Спутниковый Интернет
Подключение ЛВС к спутниковому провайдеру EuropeOnline Networks
EuropeOnline Networks (EON) с самого начала предоставления услуг спутникового Ин-тернета в первую очередь была ориентирована на такой сервис, как Digital Download (загрузка больших файлов до 700Mb за одну сессию при скорости более 2Mbit/sec), а также на web-серфинг, но на ограниченной скорости, динамически изменяющейся в зависимости от загрузки прокси-серверов. Эти сервисы в основном ориентированы на частный сектор рынка (домашних пользователей) и подключение небольших ЛВС (до 5 машин). Приведем кратко основные дос-тоинства и недостатки спутникового провайдера EON.
Плюсы:
1. Digital Download - работа с большими файлами в режиме offline (700Mb за одну сес-сию);
2. HTTP/FTP - работа с файлами в режиме online;
3. Невысокая абонентская плата за обслуживание (unlimited);
4. Увеличение количества открываемых IP сессий в Online режиме при Web серфинге приводит к увеличению скорости обмена данных.
Минусы:
1. Работа через proxy-сервер, вследствие чего отсутствуют другие поддерживаемые сер-висы: POP3, ICQ, IRC, Napster, IPhone и т.п. (все ресурсы, которые требуют реального IP-адреса пользователя);
2. Отсутствие возможности докачки файла с FTP сервера при загрузке в режиме online в случае обрыва сессии;
3. Количество IP сессий ограничено 30 (согласно договору с EON);
4. Нестабильность работы Web-серфинга в различные промежутки времени, из-за пере-груженности сервера;
5. Наличие реального IP адреса.
Для преодоления ограничений на количество сессий можно использовать большее коли-чество подписок. На практике это реализуется путем прописки нескольких удаленных прокси-серверов EON у пользователя.
Программное обеспечение для раздачи трафика HTTP/FTP по локальной сети
Раздачей трафика занимаются так называемые прокси-серверы, осуществляющие авто-ризацию на родительских (parent), удаленных прокси-серверах. Такой уровень авторизации поддерживают не все прокси-серверы. Рассмотрим некоторые из них:
PROXY+. Самый простой прокси-сервер в настройке.
Основные характеристики и поддерживаемые сервисы
Proxy+ представляет собой полное решение для доступа из Вашей локальной вычисли-тельной сети (LAN) в Интернет с высокой степенью безопасности.
Поддержка: HTTP proxy, HTTPS proxy, FTP proxy, FTP gateway, Gopher proxy, Telnet gateway, SOCKS4 and SOCKS5, Real Audio Proxy, ICP Server/ICP client, DNS Forwarder, POP3/SMTP mail server, Mapped links.
Конфигурация
Осуществляется программным управлением через WWW-интерфейс с поддержкой фреймов. Адрес управления имеет вид "http://x:4400", где x – это IP адрес Вашего компьютера с установленным Proxy+. IP может иметь локальный вид, например 127.0.0.1, или IP вашей сете-вой карты - 192.168.3.1.
Программные и аппаратные требования
PROXY+ устанавливается на ПК c ОС Windows 95/98, Windows NT или Windows 2000. Свободное место на диске для кэша и сохранения баз писем e-mail пользователей - 10Mb. На-личие TCP/IP протокола. Proxy+ не нуждается в Winsock.DLL и работает в стандартной уста-новке ОС с поддержкой протокола TCP/IP. Proxy+ работает с одной или более сетевыми карта-ми для LAN-связи, или если есть хоть одно коммутируемое соединение с вашим Интернет про-вайдером. Особых требований к аппаратному обеспечению нет. Размер использования опера-тивной памяти зависит от фактического размера дискового кэша, типа загрузки данных и коли-чества пользователей - обычно несколько сотен Кб. В среднем, это 100 байт RAM для каждого объекта в дисковом кэше.
Версия
Free-версия имеет некоторые ограничения по использованию в вашей сети: 2 пользова-теля сети, 3 почтовых ящика (аккаунта) и дисковый кэш web-страниц на 1 Mb. Существуют версии с 5, 10 и неограниченным количеством пользователей сети (за отдельную плату).
Некоторые особенности установки под Windows NT и Windows 2000:
Установка Proxy+ под Windows NT и Windows 2000 возможна в режиме сервиса (application with service support). Для этого вы должны иметь права администратора.
Адрес в интернете:
http://www.proxyplus.net/
SQUID. Разрабатывалось для работы на любых современных Unix системах, и известно, что работает на AIX, FreeBSD, HP-UX, IRIX, Linux, OSF/1, Solaris, и SunOS, Windows NT.
• полнофункциональный прокси для Web;
• разработан для работы на Unix-системах;
• бесплатен, имеет открытый код;
• результат усилий большого количества оплачиваемых/не оплачиваемых добровольцев.
Squid поддерживает
• проксирование и кеширование HTTP, FTP, и других URL;
• проксирование для SSL;
• иерархии кешей;
• ICP, HTCP, CARP, Cache Digests;
• прозрачное проксирование;
• WCCP (Squid v2.3);
• гибкий контроль доступа;
• HTTP серверную акселерацию;
• SNMP;
• кеширование DNS-запросов.
С информацией по настройке и функциональным возможностям этой программы Вы можете ознакомиться здесь, а с примером настройки подключения к EON - здесь.
Раздача по сети конференций USENET (Новостей)
Для решения этой задачи можно использовать самое разнообразное ПО - это WinProxy, WinGate, WinRoute и другие подобные программы. В качестве сервера новостей следует указы-вать следующие серверы:
Транспондер
Сервер
113 news113.europeonline.net
114 news114.europeonline.net
Схемные решения для подключения ЛВС к спутниковому Интернету с использо-ванием сетевого ПО
Рассмотрим реализацию сети на простом примере.
Постановка задачи
Обеспечить подключение двух локальных сетей офиса1 и офиса2 из нескольких машин в каждой к спутниковому Интернету таким образом, чтобы значительная часть входящего трафи-ка поступала через спутник. Обеспечить изолированность локальных сетей, содержащих цен-ную и конфиденциальную информацию.
Архитектура сети
Локальная сеть разделена на сегменты, имеющие сходную топологию и организацию структур управления. Так как сеть в целом не является закрытой корпоративной системой, со-блюден ряд требований защиты от несанкционированного доступа как извне, так и изнутри се-ти.
Общие принципы
В дальнейшем будут использоваться следующие определения:
Внутренняя сеть - локальная сеть, использующая закрытый диапазон адресов, в кото-рой осуществляется деятельность подразделения и которая не доступна из других подразделе-ний иначе, как с явного разрешения администратора сети;
Внешняя сеть - (глобальная) сеть, соединенная с сетью Интернет и имеющая собствен-ное адресное пространство, подразумевающее возможность доступа из Интернета.
Рис. 1. Схема подключения ЛВС к спутниковому каналу.
Каждое подразделение, имеющее внутреннюю сеть, подключается к внешней сети через выделенный сервер, на котором установлены две сетевые платы, разделяющие кабельные сис-темы внутренней и внешней сети. Между платами запрещена маршрутизация сетевых пакетов. При необходимости организации закрытых сегментов, не имеющих прямого доступа в Интер-нет (в качестве дополнительной меры защиты), внутренняя и внешняя сети могут быть развяза-ны по протоколам: во внутренней сети может использоваться IPX или NetBEUI, во внешней – TCP/IP.
В том случае, когда необходимо подключить спутниковый канал, в такой компьютер ус-танавливается DVB–карта, которая коаксиальным кабелем подключается к спутниковой антен-не. Схема подключения сегмента внутренней сети проиллюстрирована на Рис. 1.
Топология внутренней сети подразделения жестко не задается, за исключением наличия в ней указанного сервера c двумя сетевыми платами. Это означает возможность продолжения нормальной работы внутренней сети без переконфигурирования.
На сконфигурированном вышеописанным способом шлюзовом сервере устанавливается Microsoft Exchange Server (MSES). Так как серверу с двумя сетевыми картами доступны и внешняя, и внутренняя сети, MSES по внешней сети сможет обмениваться информацией и с другими MSES телекоммуникационной системы и передавать/получать почту и другие данные из Интернет.
Помимо MSES на такой компьютер может устанавливаться программный маршрутиза-тор, поддерживающий трансляцию адресов (NAT Router). С помощью NAT компьютеры внут-ренней сети, имеющие IP–адреса из закрытого для Интернета диапазона, могут иметь доступ в Интернет, оставаясь совершенно недоступными из внешней сети, а следовательно, и неуязви-мыми для атак извне.
Программное обеспечение
В качестве серверной операционной системы для серверов, обслуживающих телекомму-никационную систему, может использоваться ОС Windows NT Server версии 4.0 с установлен-ным Service Pack #6 или ОС Windows 2000 с установленным Service Pack #1 в варианте Server либо Professional. Поскольку организация домена Windows 2000 и поддержка сервиса Active Directory в рассматриваемом случае нецелесообразна, на основном и резервном контроллерах домена внутренней сети должна быть установлена операционная система Windows NT 4.0 в ва-рианте enterprise edition с использованием средств терминального доступа.
Программное обеспечение для реализации Sat Router'a: можно использовать Proxy+, предусматривающую каскадную реализацию работы с удаленными прокси-серверами (в дан-ном случае - прокси-сервера EON).
Безопасность
При проектировании телекоммуникационной системы были учтены требования к безо-пасности, предъявляемые задачами с повышенной секретностью.
На канальном и сетевом уровне защита реализована программно, с помощью разделения трафика на серверах, осуществляющих функции транслирующего маршрутизатора (NAT), бо-лее высокие уровни закрываются с использованием средств, предоставляемых операционной системой Windows NT с установленным Service Pack #6 (сертифицирована на класс безопасно-сти C2 по Оранжевой книге с середины 1995г.)
На программном уровне защита от НСД реализована с использованием целого комплек-са мер, направленных на пресечение попыток доступа к закрытым ресурсам.
1. Все участники внутренней сети должны регистрироваться в домене сети (возможна организация нескольких доменов).
При этом:
- ни у кого из пользователей не может быть прав администратора;
- регистрация под именем Guest запрещена;
- аккаунт администратора переименован для затруднения попыток подбора имени;
2. Все удачные и неудачные попытки регистрации в домене отмечаются в системном журнале и регулярно просматриваются администратором;
3. После трех неудачных попыток регистрации в домене аккаунт пользователя блокиру-ется и может быть разблокирован только администратором домена после выяснения си-туации;
4. Пользовательские пароли регулярно и в обязательном порядке меняются.
5. Старые пароли запоминаются на контроллере домена и не могут быть повторно ис-пользованы в будущем;
6. На уровне файловой системы запрещен доступ ко всем ресурсам, которые не являются необходимыми для работы пользователей. Все неудачные попытки доступа к ресурсам регистрируются в системном журнале.
7. Все доступные ресурсы на серверах разделены с использованием средств, скрываю-щих имена. Пользователь может подключиться к ресурсу, только если ему точно извест-но его имя в формате UNC;
8. Может не настраиваться межсегментный browsing over a WAN link. В этом случае пользователь, работающий во внутренней сети, будет видеть только browse list, содер-жащий компьютеры в локальном сегменте.
Безопасность электронной почты контролируется средствами Microsoft Exchange, вклю-чающими ограничения прав пользователей на доступ к Public/Private Folders, электронную под-пись сообщений и др.
На компьютерах, выполняющих функции шлюзов Интернета, обязательна установка специализированных средств защиты, определяющих и пресекающих атаки извне, а также со-ответствующая настройка NAT-маршрутизаторов.
Распределение IP-адресов и разрешение имен во внутренней сети
IP-адреса во внутренней сети распределяются автоматически, с использованием Dynamic Host Configuration Protocol (DHCP). Использование NetBios over TCP/IP позволяет осуществ-лять разрешение IP-адресов в NetBios-имена машин с помощью механизма Windows Internet Name Service (WINS), который при необходимости обращается к локальному или внешнему DNS-серверу.
Преимущества использования DHCP/WINS перед методом с использованием файлов hosts и lmhosts состоят в том, что:
1. Не требуется репликация файлов hosts и lmhosts;
2. Автоматически исключаются источники конфликта адресов и имен, так как целост-ность адресного пула контролируется DHCP сервером, а пространство имен – WINS сер-вером;
3. Все изменения базы адресов легко отслеживаются.
В случае сбоя базы адресов и имен DHCP и WINS могут быть скопированы и восстанов-лены без вмешательства оператора.
Распределение IP-адресов во внешней сети
IP-адреса во внешней сети берутся из диапазона адресов, выделенного наземным про-вайдером, и назначаются вручную. При этом в качестве первого адреса DNS рекомендуется ис-пользовать IP-адрес вторичного DNS-сервера, находящегося в локальном сегменте.
Топология и оборудование
Рис. 2. Схема подключения ЛВС двух офисов к отдельным спутниковым каналам.
