В этой главе рассматриваются вопросы оптимизации программного обеспечения NetWare(r) ClientTM для увеличения скорости взаимодействия рабочей станции с сетью за счет использования протокола Packet BurstTM и Large Internet Packet (LIP). В ней также изучаются вопросы защиты информации на рабочей станции-клиенте.
В этой главе рассматриваются следующие темы:
Вы можете увеличить скорость и улучшить защиту рабочей станции-клиента, используя протокол Packet Burst и Large Internet Packet (LIP), а также предоставляемую NetWare 4TM и NetWare 3.12 возможность подписи пакета NCPTM.
NetWare 3.12 и 4 поддерживают технологии Packet Burst и Large Internet Packet, которые позволяют увеличить для рабочей станции-клиента скорость доступа к сетевым ресурсам и сервисам.
Протокол Packet Burst позволяет поддерживать высокопроизводительную передачу данных между рабочими станциями-клиентами и серверами.
Некоторые сетевые архитектуры, например, Ethernet и token ring, позволяют посылать по сети большие пакеты. Использование LIP (Large Internet Packet) повышает пропускную способность мостов и маршрутизаторов за счет увеличения размера пакетов.
В последующих подразделах описаны параметры, используемые в конфигурационном файле рабочей станции-клиента (NET.CFG), и процедуры их установки.
По умолчанию программное обеспечение NetWare DOS RequesterTM использует на рабочей станции-клиенте протокол Packet Burst.
Код протокола Packet Burst занимает около 6 Кб памяти. Однако по умолчанию запросчик NetWare для DOS (NetWare DOS Requester) использует архитектуру Open Data-Link InterfaceTM для Packet Burst и не требует дополнительной памяти рабочей станции.
Во время установления соединения с каждым сервером согласовывается максимальный размер информационной посылки (burst). Это согласование носит индивидуальный характер для каждого соединения, поэтому станция может использовать Packet Burst для работы с каким-либо одним сервером и не использовать этот протокол для работы с другим сервером.
После того как установлено соединение по протоколу Packet Burst между рабочей станцией-клиентом и сервером NetWare, рабочая станция-клиент автоматически использует сервис Packet Burst каждый раз, когда поступает запрос от приложения на запись более чем одного физического пакета данных.
Packet Burst не требуется для каждой инсталляции; однако запрещение LIP окажет заметное уменьшение скорости. Администраторы сети могут не использовать Packet Burst, если некоторые серверы, к которым присоединяются рабочие станции-клиенты, не поддерживают этот протокол.
Хотя Packet Burst автоматически разрешен в запросчике NetWare для DOS, Вы можете настроить его в соответствии со своими нуждами.
Смотрите "PB BUFFERS=число", "PBURST READ WINDOWS SIZE=число" и "PBURST WRITE WINDOWS SIZE=число" для получения более подробной информации относительно конфигурирования Packet Burst.
Чтобы запретить использование Packet Burst на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":
pb buffers = 0
Например:
netware dos requester
pb buffers=0
Large Internet Packet (LIP) позволяет делать размер пакета больше установленного по умолчанию значения в 576 байтов. По умолчанию LIP используется программным обеспечением запросчика NetWare для DOS.
Как было отмечено ранее, размер пакетов, проходящих через мосты и маршрутизаторы в сетях NetWare, ограничен 576 байтами. Некоторые сетевые архитектуры, такие, как Ethernet и token ring, позволяют пересылать по сети пакеты большего размера.
LIP повышает пропускную способность мостов и маршрутизаторов посредством увеличения размера пакета, если только мосты и маршрутизаторы не имеют собственного ограничения в виде меньшего размера пакета.
В последующих подразделах описаны параметры, используемые в конфигурационном файле рабочей станции-клиента (NET.CFG), и процедуры их установки.
Технология Large Internet Packet используется по умолчанию программным обеспечением запросчика NetWare для DOS на рабочей станции-клиенте.
NOTE: Некоторые драйверы ЛС могут работать некорректно при использовании этого параметра. Если Вы столкнетесь на практике с такими проблемами, запретите этот параметр или обновите Ваш драйвер.
В предыдущих версиях NetWare программное обеспечение NetWare ClientTM являлось инициатором процесса согласования размера пакета с сервером.
Если программное обеспечение сервера NetWare обнаруживало маршрутизатор между сервером и рабочей станцией-клиентом, то сервер возвращал клиенту NetWare значение максимального размера пакета, равное 576 байтам.
В текущей версии NetWare программное обеспечение клиента NetWare все еще инициирует согласование размера пакета. Однако в связи с возможностью использования LIP сервер NetWare уже не возвращает размер пакета 576 байтов при обнаружении маршрутизатора.
Вместо этого программное обеспечение клиента NetWare и программное обеспечение сервера NetWare начинают согласовывать размер пакета, чтобы выбрать наибольший.
Large Internet Packet не требуется для каждой инсталляции; однако запрещение LIP окажет заметное уменьшение скорости. Администраторы сети могут не использовать Large Internet Packet, если некоторые серверы, с которыми соединяются рабочие станции-клиенты, не поддерживают его, например, серверы NetWare 2 и NetWare 3.11 и более ранних версий.
Хотя LIP автоматически разрешается в запросчике NetWare для DOS, Вы можете настроить его в соответствии со своими потребностями.
Смотрите "LARGE INTERNET PACKETS=[on | off]" для получения более подробной информации относительно конфигурирования Packet Burst.
Чтобы запретить LIP на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":
large internet packets = off
Например:
netware dos requester
large internet packets = off
Вы можете улучшить защиту Вашей сети, используя предоставляемую NetWare 4 и 3.12 функцию подписи пакета NCP (NCP Packet Signature).
В последующих подразделах описаны параметры, используемые в конфигурационном файле рабочей станции-клиента (NET.CFG), процедуры их установки, а также команда SET, используемая на каждом NetWare сервере.
Подпись пакета NCP - это усовершенствованная возможность защиты серверов и рабочих станций посредством использования архитектуры NetWare Core ProtocolTM , предотвращающая подлог пакетов.
Использование подписи пакета NCP необязательно, так как это занимает ресурсы процессора и уменьшает производительность в целом, как рабочей станции-клиента, так и сервера NetWare.
Если подпись пакета NCP не установлена, опытные сетевые операторы могут посредством манипуляций с программным обеспечением рабочей станции-клиента посылать подложные запросы NCP серверу NetWare. С помощью подделки настоящих пакетов с запросами NCP нарушитель может получить доступ ко всем сетевым ресурсам.
Подпись пакета NCP предотвращает подлог, требуя, чтобы сервер и рабочая станция-клиент "подписывали" каждый пакет NCP, используя шифрование по алгоритму RSA с использованием личного и общего ключей. Подписи различны для каждого пакета.
Пакеты NCP с неправильными подписями отклоняются без разрыва соединения рабочей станции-клиента с сервером. Однако предупреждающее сообщение с записью об источнике неправильного пакета заносится в журнал ошибок, посылается на соответствующую рабочую станцию и на консоль сервера NetWare.
Если подпись пакета NCP установлена на сервере и на всех рабочих станциях-клиентах сети, то практически невозможно подделать пакет NCP так, чтобы это осталось незамеченным.
Подпись пакета NCP не требуется для каждой инсталляции. Администраторы некоторых сетей могут отказаться от использования подписи пакета NCP, допуская определенный риск в защите.
Ниже приведены примеры ситуаций, в которых может не потребоваться использование подписи пакета NCP:
Использовать подпись пакета NCP рекомендуется в следующих случаях:
Доступны несколько опций подписи в диапазоне от "никогда не подписывать пакеты NCP" до "всегда подписывать пакеты NCP". Серверы NetWare и сетевые рабочие станции-клиенты имеют четыре уровня подписи, которые объясняются в приведенной ниже таблице.
Таблица 1-1. Уровни подписи пакета NCP
| Номер уровня | Объяснение |
|---|---|
| 0 | Не подписывать пакеты. |
| 1 | Подписывать пакеты, только если сервер запрашивает подпись (опция NCP сервера NetWare установлена в 2 или больше). |
| 2 | Подписывать пакеты, если сервер может подписывать (опция NCP сервера NetWare установлена в 1 или больше). |
| 3 | Подписывать пакеты и требовать от сервера подпись пакета (или регистрация в сети будет неудачной). |
Уровни подписи для сервера и для рабочих станций-клиентов комбинируются для определения общесетевого уровня подписи пакета NCP, называемого действительным уровнем подписи пакета.
Некоторые комбинации уровней подписи сервера и клиента могут уменьшить производительность. Однако при работе с системами, мало использующими процессор, снижение производительности может не наблюдаться.
Вы можете выбрать уровень подписи пакета, который позволяет сохранять требуемую производительность системы и отвечать требованиям защиты.
В приведенной ниже таблице показаны взаимосвязи между уровнями подписи пакета сервером и рабочей станцией-клиентом.
Таблица 1-2. Комбинации действительных уровней подписи пакета сервером и рабочей станцией-клиентом
| Если | Сервер = 0 | Сервер = 1 | Сервер = 2 | Сервер = 3 |
|---|---|---|---|---|
| Рабочая станция = 0 | Нет подписи пакета | Нет подписи пакета | Нет подписи пакета | Нет регистрации |
| Рабочая станция = 1 | Нет подписи пакета | Нет подписи пакета | Подпись пакета | Подпись пакета |
| Рабочая станция = 2 | Нет подписи пакета | Подпись пакета | Подпись пакета | Подпись пакета |
| Рабочая станция = 3 | Нет регистрации | Подпись пакета | Подпись пакета | Подпись пакета |
Этот раздел включает некоторые примеры по использованию различных уровней подписи.
| Пример | Если нарушитель получит доступ к любой информации на сервере NetWare, это нанесет ущерб компании. |
| Решение | Администратор сети устанавливает уровень 3 на сервере и уровень 3 на всех рабочих станциях-клиентах для обеспечения максимальной защиты. |
| Пример | На сервере NetWare имеется каталог для исполняемых программ и отдельный каталог для учета финансовых операций корпорации (например, получаемых счетов). |
| Решение | Администратор сети устанавливает уровень 2 на сервере и уровень 3 на рабочих станциях-клиентах, которым требуется доступ к получаемым счетам. На всех остальных рабочих станциях-клиентах остается уровень по умолчанию - 1. |
| Пример | Администратор сети не знает, кто из служащих будет работать на какой рабочей станции-клиенте, а на сервере NetWare хранится важная информация. |
| Решение | Администратор сети устанавливает уровень 3 на сервере. На рабочих станциях-клиентах остается уровень по умолчанию - 1. |
| Пример | С неконтролируемой рабочей станции осуществляется открытый доступ к неконфиденциальным данным, но другой сервер в сети содержит конфиденциальную информацию. |
| Решение | Администратор сети устанавливает уровень 3 на сервере с конфиденциальной информацией и уровень 0 на рабочих станциях-клиентах. |
Для инсталляции поддержки подписи пакета NCP Вы должны установить специальный параметр в файле NET.CFG на каждой рабочей станции, а на сервере NetWare использовать команду SET.
Для инсталляции подписи пакета NCP на рабочей станции DOS или MS Windows добавьте следующую строку к файлу NET.CFG под опцией NetWare DOS Requester:
signature level =номер
Например:
netware dos requester
signature level = 2
Замените номер на 0, 1, 2 или 3. По умолчанию устанавливается уровень 1, что позволяет предоставлять защиту от поддельных пакетов при сохранении определенной гибкости системы.
Смотрите "SIGNATURE LEVEL=число" для получения более подробной информации о том, как конфигурировать поддержку подписи пакета NCP на рабочей станции-клиенте.
NOTE: Некоторые драйверы ЛС могут работать некорректно, когда используется этот параметр. Если Вы столкнетесь с такими проблемами на практике, запретите этот параметр или обновите Ваш драйвер ЛС.
Для установки параметра "NCP PACKET SIGNATURE OPTION" команды SET в системе каждого сервера, который должен поддерживать подпись пакета NCP, введите следующую команду с консоли каждого сервера:
SET NCP PACKET SIGNATURE OPTION =номер<Enter>
Замените номер на 0, 1, 2 или 3. По умолчанию устанавливается уровень 1, что позволяет предоставлять защиту от поддельных пакетов при одновременном обеспечении гибкости системы.
Смотрите подраздел "Preventing Packet Forgery" в 7 главе руководства Supervising the NetWork для получения подробной информации о том, как сконфигурировать на сервере поддержку подписи пакетов NCP.
Чтобы запретить поддержку подписи пакета NCP на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":
signature level = 0
Например:
netware dos requester
signature level = 0
В Табл. 1-1 содержатся пояснения для уровней подписи пакета и использование их комбинаций.
В этом разделе приведены решения некоторых проблем, которые могут возникнуть при использовании подписи пакета NCP.
| Проблема | Рабочая станция-клиент не подписывает пакеты. |
| Решение | Не загружается файл SECURITY.VLM. Проверьте, не установлен ли уровень 0 подписи пакета. SECURITY.VLM загружается по умолчанию, если уровень подписи клиента 1, 2 или 3. Используйте параметр командной строки VLM /V4 при загрузке программного обеспечения VLM для отображения на экране информации о загрузке. |
| Проблема | Рабочая станция-клиент не может зарегистрироваться. |
| Решение | Проверьте правильность установки уровней подписи пакета на сервере и на рабочей станции-клиенте. Смотрите "Действительный уровень подписи пакета". Обратите внимание, что следующие ситуации запрещают регистрацию:
|
| Проблема | Появляется сообщение "Ошибка приема из сети". |
| Решение | На рабочей станции-клиенте используется версия файла LOGIN.EXE, которая не поддерживает подпись пакета NCP. Убедитесь в том, что новый LOGIN.EXE и новые файлы с другими утилитами инсталлированы на всех серверах NetWare в сети. |
| Проблема | NetWare Loadable ModuleTM (NLM) третьих фирм не работают. |
| Решение | Если параметр "Allow Change to Client Rights" команды SET установлен в "OFF", некоторые NLMTM третьих фирм могут не работать. Установите этот параметр в "ON". |
| Проблема | Ненадежные рабочие станции-клиенты регистрируются в защищенном сервере. |
| Решение | На рабочих станциях-клиентах используется старая версия файла LOGIN.EXE, которая не поддерживает подпись пакета NCP. Убедитесь в том, что новый LOGIN.EXE и новые файлы с другими утилитами инсталлированы на всех серверах NetWare в сети. Используйте опцию "Preferred Server" в файле NET.CFG всех рабочих станций-клиентов, имеющих доступ к защищенным серверам (уровень 3). Смотри "PREFERRED SERVER=имя_сервера" для получения более подробной информации о конфигурировании этой опции. |
Кроме инсталляции подписи пакета NCP, Вы можете использовать другие возможности защиты NetWare и мероприятия по обеспечению информационной безопасности работы в сети.
Мы предлагаем использование следующих руководящих принципов защиты на рабочих станциях-клиентах:
| Тема | Ссылка |
|---|---|
| Установка и изменение файла NET.CFG для Packet Burst, LIP и подписи пакета NCP | Глава 2 "Справочник опций NET.CFG" |
| Установка поддержки Packet Burst на сервере NetWare | Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network |
| Установка поддержки Large Internet Packet (LIP) на сервере NetWare | Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network |
| Установка поддержки подписи пакета NCP на сервере NetWare | Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network |
Назад | Содержание | Вперед