По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Одиннадцатая часть тут.
Если у вас есть сеть, подобная той, что показана на рисунке 1, и Вам нужно чтобы А распространятл тот же контент в G, H, M и N, как бы вы это сделали?
Вы можете либо сгенерировать четыре копии трафика, отправив по одному потоку на каждый из приемников с помощью обычной (одноадресной - unicast) переадресации, либо каким-то образом отправить трафик на один адрес, который сеть знает для репликации, чтобы все четыре хоста получили копию. Этот последний вариант называется многоадресной рассылкой (multicast), что означает использование одного адреса для передачи трафика нескольким получателям. Ключевая проблема, решаемая в многоадресной рассылке, заключается в том, чтобы пересылать и реплицировать трафик по мере его прохождения через сеть, чтобы каждый получатель, заинтересованный в потоке, получал копию.
Важно: набор устройств, заинтересованных в получении потока пакетов от источника многоадресной рассылки, называется группой многоадресной рассылки. Это может быть немного запутанным, потому что адрес, используемый для описания многоадресного потока, также называется группой многоадресной рассылки в некоторых ситуациях. Эти два применения практически взаимозаменяемы в том, что набор устройств, заинтересованных в получении определенного набора пакетов многоадресной рассылки, присоединится к группе многоадресной рассылки, что, по сути, означает прослушивание определенного адреса многоадресной рассылки.
Важно: в случаях, когда многоадресный трафик является двунаправленным, эту проблему гораздо сложнее решить. Например, предположим, что существует требование создать группу многоадресной рассылки с каждым хостом в сети, показанной на рисунке 2, кроме N, и далее, чтобы любая многоадресная рассылка, переданная по адресу группы многоадресной рассылки, доставлялась каждому узлу в группе многоадресной рассылки.
Ключевая проблема для решения многоадресной рассылки может быть разбита на две проблемы:
Как узнать, какие устройства хотели бы получить копию трафика, передаваемого в группу многоадресной рассылки?
Как вы определяете, какие устройства в сети должны реплицировать трафик и на каких интерфейсах они должны отправлять копии?
Одним из возможных решений является использование локальных запросов для построения дерева, через которое многоадресный трафик должен передаваться по сети. Примером такой системы является разреженный режим (Sparse Mode) в Protocol Independent Multicast (PIM). В этом процессе каждое устройство отправляет сообщение соединения для многоадресных потоков, которые его интересуют; эти соединения передаются вверх по потоку в сети до тех пор, пока не будет достигнут отправитель (хост, отправляющий пакеты через многоадресный поток). Для иллюстрации этого процесса используется рисунок 2.
На рисунке 2:
A посылает некоторый трафик в группу многоадресной рассылки (адрес) - назовем его Z.
N хотел бы получить копию Z, поэтому он посылает запрос (соединение) своему вышестоящему маршрутизатору D для копии этого трафика.
D не имеет источника для этого трафика, поэтому он посылает запрос маршрутизаторам, к которым он подключен, на копию этого трафика. В этом случае единственный маршрутизатор D отправляет запрос В.
При каждом переходе маршрутизатор, получающий запрос, помещает интерфейс, на котором он получил запрос, в свой список исходящих интерфейсов (Outbound Interface List - OIL) и начинает пересылку трафика, полученного в данной многоадресной группе, полученной через любой другой интерфейс. Таким образом, может быть построен путь от получателя к отправителю трафика -это называется деревом обратного пути.
Второй вариант определения того, какие хосты заинтересованы в получении трафика для определенной группы многоадресной рассылки, - через своего рода сервер регистрации. Каждый хост, который хотел бы получить копию потока, может зарегистрировать свое желание на сервере. Есть несколько способов, которыми хост может обнаружить присутствие сервера, в том числе:
Обращение с адресом группы многоадресной рассылки как с доменным именем и поиск адреса сервера регистрации путем запроса адреса группы многоадресной рассылки.
Построение и ведение списка или сопоставления групп с серверами, отображаемыми в локальной таблице
Использование некоторой формы хэш-алгоритма для вычисления регистрационного сервера по адресу группы многоадресной рассылки
Регистрации могут отслеживаться либо устройствами на пути к серверу, либо, когда набор приемников и передатчиков известен, сервер может сигнализировать соответствующим устройствам вдоль пути, какие порты следует настроить для репликации и пересылки пакетов.
Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата- это WEP. В прошлых статьях мы узнали, что WEP является устаревшим средством защиты данных и его использование не рекомендовано. Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?
TKIP
В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим. На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).
TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:
MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
MAC-адрес отправителя: MIC также включает MAC-адрес отправителя в качестве доказательства источника кадра.
Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.
Более длинный вектор инициализации (IV): размер IV удваивается с 24 до 48 бит, что делает практически невозможным перебор всех ключей WEP путем использования метода вычисления brute-force.
До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i. Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.
CCMP
Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. CCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)
Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире. Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.
Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. CCMP нельзя использовать на устаревших устройствах, поддерживающих только WEP или TKIP. Как определить, что устройство поддерживает CCMP? Ищите обозначение WPA2.
GCMP
Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP. GCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.
WPA, WPA2 и WPA3
На сегодняшний день существует три метода шифрования WPA: WPA, WPA2 и WPA3. Беспроводные технологии тестируются в официальных испытательных лабораториях в соответствии со строгими критериями.
Альянс Wi-Fi представил первое поколение сертифицированную WPA (известную просто как WPA, а не WPA1), в то время как поправка IEEE 802.11i для совершенных методов обеспечения безопасности все еще разрабатывалась. WPA была основана на части стандарта 802.11i и включала аутентификацию 802.1x, TKIP и метод динамического управления ключами шифрования.
Как только 802.11i был ратифицирован и опубликован, WiFi Alliance включил его в полном объеме в свою сертификацию WPA Version 2 (WPA2). WPA2 основан на превосходных алгоритмах AES CCMP, а не на устаревшем TKIP от WPA. Очевидно, что WPA2 был разработан взамен WPA.
В 2018 году Альянс Wi-Fi представил версию WPA3 в качестве замены WPA2, добавив несколько важных и превосходных механизмов безопасности. WPA3 использует более сильное шифрование AES с помощью протокола Galois/Counter Mode Protocol (GCMP). Он также использует защищенные кадры управления (PMF) для защиты кадров управления 802.11 между точкой доступа и клиентами, чтобы предотвратить несанкционированный доступ и нарушение нормальной работы BSS.
Обратите внимание, что все три версии WPA поддерживают два режима проверки подлинности клиента: предварительный общий ключ (PSK) или 802.1x, в зависимости от масштаба развертывания. Они также известны как личный режим и режим предприятия, соответственно.
На инсталляционном носителе Windows находится не только операционная система, но и связанные с ней драйвера и компоненты системы. Все это хранится в файле, называемом - файл образ. Во время инсталляции этот образ применяется к целевому тому. Образы Windows используют формат файлов Windows Imaging (WIM), который имеет следующие преимущества:
Методы развертывания. Можно развернуть wim-файлы с помощью загрузочного USB-накопителя, из общего сетевого ресурса или с помощью специализированных технологий развертывания, таких как Службы развертывания Windows (WDS) или System Center Configuration Manager.
Редактируемость. Можно подключить образ к текущей ОС и редактировать его, включать, отключать или удалять роли и компоненты операционной системы, если это необходимо.
Возможность обновления. Имеется возможность обновить текущий образ, не создавая захват операционной системы.
Установочный носитель Windows Server 2019 содержит два WIM-файла - это Boot.wim и Install.wim. Файл Boot.wim использует для загрузки среды предустановки, которая запускается в момент развертывания Windows Server 2019. Install.wim хранит один или несколько образов операционной системы. Например, как показано на рисунке ниже, файл Install.wim содержит четыре разных выпуска Windows Server 2019. В зависимости от специфики оборудования, бывает ситуация, в которой потребуется добавить дополнительные драйверы в файл boot.wim. Например, потребуется добавить дополнительные драйвера, если процедура установки Windows не сможет получить доступ к устройству, на которое будет устанавливаться, поскольку драйвер этого устройства не включен в образ загрузки по умолчанию.
Модификация Windows образа
Deployment Image Servicing and Management (DISM) - это приложение командной строки. Программа работает с образами в автономном состоянии. Dism используется для реализации следующих задач:
Просмотр, добавление или удаление ролей и компонентов
Добавление, удаление обновлений
Добавление, удаление драйверов
Добавление, удаление приложений Windows *.appx
К примеру, можно скопировать файл Install.wim с дистрибутива Windows Server и используя Dism.exe примонитировать образ, добавить новые драйвера и обновления программного обеспечения к этому образу и сохранить или отменить эти изменения, и все это без необходимости выполнять фактическое развертывание ОС. Преимущество заключается в том, что, когда используется этот обновленный образ для развертывания, добавленные драйвера и обновления уже применяются к образу, и не нужно устанавливать их отдельно как часть процедуры настройки после установки.
На сайте каталога Центра обновления Майкрософт (https://catalog.update.microsoft.com) хранятся все сертифицированные драйвера оборудования, обновления программного обеспечения и исправления, опубликованные Microsoft. После загрузки драйверов и обновлений программного обеспечения их можно добавить к существующим установочным образам с помощью Dism.exe или соответствующих командлетов PowerShell в модуле DISM PowerShell.
Обслуживание образа Windows
Для уменьшения времени установки и настройки системы на новых серверах, нужно убедиться в тем, чтобы образы развертывания поддерживались в актуальном состоянии. К образу должны быть применены последние обновления программного обеспечения, а также должны быть включены все новые драйверы устройств для часто используемого серверного оборудования. Если не поддерживать образ развертывания в актуальном состоянии, потребуется дополнительное время на установку драйверов и обновлений. Применение обновлений после развертывания требует значительного времени, а также существенно увеличивает сетевой трафик. Одна из целей при выполнении развертывания сервера должна заключаться в том, чтобы как можно быстрее запустить сервер и включить его в работу.
Программа DISM может использоваться для обслуживания текущей операционной системы в оперативном состоянии или для автономного обслуживания образа Windows.
Обслуживание включает в себя выполнение следующих шагов:
Монтирование образа для изменения
Обслуживание образа
Фиксация или отмена внесенных изменений
Подключение образа
Примонтировав образ, появляется возможность вносить в него изменения, такие как добавление и удаление драйверов, установка обновлений, включение компонентов системы.
Обычно WIM-файл содержит несколько образов операционных систем. Каждому образу присваивается порядковый номер, который необходимо знать, прежде монтировать образ. Номер индекса можно определить с помощью Dism.exe с параметром /Get-wiminfo. Например, если дистрибутив ОС скопирован в D:Images, можно использовать следующую команду, чтобы получить список находящихся в нем образов:
Dism.exe /get-wiminfo /wimfile:d:imagessourcesinstall.wim
Тот же самый результат можно получить, используя командлет PowerShell Get-WindowsImage.
Get-WindowsImage -ImagePath d:imagessourcesinstall.wim
Когда нужный индекс операционной системы определен, монтируем этот образ программой Dism.exe c параметром /Mount-image. Например, чтобы смонтировать редакцию Standard Edition Windows Server 2019 из файла Install.wim, который доступен в папке D:Mount, введите следующую команду:
Dism.exe /mount-image /imagefile:d:imagessourcesinstall.wim /index:2 /mountdir:c:mount
В качестве альтернативы можно использовать команду Mount-WindowsImage:
Mount-WindowsImage -ImagePath D:imagessourcesinstall.wim -index 2 -path c:mount
Интеграция драйверов и обновлений
После того, как образ подключен, можно приступить к его обслуживанию. Наиболее распространенными задачами являются добавление в образ драйверов устройств и обновлений программного обеспечения. Чтобы добавить драйвера к подключенному образу используется Dism с параметром /Add-Driver. Чтобы не добавлять каждый драйвер по отдельности, используется параметр /Recurse, чтобы все драйверы находились в папке и подпапках добавлялись в образ. Например, чтобы добавить все драйвера, расположенные в папке и подпапках D:Drivers к образу, смонтированному в папке C:Mount, используйте следующую команду:
Dism.exe /image:c:mount /Add-Driver /driver:d:drivers /recurse
Командлет Add-WindowsDriver выполнит тоже действие:
Add-WindowsDriver -Path c:mount -Driver d:drivers -Recurse
Параметр /Get-Driver используется для просмотра всех добавленных драйверов, а /Remove-Driver позволяет удалить драйвер из образа. В PowerShell это командлеты Get-WindowsDriver и Remove-WindowsDriver соответственно. Удалять можно только те драйвера, которые были добавлены в образ.
Параметр /Add-Package позволяет добавляет обновления в формате *.cab или *.msu. Обновления программного обеспечения доступны на сайте Центра обновления Майкрософт в формате *.msu. Загрузим обновление с веб-сайта каталога Центра обновления Майкрософт под названием "2019-10 Cumulative Update for Windows Server, version 1903 for x64-based Systems (KB4517389) в папку D:updates на компьютере и применим обновление к образу.
Dism.exe /image:c:mount /Add-Package /PackagePath:"d:updateswindows10.0-kb4517389-x64_6292f6cb3cdf039f01410b509f8addcec8a89450.msu "
Тоже самое можно сделать используя PowerShell команду Add-WindowsPackage:
Add-WindowsPackage -path c:mount -packagepath "d:updateswindows10.0-kb4517389-x64_6292f6cb3cdf039f01410b509f8addcec8a89450.msu"
Добавление ролей и компонентов
Для просмотра ролей и компонентов в смонтированном образе используется параметр /Get-Features. Команда выглядит следующим образом:
Dism.exe /image:c:mount /Get-Features
Используя параметры /Enable-Feature и /Disable-Feature можно включать или отключать компоненты. Пример ниже включит NetFramework в текущем образе.
Dism.exe /image:c:mount /Enable-Feature /all /FeatureName:NetFx3ServerFeatures
Сохранение изменений
После внесения всех изменений в образ, их нужно сохранить, используя параметры /Unmount-Wim и /Commit. Параметр, отменяющий изменения - /Discard. Чтобы внести изменения и затем зафиксировать образ, смонтированный в папке C:mount, выполним команду:
Dism.exe /Unmount-Wim /MountDir:c:mount /commit
После применения изменений, win файл будет обновлен. Затем его можно импортировать в Windows Deployment Services (WDS) или использовать его с загрузочным usb носителем для развертывания Windows Server 2019 с уже примененными обновлениями, изменениями и драйверами.