alarmy

Szanowny Użytkowniku,

Zanim zaakceptujesz pliki "cookies" lub zamkniesz to okno, prosimy Cię o zapoznanie się z poniższymi informacjami. Prosimy o dobrowolne wyrażenie zgody na przetwarzanie Twoich danych osobowych przez naszych partnerów biznesowych oraz udostępniamy informacje dotyczące plików "cookies" oraz przetwarzania Twoich danych osobowych. Poprzez kliknięcie przycisku "Akceptuję wszystkie" wyrażasz zgodę na przedstawione poniżej warunki. Masz również możliwość odmówienia zgody lub ograniczenia jej zakresu.

1. Wyrażenie Zgody.

Jeśli wyrażasz zgodę na przetwarzanie Twoich danych osobowych przez naszych Zaufanych Partnerów, które udostępniasz w historii przeglądania stron internetowych i aplikacji w celach marketingowych (obejmujących zautomatyzowaną analizę Twojej aktywności na stronach internetowych i aplikacjach w celu określenia Twoich potencjalnych zainteresowań w celu dostosowania reklamy i oferty), w tym umieszczanie znaczników internetowych (plików "cookies" itp.) na Twoich urządzeniach oraz odczytywanie takich znaczników, proszę kliknij przycisk „Akceptuję wszystkie”.

Jeśli nie chcesz wyrazić zgody lub chcesz ograniczyć jej zakres, proszę kliknij „Zarządzaj zgodami”.

Wyrażenie zgody jest całkowicie dobrowolne. Możesz zmieniać zakres zgody, w tym również wycofać ją w pełni, poprzez kliknięcie przycisku „Zarządzaj zgodami”.



Artykuł Dodaj artykuł

Zarządzanie BMS

Alternatywą dla rosnących kosztów utrzymania kadry specjalistów w obiektach posiadających system BMS, wydaje się wzrost możliwości zabezpieczenia sieci Internetowej zwłaszcza w kontekście nowej platformy systemowej Windows 2000.

Alternatywą dla rosnących kosztów utrzymania kadry specjalistów w obiektach posiadających system BMS, wydaje się wzrost możliwości zabezpieczenia sieci Internetowej zwłaszcza w kontekście nowej platformy systemowej Windows 2000.

Dynamiczny rozwój BMS wiąże się z rosnącą ilością obiektów wykonywanych przez jedną firmę. Obiekty te powstają w różnych rejonach, przez co rośnie koszt ich serwisowania oraz czas reakcji serwisu. Często ze względu na specyficzne wykonanie BMS oraz specyfikę obiektu ważne jest, aby ten czas był jak najkrótszy. Jednym z rozwiązań jest zatrudnienie w obiekcie administratora do zarządzania systemem.

rys. 1
Model zarządzania systemami lokalnie przez administratorów

Dla użytkownika jest to znaczny wzrost kosztów utrzymania systemu nadzorującego budynkiem. Koszt ten wiąże się z koniecznością zatrudnienia osoby posiadającej odpowiednią wiedzę informatyczną oraz sprzętową, przeszkolenia tej osoby do danego systemu, oraz wdrożenie w zakres wykonanej instalacji.

Posiadanie wykwalifikowanego administratora nie zapewnia użytkownikowi poprawności jego reagowania w stanach krytycznych i konserwacji systemu informatycznego.

Bardziej wiarygodni dla użytkownika są specjaliści zatrudnieni w firmie, która instalowała system BMS. Posiadają oni znaczne doświadczenie oraz wiedzę, zdobyte podczas wdrażania systemu, oraz prowadzenia jego napraw.

Koszt korzystania z usług specjalistów przez użytkownika systemu BMS jest jednak duży. Przy jednoczesnym słabym wykorzystaniu umiejętności specjalisty wynikającym z konieczności jeżdżenia od systemu do systemu oraz mniejszym zysku dla właściciela firmy.

Wzrost kosztów firmy użyczającej specjalisty do obsługi oddalonego systemu BMS wiąże się z:

  • koniecznością dojechania do obiektu powodującego stratę czasu oraz koszt podróży;
  • ograniczenie ilości obiektów obsługiwanych przez jednego specjalistę, co może powodować konieczność zatrudnienia i wyszkolenia kolejnego specjalisty;
  • konieczność zapewnienia odpowiedniego czasu reakcji wymusza odrywanie specjalisty od ważnych dla firmy inwestycji;
  • zapewnienie gotowości na wezwanie.

Niezadowolenie użytkownika może budzić konieczność oczekiwania na specjalistę nawet w tak standardowych czynnościach administracyjnych jak wprowadzenie nowego użytkownika, czy zablokowanie karty. Przez dłuższy okres eksploatacji, wynajmowanie specjalisty może być dla użytkownika zbyt kosztowne i kłopotliwe, mimo że jest to rozwiązanie znacznie lepsze dla samego systemu.

Ten model zarządzania jeszcze długo będzie realizowany na obiektach ściśle tajnych oraz na obiektach, gdzie ogólnie zatrudnia się większą ilość inżynierów, którzy mogą dodatkowo zarządzać obiektem.

Najszybciej od tego modelu, odchodzić będą użytkownicy, którzy nie wykorzystują administratorów do innych czynności związanych z obiektem lub użytkownicy posiadający obiekty, które mogą być całkowicie bezobsługowe.

Alternatywą jest model zakładający, że na obiekcie znajduje się tylko operator pełniący funkcję dozorcy lub system jest całkowicie pozbawiony nadzoru w miejscu znajdowania się instalacji. Założenia te dają podstawy do opracowania zcentralizowanego zarządzania dużą ilością obiektów rozproszonych na dużym obszarze, zwłaszcza gdy większość problemów użytkownika wynika z bieżącego administrowania systemem lub kłopotów z oprogramowaniem, a nie z awarią sprzętu.

Do niewątpliwych zalet zcentralizowanego zarządzania możemy zaliczyć spadek kosztów obsługi obiektu z zainstalowanym systemem BMS, obsługę systemu przez najlepszych specjalistów, wczesne wykrywanie możliwości awarii systemu, precyzyjne określanie rodzaju awarii oraz jej lokalizacji, szybszą i skuteczniejszą reakcję serwisu.

Do wad możemy zaliczyć konieczność wykorzystania sieci telefonicznej lub Internetu, co przy specyfice niektórych obiektów może być niewskazane. Technologia ta budzi również wiele obaw samych użytkowników przed włamaniem się do ich obiektu poprzez sieć informatyczną. Prawdopodobieństwo takiego włamania przy dobrze skonfigurowanych zabezpieczeniach jest dużo mniejsze od prawdopodobieństwa fizycznego włamania do obiektu lub uszkodzenia systemu przez samego użytkownika.

W dużej części producenci systemów BMS wykorzystują systemy informatyczne oparte na produktach firmy Microsoft. Do nich możemy zaliczyć lidera w tej branży, firmę Andover Controls, która wykorzystuje na potrzeby swojego produktu - CONTINUUM, platformę systemową Windows NT 4.0 i bazę danych SQL 7. W systemie CONTINUUM wprowadzona została możliwość pełnego wykorzystania technologii zawartej w produktach firmy Microsoft. Należy się spodziewać w niedługim czasie przejścia na nowszą platformę systemową wykorzystującą nowe opracowania w dziedzinie poprawienia bezpieczeństwa.

Następcą platformy systemowej Windows NT 4.0 jest platforma Windows NT 5.0 posiadająca nazwę handlową Windows 2000.

 
  • Co nowego w platformie systemowej Windows 2000?

Platforma systemowa Windows 2000, tak jak jej poprzednik platforma Windows NT 4.0 jest przeznaczona do stosowania w przemyśle, instytucjach finansowych, firmach usługowych i innych dziedzinach gospodarki, w których ogromną uwagę zwraca się na stabilność, niezawodność i bezpieczeństwo. W porównaniu do Windows NT 4.0 w systemie Windows 2000 poprawiono znacznie wszystkie te wskaźniki dobrego systemu.

Dodatkowo, dostępne jest znacznie więcej darmowych narzędzi i mechanizmów, które w podstawowym pakiecie pozwalają dobrze skonfigurować i zabezpieczyć system.

Mimo wprowadzenia wielu znaczących zmian zachowano pełną kompatybilność z oprogramowaniem pracującym na platformie Windows NT 4.0. Dla uzyskania pełnej gwarancji dobrej współpracy oprogramowania z systemem, dostarczono na płytkach instalacyjnych narzędzie do testowania zgodności z nową platformą systemową.

Znacznej zmianie uległa strategia towarzysząca organizacji systemu, co znalazło szerokie odbicie w zarządzaniu zasobami w sieci, zabezpieczeniami oraz prawami użytkowników.

W nowej platformie Windows 2000 znajdują się następujące produkty:

System operacyjny Opis Przykłady użycia
Windows 2000 Professionl Zastępuje Microsoft Windows 95, Microsoft Windows 98 i Microsoft Windows NT Workstation 4.0 w zastosowaniach biznesowych Jest to wersja systemu operacyjnego typu desktop dla biznesu niezależnie od rozmiaru.
Windows 2000 Server Zawiera wszystkie właściwości, jakie możemy znaleźć w Windows 2000 Professional, dostarcza serwisy do zarządzania uproszczoną siecią. Dodatkowo Windows 2000 Server zawiera Terminal Services Ta wersja jest idealna do serwera plików, serwera wydruku, serwera typu Web oraz grupy roboczej. Posiada również poprawiony sieciowy dostęp do oddziałów biurowych.
Windows 2000 Advanced Server Zawiera wszystkie właściwości, jakie możemy znaleźć w Windows 2000 Server, dostarcza zwiększoną skalowalność i system dostępności. Dodatkowo Windows 2000 Advanced Server zawiera Windows Clastering i Load Balancing. Wersja ta jest zaprojektowana dla serwerów używanych w dużych sieciach przedsiębiorstwa, oraz intensywnie wykorzystywanych bazach danych.

Do obsługi systemów informatycznych zarządzających systemem BMS, odpowiednie wydaje się wykorzystanie jako stacji roboczej Windows 2000 Professional, a jako serwera Windows 2000 Server. Systemy te posiadają wystarczające właściwości, które możemy wykorzystać do zarządzania systemami BMS.

Założenia zdalnego zarządzania oddalonym obiektem z zainstalowanym systemem BMS.

Idealnym rozwiązaniem dla prowadzenia administrowania oddalonym obiektem z systemem BMS jest uzyskanie w pełni zdalnego zarządzania systemem z centrali znajdującej się w siedzibie firmy lub nawet z komputera przenośnego, w który wyposażony byłby specjalista obsługujący dany obiekt. Połączenie takie powinno pozwalać na wykonywanie wszystkich niezbędnych czynności umożliwiających kontrolę nad systemem oraz umożliwienie naprawienia ewentualnej awarii.

Połączenie powinno być skonfigurowane jako dwukierunkowe:

  • centrala - obiekt BMS;
  • obiekt BMS - centrala.

Umożliwi to zarówno zdalne zarządzanie z centrali systemami oddalonymi, jak i przesyłanie alarmów, raportów stanu systemu czy ostrzeżeń informujących o możliwości powstania zagrożenia awarią.

rys. 2
Obiekt zarządzany centralnie

Możliwości połączenia centrali z obiektem oddalonym w celu realizacji zdalnego zarządzania.

Połączenie między obiektem z zainstalowanym systemem BMS, a siedzibą firmy, która prowadzi centralne zarządzanie wieloma obiektami z zainstalowanym systemem BMS, można zrealizować na dwa sposoby:

  • konfigurując połączenie wykorzystujące protokół Dial-up do wykorzystywania bezpośredniego telefonicznego łączenia się między centralą a obiektem oddalonym, lub do łączenia się poprzez Internet;
  • konfigurując połączenie wykorzystujące protokół VPN (Virtual Private Network), do wytworzenia wirtualnego tunelu w Internecie pomiędzy centralą a obiektem oddalonym.
     
  • Protokół Dial-up.

Dial-up wykorzystuje protokół dostępu typu PPP (Point-to-Point Protocol). Jest to przemysłowy standard protokołu zawierający mechanizmy dostępu klienta do oddalonego serwera, wykorzystywany do przeprowadzania standardowych operacji w sieci.

PPP ma wbudowaną autentykację szyfrowania hasła. Architektura PPP zawiera klientów używających kombinacji sieciowych protokołów transportowych typu: NetBEUI, TCP/IP i IPX/SPX. Podstawową wadą protokołu Dial-up jest mały poziom zabezpieczenia nawiązanego połączenia, ograniczający się jedynie do części inicjującej połączenie, poprzez szyfrowanie hasła i jego autentykację. Taki poziom zabezpieczenia pozwala nam jedynie na przeglądanie stron publikowanych na serwerze WWW znajdującym się na obiekcie oddalonym. Umożliwia nam to kontrolę stanu systemu, lecz nie pozwala na zdalne zarządzanie całym systemem.

rys. 3
Połączenie protokołem Dial-up dwóch komputerów w prywatną sieć
rys. 4
Połączenie protokołem Dial-up dwóch komputerów wykorzystując Internet

Połączenie protokołem Dial-up dwóch komputerów w prywatną sieć wymusza ze względu na założenie dużego rozproszenia obiektów oraz dużych odległości między obiektami wykorzystanie łączy telekomunikacyjnych. Wiąże się z tym duży koszt utrzymania takiej sieci, zwłaszcza gdy do odpowiedniego serwisowania, operator znajdujący się w centrali będzie musiał wykonać wiele połączeń często kilku godzinnych. Dodatkowym utrudnieniem jest mała transmisja przy tego typu połączeniach.

Przy wykorzystaniu protokołu Dial-up do połączenia dwóch komputerów wykorzystując Internet koszty utrzymania takiego połączenia znacznie spadają.

Zwłaszcza w sytuacji wykupienia przez firmę, która prowadzi centralne zarządzanie wieloma obiektami, stałego łącza od dostawcy internetowych serwisów.

Wymogiem połączenia przez Internet jest ustanowienie na serwerze dostępu, znajdującym się w obiekcie oddalonym, publicznej domeny. Powoduje to jednak dodatkowe zagrożenie ponieważ wykorzystując opublikowaną w sieci Internetowej domenę narażamy ją na ataki z zewnątrz.

Mało skomplikowana konfiguracja takiego połączenia nie rekompensuje nam braku możliwości w pełni zdalnego zarządzania oddalonym systemem BMS, oraz słabego zabezpieczenia nawiązanego połączenia.

 
  • Protokół VPN.

Do stworzenia wirtualnej prywatnej sieci (VPN - Virtual Private Network), umożliwiającej dostęp do odległych zasobów możemy wykorzystać konfigurację sprzętową wykorzystywaną do tworzenia połączeń protokołem Dial-up, takich jak modem lub ISDN.

rys. 5
Utworzenie tunelu między klientem VPN a serwerem VPN,
w celu uzyskania łącza wirtualnej prywatnej sieci (VPN)

Połączenie wykorzystujące protokół VPN tworzone jest między klientem, który może być hostem lub komputerem nie posiadającym swego adresu IP w sieci Internetowej a serwerem VPN będącym hostem. W szczególności hostem może być serwer domeny, serwer Proxy, komputer stacjonarny, drukarka, kamera lub inne urządzenie posiadające swój adres IP w sieci Internetowej.

W celu utworzenia dwukierunkowego połączenia, komputery znajdujące się po obydwu stronach tunelu muszą być hostami. W zależności od kierunku nawiązywania łączności, albo serwer znajdujący się w centrali będzie klientem inicjującym połączenie do zasobów serwera domeny znajdującego się w odległym obiekcie z zainstalowanym systemem BMS, albo serwer domeny znajdujący się w obiekcie z BMS będzie klientem inicjującym połączenie do zasobów serwera domeny znajdującego się w centrali.

Konfigurując połączenie wykorzystujące protokół VPN (Virtual Private Network), do wytworzenia wirtualnego tunelu w Internecie pomiędzy centralą a obiektem oddalonym VPN używa dodatkowych protokołów pozwalających użytkownikom na łączenia się do odległej lokalnej sieci typu LAN wykorzystując Internet lub połączenie wydzwaniane. Połączenie takie może być połączeniem bezpiecznym mimo możliwości wykorzystania sieci Internetowej.

Protokół VPN przekształca pakiety danych TCP/IP, IPX/SPX lub NetBEUI znajdujące się wewnątrz pakietów danych protokołu PPP na pakiety zawierające mechanizmy ochrony wbudowane w protokół VPN.

Oddalony serwer dostępu przy pomocy klienta dokonuje sprawdzenia wszystkich mechanizmów kontroli bezpieczeństwa poprzez nadanie uprawnień i szyfrowanie danych, zabezpieczone w ten sposób dane są gotowe do wysłania w niezabezpieczoną sieć Internetową.

Standardowo, użytkownik wykorzystujący VPN w pierwszej kolejności łączy się z dostawcą serwisów Internetowych (ISP) i wtedy dochodzi do połączenia portów VPN tworząc tunel komunikacyjny bezpośrednio w Internetowym połączeniu.

Używając VPN możemy do nawiązywania połączenia wykorzystać protokół PPTP (Point-to-Point Tuneling Protocol) lub L2TP (Layer Two Tuneling Protocol).

  • Point-to-Point Tuneling Protocol (PPTP)

Point-to-Point Tuneling Protocol (PPTP) umożliwia ochronę transferu poprzez pakietowanie danych zgodnie z mechanizmem ochrony PPTP i przesyłanie ich przez klienta PPTP do serwera PPTP wykorzystując TCP/IP do połączeń między sieciami poprzez sieć Internetową.

PPTP pakietuje ramki PPP w pakiety TCP/IP przygotowywując w ten sposób do transmisji między sieciami. Ponieważ jest to pakietowane przez ten protokół, można używać wszystkich właściwości protokołu PPP, wliczając w to TCP/IP, IPX/SPX, NetBEUI i Microsoft Point-to-Point Encryption (MPPE), do utworzenia wirtualnej prywatnej sieci.

Windows 2000 ma wbudowany protokół PPTP, dzięki czemu można utworzyć prywatną sieć typu LAN-to-LAN w oparciu o platformę systemową Windows 2000 i protokół PPTP.

  • Layer Two Tunneling Protocol (L2TP)

Layer Two Tunneling Protocol (L2TP) jest protokołem tunelowania odpowiadającym standardom przemysłowym. Tak jak PPTP, protokół L2TP używa automatycznego mechanizmu kompresowania protokołu PPP. W odróżnieniu od PPTP nie wykorzystuje Microsoft Point-to-Point Encryption (MPPE) do szyfrowania ramek PPP. Zamiast tego, L2TP wykorzystuje jako serwis szyfrowania Internet Protocol Security (IPSec).

Rezultatem tego dla wirtualnych prywatnych sieci opartych na L2TP jest typowa kombinacja połączonych protokołów L2TP i IPSec. Dla kodowanych wirtualnych prywatnych sieci wykorzystujących L2TP muszą się znajdować na kliencie i serwerze skonfigurowane protokoły L2TP i IPSec.

L2TP pozwala na wykorzystywanie kombinacji protokołów TCP/IP, IPX/SPX lub NetBEUI, które są następnie szyfrowane i wtedy wysyłane przez jakiekolwiek medium wspomagające dostarczanie pakietów typu point-to-point takie jak: Ethernet, X.25, frame relay, czy ATM.

  • IPSec

Internet Protocol Securitu (IPSec) zapewnia ochronę danych, bazujących na komunikacji TCP/IP poprzez dostarczenie dodatkowego poziomu zabezpieczenia sieci.

IPSec jest połączona z serwisami bezpieczeństwa właściwymi w Windows 2000 dla zabezpieczenia komunikacji w Intranecie i Internecie. Protokoły VPN, PPTP i L2TP, mogą być połączone w systemie bezpieczeństwa pod warunkiem, że IPSec będzie zapewniał bezpieczeństwo danych.

IPSec zapewnia integralność danych i szyfrowanie. Jest lepszy od PPTP używającego szyfrowania MPPE.

Wykorzystując IPSec należy się liczyć ze wzrostem obciążenia CPU u klienta i na serwerze, oraz wzrostem zajętości sieci poprzez zwiększenie objętości pakietów.

Ze względu na bezpieczeństwo przesyłu danych najodpowiedniejszą metodą do realizacji zdalnego dostępu, będzie wykorzystanie protokołów wykorzystujących mechanizmy tworzenia wirtualnej sieci prywatnej.

  • Konfigurowanie serwerów dostępowych.

Strategia bezpieczeństwa ochrony zasobów.

Przed przeprowadzeniem instalacji systemu Windows 2000 Server należy opracować projekt strategii bezpieczeństwa.

Projekt powinien zawierać konfigurację następujących narzędzi:

  • Account policies: konfiguracja hasła i zasady zarządzania kontami;
  • Local policies: konfiguracja auditingu, praw użytkowników, oraz opcji bezpieczeństwa;
  • Public key policies: konfiguracja szyfrowania danych: agenta odzyskiwania, zarządcy domeną itp.;
  • IPSec policies: konfiguracja systemu bezpieczeństwa IP sieci;
  • Event log: Konfigurowanie ustawień dla logów aplikacji, loga systemowego i loga bezpieczeństwa;
  • Restricted groups: konfigurowanie grup członkowskich do grupy ograniczonego bezpieczeństwa;
  • System services: konfiguracja ustawień bezpieczeństwa i ustawień domyślnych dla uruchamianych serwisów;
  • Registry: konfigurowanie systemu bezpieczeństwa dla rejestrów systemowych;
  • File system: konfigurowanie systemu bezpieczeństwa dla specyficznych plików i folderów.

Dobrze wykonany projekt oraz przeprowadzona konfiguracja stanowi pierwszy stopień zabezpieczenia serwera. Tworzenie skomplikowanych zabezpieczeń opartych na firewall-ach przy brakach w podstawowej konfiguracji może spowodować ich małą skuteczność.

 

 

  • Wykorzystanie Microsoft Proxy 2.0.

Drugim stopniem jest zastosowanie Microsoft Proxy 2.0, umożliwiającego ukrycie serwera DNS przed nieautoryzowanym dostępem. Zainstalowanie Proxy Serwera wymagać będzie zastosowania dodatkowego komputera z zainstalowanymi dwiema kartami sieciowymi (w przypadku posiadania linii o dużej transmisji podłączonej bezpośrednio do sieci Internetowej, w przeciwnym przypadku będzie to modem lub ISDN do podłączenia z Internetem oraz karta sieciowa do podłączenia z lokalną siecią).

rys. 6
Zabezpieczenie lokalnej sieci komputerowej wykorzystując Proxy Serwera

Cały ruch, sieć lokalna - Internet będzie przechodził przez komputer z zainstalowanym Microsoft Proxy 2.0 posiadającym pełną kontrolę nad żądaniami przychodzącymi zarówno z zewnątrz jak i z wewnętrznej sieci komputerowej. Proxy Serwer przechwytuje żądania zewnętrzne, sprawdza czy żądanie posiada zezwolenie na pobieranie danych lub wykonywanie żądanych czynności w sieci wewnętrznej, jeżeli posiada takie zezwolenie to jest kierowane do hosta znajdującego się w sieci lokalnej. Po otrzymaniu odpowiedzi od hosta z sieci lokalnej Proxy przekazuje ją do hosta zewnętrznego, od którego przyszło zapytanie.

Serwer Proxy chroni tożsamość komputerów sieci wewnętrznej, blokując bezpośrednią komunikację pomiędzy nimi. Użytkownik zewnętrzny nie widzi rzeczywistego serwera DNS znajdującego się w lokalnej sieci komputerowej, a jedynie komputer z Proxy.

Na Serwerze Proxy powinny znajdować się protokoły wykorzystywane do nawiązywania wirtualnych połączeń.

  • Blokowanie dostępu do lokalnej sieci komputerowej.

Trzecim stopniem zabezpieczenia sieci lokalnej przed nieautoryzowanym dostępem są poprawnie skonfigurowane filtry, które decydują o odrzuceniu albo przesłaniu pakietów.

Serwer Proxy posiada bogaty system filtrów wbudowanych. Definicja filtru obejmuje informację o kierunku ruchu (pakiety przychodzące, wychodzące), protokoły, porty lokalne i odległe oraz adresy. Wśród predefiniowanych filtrów znajdują się między innymi: DNS, Lookup, ICMP, PPTP, SMTP. POP3, HTTP, NetBIOS. Gdy filtrowanie pakietów jest uaktywnione, Proxy Serwer egzaminuje każdy przychodzący pakiet, sprawdzając, czy jest zgodny ze zdefiniowanymi zasadami i przepuszcza go do wewnętrznej sieci dopiero po pomyślnym przejściu weryfikacji.

Stosowanie filtrowania ruchu z Internetu nie blokuje ruchu w sieci lokalnej.

Wynika to z wbudowanej w Microsoft Proxy 2.0 identyfikacji komputerów należących do sieci lokalnej na podstawie wpisów w jego tablicy LAT, zawierającą listę numerów IP należących do sieci wewnętrznej. Właściwość ta ma wpływ na tablicę routingu tego komputera, a tym samym na proces przesyłania pakietów.

Microsoft Proxy Serwer ma wbudowane mechanizmy monitorowania, rejestrowania i powiadamiania o zdarzeniach związanych z filtrowaniem pakietów. Zdarzenia mogą być rejestrowane w pliku, Dzienniku Zdarzeń lub przesyłane na adres e-mail.

  • Kontrola użytkowników.

Kontrolę nad tym, z jakich programów użytkownicy mogą korzystać, umożliwia jeden z serwisów Microsoft Proxy 2.0 - WinSock Proxy. Działa on wraz z programem Client Proxy w imieniu użytkowników-klientów, kontrolując przy okazji ich prawa do korzystania z danego programu. WinSock Proxy, działając w imieniu klientów, pozwala na wykorzystanie w sieci lokalnej numerów IP z puli prywatnych. Komputer posiadający numer prywatny nie jest widoczny z zewnątrz, jak również on nie ma możliwości bezpośredniego komunikowania się z innymi znajdującymi się poza siecią lokalną. Wymuszamy tym konieczność komunikowania się komputerów lokalnych z zewnętrznymi przy wykorzystaniu Proxy Servera, który przechwytuje wszystkie wywołania do klientów , a następnie to on w ich imieniu kontaktuje się z odległym hostem. W tej sytuacji nie ma znaczenia, czy numer IP hosta w sieci lokalnej jest numerem prywatnym. Dzięki serwisowi WinSock Proxy, host zewnętrzny widzi tylko Server Proxy, a nie ukryty za nim host w sieci wewnętrznej. Zwiększa to znacznie bezpieczeństwo sieci lokalnej.

Dodatkową zaletą stosowania Servera Proxy jest konieczność wykupienia tylko jednego adresu IP, z którego może wykorzystać bardzo dużo komputerów korzystających z Internetu.

Daje nam to możliwość dodatkowej kontroli - kontrolę witryn, które mogą być wizytowane przez użytkowników. Administrator może zdefiniować grupy użytkowników, które będą miały dostęp do wskazanych witryn znajdujących się na serwerze WWW.

Na rysunkach rys. 7 i rys. 8 przedstawiono sposób wykorzystania Servera Proxy do kontrolowania dostępu z sieci Internetowej. Dla rozbudowanej struktury przy wykorzystaniu stacji roboczej i serwera SQL konfiguracja będzie taka sama jak dla zwyczajnych sieci informatycznych. Przy wykorzystaniu Servera Proxy do zabezpieczenia kontrolera CX9400 przed nieautoryzowanym dostępem z Internetu. Będziemy mogli również wykorzystać wbudowany w ten kontroler Web Server do komunikowania się z nim poprzez sieć.

rys. 7
Konfiguracja zdalnego zarządzania dla systemów BMS wykorzystujących wizualizację dla portiera, przy wykorzystaniu CONTINUUM firmy Andover Controls
rys. 8
Konfiguracja zdalnego zarządzania dla bezobsługowych systemów BMS, przy wykorzystaniu CONTINUUM firmy Andover Controls

Korzystanie z pośredniego dostępu do zasobów systemu BMS zainstalowanych na oddalonym obiekcie.

Pośrednie korzystanie z zasobów systemu BMS możemy zrealizować wykorzystując wbudowany standardowo w system Windows 2000 Server, pakiet usług internetowych Internet Information Server 5.0, tworzący kompletne środowisko internetowe.

W skład pakietu IIS 5.0 wchodzą między innymi usługi:

Nazwa usługi Opis usługi
Web Server Pozwala na publikowanie dokumentów w sieci wykorzystując format HTML.
FTP Server Umożliwia kopiowanie plików pomiędzy hostami w Internecie.
Certificate Server Secure Socet Layer (protokół używany do zabezpieczania danych wymienianych pomiędzy serwerem WWW a przeglądarką) używa cyfrowych kluczy do kodowania danych. Przed zażądaniem komunikacji SSL dla witryny, należy stworzyć klucze dla niej, natomiast zanim zainstaluje się klucze trzeba je uwierzytelnić w odpowiedniej instancji (certificate authority). Certificate Server pozwala działać jako własna instytucja uwierzytelniająca, zajmująca się generowaniem kluczy.
NNTP Server Tworzy tablice informacyjną z wiadomościami publikowanymi przez użytkowników.

Pośrednie korzystanie z zasobów systemu BMS możemy zrealizować korzystając z serwisu WWW zawartego w IIS. Tworząc strony WWW w HTML możemy skorzystać z dynamicznego aktualizowania danych na stronie korzystając z DHTML, skryptów CGI lub innych mechanizmów. Umożliwi nam to również w ograniczony sposób sterowanie systemem BMS oraz zmiany konfiguracji przy wykorzystaniu dostępnych w systemie Windows 2000 mechanizmów umożliwiających stosowania skryptów, makr itp.
Korzystanie z bezpośredniego dostępu do zasobów systemu BMS zainstalowanych na oddalonym obiekcie.

Bezpośredni dostęp do zasobów możemy uzyskać poprzez bezpośrednie logowanie się poprzez Internet na serwerze znajdującym się w obiekcie BMS. Połączenie tego typu wykorzystując wirtualną sieć prywatną wprowadza ograniczenia wynikające z konieczności przesyłania dużej ilości danych potrzebnych do prowadzenia takiej łączności.

Może to doprowadzić do nadmiernego obciążenia i spadku efektywności takiego łącza.

Połączenie tego typu umożliwia przesyłanie plików potrzebnych do prowadzenia administracji, lub modyfikacji plików znajdujących się w obiekcie oddalonym poprzez wykorzystanie aplikacji znajdujących się w centrali. Bardziej efektywnym sposobem wykonywania tych samych czynności jest wykorzystanie serwera FTP do przesyłania danych, ich ewentualną modyfikację można przeprowadzać na obiekcie oddalonym poprzez znajdujące się tam aplikacje wykorzystując Terminal Services.

Połączenie wykorzystujące bezpośrednie logowanie się w systemie zarządzającym BMS nie będzie wykorzystywało innych zabezpieczeń oprócz wbudowanych w wirtualną sieć prywatną.

 

Drugim sposobem, bardziej efektywnym jest wykorzystanie Terminal Services, którego idea działania została przedstawiona na rysunku rys. 9

rys. 9
Idea działania Terminal Services

Terminal Services umożliwia dostęp do Windows 2000 wielu użytkowników, zezwalając kilku jednocześnie osobom na uruchamianie sesji na jednym komputerze.

Administrator może instalować aplikacje środowiska Windows NT na Terminal Server i udostępniać te aplikacje klientom, którzy połączyli się z serwerem.

  • Terminal Services składa się z trzech części:

Terminal Server

Serwer zarządza zasobami komputera dla sesji klientów i dostarcza wszystkim użytkownikom, którzy się za logowali, ich właściwe unikalne środowisko. Serwer otrzymuje do sterowania sesji zdarzenia z klawiatury i myszki od oddalonego klienta prowadzącego sesję i wysyła do klienta wszystkie wyświetlane na ekran informacje od systemu oraz aplikacji.

Klient

Otwarcie przez klienta sesji terminalowej powoduje wyświetlenie na jego komputerze okna, do którego są przesyłane informacje graficzne w postaci standardowego pulpitu wraz z oknami otwartych aplikacji. Korzystając z klawiatury i myszki ma możliwość pracować zdalnie na serwerze tak jakby pracował bezpośrednio na swoim komputerze, mimo wykorzystania standardowych łączy Internetowych.

Remote Desktop Protocol (RDP)

RDP wspiera komunikację pomiędzy klientem a serwerem. RDP jest zoptymalizowane do wyświetlania interfejsu graficznego przesyłanego od serwera do klienta. RDP jest protokołem poziomu aplikacyjnego wykorzystującym protokół TCP/IP do przesyłania informacji potrzebnych aplikacji poprzez sieć. RDP bazuje na standardzie International Telecommunication Union (ITU) T.120, stworzonym do prowadzenia międzynarodowych, wielokanałowych konferencji.

  • Wbudowane zabezpieczenia w Terminal Services.

W Windows 2000 znacznie wzrosło bezpieczeństwo i niezawodność Terminal Services. Ponieważ aplikacje oraz dane użytkownika nie są transmitowane do klienta.

Terminal Services może dostarczyć wiele zabezpieczeń informatycznego środowiska poprzez utrzymywanie wielopoziomowego szyfrowania, które można uaktywnić tam, gdzie występuje ryzyko nieautoryzowanego przechwycenia transmisji połączenia pomiędzy serwerem a klientem. Dostępne są trzy poziomy szyfrowania: niski, średni oraz wysoki.

Wszystkie poziomy szyfrowania używają standardu Rivest-Shamir-Adleman (RSA) RC4, będącego standardem szyfrowania danych wysyłanych sieciami publicznymi, takimi jak Internet.

  • Wykorzystanie Terminal Services do odległego administrowania.

Terminal Services posiada kilka właściwości przydatnych dla administratora i wspierających zadania, które mogą pomóc zredukować koszt administrowania.

Przede wszystkim możemy wyodrębnić dwie główne cechy:

  • Oddalone administrowanie

Sposób odległego administrowania jest nową cechą w Terminal Services dla Windows 2000. Jest to zaprojektowane, żeby dostarczyć operatorowi i administratorowi odległego dostępu do typowego Microsoft Back Offices serwera oraz serwera domeny. Administrator ma dostęp do narzędzi wykorzystujących podstawowy interfejs graficzny dostępny w środowisku Windows, również wtedy, gdy nie wykorzystuje do administrowania serwerem komputera używającego środowiska Windows.

  • Oddalone wsparcie

Administrator może wykonywać oddalone wsparcie dla użytkownika, który jest za logowany na Terminal serwerze przez otwarcie kolejnej sesji klienta z następnej sesji klienta. Administrator wspierając personel może również wprowadzić do sesji swoją klawiaturę i akcję myszki, w imieniu użytkownika, któremu umożliwiono oddalony dostęp. Oddalony dostęp może być wykorzystywany do szkolenia i wspierania użytkowników pracujących z nowym systemem lub aplikacją.

  • Podsumowanie

Zdalne sterowanie obiektami zarządzanymi przez systemy BMS stanowi alternatywę dla rosnących kosztów utrzymania administratorów na obiektach, oraz kosztów obsługi coraz większej ilości tego typu obiektów.

Pozwala na sterowanie wieloma obiektami jednocześnie przez najlepszych specjalistów, fachowe wsparcie dla administratorów znajdujących się na obiektach oraz bardzo szybkie reagowanie na awarię, jednocześnie precyzyjnie określając zakres awarii oraz kogo wysłać w celu jej usunięcia.

Sposób, w jaki zostanie skonfigurowany system centralnego zarządzania będzie zależał od wielu czynników bardzo charakterystycznych dla danego obiektu, oraz zaopatrywań samego inwestora. Dlatego powinien być dobierany indywidualnie.

Poniżej przedstawię przykładową konfigurację umożliwiającą poprawne działanie serwisu opartego na najlepszych specjalistach.

Łącze centrala - obiekt oddalony.

  • wykorzystanie protokołu Dial-up oraz przeglądarki internetowej do przeglądania stron WWW serwera znajdującego się na oddalonym obiekcie;
  • wykorzystanie wirtualnej prywatnej sieci do przesyłania większych zbiorów danych, np. aktualizacji oprogramowania, wykorzystanie opcji wideo do sprawdzenia stanu bezpieczeństwa obiektu.
  • wykorzystanie wirtualnej prywatnej sieci oraz Terminal Services do zmian w konfiguracji systemu, wprowadzanie nowych użytkowników, prowadzenie napraw, wraz ze zdalnym przeinstalowaniem systemu, dokonywanie archiwizacji systemu itp.

Łącze obiekt oddalony - centrala.

  • konfiguracja e-maila do przesyłania wiadomości do specjalisty na konto e-mailowe lub SMS;
  • opcjonalnie, wykorzystanie wirtualnej sieci prywatnej do przesyłania danych, np. obrazu wideo z naruszenia systemu bezpieczeństwa obiektu; opcja ta wymusi zastosowanie serwera DNS w centrali.

Jak możemy zauważyć nie ma potrzeby konfigurowania domeny w centrum zarządzania.

Umożliwia nam to zastosowanie w centrum zarządzania jedynie Windows 2000 Professional, zarówno na komputerze stacjonarnym jak i przenośnym. Konfigurując jednakowo te dwa komputery umożliwimy kontrolę stanu zarządzanych obiektów również, gdy specjalista będzie znajdować się na innym obiekcie.

Administrator centralnie zarządzający obiektem w celu dbałości o bezpieczeństwo powinien stworzyć na obiekcie oddalonym konto operatora mogącego wykonywać podstawowe czynności, oraz wykorzystywać to konto do logowania się poprzez sieć.

Konto administratora powinno być wykorzystywane jedynie do wykonywania czynności zarezerwowanych dla tego konta korzystając z mechanizmu "Ran as" umożliwiającego uruchomienie aplikacji zarezerwowanych dla administratora z konta zwykłego użytkownika.

Artykuł został dodany przez firmę


Inne publikacje firmy


Podobne artykuły


Komentarze

Brak elementów do wyświetlenia.