Отчет по практике в РГВК Дагестан «Государственное бюджетное учреждение РД»

 

 

Введение

Производственная практика является важным этапом подготовки квалифицированных специалистов. Она является видом учебно-вспомогательного процесса, в ходе которого закрепляется теоретические знания на производстве. Практика является завершающим этапом в процессе подготовки специалиста  к самостоятельной производственной деятельности. Данная производственная практика проходила в компании РГВК Дагестан «Государственное бюджетное учреждение  РД».Республиканская Государственная вещательная кампания «Дагестан» с 1 по 15 июля  2014 года на должности программиста. Работа велась в офисе предприятия.

Моя Производственная Практика началась   ознакомлением  с местом прохождении практики.

Республиканская государственная вещательная компания создана в 2003 году постановлением Правительства Республики Дагестан от 5 декабря 2003 г. №343 в целях совершенствования информационного обеспечения граждан республики и развития республиканского телерадиовещания. Сегодня РГВК «Дагестан» - ведущий телевизионный канал республики.

На канале осуществляются прямые трансляции значимых государственных праздников и мероприятий,  оперативное освещение происходящего в республике («Время новостей»), что позволяет зрителям РГВК «Дагестан» быть в курсе событий не выходя из дома. Редакция художественного вещания большое внимание уделяет патриотическому воспитанию подрастающего поколения, освещению проблем ВИЧ-инфицированных, борьбе с коррупцией, наркоманией, терроризмом и экстремизмом. С этой целью был снят целый ряд фильмов, создано большое количество проектов, в том числе и на средства гранта Президента РД. Программы РГВК «Дагестан» неоднократно были отмечены на всевозможных республиканских, российских и международных конкурсах и фестивалях. Мы постоянно расширяем аудиторию и совершенствуем качество передаваемого сигнала.

Структура предприятии:

1.Администрация

2. Дирекция информационного  вещания 

3. Дирекция художественного  вещания 

4.Дирекция национального  вещания

5.Инжинерно технический  отдел

6.Отдел выпуска

7.Бухгатерский отдел

8.Отдел кадров

9.Юридический отдел

10.Транспортный отдел

11.Отдел маркетинга

12.Отдел компьютерной  графики

13.Хозяйственный отдел

 На предприятии имеется локальная сеть построенная по типу звезда при построение локальной сети используются следующие аппаратно-технические средства:

MikroTik X2 Router BOARD 1100 AH

D-Link DES-1016D

D-Link xStack DGS-3120-24 TC

D-link DGS-3100

D-link DES 3028

На предприятии используются 100 компьютеров.

Контроллер домена

Резервный контроллер домена

Файловый сервер

Прокси сервер

Станции нелинейного монтажа

ПК

Для аутентификации пользователя используются учетные данные хранящиеся на контроллерах домена.

Для защиты прокси сервера и внутренней сети используется сетевой экран входящий в состав TRAFFIC inspector также авторизация на контроллерах домена.

Сетевой экран блокирует все входящие запросы.

Для разрешение входящих соединений используются фильтры.

Сетевой экран.

Сетевой экран (firewall) - это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.Концепция сетевого экрана - по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN флага (для установленных соединений) и отклики по ICMP.

Для того, чтобы при этом прозрачно изнутри работали приложения по протоколу UDP реализована динамическая фильтрация. При появлении исходящих UDP пакетов на какой-то внешний IP-адрес на него временно открывается входящий фильтр, что позволяет принять отклик от удаленного сервера и его пропустить внутрь. После прекращения трафика через минуту этот фильтр удаляется. Все вышеперечисленное относится к настройкам по умолчанию. Тем самым, чтобы полностью закрыть сервер и все подключенные к нему сети извне, сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик можно учитывать на информационных счетчиках, где его можно оценить количественно и качественно - используя сетевую статистику.В программе имеется механизм классификации типа трафика - контролируемый и неконтролируемый. Это относится только к исходящим TCP и UDP пакетам, для другого трафика такое разграничение недоступно.

Контролируемый - это

·	исходящие пакеты от прокси и SOCKS сервера,

 

 

·	TCP и UDP пакеты от авторизованных  клиентов, прошедшие через внутренние  интерфейсы, и далее через роутер  операционной системы или NAT.

 

 В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера, или клиентских программ, работающих на самом сервере. Настройки и приоритеты правил. Имеются общие настройки сетевого экрана, где есть набор разрешающих правил на различный тип трафика, а также отдельный список разрешающих и запрещающих правил.Если все в общих настройках отключено и никаких правил в списке нет, то любой трафик запрещен.Список правил обрабатывается по принципу первого совпадения условия фильтра, просмотр правил в списке идет сначала списка (сверху). Если фильтр разрешающий, то данный трафик считается разрешенным и нижестоящие фильтры игнорируются. Если фильтр запрещающий, то трафик запрещается, нижестоящие фильтры также игнорируются. Правила из общих настроек проверяются после правил списка, т.е. они будут применяться, если трафик не попал ни под одно из условий списка.Более подробно эти настройки описаны в разделе настроек Сетевого экрана. Фильтры (правила) в сетевом экране могут быть сделаны временными. В настройках фильтра можно задать время, по истечению которого он будет удален, или отключен. Это удобно для случаев, когда надо задать временные разрешения, например, с целью отладки сети, и потом не задумываться об удалении этого разрешения.Правилами внешнего сетевого экрана можно управлять через API. Для таких случаев в фильтре предусмотрено два дополнительных атрибута –  

Скрытый - фильтр невидим в консоли

Без сохранения - фильтр не будет сохраняться в файле конфигурации.

 

 Имеется поддержка динамической фильтрации FTP-DATA. Анализируется FTP команды PORT и PASV и на время FTP сессии динамически открываются разрешения для этого трафика.Следует отметить, что для встроенного SMTP шлюза 25 порт по TCP открывать не надо - он это сделает сам.Следует отметить, что данный сетевой экран никак не конфликтует с фильтрацией на базе службы IPSec Windows, которая тоже может использоваться как средство фильтрации трафика.

Контроллер домена.

Компьютер, на котором работает сервер каталога, называется контроллером домена: иными словами, контроллер домена -это компьютер, на котором размещена вся база данных Active Directory.Все запросы к активному каталогу и вообще все запросы, касающиеся доступа к информации, хранящейся в домене, обрабатывает именно этот компьютер.

Роль управление доменом- настолько важная в сети функция, что от нее напрямую зависит работа в сети. Поэтому и доступ к контроллерам домена (DC,Domain Controller) разрешается с большей осторожностью ,чем к остальным, а сами эти компьютеры имеют большую степень безопасности (как с точки зрения сетевого доступа, так и чисто физически) и оснащаются самым надежным оборудованием. в крупных сетях они никогда не выполняют дополнительных серверных функций (не бывают  серверами печати, приложений, файловыми серверами итп..)

Реализация доменной модели сети начинается с установки контроллера домена. По сколько оборудование не обладает стопроцентной гарантией ,может случиться, что через некоторое время контроллер домена выйдет из строя. Что произойдет тогда? Очевидно ,что база данных (Active Directory) перестанет быть доступна, а это значит, что пользователи не смогут зарегистрироваться ни на одном из компьютеров домена. К таким неприятностям нужно готовиться еще на этапе планирования сети, и решением будет организация нескольких контроллеров домена. 

Администрирование  и разграничение доступа

В программе предусмотрены механизмы аутентификации, авторизации при доступе к ее настройкам, работе с биллингом и отчетами. Имеются несколько способов работы с ней и механизмы аутентификации имеют особенности.

1.Доступ через MMC консоль. 

Аутентификация возможна как по NTLM (встроенная Windows аутентификация), так и по данным логина пользователя (имя и пароль), хранимым в программе. NTLM аутентификация возможна как через Active Directory (так же поддерживается несколько доменов), так и через локальную базу пользователей Windows (SAM). Соответственно диалоге логина консоли программы имеется 3 режима -  

 

·	Текущий. Используется текущий логин пользователя Windows.
·	Другой. Можно задать любой другой логин Windows. Если требуется вход с локальным логином Windows, то в поле домена вводится имя сервера.

·	"По паролю". Вводится  логин, хранимый в программе. Пароли  сохраняются в зашифрованном  виде, при обмене данными по  сети также используется шифрование.

 

 

По умолчанию после установки программы разрешен административный доступ к программе для любого пользователя по NTLM, с консоли вход производится под текущим логином Windows. 

 

2. Доступ через веб сервер.  

В веб сервере программы имеется закрытый раздел (директорий) Admin, где располагаются ресурсы для удаленного администрирования через веб интерфейс. Тут аутентификация производится средствами веб сервера и тут уже авторизуется клиент программы. Поэтому для такого доступа в настройках  соответствующего пользователя программы предусмотрена привязка его к клиенту. Т.е. для такого типа доступа надо обязательно прописывать отдельного пользователя в списках настроек администрирования.Подробности реализации аутентификации через веб сервер на уровне функций API описаны в разделе "Вэб-сервис".

3. Доступ через API.

Аутентификация производится функциями APILogon и APILogon2.

Функция APILogon производит аутентификацию с правами администратора по одному паролю (без имени), она оставлена для совместимости с более ранними версиями программы. Такой доступ может быть запрещен, эта настройка доступна в общих свойствах раздела "Администрирование" консоли. Все настройки администрирования вынесены в отдельный раздел консоли. Там имеются группы пользователей, в которых прописываются сами пользователи. В группе задается тип доступа.

Предусмотрено 3 основных типа доступа -

Фильтры.  

В программе фильтрация реализуется двумя способами -

1.	IP фильтрация на уровне  драйвера. В качестве критериев  задаются IP адреса, IP протоколы и  порты.

 

 

2.	Фильтры приложений  с анализом HTTP контента. Работает только через HTTP прокси сервер.

 

 Соответственно и фильтры предусмотрены 2-х типов -  

 

1.	IP фильтры. Применяются для  любого трафика - прямой (NAT), HTTP прокси, SOCKS.

2.	Фильтры приложений. Применяются только для трафика через HTTP прокси и SOCKS. Для SOCKS при этом задание критериев HTTP контента недоступно.

 

 По типу действий фильтры могут быть -

·	На разрешение.

·	На запрещение.

·	На запрещение в зависимости от уровня фильтрации, заданным клиентом. Предусмотрено 4 уровня фильтрации и клиент сам через агента может включить нужный ему уровень. Таким образом он сам может задать степень ограничений трафика, что полезно для реализации задач экономии трафика.

·	Другие действия. Фильтры кроме собственно фильтрации также управляют маркировкой трафика - наценки (скидки), маршруты, ограничения скорости и т.д.

 

 В качестве критерия адресов в фильтрах используется понятие "адрес источника" и "адрес назначения". "Адрес источника" - это хосты внутренней сети. Их явно задавать нельзя, взамен используются данные авторизации. В зависимости от того, относится трафик к авторизованному клиенту или нет, имеются следующие типы фильтров -

·	Для всех. Этот фильтр применяется независимо от того, относится ли трафик к авторизованному клиенту или нет.

·	Для "не клиентов" - только для неавторизованного трафика.

·	Для клиентов - только для авторизованного трафика. Тут есть возможность применить фильтр как для всех клиентов, так и для отдельной группы.

 

 В качестве "адреса назначения" могут быть -

·	Сам сервер. Фильтр применяется для всех IP всех интерфейсов сервера.

 

 

·	IP адрес или сеть.

·	Имя хоста. Для IP фильтра имя через DNS преобразуется в IP адрес, см. далее.

·	Список. Суть списка для IP фильтров и фильтров приложений отличается, см. далее.

·	Любой трафик. Кроме трафика на сам сервер.

 

 Кроме адресов в фильтрах могут быть заданы и другие критерии IP уровня - тип IP протокола, а также TCP/UDP порты со стороны адреса источника и назначения.  

DNS преобразование  имен в IP адреса для фильтров. Traffic Inspector имеет уникальную функцию преобразования имен хостов в IP адреса для применения в IP фильтрах. Для работы фильтров в драйвере программы надо задать IP адрес, так как фильтрация идет на уровне IP пакета. Конечно, всегда можно определить IP адрес и задать его в фильтре явно. Но эта функция преобразования имен позволяет в фильтрах задать имя, не заботясь о том, что реальный IP адрес потом может измениться, что бывает довольно часто. Служба преобразования имен будет периодически перепроверять эти имена, поддерживая фильтр в рабочем состоянии. Администратор имеет возможность задать несколько параметров в виде интервалов времени для более тонкой настройки этой службы.