком обширен. Например, в Windows NT можно выбрать одну из двух опций шифрования паролей: LM (для клиентов Windows 9.x) и NTLM (для клиентов Windows NT).

Защита удаленного доступа Если сеть открыта для удаленного доступа по телефонным линиям, то ее защита усложняется. В самом деле, если к локальной сети возможен только локальный доступ, то достаточно поставить охрану у входа в здание и тем самым избежать проникновения злоумышленников. Кроме того, когда вы идете по офису, вы можете увидеть всех, кто работает на компьютерах и понять, чем они заняты. Однако с удаленным доступом так не получится — все, что вы в состоянии узнать о пользователе, который "удаленно" вошел в систему — это используемая им учетная запись. Но она ничего не говорит о том, кто ее использует фактически.

Кроме того, головную боль вызывает и этот длинный, абсолютно ничем не защищенный кабель, который соединяет удаленного пользователя с сетью. Если учесть, что вы не в состоянии предотвратить прослушивание общедоступной телефонной линии в любой точке на всем ее протяжении, то следует позаботиться о каком-либо методе защиты от перехвата злоумышленниками паролей путем подслушивания телефонных сообщений.

Защита сеансов протоколами CHAP и РАР Основная задача защиты системы удаленного доступа — гарантировать доступ в сеть только зарегистрированным пользователям. Поскольку при удаленном доступе в качестве протокола линии связи чаще всего используют РРР (Point-to-Point Protocol - протокол узел-узел), в этом разделе мы рассмотрим два защитных средства, предусмотренные этим протоколом.

CHAP — Challenge Handshake Authentication Protocol - протокол аутентификации по квитированию вызова.

PAP — Password Authentication Protocol - протокол аутентификации по паролю.

В обоих протоколах защиты для идентификации пользователя применяются секретные файлы (secrets file), однако в каждом протоколе — по-разному.

Примечание В протоколе РРР не требуется идентификация - она устанавливается по вашему выбору.

Защита включается после того, как логический канал уже создан, но еще не открывался.

Принцип работы протокола РАР. РАР менее надежен, чем протокол CHAP, и используется теми клиентами, которые не поддерживают CHAP. Когда клиент пытается инициировать сеанс связи с сервером удаленного доступа, то посылает на сервер имя и пароль, указанные в учетной записи. (Пароль может быть зашифрован.) Сервер сравнивает имя и пароль пользователя с данными, указанными в его секретном файле. При совпадении клиенту предоставляется доступ. В противном случае соединение прерывается. К недостаткам метода можно отнести то, что пароль фактически пересылается в соответствии с протоколом РАР и может быть перехвачен. Кроме того, метод неустойчив и по отношению к повторным попыткам несанкционированного доступа.

Принцип работы протокола CHAP. Недостатки протокола РАР привели к разработке другого протокола защиты — CHAP. Процесс идентификации пользователя по протоколу CHAP выглядит несколько сложнее. Когда клиент пытается инициировать сеанс связи, сервер посылает клиенту вызов (challenge) — случайным образом сгенерированное число — а также имя сервера, которому следует ответить. Клиент отвечает за надлежащее шифрование вызова и отправление правильного отклика. С этой целью клиент просматривает собственный секретный файл, записанный как простой текст, чтобы найти отклик на полученный вызов. Когда клиент находит корректный отклик, он сопоставляет результат поиска с исходным вызовом, шифрует всю строку и отсылает серверу зашифрованную строку. Затем сервер расшифровывает пакет и сопоставляет вызов и отклик с собственной секретной базой данных (secrets database). При совпадении данных клиент идентифицируется и запускается сеанс работы. В противном случае сеанс прерывается (в некоторых реализациях сеанс перемаршрутизируется (rerouted) на новый, но с крайне ограниченным сетевым доступом). Преимущество этой схемы над протоколом РАР заключается в том, что по сети не пересылается секретная информация и, следовательно, ее перехват и последующий несанкционированный доступ к ней невозможны.

Еще одно преимущество протокола CHAP: процесс идентификации не обязательно завершается первоначальной идентификацией (original identification). Через некоторое время сервер может послать клиенту еще один вызов, чтобы убедиться, что за этот период сеанс связи не перехвачен злоумышленником. Если клиент не в состоянии в любой момент времени возвратить корректный отклик, сеанс прерывается.

Установка протокола RADIUS Протоколы CHAP и РАР могут использовать не все клиенты. Некоторые из них связываются с сетью с помощью входов (login) в серверы Telnet или UNIX. Чтобы предоставить централизованный сервер входной регистрации (centralized authentication server) клиентам различных типов, разработан протокол RADIUS (Remote Authentication Dial-In User Service — служба удаленной аутентификации пользователей по телефонным линиям). Этот протокол используют для передачи информации об аутентификации (authentication), установления подлинности (authorization) и конфигурации между сервером доступа к сети (которому необходимо идентифицировать сеансы удаленного доступа) и сервером входной регистрации общего пользования (shared authentication server). Таким образом учетные записи разных типов можно сохранять в единственной базе данных учетных записей.

Когда для удаленного доступа к сети клиент использует протокол RADIUS, то начальное соединение устанавливается с сервером доступа к сети. Этот сервер передает идентификационную информацию от клиента на сервер входной регистрации (authentication server), который либо разрешает, либо запрещает соединение. Кроме того, он указывает серверу доступа к сети тип соединения, необходимый конкретному клиенту (т.е. входы (login) Telnet, PPP, SLIP или UNIX).

Что можно сказать о защите данных, которыми обмениваются серверы доступа к сети исерверы входной регистрации? Взаимодействие этих серверов напоминает работу протокола CHAP. Идентификация выполняется с помощью общей секретной базы данных (share secrets database), поэтому их пароли никогда не пересылаются по сети. Если метод входа в сеть удаленного клиента требует, чтобы удаленный пользователь предоставил пароль для входа в сервер доступа к сети, то пароль шифруется с помощью криптографической системы шифрования открытым ключом RSA, а уже затем пересылается (rerouted) между серверами доступа к сети и входной регистрации.

Ограничение пользователей частью сети После идентификации и входа в сеть удаленного пользователя, он все еще не всегда способен свободно получать доступ к сетевым ресурсам. Многие сетевые администраторы ограничивают доступ к сети удаленным пользователям, предоставляя им более ограниченные разрешения, чем пользователям при локальном входе.

В каком объеме следует предоставлять удаленный доступ? Часто удаленный доступ ограничивают сервером входной регистрации. Чтобы изолировать удаленных пользователей от уязвимой информации (sensitive information), разрешите им использовать только средства удаленного доступа — электронную почту, может быть, некоторые файлы (только для чтения) — но держите их подальше от основной сети (main network). Некоторые серверы удаленного доступа — скажем, система удаленного доступа Windows 98 — вообще позволяют делать только это. Другие серверы удаленного доступа, например Windows NT, позволяют указать, имеет ли пользователь право "просматривать" всю сеть либо должен ограничиться только ресурсами сервера.

Конфигурирование привязок. Если вам необходимо предоставить кому-либо лишь частичный доступ к сети, вы можете сделать это, установив в каждой части сети только необходимые протоколы. Как вы помните из гл. 3, каждый протокол должен быть "привязан" к части сетевого оборудования либо к определенной программе обслуживания — только тогда он будет доступен этому оборудованию или программе. Такой способ конфигурирования называют привязками (bindings). Другими словами, вы не можете перераспределить трафик в ту часть сети, в которой не установлен соответствующий протокол.

По практическим соображениям, пользователям удаленного доступа предпочтительнее установить протокол TCP/IP. Поэтому если вам нужно предоставить удаленным пользователям доступ к сети, и в то же время не позволить им пользоваться всем тем, что в ней есть, отмените привязку протокола TCP/IP для тех серверов, доступ к которым нежелателен. Не полагайтесь на установки системы защиты или процедуры идентификации — в этом случае вы просто не сможете воспользоваться ими, поскольку в данном сегменте протокол TCP/IP не поддерживается. Кстати, это же справедливо и по отношению к обычным пользователям локальных сетей.

Мониторинг системы Наконец, последняя мера защиты, которую настоятельно рекомендуется соблюдать — ведите журнал (log) доступа в сеть. Любая "приличная" NOS поддерживает те или иные средства ведения журнала системы защиты (security logging). Например, в Windows NT с этой целью предусмотрено средство Event Viewer (просмотр событий). Журнал позволяет установить, кто и что делает в сети. Кроме того, его можно использовать для мониторинга успешных и неудачных попыток входов в систему либо доступа к общим файлам и папкам на отслеживаемом сервере.

С практической точки зрения вам нужна только свежая информация — от просмотра чрезмерного числа старых записей толку мало. Поэтому исключайте устаревшие записи (но сохраните их для справок в текстовых файлах либо электронных таблицах) и просматривайте журнал примерно раз в неделю. Особое внимание обращайте на многократные повторные попытки доступа — они могут указывать на намерение взлома сети или нелегального доступа к защищенным файлам.

Сохраняйте файлы журналов!

Если вы так организовали ведение вашего журнала системы защиты (security logging), чтобы по истечении некоторого срока (скажем, недели) старые записи стирались, обязательно сохраните перед стиранием старые записи. Не каждую неделю вам доведется обнаружить злоумышленника. Когда же вы действительно "засечете" подозрительную активность, вероятно, вам захочется просмотреть, использовалась ли ранее данная учетная запись и кому предоставлялся доступ к данным объектам.

Предположим, например, 17 мая вы обнаружили подозрительную активность, наблюдавшуюся в течение прошлой недели. Некто пытался войти в почтовый сервер Microsoft Exchange 5.5. Злоумышленник захватил средства поиска и таким образом оставил прочих пользователей без них. Иными словами, никто другой, кроме него, уже не сможет читать книгу глобальных адресов (global address book). Пользователи начинают жаловаться на неполадки в почтовом сервере. Вы проверяете протокол защиты (security log) и, несомненно, обнаруживаете изменения разрешений. Пока что все нормально — вы быстро решили проблему.

Однако задумайтесь на минутку: каким же образом злоумышленник вошел в сервер? И с чем вы разделались: с первой попыткой незаконного доступа или продолжением предыдущей?

Вы знаете, что 30 апреля один из серверов UNIX вашей сети уже подвергался попытке незаконного доступа, и вы тогда же блокировали соответствующую учетную запись. Однако некоторые пользователи вашей сети с низкоуровневыми административными правами располагают двумя учетными записями с одинаковым именем и паролем. Одна используется для доступа в домен Windows NT, а другая — к серверу UNIX. (Между прочим, это очень глупо — предоставлять две учетные записи. Причины вы поймете позже.) Может быть, для незаконного доступа в Exchange Server использована блокированная учетная запись UNIX? Если вы уже стерли старые журналы по прошествии 7 дней, вам не найти ответа на этот вопрос.

Файлы журналов должны быть небольшого размера, и, тем не менее, стирание старых записей с интервалом около недели — верное решение. Однако в целях безопасности рекомендуем сохранять старые журналы в виде электронных таблиц или текстовых файлов.

Поддержка доступа к данным Разумеется, сетевые данные следует скрывать от разных бездельников. Однако, и прежде всего, они должны быть доступны "нормальным" пользователям. В вашу задачу входит также предотвращение отказов в обслуживании и утраты данных из-за случайного или злонамеренного удаления всех (или части) данных.

Предотвращение отказов в обслуживании Отказом в обслуживании (DOS — Denial Of Service ) называют любые условия, в которых некоторая часть (или части) сети становится недоступной. Как правило, это результат умышленного использования программы, генерирующей настолько много "бессмысленных данных", что они начинают препятствовать нормальной работе сети. Можно привести такие примеры.

Генерирование бессмысленных данных и направление их на почтовый сервер не позволяет войти в него законным пользователям.

Захват всех циклов работы процессора сервера.

Повреждение сервера.

Многократное направление команды Ping на сервер создает значительный шум в сети, поскольку серверу приходится отвечать на эти команды.

Итак, если вы не можете использовать вашу сеть, поскольку кто-то уже выполняет подобные действия, значит вы подверглись DOS-атаке.

Хорошо известны два типа DOS-атаки: Teardrop и Land. В обоих случаях для вмешательства в работу сети, подключенной к Internet, используются недостатки протокола TCP/IP.

Использовав один из методов атаки, удаленный пользователь может разрушить уязвимый сервер (vulnerable server). Так, во время Land-атаки атакующий пользователь может посылать повторяющиеся широковещательные сообщения на маршрутизатор, подсоединенный к локальной сети Ethernet. Затем маршрутизатор будет повторять этот запрос во всей локальной сети, таким образом перегружая трафик.

Примечание Известно несколько типов Land-атаки, однако всем им присуще использование фальшивого (spoofing) IP адреса источника.

Большинство DOS-атак выполняется из компьютеров, находящихся вне локальной сети, поэтому для защиты от них наиболее эффективны брандмауэры. Так называют аппаратный или программный маршрутизатор, установленный между вашей внутренней и остальной сетью общедоступной или частной (private). Этот маршрутизатор путем входной фильтрации (ingress filtering) проверяет пакеты и отбрасывает неприемлемые. Как показано в гл. 14, некоторые средства обслуживания для внесения сообщений в список используют порты. Например, в SNMP применяют порт с номером 161. В зависимости от типа сети, можно заблокировать внешний доступ к управляющим портам (administrative ports), с тем чтобы управлять маршрутизатором только изнутри локальной сети.

Примечание На практике можно сначала заблокировать все порты, а затем открывать их только по мере необходимости. Таким образом вы можете обеспечить начальную защиту сети. Кроме того, вас будут считать отличным парнем, который предоставляет доступ к ресурсам, а не сквалыгой, который отнимает ресурсы.

Чтобы гарантировать корректную работу брандмауэра, его программное обеспечение следует регулярно обновлять пакетами, выпускаемыми производителями, для исключения "уязвимых мест".

Совет Обязательно отслеживайте пакеты, которые отбрасывает ваш брандмауэр, если их характер позволяет заподозрить намеренные попытки взлома сети.

Удаление данных Когда вы подвергаетесь DOS-атаке, то на первых порах бывает трудно сориентироваться в обстановке. С одной стороны, сеть просто замедляет или прекращает работу, и вы не в состоянии немедленно найти причину, с другой — исчезновение данных обнаружить несложно.

Следовательно, чтобы поддерживать доступность данных, следует убедиться в наличии их архивных копий и недоступности для рядовых пользователей разрушающих утилит (destructive utilities).

Архивируйте!

Первый "рубеж" защиты от потери данных заключается в постоянном создании резервных копий. Подробнее различные стратегии архивирования, а также другие меры защиты рассматриваются в разделе "Восстановление после аварий".

Скрывайте разрушающие утилиты До повсеместного распространения операционной системы Windows, сокрытие разрушающих утилит не представляло труда. Так, если вы не хотели, чтобы кто-нибудь использовал утилиту FORMAT и разрушил свой жесткий диск, можно было переименовать эту утилиту (как и утилиты DELETE или DELTREE). В качестве дополнительной защитной меры можно было использовать атрибут -h, который скрывает файлы так, что они не отображаются в списке команды DIR. Для практического применения вам следовало знать, какие инструменты и под какими именами там находятся, и только тогда вы смогли бы воспользоваться ими. Это удерживало уволенных служащих от ввода команды DELETE С: в последний день работы с целью уничтожения учетных файлов либо от случайного форматирования жесткого диска вместо гибкого.

Это было счастливое время! Теперь же "смертоносные" инструменты находятся на каждом рабочем столе, а удалить их оттуда — непросто. Для пользователей, применяющих системы двойной загрузки Windows NT/ Windows 95/98 есть даже новая опасность — команда CONVERT. На первый взгляд она совершенно безобидна. Это инструмент для конвертирования томов FAT в тома NTFS, что позволяет более производительно использовать дисковое пространство крупных дисков, а также дополнительные средства защиты, отсутствующие в FAT. Конвертирование не затрагивает данных, хранящихся на диске, поэтому инструмент кажется безвредным. Единственный недостаток его заключается в том, что Windows 95/98 не в состоянии читать тома NTFS, а результаты работы утилиты CONVERT необратимы. Чтобы сделать тома NTFS снова видимыми в Windows 95/98, можно сформатировать жесткий диск обратно в файловую систему FAT и восстановить данные, уничтоженные форматированием.

Совет Хотя Windows NT 4 (и старшие версии) не могут читать тома FAT32, которые поддерживаются Windows 95 OSR2 и Windows 98, не беда, если диск с FAT на компьютере с двойной загрузкой конвертируется в файловую систему FAT32. Существует инструмент, называемый "FAT32 for Windows NT", позволяющий Windows NT 4 свободно читать тома FAT32. Его можно загрузить с узла www.sysinternals.com. Установите этот инструмент - и тома станут доступными.

Если ваши клиенты используют Windows и сервер IE4, тогда инструменты действительно трудно удалить, поскольку броузер интегрирован с интерфейсом File Manager (диспетчер файлов). Если вы используете IE4 и обладаете хорошими навыками работы на компьютере, то уже поняли, что сможете просмотреть содержимое любого логического диска вводом имени этого диска. (Фирма Netscape не предусмотрела просмотр локальных дисков с помощью броузера.) Если вы уже сделали это, интерфейс изменяется так, что открывается доступ ко всем инструментам управления файлами (file management tools), в том числе и к упомянутым выше инструментам форматирования и удаления.

Что можно сделать в этом случае? Во-первых, можно использовать набор системных правил (system policies), рассмотренный в гл. 14. Они ограничивают число приложений, которые могут запускать пользователи сети. (Между прочим, это означает также блокировку команды Run (Выполнить) меню Start (Пуск), а также блокировку Explorer (Проводник), да и вообще удаление любого средства пользовательского интерфейса, которое дает возможность пользователям открывать запрещенные приложения.) Если просмотр пользователями их логических дисков нежелателен, не используйте IE4 и его позднейшие версии. Ограничьте доступ к дискам и держите под рукой их архивные копии на тот случай, если кто-нибудь по ошибке отформатирует не тот диск.

Физическая защита Для защиты сети очень важно установить разрешения на доступ и систему идентификации пользователей. Другие вопросы защиты связаны с возможностью доступа не только к логическим, но и к физическим компонентам сетевого оборудования.

Защита серверов Защита серверов выполняется не всегда, но достаточно часто. Особенно заботятся об этом крупные фирмы, устанавливая серверы в отдельных запертых комнатах и предусматривая специальные меры по их бесперебойному функционированию.

Изоляция серверов Самый надежный метод защиты серверов — установка в закрытом помещении, причем иногда за двумя дверями. Чтобы исключить необходимость замены замков при смене персонала, для защиты доступа к серверным помещениям можно использовать электронный кодовый замок.

Установка серверов взаперти весьма эффективна, хотя и обходится недешево.

Во-первых, она не позволит злоумышленникам приблизиться к серверу: они не сумеют выполнять задачи сетевого администрирования, либо просто-напросто красть жесткие диски.

Во-вторых, уменьшает вероятность случайного повреждения сервера, что вполне возможно, если персонал постоянно ходит мимо него. Действительно, возле сервера положено находиться исключительно штату информационного отдела (IS).

Устранение средств физического останова сервера Если вы не в состоянии содержать сервер взаперти, все же можете защитить его, заблокировав физические средства останова - кнопку Reset (Перезапуск) или выключатель комЛокальные сети. Полное руководство пьютера (на компьютерном жаргоне он называется Big Red Switch — Большая красная кнопка).

Разумеется, если это действительно необходимо, компьютер можно выключить, просто перерезав кабель питания, однако это небезопасная и "грязная" работа.

Весьма вероятно, что вам понадобится заблокировать инструменты отключения на этапе входного диалога (login screen), если, конечно, он есть вообще. В самом деле, сервер невозможно отключить, если предварительно не войти в него. Конечно, это затруднит его перезагрузку, если она действительно понадобится, однако в этом случае никто не спутает действующий сервер с испытательным (test server), и не выключит его во время работы пользователей с открытыми файлами — нечто подобное случилось на моих глазах несколько лет назад.

Защита от электронного шпионажа Если вы все еще не слишком напуганы возможностью взлома вашей сети, сообщим вам, что существует также возможность электронного шпионажа (electronic surveillance). Вероятность ее невелика — большинство людей не собираются взламывать вашу систему. Однако если вы работаете с данными, которые привлекают внимание подобного рода, следует принять профилактические меры — опасность достаточно реальна.

Приходилось ли вам видеть кинофильм, в котором автофургон, набитый людьми, подкатывает к дому и перехватывает электромагнитные сигналы? Существует несколько типов электронного шпионажа. Один из них называют бурный натиск (tempest attack). Хорошо оснащенные системные кракеры (system crackers) могут перехватить электромагнитное излучение ваших компьютеров и таким образом раскрыть ваши пароли и сообщения. Можно также перехватить электромагнитное излучение, генерируемое вашим монитором, и восстановить изображение на его экране. (Этого можно избежать, если использовать мониторы с пониженным уровнем излучения, но устаревшие модели в этом отношении уязвимы.) Что вы можете предпринять? Самый эффективный путь избежать подобной "атаки" — хороший (и большой) экран, не пропускающий электромагнитное излучение за пределы помещения или здания, в котором оно генерируется. Для экранирования комнаты либо оборудования можно использовать технологию экранирования TEMPEST. В основном она используется правительственными агентствами и подрядчиками Министерства обороны. Если вы действительно обеспокоены угрозой электронного шпионажа, можно воспользоваться коммерческим вариантом этой технологии. В ней отсутствуют разнообразные дополнительные средства полной версии, однако и она обеспечивает неплохую защиту.

Примечание TEMPEST (буря) - это секретное кодовое имя (classified code name), а не акроним.

Если вы не можете позволить себе использовать TEMPEST, можно воспользоваться некоторыми простейшими контрмерами. Разумеется, абсолютной защиты не существует, однако вы можете, по крайней мере, затруднить перехват кондуктивных электромагнитных помех (EMI — Electro-Magnetic Interference ) от вашего компьютера или сети.

Используйте малошумящие компьютеры (quiet computers). С точки зрения интенсивности электромагнитных излучений конструкция всех компьютеров должна соответствовать определенным правилам федеральной комиссии связи (FCC). Тем не менее, любой компьютер — это источник электромагнитных волн. Компьютеры, сертифицированные для домашнего пользования (класс В), излучают меньше EMI, чем те, что предназначены для производства (класс А), поэтому используйте компьютеры класса В. Более того, не эксплуатируйте компьютер со снятой крышкой и не снимайте заглушки со свободных слотов. Это полезно еще и потому, что в этом случае вентилятор компьютера работает эффективнее.

Если же вы всерьез озабочены электромагнитным излучением, поместите компьютер в "клетку Фарадея". Это устройство не пропускает электромагнитные волны и, следовательно, они не могут быть перехвачены шпионским оборудованием.

Экранируйте ваши кабели либо используйте кабели, не излучающие передаваемый сигнал. Как уже было сказано в гл. 1, медные провода, из которых состоит кабельная система сети — это, по сути, просто огромная антенна. Чтобы не позволить ей показать свою истинную природу, провода экранируют. Чем лучше экранирование, тем ниже уровень излучаемых (и принимаемых) сигналов. В этом смысле наилучшую защиту от электронного шпионажа обеспечивают оптоволоконные кабели, поскольку они вовсе не излучают сигнал. Конечно, они кабели уязвимы к перехвату с помощью отводов, однако это уже требует физического доступа к кабелю.

Примечание Случалось ли вам ненароком подслушать телефонный разговор вашего соседа по бесшнуровому (cordless) телефону? Точно так же, когда вы используете беспроводную сеть, следует шифровать все передаваемые данные, если вам вообще необходима защита.

Разумеется, сетевые кабели — не единственный потенциальный источник помех. Защищайте фильтрами еще и силовые кабели, а также телефонные провода.

Если вы хотите оценить интенсивность излучения помех вашей сетью, возьмите портативный радиоприемник, рассчитанный на прием сигналов с амплитудной модуляцией (AM), и пройдитесь по офису, поднося приемник к кабелям и компьютерам. В идеальном случае, когда вы подносите приемник близко к какому-либо компоненту сети, вы не должны услышать значительного усиления шума сверх обычных помех.

И, наконец, не принимайте все это близко к сердцу. Маловероятно, чтобы кто-нибудь шпионил за вами подобными методами. Некоторые меры, предлагаемые здесь (вроде клетки Фарадея), совершенно излишни для большинства читателей этой книги. И все же, сеть с низким уровнем помех — отличная штука.

Защита от вирусов Последний элемент сетевой защиты, которую мы рассмотрим в этой главе, относится к вирусам. С технической точки зрения вирусами обычно называют бесконечно исполняемые модули (self-perpetuating executables), которые тайно заносятся в ваш компьютер. В более общем смысле вирусом называют любую бесконечно исполняемую злонамеренную программу (malicious program). Для простоты я буду придерживаться последнего определения, потому что не собираюсь отдельно обсуждать атаки червей (worms) — вредных, но не бесконечно исполняемых программ, а также троянских коней (Trojan Horses).

Берегитесь вирусов!

Существует множество злонамеренных программ (malicious codes), которые не способны к бесконечному исполнению и поэтому, строго говоря, не относятся к вирусам. Тем не менее, они весьма опасны и нежелательны. В 1998 г. один из злонамеренно исполняемых модулей (malicious executable — ME), называемый BackOrifice, вызвал немалый шум в прессе. Эта программа при попадании в компьютер Windows 95/98 позволяет злоумышленнику дистанционно управлять компьютером по Internet. Существует несколько менее известная МЕ-программа, чем BackOrifice, которую называют NetBus, работающая в компьютерах Windows NT.

Вам еще не страшно? Есть и другие возможности, включая аплеты Java, спроектированные для повреждения броузеров, компоненты ActiveX, представляющие собой любую исполняемую программу, а также невинные файлы с расширением.ЕХЕ - фактически пакетные файлы, форматирующие ваш загрузочный диск (boot drive).

Из всего этого следует: не запускайте приложения из неизвестного источника. Даже если это не вирус, оно все равно может испортить вам весь день.

Какое бы определение вы не использовали, присутствие вирусов в компьютере или сети совершенно нежелательно. Даже если они не относятся к явно разрушительным средствам, вирусы раздражают, вмешиваясь в вашу работу и потребляя ресурсы, которым можно найти лучшее применение. Один мой друг — отошедший от дел хакер-кракер — однажды рассказал мне, что создатели вирусов не пользуются уважением даже среди "черных шляп" (black hat), т.е.

преступных или, по меньшей мере, нелегальных членов сообщества хакеров. Как поведал мой друг, если вы занимаетесь программированием и хотите чем-либо похвастать, создайте лучше полезную программу (например, WinZip) и сделайте ее всеобщим достоянием.

Единственная польза, которую вирусы приносят обществу, заключается в том, что держат на плаву бизнес гг. Нортона (Norton), доктора Соломона (Dr. Solomon) и других творцов антивирусных программ. Однако, по моему мнению, это недостаточное оправдание для их разработки.

Типы вирусов Вирусы образуют весьма неоднородную группу. Различные вирусы вредят по-разному, а метод их атаки зависит от их типа. Тем не менее, большинству вирусов присущи такие общие элементы.

Воспроизводящийся элемент (червь).

Полезная нагрузка (payload).

Логическая бомба (logic bomb), определяющая условия, при выполнении которых должна запускаться полезная нагрузка.

Метод маскировки (троянский конь).

Данные элементы позволяют вирусу размножаться, запускать свою небольшую подпрограмму (какой бы она ни была) и маскировать себя так, чтобы он смог сделать свою грязную работу. Не во всяком вирусе содержатся все перечисленные выше компоненты. У "честного" троянского коня, который прикидывается экранной заставкой, а затем стирает содержимое жесткого диска, мало шансов размножиться. Точно так же просто работающий червь, создавая множество собственных копий, пожирающих системные ресурсы, не всегда замаскирован.

Кроме того, вирусы можно характеризовать по операционной среде, которую они предпочитают. Если вирус присоединяется к другой программе, его называют паразитным или программным вирусом. Если же вирус в основном присоединяется к загрузочному сектору диска с данными, его называют загрузочным (или бутовым) вирусом (boot sector virus).

Примечание Некоторым вирусам присущи черты как программного вируса, так и загрузочного.

Единственный элемент, присущий всем вирусам — исполняемый модуль (executable element) какого-либо типа. Вирус — это программа. Следовательно, файл ASCII (скажем, сообщение электронной почты) не может быть вирусом. Конечно, вирус можно отослать как вложение в сообщение электронной почты, и если вы будете настолько неосторожны, что автоматически запустите все вложения сразу по их поступлению, вы станете "рассадником" вирусной инфекции. Однако повторяем: само по себе сообщение электронной почты не может быть вирусом — это просто невинный наблюдатель.

Программные вирусы Программные вирусы начинают свою работу с инфицирования обычных файлов программ, в том числе и тех, что используются самой операционной системой. При запуске инГлава 15. Защита сетей фицированного файла программы вирус "взводится", подобно фанате. Он не обязательно "взрывается" сразу после запуска, однако это обязательно произойдет при выполнении некоторых логических условий.

Заражение документов. В настоящее время самый распространенный тип вирусов, встречающихся в "прериях" (т.е. за пределами вирусных лабораторий) — это макровирусы (macro viruses). Макровирусы представляют собой макросы Microsoft Office точно такие же, как и создаваемые вами. Как правило, они поражают файлы Microsoft Word. Современные вирусы создаются с помощью средств языка Visual Basic for Application (VBA) и "живут" в среде Office 97, однако некоторые пишут вирусы на Word-Basic и поэтому такие вирусы могут инфицировать файлы, созданные с помощью устаревших версий приложения Word. Несложный синтаксис этих языков позволяет писать макровирусы даже неопытным программистам — возможно, тем и объясняется их широкое распространение.

Макрос присоединяется к шаблону документа. Когда вы открываете документ, макрос инфицирует все открытые шаблоны (особенно файл NORMAL.DOT — стандартный шаблон всех документов Word). Кроме того, вирус делает то, что предусмотрено его полезной нагрузкой (payload) -вынуждает сохранять изменения, внесенные в документ, в новом файле вместо редактирования существующего, пытается удалить системные файлы или просто инфицирует каждый файл который вы открываете, с целью распространения.

Примечание Макровирусы Word невозможно передать в другой текстовый процессор, даже если он может отображать инфицированные документы. Разумеется, можно написать макровирусы для любого приложения, поддерживающего макроязык (macro language), однако до сих пор этого не случилось. Во всяком случае, такие вирусы не были замечены в "прериях".

Быстрому размножению макровирусов способствовали электронная почта и широкая популярность Word. В наше время большинству людей следует соблюдать определенную осторожность, когда они собираются запускать новую программу, поступившую из неизвестного источника. (Если до сих пор вас это не заботило, надеюсь, прочитав этот раздел, вы станете бдительнее.) Документ — это просто документ, верно? И вот некто посылает вам файл для ознакомления, и чтобы его открыть, вы щелкаете на ссылке в окне своего клиента электронной почты. Вы не всегда думаете о том, что документ прежде всего следует проверить на наличие вирусов. К сожалению, для отражения атак вирусов пользователи ПК должны поступать с вирусами точно так же, как клиенты Macintosh обязаны были поступать изначально: проверять все.

В операционной системе Macintosh каждый файл данных связан с исполняемым файлом. Это означает, что в компьютерах Macintosh вирусы будут бурно размножаться. Теперь же, когда эти вирусы — часть файлов данных ПК, владельцам ПК приходится проявлять ту осторожность, которая всегда была обязательной чертой пользователей Macintosh.

Как можно справиться с макровирусами? Одно из решений - защита от записи файла общего шаблона Word (NORMAL.DOT), однако это означает, что и вы тоже не можете его изменить. Если вы запускаете Office 97, не следует пренебрегать подсказкой Word, появляющейся при попытке открыть документ, содержащий какие-либо макросы. Затем вам следует задействовать или блокировать все макросы документа. (Одно из последствий широкого распространения макровирусов проявилось в снижении полезности макроинструментов (macro tool), поскольку людям не нравится использовать вставку в документ макроса, который может оказаться вирусом.) Лучший способ избежать инфицирования большинством вирусов заключается в применении и постоянном обновлении антивирусных программ. Когда кто-нибудь присылает вам документ по электронной почте, перед открытием проверьте его на наличие вирусов.

Если же ваш общий шаблон инфицирован, вы можете просто удалить файл NORMAL.DOT и уничтожить вирус. При повторном запуске приложения Word следует создать новую копию общего шаблона.

Новая мишень — системный BIOS. Это уже нечто новое. Я не собираюсь подробно описывать большинство вирусов, но вот этот — единственный в своем роде — потенциально очень опасен.

Вплоть до лета 1998 г. вирусы представляли собой чисто программную проблему. Они могли перезаписать главную загрузочную запись (Master Boot Record — MBR) на вашем жестком диске либо отформатировать диск, однако обе проблемы устранялись с помощью архивов. Конечно, это раздражало пользователей и могло разрушить систему, если вы не предпринимали надлежащих мер, однако с этим можно было смириться.

Все изменилось в июне 1998 г. с появлением вируса CIN. Этот программный вирус инфицирует.ЕХЕ-файлы, распределяя код вируса (virus code) по нескольким файлам.ЕХЕ и скрываясь в неиспользуемых областях исполняемых файлов. Полезная нагрузка (payload) выполняется 26 числа каждого месяца (или 26 июня, в зависимости от разновидности вируса, который вы "подцепили"). Этот вирус перезаписывает часть системной BIOS и первый 1 Мбайт загрузочного диска, в котором хранится MBR. Вирус воздействует на все компьютеры Windows 95/98 с системой BIOS, хранимой во флэш-памяти. Если BIOS вашего компьютера предназначен только для чтения (точнее, он хранится не во флэш-памяти — Прим. ред.), как это предусмотрено в устаревших ПК, вирус не сумеет инфицировать компьютер. Если вы не уверены, возможно ли обновление содержимого флэш-памяти с BIOS вашего компьютера (flash updates), сверьтесь с документацией на компьютер или запросите информацию у производителя.

Проблему главной загрузочной записи можно решить, если вы архивировали вашу MBR, однако вы не сможете нормально загрузиться, пока не перезапишете BIOS. В некоторых компьютерах предусмотрена возможность копирования содержимого BIOS, так что если ваша система допускает, и вы воспользовались этим, восстановление возможно. В противном случае вам придется покупать новую BIOS и уповать на то, что микросхема BIOS не припаяна к материнской плате — иначе вам придется купить и новую материнскую плату.

Хотя трудно сказать, насколько широко распространился вирус CIN, но его существование в компьютерных прериях не вызывает сомнений. Кроме того, в конце 1998 г. он "мутировал" и сейчас встречается, по меньшей мере, в двух формах.

Загрузочные вирусы После макровирусов, второй наиболее распространенный тип вирусов, который сегодня можно встретить в прериях — загрузочные вирусы. Они активизируются и становятся заразными при чтении загрузочного сектора инфицированного диска: с этого момента вирус загружается в память и может инфицировать остальные диски, например, гибкие.

Загрузочные вирусы легко передаются, когда информация между компьютерами в основном "перемещается" с помощью гибких дисков. Какой-нибудь пользователь с вирусом в загрузочном секторе мог передать вам дискету с электронной таблицей, скажем, объема сбыта за январь. Вы скопируете эту таблицу на свой жесткий диск, причем при этом компьютер в целом еще не будет инфицирован. Однако если по рассеянности вы оставите эту дискету в дисководе (в устройстве А:) и перезагрузите компьютер, то инфицируете ваш компьютер, когда BIOS будет читать загрузочный сектор гибкого диска. Причем не имеет значение, является ли гибкий диск загрузочным — к заражению приводит даже доступ к диску. После инфицирования вашего диска при каждой последующей загрузке вирус будет попадать в память и инфицировать гибкие диски.

В настоящее время загрузочные вирусы все еще широко распространены, хотя их "значение" уменьшается. Локальные сети намного упростили совместное использование файлов, так что дискеты и сеть SneakerNet (в которой для копирования файлов на дискеты используются пешие переходы между компьютерами) применяются все реже. Что еще важнее, вездесущая Internet и доступ к другим видам электронной почты намного облегчили передачу файлов даже между компьютерами, расположенными в разных сетях.

Чтобы избежать инфицирования загрузочными вирусами, достаточно просто не загруГлава 15. Защита сетей жаться с дискет. Вы должны выработать привычку всегда извлекать дискету из дисковода, т.е.

должны избегать загрузки компьютера с дискеты. Отредактируйте установки BIOS так, чтобы система сначала искала загрузочный диск с:, а затем А:. Избежать инфицирования дискет можно, прежде всего защитив их от записи, таким образом предотвратив запись на них вирусов.

Предупреждение Проявляйте особую осторожность при изменении порядка загрузки (boot order). Если вы случайно сделаете так, что компьютер будет загружаться с CD-ROM, он пытается загрузиться с компакт-диска, если тот вставлен в дисковод. В подобных случаях система обработки ошибок ненадежна: в некоторых компьютерах вы узнаете только то, что этот диск несистемный. Это ужасно, если вы полагаете, что читаете жесткий диск.

В качестве альтернативы, блокируйте загрузку только с дискет — именно такая конфигурация обычно присутствует в хорошо защищенных машинах. Тонкие клиентные устройства, скажем, терминалы Windows, вообще не могут инфицироваться загрузочными вирусами, поскольку в них нет каких-либо дисков.

Некоторые загрузочные вирусы полиморфны, иными словами, они загружаются в память, подобно программным вирусам, описанным ранее.

Предохраняйтесь от инфицирования Насколько опасны вирусы? Автор книги работает с компьютерами в том или ином качестве в деловых офисах и консультационных фирмах с начала 80-х гг. Исходя из своего опыта могу поведать вам, что за это время мне лично довелось встретить только два вируса, не поддающихся тестированию, т.е. инфицирование произошло случайно. Один из вирусов относился к макровирусам, второй - к загрузочным. Иногда в разговорах с коллегами мне доводилось слышать и о других типах инфекций, но не слишком часто. Вам следует остерегаться вирусов, но не следует паниковать. Если вы предпринимаете те или иные меры защиты, заодно следует подготовиться и к прочим неполадкам. Основная мера защиты — регулярное архивирование.

Тогда худшее, что может случиться при атаке любого вируса -публичный скандал, когда клиент обнаружит, что вы прислали ему инфицированный файл.

Помните: вирус — это программа. Поэтому сообщение электронной почты само по себе не может быть вирусом. Тот, кто посылает вам вложение в сообщение электронной почты, не сможет инфицировать ваш компьютер. Тот, кто передает вам дискету, которую вы вставляете в дисковод, тоже не в состоянии сделать это. Чтение с дискеты не приводит к инфицированию компьютера, пока вы не запустите на нем инфицированную программу. Машину инфицирует запуск вируса или загрузка с инфицированного загрузочного сектора. Выше указано, что для инфицирования достаточно просто получить доступ к диску.

Лучший метод избежать инфекции — использование сканера или монитора вирусов.

Сканер вирусов (virus scanner) сканирует программные файлы, отыскивая известные вирусные сигнатуры (virus signatures) (шестнадцатиричные строки). Монитор вирусов (virus monitor) представляет собой резидентную программу TSR (Terminate and Stay Resident — завершить и остаться резидентной) — точно также ведет себя и сам вирус. Монитор вирусов (virus monitor) наблюдает за активностью, свойственной вирусам (например за записью в загрузочный сектор).

Постоянно обновляйте антивирусные инструменты новыми средствами, регулярно присылаемыми с Web- или FTP-узлов разработчиков. Тогда вы будете располагать новейшими известными вирусными сигнатурами. Ссылку на источники антивирусных инструментов вы можете найти и на Web-узле, адрес которого указан в Приложении А данной книги.

Совет Иногда вам будут советовать запустить сразу два антивирусных монитора, исходя из принципа, согласно которому то, что пропустит один монитор, найдет другой. По утверждению Давида Стэнга (David Stang), специалиста по вирусам и учредителя Национальной ассоциации по защите компьютеров (National Computer Security Association), этого делать не стоит. В лучшем случае, вы не исправите ситуацию. В худшем - взаимодействие мониторов будет мешать работе и может даже привести к их же повреждению.

Как выбирать антивирусные инструменты? Трудно придумать какую-то надежную систему оценок. Некоторые создатели антивирусных инструментов утверждают, что их инструмент лучше, поскольку обнаруживает большее число вирусов, чем конкурирующие, но в таком деле погоня за числом может быть обманчива. В некоторых продуктах пять вариантов одного вируса засчитывают как пять разных вирусов, а в некоторых — как один. Кроме того, некоторые вирусы мутируют, используя для этого Mutating Engine (машину мутаций), становясь полиморфными. Это означает, что один вирус еще можно обнаружить, а его ближайшего родственника — уже нет.

Более осмысленную оценку антивирусных программ дают тесты, в которых эффективность нескольких продуктов по отношению к заданному набору вирусов сопоставляется с продуктом, который полагается наиболее эффективным. Небольшие различия несущественны.

Так, например, сканер, который по ходу испытаний обнаружил 97% вирусов, не имеет особых преимуществ перед тем, который обнаружил 95%. Однако, если различие значительно, его следует принять во внимание. В целом, помимо таких процентных оценок успехов и неудач, рекомендую при выборе пакета основываться на критериях, приведенных в табл. 15.2.

Скорость Какова скорость работы сканера? "Медлительный" — вызывает у Используемая память Какую память использует сканер: обычную (conventional) или верхнюю (upper)? Какой объем памяти необходим для нормальной работы?

Число ошибок Сканер, который допускает множество ошибок (т.е. сообщает о несуществующих вирусах), лучше не использовать вообще. Помните притчу Частота обновлений Постоянно появляются новые вирусы. Как часто разработчики обновляют ваш инструмент, чтобы он соответствовал изменениям? Сколько Цена Сколько стоит сам инструмент? Каковы условия лицензирования?

Платформа Может ли сканер работать с вашей операционной системой? Что надо сделать, чтобы тщательно просканировать компоненты ПК?

Просмотрите эту таблицу, а затем в зависимости от полученных ответов выберите подходящий антивирусный сканер. Предпочтительно защитить как серверы, так и рабочие станции, но если вы должны выбрать одно из двух, защищайте рабочие станции. Вероятность инфицирования сервера намного меньше.

Выводы Защита сетей — обширная тема, хотя в этой книге ей посвящена одна-единственная глава. Однако, прочитав эти страницы, вы прочувствуете ситуации, за которыми необходимо наблюдать, а также меры, которые необходимо предпринять для защиты сети. Кратко они сводятся к следующим.

Прежде чем вводить в действие любой план защиты, определите, что именно жизненно опасно для вашей сети. Вы не сможете подготовиться ко всему, поэтому подготовьтесь к тому, что является наиболее вероятным.

Составьте калькуляцию и оцените стоимость защиты и стоимость защищаемых данных.

Используйте методы идентификации пользователей, чтобы разрешить доступ к сетевым ресурсам только зарегистрированным пользователям, а также закройте защитную информацию по учетным записям пользователей.

Если вам необходима дополнительная защита, зашифруйте данные.

Защитите вашу сеть от внешних атак, которые могут разрушить программы и данные.

Если вы сумеете сделать все это, и если вы везучий человек, можете пропустить последнюю главу. Если же вы — такой же человек, как и все мы, рекомендую прочитать и ее.

Упражнение 1. Каково назначение SID в сетях Windows NT?

2. Фирма Microsoft рекомендует использовать пароли длиной не менее _ символов.

3. Что такое L0phtcrack и каковы его функции?

4. елит пользователей на группы, которым предоставляются права и разрешения на доступ к объектам. для назначения прав делит пользователей по организационным единицам (OU).

5. В какое число OU может входить пользователь, если применяется система NDS?

6. RSA — пример криптографической системы.

7. Ответьте, "да" или "нет". В PGP используется симметричное шифрование.

8. DES — пример криптографической системы.

9. Что такое CHAP и как он работает?

10. Что обеспечивает лучшую защиту: CHAP или РАР? Почему?

11. В каких случаях следует использовать сервер, поддерживающий протокол RADIUS?

12. Что такое привязки и почему они важны?

13. Внешняя атака, которая перегружает сервер настолько, что он не может обрабатывать обычные запросы, служит примером атаки_.

14. Что делает IE4 при задании набора разрешений на выполнение приложений?

15. Ответьте, "да" или "нет". Вирусы воздействуют только на программное обеспечение.

16. Что из перечисленного ниже не защитит вас от бурного натиска (tempest attack)? Выберите все, что возможно.

A. Использование монитора с низким электромагнитным излучением.

C. Установка фильтров EMI на телефонные и силовые кабели, D. Установка на сервере защиты от вирусов.

17. Какой тип вируса самый распространенный в настоящее время?

Глава Восстановление после аварий Замысел этой книги зародился много лет назад на курсах по построению, обслуживанию, сопровождению и ремонту локальных сетей. Курсы посещали люди, занимавшиеся обслуживанием сетей и сетевые администраторы. Одни пришли из мира персональных компьютеров, другие — из среды мэйнфреймов. Некоторые уже имели какой-то опыт, однако желали пополнить свои знания. И вот, когда мы приступили к планированию аварийных работ, урок начинался примерно с такой беседы:

— Кто из вас имеет разработанные планы восстановления после аварий?

Большинство поднимают руку.

— А у кого из вас есть разработанные письменные планы восстановления после аварий?

Множество рук опускается.

— Ну а кто из вас проверил эти планы на практике и внес соответствующие поправки?

Большинство слушателей опускают руки и смотрят потупившись. Можно побиться об заклад, что единственный ученик, который все еще не опустил руку, либо лжет, либо не расслышал последний вопрос.

В жизни каждого из нас рано или поздно наступает ситуация, когда все разваливается.

Сервер не загружается. Офис сгорает. Резервные копии не читаются. Совсем не смешно представить себе файловый сервер, пожираемый огнем, однако чертовски полезнее подумать об этом загодя, чем впоследствии объяснять вашему боссу, почему вы не можете восстановить первоначальное состояние сети. В этой главе рассматривается планирование восстановительных мероприятий после аварий, и то, кто должен этим заниматься, что именно нужно предусмотреть в этом плане и некоторые вероятные решения, которые вы можете реализовать для предотвращения или восстановления после аварии.

Виды аварий в сетях Слово "авария" звучит драматично. Если вы думаете об аварии как о стихийном бедствии либо как о взрыве бомбы в World Trade Center (Всемирный торговый центр) в Оклахома Сити, то значит вы не в состоянии представить ее как нечто близкое и реальное.

На практике аварией можно назвать любое событие или обстоятельство, мешающее нормальной работе вашей фирмы или организации в течение неопределенного времени. При этом данные могут остаться неповрежденными. Авария — просто "нечто, прерывающее работу". Теперь оно уже не кажется нам чем-то абстрактным и далеким.

Потенциальные причины аварий можно разделить на три категории.

Внешние события (например, стихийные бедствия);

Неисправности оборудования.

Последствия человеческих поступков.

Конечно, эти категории отнюдь не взаимоисключающие: внешнее событие может привести к неисправности, а какая-нибудь неисправность вполне может привести к такому поведению пользователя, которое усугубит аварию. С точки зрения восстановления после аварии причина ее не всегда имеет решающее значение. Однако при подготовке к аварии, важно представлять ее вероятную причину.

Аварии, вызванные внешними событиями Проживая в разных местах почти на всей территории Соединенных Штатов, я убедилась, до какой степени стихийные бедствия могут помешать и даже приостановить работу предприятия. Например, ураган — отличный пример аварии, обусловленной внешним событием. Вы обязаны прекратить работу и начать эвакуацию; ливень может нанести огромный ущерб, если не хуже; у вас исчезают необходимые источники снабжения; электроэнергия отключается и т.п. Кроме того, в Калифорнии бывают еще пожары и землетрясения; на среднем западе нередки торнадо; в Новой Англии случайные снежные бури прерывают электроснабжение и засыпают дороги; не забудьте также наводнения и грозы.

События, вызывающие аварии, вовсе не должны быть такими значительными, как землетрясение или ураган Джорж (George). Несомненную угрозу представляют пожары в одном из зданий офисной стоянки автомобилей, а также прорыв водопроводной трубы, вследствие которого вода заливает часть вашего здания. Даже если авария не затронула напрямую ваш офис, вы почувствуете ее последствия. Несколько лет назад в одном из городов Виржинии, где я жила, случилось большое наводнение. Я живу и работаю на вершине одного из холмов, так что ничего не заметила, кроме сильного дождя. Однако мой телефон не работал два дня, поскольку река, протекающая через город, поднялась на 30 футов и залила телефонные линии.

Если же вы работаете с сетью с помощью средств удаленного доступа, то отказ телефонных линий — сравнительно небольшая авария (напрямую не затрагивающая сеть), если ее оценивать с точки зрения затруднений или невозможности нормального ведения дел.

Итак, идея понятна. События могут не затронуть вас непосредственно, однако они могут нарушить всю вашу работу.

Неисправности оборудования Любое оборудование — даже изготовленное на базе полупроводниковой (твердотельной, т.е. не имеющей движущихся частей) техники — периодически выходит из строя. Чем большим количеством оборудования вы располагаете, тем выше вероятность отказа одного из компонентов. Причем неисправность не обязательно затрагивает именно тот компонент, который нужен вам для работы. Например, если выходит из строя кондиционер, а погода жаркая, вы не можете запустить серверы, даже если уговорите сотрудников работать при температуре 95 градусов (по Фаренгейту). Если попытаться запустить сервер на такой жаре, он не будет работать.

К счастью, неисправности оборудования нетрудно предвидеть и спланировать ответные действия. Во всяком случае, устранять их проще, чем аварии, произошедшие по вине самого человека.

Проблемы человеческого поведения Большинство людей, живущих в одной части страны хотя бы год-два, могут достаточно точно предвидеть проблемы, связанные с климатическими условиями. А проблемы из-за неисправностей можно решить за счет внесения избыточности в оборудование.

Проблемы, вызванные человеческим поведением, могут быть совсем иного порядка.

Сюда относятся как очевидные проблемы, вроде эпидемии гриппа или забастовок, но, к счастью, они не часто беспокоят сетевого администратора либо остальной технический персонал, если они сами не склонны к болезням и забастовкам. Однако намеренный саботаж (первый шаг к тому — ввод команды DELETE *.*), пренебрежение рекомендациями по компьютерной безопасности и занесение в сеть вирусов, самовольная установка и распространение в офисе нелицензированных программ, навлекающие на вашу голову гнев SPA — это тоже проблемы, вызванные человеческим поведением, и они относятся к числу тех, которые затрагивают вас напрямую.

Подготовка к аварии – архивирование Еще до того как вы начнете обдумывать план восстановления после аварии, следует обдумать процедуру архивирования. Архивирование — настолько важная составляющая плана администрирования сети, что оно должно стать "естественной" частью вашей сети, а не частью плана восстановления после аварии.

Помимо того, что архивирование позволяет восстановить сетевые данные, когда кто-то всадит пулю в жесткий диск файлового сервера, оно полезно и в других, менее драматических, но потенциально опасных ситуациях.

При замене искаженных файлов:

При необходимости ввода копий файлов, которые в последний раз использовались несколько лет назад.

Эти проблемы — пустяки по сравнению с трудностями, возникающими при восстановлении файлов данных всей фирмы, но тем не менее, они всегда должны учитываться.

Методы архивирования В операционных системах Windows применяются, по меньшей мере, четыре метода архивирования (табл. 16.1). Для настройки системы архивирования в каждом случае поразному используются установки бита архивирования в атрибутах файла.

Полное (Full) Выбранные независимо от установки бита Да Добавочное (In- С установленным битом архивирования Да cremental) Разностное (Differ- С установленным битом архивирования Нет ential) Ежедневное С установленным битом архивирования и Нет (Daily) указанием даты архивирования Примечание Здесь приведены общепринятые методы архивирования. В некоторых утилитах архивирования предусмотрены дополнительные параметры. Например, в утилите Backups Exec 7.x фирмы Seagate - установки, позволяющие архивировать все файлы, к которым предоставлялся доступ в период, заданный пользователем.

Разумеется, ежедневно архивировать все файлы непрактично. В то же время архив должен содержать основной набор (base set) всех файлов. Таким образом, эффективный план архивирования должен предусматривать использование сразу нескольких методов архивирования. Обычно практикуется полное архивирование через регулярные интервалы времени (скажем, раз в неделю), а в дополнение — ежедневное или разностное архивирование. Как правило, ежедневное архивирование полезно, если вы собираетесь в путешествие и желаете прихватить с собой новейшие версии файлов, однако оно поддерживается не всеми программами.

Знание методов архивирования необходимо для составления плана, поскольку их выбор определит, чего именно вы сможете добиться за счет архивирования. Насколько гибкой должна быть система архивирования с точки зрения возможности восстановления данных? А что важнее для вас — гибкость или простота использования? Как рассчитать время, необходимое на архивирование?

Например, простейшим способом архивирования, обеспечивающим восстановление данных, служит полное архивирование, поскольку для восстановления используется один источник. Архивируйте данные на одну и ту же ленту ежедневно, например, в 3 часа дня — и вы всегда будете располагать полным (и новым) архивом. Конечно, полное архивирование занимает много времени (и места): чем больше архивируемых данных, тем больше затраты времени на архивирование. Еще больше проблем возникает при выполнении одного полного архивирования каждую ночь на одну и ту же ленту, поскольку вы не сможете архивировать резервные копии. Например, если вам понадобится версия файла за среду, а в пятницу вы обновили этот файл, то нужной версии просто уже не будет, и вы останетесь у разбитого корыта.

Так сколько же полных архивов вы должны сохранять? Чаще всего полное архивирование выполняют периодически, дополняя его разностным или добавочным архивированием, описанным ниже.

Добавочное архивирование. Создается архив файлов, которые изменялись со времени последнего полного или добавочного архивирования. По этой же причине продолжительность такого архивирования невелика — намного меньше полного архивирования и (как правило) разностного. Добавочное архивирование особенно полезно, когда вам необходимо найти какой-либо файл для восстановления. Однако восстановление содержимого всего сервера в таком случае несколько утомительно — вам придется восстанавливать каждый добавочный архив отдельно.

Разностное архивирование. Архивируются все файлы, измененные со времени последнего полного или добавочного архивирования. Таким образом, для восстановления проще всего использовать архивы именно этого типа — вам достаточно только восстановить полную архивную копию, а затем внести последние изменения. Единственный недостаток заключается в трудности восстановления конкретной версии файла, поскольку отследить нужную версию — нелегкое дело.

Примечание Пример схемы архивирования, сочетающего высокую гибкость и простоту использования и состоящего из комбинации полного и разностного архивирования, описан в разделе "Разработка и реализация плана архивирования".

Разработка и реализация плана архивирования Недавно я беседовала со знакомым консультантом. Сейчас он помогает создавать сеть в фирме, которая традиционно использовала в делопроизводстве бумажные документы. В тоже время он устанавливает также новые клиентные машины, помогая фирме извлекать преимущества из использования сети, решая некоторые трудные вопросы организации связи и, конечно, разрабатывая для фирмы план архивирования.

Самая серьезная проблема, с которой ему довелось столкнуться (разумеется, после того как ему удалось убедить фирму в необходимости в первую очередь создать систему архивирования, что тоже оказалось нелегкой задачей) заключалась в том, что никто, кажется, не собирался решать проблему простыми методами. Работники отдела технической поддержки начитались о всевозможных новейших решениях с помощью альтернативных носителей, вроде перезаписываемых компакт-дисков и тому подобного. Магнитные ленты, по их мнению, уже надоели — их используют все. Они желали чего-нибудь иного.

Когда вы разрабатываете план архивирования, не стоит тратить время на выдумки. Конечно, знать о новшествах обязательно. Следует также рассмотреть различные варианты и подобрать наиболее подходящие системы. Но не отбрасывайте какую-либо систему просто потому, что ее уже используют повсеместно.

А вот что важно для плана архивирования, так это функциональные средства (средства архивных носителей, методов планирования и т.д.). Уместно изучить опыт других специалистов. Если система успешно работает в другой фирме, занимающейся тем же, что и ваша, скорее всего она прекрасно подойдет и вам.

Наметки плана Первый этап создания плана архивирования заключается в определении регламента.

Как часто необходимо архивировать данные, чтобы поддерживать работу организации? Когда следует архивировать данные, чтобы причинить сотрудникам минимум неудобств?

Примечание Ответ на второй вопрос в определенной степени зависит от программного обеспечения, которое вы применяете для архивирования. Некоторые утилиты архивирования позволяют архивировать открытые файлы, что несколько упрощает составление плана.

Как часто необходимо выполнять архивирование? На это вопрос нет определенного ответа, поскольку он зависит от того, в какой мере для вас опасна утрата данных. Например, если вы выполняете архивирование только раз в месяц, приготовьтесь к возможности утраты данных за весь месяц. Большинство из нас в той или иной мере используют ежедневное архивирование (возможно, дополненное еженедельным полным архивированием), но и в таком случае возможна утрата каких-то данных, а некоторым, к примеру, жалко терять даже то, что они сделали за день. Однако еще более жалко терять время на постоянное архивирование.

Если вы считаете, что оборудование достаточно устойчиво работает в течение 24 часов, то частое архивирование, очевидно, ни к чему. В архивировании так же, как и в защите, должен соблюдаться баланс между затратами на его выполнение, ценностью защищаемых данных и вероятностью какого-нибудь происшествия за это время.

Расписание архивирования. Как правило, постоянное выполнение процедуры архивирования оказывается обременительным. Оно мешает людям работать, поскольку отнимает рабочее время, и может вызывать перегрузку сетевого трафика (если копируются файлы, относящиеся к иной системе, нежели система архивирования). Кроме того, для этого требуется программное обеспечение, позволяющее архивировать открытые файлы.

По этой же причине архивирование в режиме реального времени (realtime backups) используется лишь немногими фирмами. Вместо этого, как правило, персонал выбирает время суток, когда архивирование причинит неудобства наименьшему числу пользователей, т.е. когда окажется весьма маловероятно, что придется закрывать файлы. Если же вы используете централизованную систему архивирования данных в глобальной сети, расположенной на нескольких часовых поясах, возможно, вообще не удастся выбрать время, когда сеть будет свободна. Но вы можете хотя бы свести накладки к минимуму.

Совет В некоторых операционных системах, например, Windows NT, средства совместного доступа к файлам организованы в виде средства (инструмента), который можно отключить, а затем снова включить. Если в конце рабочего дня пользователи оставили свои файлы открытыми, а ваша система архивирования не поддерживает архивирование открытых файлов, создайте пакетный файл, который выключит это средство обслуживания сервера (server service), запустит процедуру архивирования, а затем снова включит средство обслуживания.

Разработка плана архивирования. В табл. 16.2 приведен пример очередности архивирования данных для небольшого офиса, рассчитанный на месячный срок. Прежде чем вы примете этот план, следует выполнить полное начальное архивирование (Полное архивирование, лента 1).

В пятницу пятой недели вы должны перезаписать ленту 1 полного архива и начать цикл заново. Данная процедура создаст двухнедельную "запись" разностных архивов и месячную - полных. Для файлов, которые используются только изредка и могут быть случайно удалены или искажены не чаще, чем раз в несколько месяцев (либо даже в несколько лет) после первоначального использования, можно рекомендовать дополнительное шестимесячное архивирование.

Таблица 16.2. Пример очередности архивирования (двухнедельная ротация) Неделя День недели Тип архивирования и используемая лента Неделя 3 Понедельник Разностное, лента 1 (перезапись) Неделя 4 Понедельник Разностное, лента 5 (перезапись) Рекомендуемые схемы архивирования В таблице 16.2 показана упрощенная версия одной их двух моделей архивирования, рекомендуемых фирмой Microsoft, а именно дед/отец/сын (Grandfather/Father/Son — GFS). В методе GFS под "дедом" понимается полное месячное архивирование, под "отцом" — полное еженедельное, а под "сыном" — добавочное или разностное ежедневное архивирование. В методе GFS для хранения всех архивов за трехмесячный период используется всего 12 лент (либо иных носителей): четыре для ежедневного архивирования, пять для еженедельных архивов и три — для месячных.

Другая схема архивирования, рекомендуемая фирмой Microsoft, называется "ханойской башней" (Tower of Hanoi — ТоН), по названию известной математической головоломки.

Хотя метод ТоН сложнее метода GFS, он поддерживает архив за больший срок — 32 недели вместо 12. В методе ТоН пять лент (надписанных здесь буквами А-Е) используются в следующем порядке: А В А С А В A D A В А С А В А Е. В данном методе лента А повторно используется каждые две недели, В — четыре недели, С — 8 недель, D — 16 недель, а Е — недели. Метод ТоН применяется только для полного архивирования, поэтому еженедельное полное архивирование следует дополнить ежедневным добавочным или разностным.

Чтобы действительно упростить свою работу, приобретите соответствующее программное обеспечение для архивирования, которое можно настроить на определенную схему, а также "подсказывающее" выбор нужной ленты. Тогда вам необязательно пунктуально следовать разработанному плану.

Выбор аппаратных средств архивирования Какие устройства архивирования пригодны для работы с сервером? Для практических целей рекомендуем выбрать ленточный накопитель какого-нибудь типа (см. гл. 8). Они относительно дешевы, достаточно вместительны, надежны и пользуются широкой поддержкой.

Однако ленточные накопители — отнюдь не единственный инструмент для архивирования. Если вы собираетесь широко распространять содержимое ваших архивов, предпочтительно использовать записывающие CD-ROM (CD-рекордеры). Несмотря на то, что емкость компакт-диска не превышает 1 Гбайт, а, кроме того, установка параметров записи иногда довольно сложна, можете не сомневаться — в большинство компьютеров, проданных за последние три года, установлены устройства CD-ROM. Небольшая вместимость картриджей Zip и Jaz препятствует широкому практическому применению таких устройств (drives) для архивирования содержимого серверов. Однако если ваш план архивирования предназначен для клиентных машин, а не серверов, небольшие съемные диски окажутся вполне пригодны. Так, для архивирования пользовательских данных предпочтительней Jaz, а если вы используете внешний (съемный) диск (external drive), его удобно переносить между клиентными компьютерами, работающими по технологии SCSI. Если же эти методы для вас неприемлемы, файлы можно архивировать на другом жестком диске, который может находиться как на сервере, так и на другом сетевом компьютере.

В конечном счете, ваш выбор средств архивирования определяется скоростью, вместимостью и переносимостью. Эти факторы рассматриваются в следующих разделах.

Скорость архивирования. Если архивирование выполняется по ночам, то скорость процесса не столь важна, однако при восстановлении данных она — важнейший фактор.

Скорость определяется двумя факторами: скоростью работы самого устройства архивирования и временем соединения с сервером. Вероятно, в будущем наивысшую скорость обеспечит "фабрика коммутируемых сетевых соединений" (switched fabric network connections). Сегодня самым быстрым соединением является SCSI, затем следует IDE, а на третьем месте параллельный порт. Я уже рекомендовала использовать SCSI-интерфейс в качестве интерфейса контроллера (controller interface) для серверов. (Если вы забыли, что это значит, перечитайте гл. 7.) Параллельные порты не слишком удобны в качестве интерфейсов средств архивирования серверов (server backup interfaces), хотя они тоже могут работать на индивидуальных клиентных машинах, которые не содержат SCSI-устройств.

Кроме того, определенное значение имеет и время доступа к носителю. С какой скоростью можно переместить на него данные или считать их с него? Скорость передачи данных для различных носителей влияет на скорость считывания данных с носителя или записи данных на него.

Примечание Хранение данных в сжатом виде снижает скорость их последующего чтения или записи.

Емкость устройства. Какой объем данных помещается на единичном носителе устройства архивирования? Можно ли поместить все данные на одном носителе, нескольких или множестве носителей? Чем больше данных помещается на единичном носителе (backup storage unit), тем проще их архивировать и восстанавливать, поскольку поддерживать порядок среди небольшого числа носителей значительно проще. Архивирование упрощается, если вам не нужно менять носители. Данные проще восстанавливать, если это можно сделать с помощью одного-двух носителей, а, кроме того, чем их меньше, тем проще хранить.

Переносимость. Вплоть до настоящего времени в качестве носителя обычно используют магнитные ленты. Хотя время доступа к ним примерно такое же, как и у дисков Zip (табл. 16.3), они имеют достаточную емкость и применяются весьма широко. Единственный параметр, который не всегда обеспечивается магнитными лентами - переносимость. Разнообразие типов лент и архивных форматов (backup formats) позволяет использовать магнитные ленты для распространения данных разве что в пределах одной фирмы. В этом отношении несомненные преимущества имеют записывающие устройства CD-ROM и съемные диски (табл.

16.3). Некоторые форматы файлов рассматриваются в гл. 8, а в табл. 16.3 перечислены устройства, альтернативные ленточным накопителям.

Табл. 16.3. Характеристики наиболее популярных не ленточных носителей архивов Доступные типы IDE, SCSI, сеть Далеко не всякий пакет архивирования может работать с носителями всех типов. Так, утилита архивирования из Windows NT может работать только с ленточными накопителями:

вы не сможете выполнить архивирование, скажем, на сетевой или переносной диск.

Выбор программного обеспечения для архивирования При выборе утилиты архивирования особое внимание обращайте на гибкость программы, а также возможности ее взаимодействия с уже установленными сетевыми компонентами. Обдумывая применение какого-нибудь приложения для архивирования, найдите для себя ответы на такие вопросы.

Совместимость.

Будет ли приложение работать с установленной операционной системой?

Совместимо ли оно с прочими системами архивирования, которые, возможно, уже используются?

Какие типы архивирования поддерживает данное приложение?

Как работает приложение: отдельно для каждого сервера или его можно использовать для управления архивированием нескольких серверов с единой консоли?

С носителями каких типов может работать это приложение?

Ленты какого формата следует использовать при установке данного приложения?

Гибкость.

Можно ли организовать выполнение архивирования в отсутствие оператора (unattended backup)?

Какую свободу действий допускает данное приложение при выборе архивируемых файлов (на уровне тома, папки, файла)?

Будет ли оно повторять операции над (retry) открытыми файлами?

Будет ли оно архивировать открытые файлы?

Копирует ли оно структуру данных либо создает двоичный образ архивируемого диска?

Надежность.

Предусмотрена ли в приложении надежная система коррекции ошибок?

Можете ли вы проверить целостность данных?

Насколько просто данное приложение в работе?

Предоставляется ли вам контроль за ходом исправления ошибок?

Поддерживает ли приложение выполнение проверки (ревизии) в заданный срок?

В большинство современных сетевых операционных систем — в том числе и одноранговых — встроено собственное приложение для архивирования, которым вы можете воспользоваться и таким образом избежать покупки особого приложения. Так, утилита архивирования, встроенная в Windows NT, представляет собой упрощенную версию BackupExec фирмы Seagate. Чтобы воспользоваться всеми ее функциональными средствами, включая архивирование открытых файлов, следует приобрести оригинальную версию фирмы Seagate. Однако и утилита, встроенная в NOS, обеспечивает великолепную защиту данных, хранящихся на сервере.

Исполнение плана Выполнение разработанного плана относится, главным образом, к обязанностям сетевых администраторов и, в принципе, никак не связано с используемыми сетевыми технологиями. Следует запланировать, кто должен выполнять план архивирования, где должны храниться архивы, а также испытать на практике ваш план восстановления данных.

Кто должен заботиться о сохранности данных? Администратором резервного копирования должен быть человек, пользующийся доверием, поскольку в его руках находится судьба данных фирмы. Кроме того, его доступ к серверу менее ограничен, чем у рядовых пользователей. Убедитесь, что он знает методы выполнения соответствующих процедур, а также, куда следует обращаться при возникновении каких-либо проблем. К числу процедур относятся следующие.

Архивирование данных.

Проверка записей.

Хранение и маркировка архивных лент.

Ротация и повторное использование лент.

Особо убедитесь, что специалиста, который может оказать помощь, можно без труда найти на рабочем месте. Автору известен один случай, когда администратор, выполнявший резервное копирование, сталкивался с проблемами, относящимися к носителям или к программному обеспечению, — и не мог понять причину их появления. Офисный эксперт по архивированию в основном путешествовал, а когда появлялся на рабочем месте, не имел времени заняться проблемой. Администратор же пытался перехватить эксперта, когда у того было время. Эпилог вы можете дописать сами: файловый сервер разрушился, архивирование не помогло (оказалось, что магнитная лента в кассетах была слабо натянута, так что восстановить архив оказалось невозможным). Персоналу, занятому восстановлением данных, пришлось изрядно потрудиться. Картина безрадостная.

Наконец, ответственный за резервное копирование сменный администратор должен постоянно находиться на рабочем месте. Если главный администратор заболеет или уйдет в отпуск, кто-то другой должен немедленно заменить его. Недопустимо назначать сменщиком любого сотрудника только потому, что его угораздило попасть вам под руку, когда было замечено отсутствие обычного администратора. В таком случае необходимая работа будет сделана неверно, если вообще будет сделана.

Совет После завершения архивирования и проверки его результатов повесьте план архивирования с графами для заметок. Это полезно по двум причинам. Первая: расписание напоминает о необходимости выполнения архивирования. Вторая: расписание, висящее на стенке, позволяет с одного взгляда установить файлы, которые архивировались последний раз, тип архивирования и исполнителя.

Проверка восстановления данных. Критерием эффективности плана архивирования является гарантированное восстановление архивированных данных. Потенциальные источники проблем заключаются в ошибках оператора или сбоях оборудования (вспомните слабое натяжение ленты). Проблемы подобного рода желательно обнаружить прежде, чем ситуация станет критической. Поэтому заставьте администратора, отвечающего за резервное копирование, проверять содержимое всех лент и восстанавливать искаженные файлы (предпочтительно те, которые не изменялись с момента архивирования).

Хранение архивных копий. Вам не сулит ничего хорошего ситуация, когда после архивирования диска вы обнаружите, что архив бесполезен. Если офис сгорит, архив, хранившийся на полке рядом с компьютером, вам не поможет. Точно так же он не принесет шийся на полке рядом с компьютером, вам не поможет. Точно так же он не принесет пользы, если ящик с архивом стоит под солнечным светом на подоконнике — дискеты постепенно "поджарятся" на солнце и выйдут из строя. С другой стороны, если не надписать диски соответствующим образом и не хранить их в надлежащем порядке, то вам будет трудно (или невозможно) найти то, что надо, когда понадобится восстановить данные.

Что же необходимо делать, чтобы поддерживать архивы в надлежащем порядке?

Четко надписывайте резервные копии. Укажите имя компьютера, диска, дату архивирования, а также номер диска или ленты. Надпись или запись в картотеке (file card) можно сделать примерно так.

ПОЛНЫЙ АРХИВ компьютера PALADIN D: 07/15/99 #4/ Храните свои архивы в безопасном, прохладном и сухом месте. Лучше всего хранить важные архивы вне офиса, тогда они уцелеют в случае пожара. Если по каким-то причинам вы не сможете это сделать то, по крайней мере, перенесите его на другой этаж, чтобы он уцелел хотя бы при локальных "катаклизмах".

Предупреждение Если вы покупаете несгораемый шкаф для хранения архивов, убедитесь, что его класс защиты соответствует защите данных, а не бумаг. Температура воспламенения бумаги довольно высока. Ленты же могут расплавиться даже под солнечными лучами, не говоря уже о пожарах. Сейф для хранения данных обойдется намного дороже (около 300 $ вместо $), но данные вашей фирмы могут стоить еще больше.

Не сохраняйте ненужные архивы — впоследствии они вас только запутают. Если вы форматируете жесткий диск компьютера и начинаете все заново, то сотрите архивные файлы данного компьютера в последнюю очередь, после того как убедитесь, что на диске не было ничего стоящего.

Периодически проверяйте ваши архивы, чтобы убедиться в их работоспособности. Тепло, влага и электромагнитные поля могут разрушить данные. Помните: диски и люди хорошо работают примерно в одинаковых климатических условиях. Если вы не в состоянии часами сидеть в комнате для хранения архивов, значит она совершенно не соответствует своему назначению.

Если архивы хранятся годами, не надейтесь, что они останутся в сохранности без вашей помощи. Диск, забытый на полке, медленно утрачивает записанные на нем данные. Это напоминает запись на пляжном песке: она постепенно исчезает, если вы не будете переписывать ее ежедневно. Вы можете дать "вторую жизнь" вашим лентам, если скопируете архивы на заново сформатированные носители, а затем отформатируете старые ленты. Как правило, срок службы лент не превышает 2—3 года.

Защита данных в режиме реального времени Возможно, вы полагаете, что архивирование в режиме реального времени практически невозможно, поскольку оно слишком дорого, требует больших ресурсов и т.п. Однако есть некоторые методы, которые можно использовать для сравнительно непрерывного сохранения обновленных данных, позволяющие сохранять обновленные данные даже при авариях дисков.

Такие методы имеет несколько преимуществ. Они не только обеспечивают избыточность и обновление данных по ходу работы, но также повышают производительность сети путем выравнивания нагрузки, т.е. распределения доступа к данным по множеству дисков или серверов.

При обычном же архивировании обеспечивается только избыточность данных.

Использование массивов RAID RAID (Redundant Array of Inexpensive Disks — избыточный массив недорогих дисков) — общее название технологии, объединяющей ресурсы нескольких жестких дисков для повышения общей надежности и/или производительности системы хранения информации на дисках. Аппаратные массивы RAID строят на основе подсистемы RAID SCSI-дисков, в то время как в программных RAID-средствах для создания массива используют специальные программные средства. Основные параметры RAID-массива таковы.

Отказоустойчивость массива позволяет выдерживать аварию одного из дисков. Утраченные данные могут быть восстановлены с помощью остальных дисков.

Работа массива зависит от совместной работы множества физических дисков. Для создания RAID можно комбинировать и логические тома. Если же физические диски не работают совместно, их называют JBOD (Just a Bunch of Disks — простой набор дисков).

Физические диски не обязательно должны быть одного типа и размера, однако размеры логических разделов (logical divisions) в пределах массива должны быть одинаковыми.

Иными словами, размеры всех логических частей массива должны совпадать.

Массив RAID можно использовать для защиты всех либо части физических дисков.

Совет Вы можете создать программный массив RAID и на базе EIDE-дисков, но SCSI-диски обеспечивают большую производительность. Как указано в гл. 7, интерфейс SCSI обеспечивает многозадачный режим операций чтения/записи на единственном контроллере, в то время как интерфейс EIDE - только однозадачный.

Массивы RAID приобрели широкую популярность, когда стоимость жестких дисков значительно упала. Программные RAID-массивы позволяют использовать эту технологию даже людям со средними доходами. Как правило, используются два типа отказоустойчивых RAID-массивов: с зеркальным отображением диска (disk mirroring) и с чередованием дисков (disk stripping) с контролем четности. Они рассматриваются в последующих разделах.

Зеркальное отображение диска. Обеспечивает защиту всех данных путем их записи сразу в двух местах. Каждый раз, когда вы создаете, редактируете или удаляете файл, изменения регистрируются в обоих местах. Для этого необходимы два отдельных диска, непосредственно объединенных в зеркальный набор (mirror set). Если что-либо происходит с данными на одном из накопителей, то вы разделяете зеркальный набор и получаете доступ к точной (и новейшей) копии данных на другом. Следует отметить, что зеркальные наборы неэффективны с точки зрения использования дискового пространства. Действительно, в таком случае избыточность означает, что для хранения данных требуется вдвое большее дисковое пространство, чем при обычном хранении. И тем не менее, это великолепный способ зашиты данных. Кроме того, в системах SCSI применение таких RAID-массивов уменьшает время считывания, поскольку операция чтения может выполняться сразу с двух дисков в многозадачном режиме.

Примечание Если каждый диск в зеркальном наборе имеет собственный контроллер (и, таким образом, авария одного контроллера не приводит к потере доступа к обоим дискам), эта технология называется дуплексированием дисков (disk duplexing). В остальных случаях зеркальный набор работает именно так, как было описано выше.

Чередующийся набор с контролем четности. Подобно зеркальному отображению диска, чередование дисков с контролем четности позволяет защитить данные, распределяя их щимся набором. Чередующиеся наборы с контролем четности должны состоять не менее чем из трех физических дисков. Кроме исходных данных, на диски записывается информация о четности. Как и исходные данные, она распределяется по физическим дискам, однако сохраняется отдельно от тех, к которым относится. При отказе одного из дисков чередующегося набора, для восстановления пропавших данных используется информация о четности из остальных дисков. Благодаря этому сохраняется доступ ко всем данным. Объем информации о четности зависит от количества дисков в чередующемся наборе, поскольку информация о четности рассчитывается так, чтобы восстановить данные на одном диске. Таким образом, в чередующемся наборе из трех дисков для хранения информации о четности будет использоваться третья часть всей суммарной емкости, а в наборе из 10 дисков — десятая. Чем больше дисков в наборе, тем эффективнее его работа.

Если же в чередующемся наборе одновременно выходит из строя несколько дисков, данные теряются, однако авария одного диска устраняется без какого-либо вмешательства с вашей стороны. Допустим, вы собрали RAID-массив из четырех дисков и используете его в качестве основы чередующегося набора с контролем четности. Внезапно отказывает один из дисков. Когда вы перезагрузите сервер и откроете Disk Administrator (Администратор дисков), появится сообщение о том, что диск отказал, а утраченные данные будут восстановлены.

Можно будет записывать и считывать данные из чередующегося набора так, как будто отказавший диск все еще работает. Конечно, вы должны как можно скорее его заменить. Если откажет еще один диск, то восстановить чередующийся набор будет просто невозможно.

Примечание Информация о четности жизненно важна для обеспечения отказоустойчивости. Один из видов RAID-массива - чередующийся набор дисков без контроля четности отказоустойчивость не обеспечивает. Он спроектирован главным образом для повышения производительности дисков. С этой целью операции чтения и записи разнесены по множеству дисков. Поскольку в этом случае диски сильно зависят друг от друга (codependent) и не содержат информацию о четности, дисковые массивы такого типа должны регулярно архивироваться - отказ хотя бы одного диска разрушит весь массив.

Достоинства и недостатки различных типов RAID-массивов. Что лучше, использовать чередующиеся наборы с контролем четности или зеркальное отображение диска? Массивы с зеркальным отображением диска отличаются невысокой начальной стоимостью, поскольку для создания зеркального набора достаточно всего двух дисков, в то время как для отказоустойчивого чередующегося набора — не менее трех. Кроме того, операции записи в массивах с зеркальным отображением диска выполняются быстрее. В зеркальных SCSIнаборах операции записи/чтения могут выполняться более-менее одновременно вследствие "многозадачности" интерфейса SCSI. Поэтому зеркальное отображение диска действительно повышает скорость операций чтения/записи. В чередующихся наборах с контролем четности операции записи менее производительны, поскольку в данном случае при каждом изменении данных необходимо повторно рассчитывать информацию о четности. Это не относится к операциям чтения, однако по сравнению с одиночным диском или зеркальным набором запись выполняется медленнее. Наконец, расчеты, необходимые для поддержки чередующихся наборов, выдвигают дополнительные требования к оперативной памяти и производительности процессора сервера по сравнению с зеркальным отображением диска.

Отметим, что чередующиеся наборы с контролем четности применяют чаще остальных типов RAID-массивов. Зеркальное отображение весьма расточительно занимает дисковое пространство — оно используется менее эффективно, чем в чередующихся наборах с контролем четности. Причем эффективность последних повышается с увеличением количества дисков в чередующемся наборе. Высокая эффективность использования дискового пространства компенсирует любые недостатки производительности (фактически, они совершенно незаметны сетевым клиентам). Кроме того, благодаря удешевлению оборудования, дополнительные ресурсы, необходимые для поддержки чередующихся наборов, реально не сдерживают использование этого более совершенного типа RAID-массивов.

Репликация данных Если же простой системы абсолютно недопустим, можно применить один из двух методов. Первый заключается в кластеризации серверов (clustering) (см. следующий раздел), а второй — в репликации данных. Репликацией называют копирование данных и их структуры с одного сервера на другой. Это весьма популярный метод, используемый для обеспечения целостности и распределения данных (data load) между несколькими серверами. Сначала данные записывают на один из серверов (называемый в сетях Windows NT сервером экспорта (export server)), а затем копируют на другой сервер (сервер импорта (import server)). Для выравнивания нагрузки между серверами обслуживания клиентов (client load) вы можете установить связи между ними с режимом ручного разделения или же использовать режим автоматического разделения.

Как правило, реплицируют данные двух типов: те, которые ни в коем случае не должны быть утрачены и те, для которых полезно выравнивание нагрузки. Из-за ограниченной полосы пропускания сети, репликацию редко используют для защиты обычных данных. Это обусловлено тем, что копирование каждого изменения данных на крупный файловый сервер может занять всю полосу пропускания, необходимую для решения остальных задач. Для защиты файлов данных можно использовать RAID-массивы. Тем не менее, репликация - весьма эффективный метод защиты баз данных или иной жизненно важной информации, например информации об установленных соответствиях (mappings) сервера WINS или каталога со сценариями входа. Таким образом, вместо обслуживания всех запросов клиентов с центрального сервера репликация позволяет распределить эту работу по нескольким серверам и одновременно гарантировать существование избыточного числа копий базы данных.

Кластеризация серверов Кластеризация в некотором смысле напоминает RAID-систему, однако она более совершенна. Для обеспечения отказоустойчивости и повышения производительности в методе кластеризации вместо создания массивов RAID применяется создание массивов серверов.

Кластеризация реализуется разными методами, которые отличаются как функциональными средствами, так и технологиями связывания и взаимодействия серверов. В функциональном отношении кластеры подразделяются на три основных типа.

Активный/активный.

Активный/резервный (standby).

Отказоустойчивый.

В принципе, ту или иную поддержку отказоустойчивости обеспечивают кластеры любого типа, однако ее уровень и скорость, с которой функции отказавшего сервера передаются другому, зависят от типа кластера.

В кластере типа активный/активный все серверы непрерывно функционируют и обслуживают пользователей. При отказе любого сервера остальные серверы (или сервер) продолжают управлять своей рабочей нагрузкой и, кроме того, принимают на себя рабочую нагрузку отказавшего. На передачу нагрузки отказавшего сервера остальным серверам кластера уходит 15—90 с. В кластере типа активный/резервный один из серверов обслуживает запросы пользователей либо выполняет иные задачи, а второй ждет отказа этого сервера. Это отнюдь не уменьшает время восстановления после сбоя (failover time): при отказе первого сервера для передачи его рабочей нагрузки второму по-прежнему необходимо 15—90 с. (При передаче рабочей нагрузки резервному серверу все соединения и сеансы, исполняемые им, завершаются.) Отказоустойчивые кластеры проектируют так, чтобы их годичный простой не превышал 6 мин. Эти кластеры отличаются от кластеров типа активный/ активный и активный/резервный. В отказоустойчивом кластере все серверы идентичны и работают в связках, выполняя абсолютно одинаковые операции. Таким образом, при отказе одного сервера, его нагрузка фактически мгновенно подхватывается остальными серверами. Отказоустойчивые кластеры используют ресурсы менее эффективно, чем кластеры типа активный/активный или активный/резервный, однако при отказе одного из серверов отказоустойчивые кластеры обеспечивают практически бесперебойную работу. Кластеры других типов, напротив, могут прекратить работу на время до полутора минут, а чтобы исказить операцию записи достаточно даже 15с. Сравнительные характеристики этих трех типов кластеров приведены в табл. 16.4. кластера позволяет определить, создан ли кластер для обеспечения отказоустойТип чивости или повышения производительности, а также метод распределения рабочей нагрузки между серверами, входящими в кластер. Кластерные продукты различаются применяемой технологией совместного использования данных, методом соединения серверов кластера, а также степенью гибкости поддержки различных аппаратных средств. Кроме того, продукты различаются количеством серверов, из которых образован единый кластер. Так, некоторые продукты поддерживают кластер, содержащий не более двух серверов — первичный и вторичный. Более дорогостоящие продукты поддерживают большее число кластеров.

Влияние на вторичный Принимает на себя Сбрасывает собствен- Не влияет, поскольку сервер при отказе пер- рабочую нагрузку пер- ную рабочую нагрузку оба сервера перед отвичного вичного сервера и принимает нагрузку казом исполняют одну тичность дисковых систем?