Integracja Windows NT
ze środowiskiem UNIX

h

Wstęp do TCP/IP

Krótki wykład o protokole TCP/IP. TCP/IP

jako najważniejsze zagadnienie
integracji Windows NT i UNIX

h

Instalacja protokołu TCP/IP na
serwerze Windows NT

Z

milionami instalacji i

ponad

trzydziestoletnią dojrzałością UNIX jest bodaj

najbardziej popularnym systemem

operacyjnym, jaki kiedykolwiek powstał.

Wraz ze wzrostem popularności Windows

NT, coraz częściej zachodzi potrzeba

integrowania obu środowisk. Chociaż

przebąkiwano, że Windows NT będzie

zabójcą systemu UNIX, z każdym dniem staje

się coraz bardziej oczywiste, że ten

posiadający miliony aplikacji system nie da się

szybko wyprzedzić. Ponadto UNIX jest

najbardziej popularnym systemem

operacyjnym dla serwerów internetowych.

Wysoko kwalifikowani administratorzy są

zatem zmuszeni wykorzystać najlepsze cechy

każdego systemu do zapewnienia spokojnej

i bezpiecznej

pracy

zintegrowanego

środowiska obliczeniowego.

Instalacja TCP/IP jest warunkiem

koniecznym integracji obu środowisk.
Rozwiązania routingu TCP/IP
zaimplementowane w Windows NT.

h

Najczęstsze problemy związane
z TCP/IP

Wskazanie najbardziej powszechnych

kłopotów, towarzyszących
wykorzystaniu protokołu.

h

Kolejny krok na drodze integracji obu
środowisk

Dodatkowe metody zacieśniania współpracy

obu systemów obejmują wykorzystanie
aplikacji, takich jak Telnet, FTP
i przeglądarki Web oraz wykorzystanie
wolumenów Network File system
(NFS).

Część IV Integracja systemu ochrony Windows NT

z produktami BackOffice, Internetem i innymi platformami sieciowymi

424

Wstępne informacje o TCP/IP

Zestaw protokołów o wspólnej nazwie Transmission Control Protocol/
Internet Protocol, w skrócie TCP/IP, stanowi trzon sieci UNIX. Protokół
TCP/IP jest bezpłatny (public domain), a został zaprojektowany, by za-
prowadzić maksymalnie niezawodną komunikację w sieci, z definicji
niepewnej, a mianowicie ARPAnet (Advanced Research Projects Administra-
tion). Z początku- w latach siedemdziesiątych -ARPAnet{xe "ARPAnet"}
była projektowana przez Departament Obrony USA jako sieć badawcza,
umożliwiająca łączność między laboratoriami porozrzucanymi po całych
Stanach Zjednoczonych. ARPAnet jest również prekursorką niewiary-
godnie dziś popularnego Internetu. TCP/IP jest nie tylko protokołem
wybieranym do łączności w Internecie, ale szybko staje się protokołem
wiodącym, w przemyśle sieciowych systemów operacyjnych.

Wypuszczenie na rynek wersji 4.0 Windows NT, znacząco poprawiło
współpracę systemu z TCP/IP, wprowadzając zaawansowane narzędzia,
takie jak DNS (Domain Name Service- usługa nazewnicza domeny), DHCP
(Dynamic Host Control Protocol- protokół dynamicznego sterowania ho-
stem) i routing TCP/IP. Ponadto system routingu Windows NT współ-
pracuje z protokołem RIP (Routing Information Protocol{xe "RIP (Routing
Information Protocol)"}{xe "protokoły:RIP (Routing Information Proto-
col)"}) przy dynamicznej aktualizacji tablic routingu.

Novell zaangażował się w działania, mające na celu zapewnienie
w najbliższej przyszłości autonomii swoich protokołów NetWare oraz
IntranetWare i

zapowiedział inicjatywę połączenia swoich usług

katalogowych (Novell Directory Services) z DNS i DHCP. Przez ostatnie
kilka lat Novell oferował bogate rozwiązania routingu IP jako odrębny
produkt. Ostatnio jednak dołączył je do zestawu IntranetWare. Zarówno
Novell, jak i Microsoft oferują serwery Web, które wykorzystują TCP/IP
jako protokół transportowy. A UNIX, od kiedy powstał jako system
operacyjny, korzysta prawie wyłącznie z TCP/IP!

Każdy komputer sieci TCP/IP ma wyznaczoną unikatową, 32 bitową (4
bajtową) liczbę nazywaną adresem IP. Do zapisu adresu IP stosuje się
notację kropkowo-dziesiętną, polegającą na oddzieleniu kropką każdego
bajtu, zapisanego w systemie dziesiętnym (na przykład 206.98.128.2) Ten
schemat adresowania pozwala identyfikować indywidualne komputery
lub hosty w wielu sieciach. Na ogół adresy IP dzieli się na trzy klasy A, B
i C, w zależności od wartości pierwszego bajtu adresu (w naszym
przykładzie: 206).

Integracja Windows NT
ze środowiskiem UNIX

425

W klasie A, sieciową porcją adresu jest pierwszy bajt, a dla hostów pozo-
stawione są trzy ostatnie. W klasie B sieć identyfikują dwa bajty, a dwa są
przeznaczone dla hostów. W klasie C, trzy bajty reprezentują sieć, a jeden
hosty. Analizują tabelę 17.1 łatwo zauważyć, że wykorzystany
w przykładzie adres 206.98.128.2, należy do klasy C. W sieciach tej kate-
gorii może się teoretycznie znajdować 256 hostów.

Tabela 17.1 Klasyfikacja adresów IP{xe "IP adresy:klasyfikacja"}

Przedział
dziesiętny

Przedział binarny

Klasa

Teoretycznie maksymalna
liczba hostów

0-127 00000000-01111111 A 16 777 216
128-191

10000000-10111111 B 65

536

192-223

11000000-11111111 C 256

Dodatkowe informacje o adresach IP

Maksymalna liczba hostów w

każdej klasie jest określana jako

teoretyczna, z powodu aktualnie stosowanej konwencji wyznaczania adresów
IP. Wytyczne nakazują, aby nie stosować liczb 0,1 i 255 w żadnym
z czterech bajtów adresu. Wartości te są wyznaczone do innych celów.
Ponadto RFC 1597 określa trzy zbiory adresów przeznaczonych na sieci
prywatne, które nie są planowane do połączenia z Internetem:

10.0.0.0-255.255.255

(klasa A)

172.16.0.0-172.31.255.255

(klasa B)

192.168.0.0-192.168.255.255

(klasa C)

Innym specjalnym adresem IP jest 127.0.0.1, który wskazuje bieżący host
i może zostać wykorzystany, w razie problemów w sieci TCP/IP.

Przytoczone wyżej informacje stanowią minimum wiadomości o TCP/IP.
Osoby zainteresowane działaniem protokołów TCP/IP,
zaimplementowanych przez Microsoft, powinny sięgnąć do pięknego
opracowania zagadnienia, zawartego w książce Networking with Microsoft
TCP/IP, wydanie drugie, ISBN 1-56205-713-8, wydanej przez Riders
Publishing. Pewne dodatkowe wiadomości są zawarte również
w rozdziale 14 niniejszego podręcznika.

Instalacja TCP/IP w Windows NT

Jak już mówiliśmy, UNIX wykorzystuje TCP/IP do komunikacji
z klientami i innymi hostami. Chcąc zintegrować z tym środowiskiem
Windows NT, musimy zainstalować na serwerze protokół TCP/IP

Część IV Integracja systemu ochrony Windows NT

z produktami BackOffice, Internetem i innymi platformami sieciowymi

426

Wymagania instalacji

Przed przystąpieniem do instalacji, należy ustalić następujące informacje:

„

Własny adres IP każdego adaptera sieciowego serwera. Dla
uproszczenia zakładamy, ze serwer jest wyposażony w jedną kartę
sieciową.

Uwaga

Jeśli wykorzystujemy protokół DHCP do dynamicznego wyznaczania adresów
w sieci, niniejsza uwaga nie jest potrzebna. Należy mieć w pamięci jeden
problem związany z bezpieczeństwem: korzystając z DHCP i wyznaczając prawa
w oparciu o podsieć IP, użytkownicy mogą korzystać z zasobów po prostu przez
podłączenie się do innej podsieci. Na przykład, jeśli użytkownik podsieci 10.1.1.x
ma pozwolenie dostępu do Internetu bazujące na konfiguracji zapory sieciowej,
natomiast użytkownik podsieci 10.4.4.x nie ma takiego prawa, to drugi
z wymienionych, może uzyskać dostęp, podłączając się do podsieci 10.1.1.x. Na
dodatek ktokolwiek uzyska dostęp do połączeń sieci, automatycznie otrzymuje
właściwy adres i związane z nim prawa dostępu.

„

Wzorzec adresu podsieci. Wzorzec adresu jest wykorzystywany do
identyfikacji części adresu IP, przeznaczonej na adres sieciowy oraz
części, przeznaczonej na adres hosta. Zakładamy, że pracujemy
w typowej sieci klasy C, w której obowiązuje wzorzec 255.255.255.0.

Uwaga

Niektóre środowiska mogą korzystać z rozwiązania znanego pod nazwą
„variable length subnetting” (zmienna długość podsieci) do bardziej wydajnego
wykorzystania adresów. W rezultacie wzorzec podsieci jest inny niż 255. Jest to
jedno z najbardziej złożonych zagadnień adresowania IP i nie będzie wyjaśnione
w tym rozdziale.
Ze względu na niedobór adresów IP dla celów Internetu, projektowany jest
nowy standard adresowania. W najbliższej przyszłości zostanie wprowadzony
nowy schemat adresowania w Internecie pod nazwą IPV6. (Więcej informacji na
ten temat zawiera RFC-1883, dostępna pod
http://ds.Internic.net/rfc/rfc1883.txt).

„

Adres do bramy (gateway). Zazwyczaj jest to router, umożliwiający
określonemu segmentowi sieci lokalnej komunikację z resztą sieci.
W małych biurach, których sieć składa się z jednego segmentu, ta
informacja nie jest potrzebna, ponieważ nie ma routera spełniającego
tę funkcję.

„

Adresy serwera usług nazewniczych domeny (DNS). Serwer DNS
służy do tłumaczenia nazw na adresy i odwrotnie. Obsługuje wszyst-

Integracja Windows NT
ze środowiskiem UNIX

427

kie komputery sieci, które są opisane w jego tabeli. Jeśli nie korzysta-
my z DNS, informacja jest niepotrzebna.

Oto jak działa DNS: Na serwerze DNS znajduje się tabela nazwa
i adresów. Powiedzmy, że w sieci pracuje stacja robocza o nazwie
„Marsha”, posiadająca adres 10.14.55.233. Jeśli wprowadzimy polecenie:
„Telnet Marsha”, to komputer stwierdzi, że parametr „Marsha” nie jest
właściwym adresem IP. Wyśle więc zapytanie do serwera DNS, czy
znana mu jest nazwa „Marsha”. DNS zareaguje, odsyłając odpowiedni
adres IP, co umożliwi nawiązanie połączenia.

Ostrzeżenie

Odnotujmy problem związany z bezpieczeństwem przy posługiwaniu się DNS.
Ktokolwiek poważnie traktuje bezpieczeństwo hostów, nie może publikować
zawartości tabel DNS. Jeśli taka lista jest dostępna, to każdy może wykorzystać
nazwy ze spisu do rejestracji w systemie. Nazwy DNS powinni posiadać jedynie
użytkownicy potrzebujący dostępu do systemu. Ponadto, podłączając się do
Internetu, należy mieć pewność, że informacje DNS nie będą tam kopiowane.
Takie działanie przypomina wysyłanie swojego adresu do włamywacza.
Hakerzy to uwielbiają, ale ludzie związani z ochroną nie!

Instalacja TCP/IP w systemie Windows NT Server

1. Wybrać opcje Start\Settings\Control Panel.

2. Wybrać ikonę grupy Network z Control Panel (por. rysunek 17.1).

Rysunek 17.1

Pamiętajmy o konieczności
przeinstalowania ostatniej
wersji Windows NT Service
Pack, po zainstalowaniu
każdego nowego protokołu.

3. Wybrać zakładkę Protocols i wcisnąć przycisk Add.

Część IV Integracja systemu ochrony Windows NT

z produktami BackOffice, Internetem i innymi platformami sieciowymi

428

4. Wybrać pozycję TCP/IP Protocol z listy usług i kliknąć na przycisku

OK (por. rysunek 17.2). Zostaniemy zapytani czy korzystamy z DHCP
do dynamicznego wyznaczania adresów IP. Wcisnąć przycisk Yes lub
No

w zależności od stosowanej konfiguracji.

Rysunek 17.2

Pamiętajmy, przed zainsta-
lowaniem TCP/IP należy
potwierdzić, czy w naszej
sieci korzystamy z DHCP!

5. Wpisać ścieżkę do plików dystrybucyjnych Windows NT Server.

Wszystkie zbiory związane z TCP/IP zostaną skopiowane na twardy
dysk. System zmodyfikuje odpowiednie rejestry.

Rysunek 17.3

Jeśli nie mamy zarejestrowa-
nych adresów IP, powinni-
śmy korzystać z jednego
z zarezerwowanych przedzia-
łów adresowych, tak jak
przedstawiono na rysunku.
Problem był omawiany we
wcześniejszej części rozdzia-
łu.

6. Wcisnąć przycisk Close w oknie Network. Wprowadzić informacje

przygotowane przed instalacją, w zakładkach IP Address oraz DNS
(por. rysunek 17.3 i 17.4) Zostaniemy również zapytani, czy chcemy
konfigurować część WINS dla wybranego adaptera. Odpowiedź wy-

Integracja Windows NT
ze środowiskiem UNIX

429

maga konsultacji z administratorem sieci w sprawie wykorzystywa-
nego standardu. Na koniec konfiguracji, należy się zdecydować, czy
umożliwimy przesyłanie protokołu IP (IP Forwarding, por. rysunek
17.5). Z opcji IP Forwarding korzystamy jedynie, w razie nieodpartej
potrzeby stworzenia z serwera Windows NT routera IP. Taka sytuacja
może mieć miejsce, jeżeli serwer jest wspólnym elementem dwóch
segmentów sieci i chcemy umożliwić łączność między nimi za po-
średnictwem protokołu IP. Jeśli nie chcemy uruchomić routingu lub
nie jesteśmy pewni decyzji, to pole Enable IP Forwarding pozostawiamy
nie zaznaczone. Zawsze będzie można zmienić decyzję, a niedbała in-
stalacja nieplanowanego routera IP może mieć szkodliwy wpływ na
system routingu.

7. Zrestartować system operacyjny, celem uaktywnienia dokonanych

zmian.

Rysunek 17.4

Większość środowisk UNIX
posiada system DNS, umoż-
liwiający rozwiązywanie
nazw. Jeśli w sieci nie ma
usług DNS, to odpowiedni
oprogramowanie Windows
NT Serwer jest bardzo łatwe
do ustawienia.

Część IV Integracja systemu ochrony Windows NT

z produktami BackOffice, Internetem i innymi platformami sieciowymi

430

Rysunek 17.5

Opcję routingu Windows
NT, należy ostrożnie przygo-
tować. Dodanie routera IP
może spowodować znaczące
problemy w systemie routin-
gu

Prosta integracja z systemem UNIX

Instalacja TCP/IP w Windows NT obejmuje dwa programy, które są do-
skonale znane przez większość użytkowników UNIX: Telnet i FTP (File
Transfer Protocol). Telnet umożliwia połączenie z serwerem Telnetu
z wirtualnego terminala, natomiast FTP dostarcza podstawowej usługi
transferu plików z serwera FTP. Prawie wszystkie warianty systemu
UNIX umożliwiają implementacje obu serwerów. O ile serwer FTP jest
elementem Windows NT, to terminalowy dostęp do Windows NT wy-
maga odrębnego oprogramowania serwera Telnet. Oto krótki opis obu
aplikacji dostępnych w Windows NT:

„

Telnet Client. Program umożliwia dostęp do systemów UNIX ze śro-
dowiska Windows NT. Pozwala na obsługę systemu, dostęp do apli-
kacji z interfejsem znakowym oraz obsługę plików na swoim koncie.
Aby móc korzystać z zalet wielu nowych programów klient/serwer,
lepiej zainstalować aplikację X terminala, co jest opisane w dalszej
części rozdziału.

„

FTP Client/Server. Klient FTP umożliwia dwukierunkowy transfer
plików między komputerem a serwerem FTP, zarówno w formacie
ASCII, jak i binarnym. We wczesnym okresie Internetu, tą drogą była
wymieniana niezliczona ilość informacji. Listy publicznych serwerów
FTP krążyły po sieci, a ludzie dzielili się informacjami, grami, narzę-
dziami i plikami graficznymi. FTP jest nadal używany w połączeniu
z wieloma przeglądarkami Web do odbioru informacji ze stron Web.

Integracja Windows NT
ze środowiskiem UNIX

431

Instalując serwer FTP, pozwalamy użytkownikom czytać i zapisywać
pliki na swoim serwerze Windows NT. Konfigurując aplikację, należy
bardzo ostrożnie stosować uprawnienia dostępu, wyłączyć możliwość
anonimowej rejestracji i wymusić stosowanie hasła. Trzeba unikać, je-
śli to możliwe, przesyłania hasła otwartym tekstem, gdyż dostępne
narzędzia analityczne umożliwiają jego przejęcie przez hakerów.

Zaawansowana integracja ze środowiskiem UNIX

FTP i Telnet pozwalają na podstawową łączność, ale czy można bardziej
zintegrować oba środowiska? Oto kilka typów aplikacji rozszerzające
możliwości współpracy:

Serwer Telnet

W pakiecie narzędziowym Windows NT Server Resource Kit, który moż-
na otrzymać od firmy Microsoft, znajduje się serwer Telnet dla Windows
NT. Osoby zainteresowane serwerem pochodzącym od innych dostaw-
ców mogą się zainteresować bardzo dobrze działającą aplikacją firmy
o nazwie Pragma Systems. Można zapytać: po co nam serwer Telnetu?
Otóż, jeśli administrator korzysta w pracy z linii komend UNIX-a, to do-
stęp do Windows NT połączeniem Telnet może być bardzo przydatny.
Za pomocą serwera Telnet, administrator może edytować pliki konfigu-
racyjne, uruchamiać i zatrzymywać usługi, zmieniać nazwy, usuwać
i przenosić pliki. Serwer Telnetu współpracuje ponadto z wieloma funk-
cjami Windows NT dostępnymi z linii komend.

Network File System (NFS- system plików sieciowych)

NFS jest systemem plików, który umożliwia systemom UNIX-owym ko-
rzystanie z odległych składnic plików. Mechanizm działania jest nieco
podobny do zasobów współużytkowanych Windows NT. Sam Windows
NT nie jest co prawda zdolny do obsługi NFS, ale istnieją produkty in-
nych firm, które można w tym celu dodać do systemu (na przykład:
WRQ, Hummingbird Communication i NetManage).

Z systemem plików NFS są związane pewne zagrożenia, zatem konfigu-
rując go na hoście UNIX, należy pamiętać o następujących sprawach:

„

Unikać przyznawania dostępu NFS do korzenia struktury systemu
plików, z tej samej przyczyny, dla której nie należy przyznawać do-
stępu do głównego katalogu Windows NT. Dostęp do szczytu struk-
tury plików, może potencjalnie zaowocować dostępem do podkatalo-

Część IV Integracja systemu ochrony Windows NT

z produktami BackOffice, Internetem i innymi platformami sieciowymi

432

gów systemu plików UNIX. To z kolei grozi licznymi problemami: do-
stępem do plików z hasłami, uszkodzeniem zbiorów, wykorzystaniem
programów typu „koń trojański” itp.

„

Pamiętać o zasadzie „minimum przywilejów”. Najłatwiej udzielać
uprawnień dostępu dla grup i jest to dobra metoda, jeśli jest stosowa-
na prawidłowo. Lenistwo administratora, objawiające się przyzna-
niem zbyt obszernych przywilejów, zbyt dużej grupie użytkowników,
kończy się zawsze stworzeniem poważnych zagrożeń dla systemu.

„

Ponieważ NFS jest wrażliwy na ataki, polegające na strojeniu się
w cudze piórka (por. spoofing, omawiany w rozdziale 14), należy
zmniejszyć zagrożenie, przez ograniczenie dostępu z sieci zewnętrz-
nej do portów: 111 (port RPC) i 2049 (port NFS ). Oznacza to Internet
oraz wszystkie zewnętrzne połączenia, włącznie z partnerami han-
dlowymi i klientami. Zablokowanie wymienionych portów, znacząco
redukuje zagrożenie, związane z nieupoważnionym wykorzystaniem
zdalnego dostępu do NFS.

X terminale

Ostatnią metodą dostępu do aplikacji systemu UNIX są X terminale. Ma-
jąc zainstalowane odpowiednie oprogramowanie, można korzystać
z aplikacji UNIX-a, korzystając z graficznego interfejsu (GUI) Windows
NT. O aplikacjach X terminali można by napisać odrębną książkę. Spo-
śród dostawców oferujących pakiety emulujące X terminale można wy-
mienić: Attachmate, Hummingbird Communication, NetManage i WRQ.

W innych rozdziałach...

Następujące rozdziały dostarczają ważnych informacji związanych
z ochroną sieci Windows NT, która współpracuje z innymi systemami
operacyjnymi:

„

Rozdział 14 - BackOffice a ochrona sieci podłączonej do Internetu - oprócz
analizy wielu aspektów ochrony systemu Windows NT, podłączonego
do Internetu, zawiera również szczegółowe informacje, dotyczące ze-
stawu protokołów i aplikacji TCP/IP.

„

Rozdział 15 - Integracja Windows NT z innymi sieciowymi systemami
operacyjnymi- wykłada zagadnienia bezpiecznej współpracy w jednej
sieci różnych systemów operacyjnych.

„

Rozdział 18 - Przegląd kryteriów oceny Departamentu Obrony USA
stosowanych do systemów komputerowych godnych zaufania - oraz

Integracja Windows NT
ze środowiskiem UNIX

433

„

Rozdział 19 - Implementacja systemu ochrony poziomu C2 w Windows NT-
omawiają modele ochrony opracowane przez Departament obrony
USA. Zawarte tu informacje pomagają zrozumieć, co to jest bezpiecz-
ny system komputerowy oraz jak mierzyć jakość stosowanej konfigu-
racji ochrony.