Использование аппаратных принт-серверов.
Безмалый В.Ф.
(взгляд с точки зрения компьютерной безопасности).
Сегодня принтеры, непосредственно подключенные к сети,
стали традиционным офисным оборудованием. Они обеспечивают быструю
печать и простую установку независимо от местоположения, что так
важно системным администраторам. Однако до сих пор самым распространенным
вариантом совместной сетевой печати остается персональный принтер,
подключенный к одному из ПК. Главное достоинство такого варианта
- его дешевизна.
Однако следует помнить об отрицательных сторонах
такого использования:
1. При такой печати задействуются ресурсы того компьютера,
к которому подсоединен принтер. При этом производительность компьютера
значительно снижается. Так что при больших объемах сетевой печати
использовать такой ПК по прямому назначению весьма затруднительно.
2. При таком варианте печати используется общий принтер
в сети Microsoft, что позволяет пользователям раздавать свои ресурсы
в общее пользование.
А поскольку большинство пользовательских ПК работают
под управлением ОС Microsoft Windows 9x, то о безопасности такого
распределения ресурсов не стоит даже говорить.
Выделение одного компьютера лишь для сетевой печати,
так же как и приобретение специального сетевого принтера очень часто
не оправданно с экономической точки зрения. В решении такой проблемы
призваны помочь так называемые принт-серверы или аппаратные серверы
печати.
Принт-сервер представляет собой небольшое (размером
с видеокассету) сетевое устройство к которому можно подключить один
или несколько типов принтеров. Они бывают двух типов - внешние и
внутренние.
Внутренняя плата обслуживает лишь один принтер. Кроме
того, внутренние могут использоваться только с определенными принтерами,
что делает их использование гораздо более проблематичным.
Внешний сервер имеет свой собственный IP-адрес и
к нему может быть подсоединено от одного до четырех принтеров. В
этом случае отпадает необходимость покупки специального ПК. Серверы
печати в настоящее время создают такие компании как Axis Communications
(www.acix.com), Digi International (www.digi.com), D-Link Systems
(www.dlink.com), Hewlett-Packard (www.hp.com), Intel (www.intel.com),
Lantronix (www.lantornix.com), Lexmark (www.lexmark.com) и многие
другие.
Каждое такое устройство имеет разъем для подключения
питания, гнездо RJ-45 Ethernet 10/100 Мбит/с и несколько принтерных
портов (параллельных и последовательных).
Благодаря встроенным web-серверам все серверы печати
можно настраивать с помощью браузера (рис.1).
Рис.1 Настройка принт-сервера
Используя меню конфигурации (рис.2) можно видеть,
что принт-сервер может быть настроен в режиме принт-сервера Novell
Netware, Novell Remote Printer, Microsoft Printing, Apple Talk и
TCP/IP.
Рис.2 Меню конфигурации
С точки зрения обеспечения безопасности наиболее
предпочтительным является использование TCP/IP. При этом печать
производится по протоколу IPP (Internet Printing Protocol).(Подробнее
об IPP Приложение 1).
С точки зрения безопасности нежелательно использовать
принтеры сети Microsoft, а принт-сервера на базе Novell Netware
значительно тяжелее в настройке.
Поскольку печать по протоколу IPP не поддерживается
Windows 95/98, то на ПК под управлением этих операционных систем
необходимо установить драйвер печати IPP, предварительно загрузив
его с сервера Microsoft (www.microsoft.com).
Если сервер печати не оснащен средствами безопасности,
то вне зависимости от того, сколь много механизмов повышения безопасности
скрыто в сетевой ОС, администратор сети получает открытую систему,
где нет возможности предотвратить несанкционированный доступ.
Одно из решений проблемы несанкционированного доступа
- использование технологии парольного доступа Intel. Проверка безопасности
осуществляется всякий раз, когда пользователь пытается печатать
непосредственно на сетевой принтер. Например, с помощью серверов
печати Intel NetportExpress 10 и 10/100 администраторы могут установить
пароль доступа к любому подключенному принтеру. (рис.3)
Рис.3 Установка парольного доступа
Таким образом, печатать на принтере могут только
пользователи, которые знают пароль. Причем пароль может быть установлен
на каждый принтер, подключенный к принт-серверу. Современные принт-сервера
поддерживают такие протоколы как TCP/IP, IPX, DLC/LCC, AppleTalk/EtherTalk,
NetBIOS/NetBEUI благодаря чему их можно использовать в смешанных
сетях. Таким образом, использование принт-серверов может упростить
задачи не только администратора сети, но и администратора безопасности.
Приложение 1
Коротко об Internet Printing Protocol
Сегодня мы вступаем в третью фазу развития сетевой
печати.
На первом этапе разделяемый принтер был подключен
через сервер файлов и печати.
На втором этапе прямое сетевое соединение заменило
сервер файлов и печати.
Microsoft, IBM, Hewlett-Packard, Lexmark и Xerox
поддерживают предлагаемый IETF протокол печати через Internet (Internet
Printing Protocol, IPP), описывающий стандартный способ пересылки
заданий на печать по Internet.
Протокол IPP расширяет возможности сетевой печати,
в частности пользователи могут иметь информацию о готовности и работоспособности
принтеров вне зависимости от их физического местонахождения, а администраторы
могут следить за статусом принтера не только в пределах локальной
рабочей группы. Использование Internet Printing Protocol, безусловно,
не единственный способ пересылки заданий на печать через Internet.
Протоколы Line Printer Daemon (LPD) и Line Printer
Remote (LPR), корни которых уходят в мир UNIX, существуют уже давно.
Эти протоколы определяют, как печатать с помощью TCP/IP, но они
имеют свои недостатки. IPP был призван заменить Line Printer Daemon
и использовать преимущества инфраструктуры Internet. В конце 1996
года Novell предложила IETF спецификацию на протокол Lightweight
Document Printing Application. Компания IBM создала аналогичный
протокол - Hypertext Printing Protocol. Большинство ведущих производителей
принтеров, серверов печати и операционных систем объединилось в
рабочую группу - Printer Working Group (PWG). Помимо всего остального,
PWG создала базу управляющей информации для принтеров для SNMP -
спецификацию печати и протокольный уровень для высокоскоростной
последовательной шины IEEE 1394 (также известной как Firewire),
а также метод контроля статуса и состояния заданий печати через
Internet. PWG провела некоторую предварительную работу по подготовке
почты для печати через Internet.
В марте 1997 года IETF по настоянию PWG организовала
рабочую группу Internet Printing Protocol Working Group (IPPWG)
и передала ей функции PWG по разработке протоколов печати. IPPWG
разработала компромиссную версию, в которую вошли компоненты, предложенные
различными организациями. Созданный в результате протокол IPP использует
возможности HTTP и других технологий Internet для защищенной передачи
заданий на печать по частным и общедоступным сетям. В конце августа
1998 года IPP был передан на рассмотрение в Internet Engineering
Steering Group и возвращен в IPPWG с рядом замечаний. Подготовка
стандарта была завершена к концу 1998 года.
Что такое IPP
Протокол IPP исходит из методологии клиент-сервер.
В своей базовой реализации он предусматривает, что и клиентская
операционная система, и печатающее устройство поддерживают IPP и
могут устанавливать соединение через Intranet или Internet (см.
Рис 4.). В зависимости от типа операционной системы или имеющихся
графических утилит, пользователь может "видеть" принтеры через диалоговое
окно печати файлов или другое программное обеспечение. Он имеет
возможность видеть все доступные принтеры, их статус, а также получать
дополнительную информацию, (о физическом местонахождении, типе бумаги
или загруженных бланках, о качестве чернил или тонера и т. п.).
Рис 4.
Однако немногие из принтеров, установленных в вашей
сети, будут поддерживать IPP. В то же время IPP может поддерживаться
за счет установки в сети ориентированного на этот протокол сервера.
Похожий на сервер печати, IPP-сервер будет общаться на языке IPP
с клиентом, а затем передавать запрос соответствующему принтеру
(см. Рис. 5).
Рис. 5.
Оба из приведенных выше сценариев предполагают,
что интересующие нас принтеры (или IPP-серверы) уже поддерживают
протокол IP и подключены к Internet или Intranet.
|