praca dyplomowa PKOTMW6C32F3FWNQVJX5FUIO4FZ5RKUPSNUU3CQ


PRACA DYPLOMOWA.-SIECI KOMPUTEROWE

WSTĘP.
1.Podział sieci komputerowych w zależności od rozmiaru

2.Topologie sieci komputerowych

2.1 Topologia fizyczna

2.2 Topologia logiczna

3.Model ISO/OSI

4.Model protokołu TCP/IP

5.Warstwa dostępu do sieci

5.1 Przewód koncentryczny

5.2 Zastosowania sieci 10Base-2

5.3 Skrętka UTP

5.4 Kategorie kabli zdefiniowanych w specyfikacji EIA/TIA

5.5 Światłowód

5.6 Sieci bezprzewodowe. Wireless LAN- standard 802.11

5.7 Struktura sieci WLAN

5.8 Kontrola dostępu do medium

5.9 Access Point

5.10 Warstwa dostępu do sieci- standard Ethernet

6.Warstwa Internetu

6.1 Protokół IP

6.2 Protokół ICMP

7.Warstwa transportowa

7.1 Protokół UDP

7.2 Protokół TCP

8.Usługi warstwy aplikacji

8.1 DNS

8.2 Serwery DNS

8.3 Inne protokoły

9.Bezpieczeństwo w sieci

9.1 Najważniejsze pojęcia

9.2 Metody włamań

9.3 Podsumowanie

Analiza porównawcza dostępu do sieci komputerowej SDI, DSL, ISDN.

SPIS TABEL I RYSUNKÓW

BIBLIOGRAFIA 

WSTĘP

SIEĆ KOMPUTEROWA jest to grupa komputerów lub innych urządzeń połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

1.PODZIAŁ SIECI KOMPUTEROWYCH W ZALEŻNOŚCI OD ROZMIARU

Najbardziej ogólnego podziału sieci komputerowych dokonuje się na podstawie ich rozmiaru:

LAN (Local Area Network)- sieć lokalna, najczęściej obejmująca jedno przedsiębiorstwo i łącząca użytkowników zgromadzonych na niewielkim obszarze (kilka budynków), wykonana w jednej technologii (np. Ethernet).

MAN (Metropolitan Area Network)- sieć miejska, łącząca oddzielne sieci LAN na obszarze jednego miasta. Przykładowo sieci Lodman, Warman.

WAN (Wide Area Network)- sieć rozległa, łącząca ze sobą sieci MAN i LAN na terenie większym od jednego miasta. Przykładowo sieci Pol-34, Polpak.

INTERNET- tzw. „sieć sieci”, globalna sieć wykorzystująca protokół IP, łącząca ze sobą wszystkie rodzaje sieci.

INTRANET- sieć oferująca funkcje podobne do Internetu, jednak działająca w ograniczonym zakresie, najczęściej jednego przedsiębiorstwa. Nie musi być ograniczona geograficznie, jednak najczęściej jest oddzielona od Internetu i nie świadczy usług na zewnątrz.

2.TOPOLOGIE SIECI KOMPUTEROWYCH

TOPOLOGIA sieci jest zbiorem zasad fizycznego łączenia elementów sieci oraz reguł komunikacji poprzez medium transmisyjne. W zależności od wybranej topologii sieci istnieją konkretne specyfikacje dotyczące topologii fizycznej- kabli, złączy i standardów komunikacji.

2.1 TOPOLOGIA FIZYCZNA.

Topologia fizyczna opisuje zasoby fizycznego( np. elektrycznego) łączenia ze sobą komputerów.

Topologia magistrali- charakteryzuje się tym, że stacje dołączane są do jednej wspólnej magistrali za pomocą „ odczepów” w przebiegu przewodu. Jest stosowana m. in. przy łączeniu komputerów za pomocą przewodu koncentrycznego.

RYS.1 Topologia magistrali

Topologia gwiazdy jest stosowana przy łączeniu komputerów za pomocą kabla dwużyłowego skręcanego (skrętka). Hosty podłączane są najczęściej do koncentratora ( rzadziej przełącznika). Cechą różniącą od topologii magistrali jest fakt, że każdy pojedynczy przewód jest wykorzystany do połączenia tylko dwóch urządzeń sieciowych (np. koncentrator- komputer)

RYS.2 Topologia gwiazdy

Topologia pierścieniowa jest często stosowana przy łączeniu komputerów ze sobą za pomocą kabla światłowodowego. Najczęściej stosuje się obwód (drugi pierścień) dublujący. Ponieważ w przypadku przerwania pierwszego pierścienia komputery tracą ze sobą kontakt, wtedy zadania komunikacji przejmuje pierścień dublujący. Topologia ta jest stosowana np. w sieciach Token Ring, FDDI.

RYS.3 Topologia pierścienia.

2.2 TOPOLOGIA LOGICZNA

Topologia logiczna definiuje standardy komunikacji, dzięki którym poszczególne komputery bezbłędnie porozumiewają się w sieci. Topologia fizyczna jest ściśle powiązana z topologią logiczną. Przykładowo, specyfikacja Ethernet umożliwia wykorzystanie topologii fizycznej gwiaździstej lub magistrali, ale nie umożliwia zbudowania sieci w oparciu o topologię pierścieniową.

Topologie logiczne definiowane są przez IEEE ( Institute of Electrical and Electronics Engineers). Najczęściej spotykane specyfikacje sieci komputerowej to:

IEEE 802.3 10 Mb Ethernet

IEEE 802.3u 100 Mb Ethernet

IEEE 802.3x Full Duplex Ethernet

IEEE 802.3z 1 Gb Ethernet

IEEE 802.5 Token Ring

IEEE 802.11 Wireless LAN

IEEE 802.12 100VG-AnyLAN

IEEE 802.14 Cable Modem

3.MODEL ISO/OSI

W latach 70-tych nie istniały ogólnie respektowane otwarte standardy dotyczące sieci komputerowych. Każdy producent tworzył swoją własną sieć, niezgodną oczywiście z konstrukcjami innych producentów. Efektem dążeń do znormalizowania tych zagadnień było opracowane w 1977 roku przez Międzynarodową Organizację Normalizacyjną modelu „ ia systemów otwartych” (International Standard Organization/ Open System Interconnection). Proces transmisji danych przez sieć został podzielony na 7 etapów zwanych warstwami, a struktura tworzona przez warstwy OSI nazywana jest stosem protokołów wymiany danych.

RYS.4 Transmisja danych pomiędzy kolejnymi warstwami ISO/OSI

Warstwa aplikacji Warstwa aplikacji

Warstwa prezentacji Warstwa prezentacji

Warstwa sesji Warstwa sesji

Warstwa transportowa Warstwa transportowa

Warstwa sieciowa Warstwa sieciowa

Warstwa łącza danych Warstwa łącza danych

Warstwa sprzętowa Warstwa sprzętowa

1. Warstwa fizyczna (physical layer)

Zapewnia transmisją danych pomiędzy węzłami sieci. Definiuje interfejsy sieciowe i medium transmisji. Określa m.in. sposób połączenia mechanicznego (wtyczki, złącza), elektrycznego (poziomy napięć, prądów) i standard fizycznej transmisji danych. W skład jej obiektów wchodzą m.in. przewody, karty sieciowe, modemy, regeneratory (repeater), koncentratory (concentrator, hub).

2. Warstwa łącza danych (data link layer)

Zapewnia niezawodność łącza danych. Definiuje mechanizmy kontroli błędów w przesyłanych ramkach lub pakietach- CRC (Cyclic Redundancy Check). Jest ona ściśle powiązana z warstwą fizyczną, która narzuca topologię. Warstwa ta często zajmuje się również kompresją danych. W skład jej obiektów wchodzą sterowniki urządzeń sieciowych, np. sterowniki (drivery) kart sieciowych oraz mosty (bridge) i przełączniki (switche).

3. Warstwa sieciowa (network layer)

Zapewnia metody ustanawiania, utrzymywania i rozłączania połączenia sieciowego. Obsługuje błędy komunikacji. Ponadto jest odpowiedzialna za trasowanie (routing) pakietów w sieci, czyli wyznaczenie optymalnej trasy dla połączenia. W niektórych warunkach dopuszczalne jest gubienie pakietów przez tę warstwę. W skład jej obiektów wchodzą m.in. routery (router).

4. Warstwa transportowa (transport layer)

Zapewnia przezroczysty transfer danych typu punkt- do- punktu (point- to- point). Dba o kolejność pakietów otrzymywanych przez odbiorcę. Sprawdza poprawność (CRC) przesyłanych pakietów i w przypadku ich uszkodzenia lub zaginięcia zapewnia retransmisję. Powyżej tej warstwy dane mogą być traktowane jako strumień.

5. Warstwa sesji (session layer)

Zapewnia aplikacjom na odległych komputerach realizację wymiany danych pomiędzy nimi. Kontroluje nawiązywanie i zrywanie połączenia przez aplikację. Jest odpowiedzialna za poprawną realizację zapytania o daną usługę. Do warstwy tej można zaliczyć funkcje API udostępniane programiście przez bibliotekę realizującą dostęp do sieci na poziomie powyżej warstwy transportowej, takie jak np. biblioteka strumieni i gniazdek BSD.

6. Warstwa prezentacji (presentation layer)

Zapewnia tłumaczenie danych, definiowanie ich formatu oraz odpowiednią składnię. Umożliwia przekształcenie danych na postać standardową, niezależną od aplikacji. Rozwiązuje takie problemy, jak niezgodność reprezentacji liczb, znaków końca wiersza, liter narodowych itp. Odpowiada za kompresję i szyfrowanie.

7. Warstwa aplikacji ( application layer)

Zapewnia aplikacjom metody dostępu do środowiska OSI. Warstwa ta świadczy usługi końcowe dla aplikacji, m.in. udostępnianie zasobów (plików, drukarek). Na tym poziomie rezydują procesy sieciowe dostępne bezpośrednio dla użytkownika.

4.MODEL PROTOKOŁU TCP/ IP

Protokół tworzący Internet- TCP/IP- również możemy opisać za pomocą siedmiowarstwowego modelu ISO/OSI. Lepiej jednak oddaje funkcje i właściwości protokołu TCP/IP uproszczony model czterowarstwowy. W modelu tym najważniejsze są warstwy sieciowa i transportowa, pozostałe są połączone i tworzą dwie warstwy zwane warstwą dostępu do sieci oraz warstwą aplikacji. Funkcje tych warstw pokrywają się z zadaniami odpowiadających im warstw w modelu ISO/OSI.

RYS.5 Porównanie modelu ISO/OSI i modelu TCP/IP.

Warstwa aplikacji Warstwa aplikacji Telnet,SSH,FTP DNS,SNMP,

Warstwa prezentacji SMTP,HTTP,POP Syslog

Warstwa sesji IMAP

Warstwa transportowa Warstwa transportowa TCP UDP

Warstwa sieciowa Warstwa Internetu IP ICM

Warstwa łącza danych Warstwa dostępu do sieci ARP, RARP PPP

Warstwa sprzętowa IEEE 802,3 SLIP ...

5.WARSTWA DOSTĘPU DO SIECI- RODZAJE NOŚNIKÓW

NAJWAŻNIEJSZE TECHNOLOGIE

W sieciach typu Ethernet można stosować różnorodne rodzaje mediów transmisyjnych. Ich wybór opiera się na kilku cechach, które należy rozważyć, projektując sieć:

W specyfikacji IEEE 802.3 przedstawiono wiele różnych standardów, spośród których w aktualnie popularnych zastosowaniach najważniejsze są:

10Base-2 - kabel koncentryczny cienki (Thin Ethernet)- 10 Mb/s.

100Base-T - UTP (Unshielded Twisted- Pair cable)- skrętka 100 Mb/s

1000Base-T - skrętka 1 Gb

100Base-FX - światłowód (Fiber Optic Cable) - 100 Mb/s

1000Base-FX - światłowód (Fiber Optic Cable) - 1 000 Mb/s

5.1 PRZEWÓD KONCENTRYCZNY

Technologia oparta na kablu koncentrycznym przechodzi do historii. Obarczona jest wieloma wadami, które powodują stopniowe rezygnowanie z jej stosowania.

Wyróżnia się dwa rodzaje kabla koncentrycznego:

  1. Ethernet gruby - 10Base-5 (Thick Ethernet)- oznaczenie kabla RG-8 i RG-11 o impendancji falowej 50 omów i grubości ½ cala. Kabel ten praktycznie wyszedł z użycia. Jego główną zaletą jest maksymalna odległość między stacjami wynosząca 500m. Przewód ten, elementy montażowe i karty sieciowe obsługujące tę technologię bardzo trudno kupić. Należy też zwrócić uwagę na możliwy brak sterowników kart sieciowych do aktualnie używanych systemów operacyjnych.

  2. Ethernet cienki - 10Base-2 (Thin Ethernet)- oznaczenie kabla RG-58 o impendancji falowej 50 omów i grubości ¼ cala, stopniowo wychodzącego z użycia. Spotykany jeszcze w starszych instalacjach sieciowych oraz w konstrukcjach amatorskich, gdy potrzebna jest- większa niż umożliwia to skrętka- maksymalna odległość między stacjami, równa 185m.

Zalety kabla koncentrycznego:

Wady kabla koncentrycznego:

RYS.6 Budowa kabla koncentrycznego.

5.2 ZASTOSOWANIA SIECI 10BASE-2

Chociaż sieć 10Base-2 jest technologią wychodzącą z użytku, nadal może okazać się przydatna w niektórych zastosowaniach. Przykładowo przy instalacji małej sieci domowej - do 5 komputerów - koszt (tanie używane karty sieciowe, brak dodatkowych urządzeń sieciowych- koncentratora) takiej instalacji jest o wiele niższy od instalacji z wykorzystaniem skrętki. Ponadto przy niewielkiej liczbie komputerów problemy z diagnozowaniem uszkodzeń fizycznych nie są zbyt duże. Jednak aktualnie ceny zarówno małych koncentratorów, jak i kart sieciowych bardzo spadły, co powoduje zmniejszenie atrakcyjności takiej instalacji, zwłaszcza po uwzględnieniu przepustowości sieci opartej na skrętce, wynoszącej 100 Mb.

Ciekawym zastosowaniem tej technologii stały się sieci osiedlowe. W przypadku odległości pomiędzy blokami powyżej 100m często wykorzystuje się przewód koncentryczny. Poza tym kabel ten jest mocniejszy mechanicznie i bardziej odporny na warunki zewnętrzne, co ułatwia jego instalację na zewnątrz budynków. Przy takiej instalacji należy jeszcze rozwiązać problem wyładowań elektrycznych (pioruny) podczas burzy, które mogą uszkadzać karty sieciowe (jako zabezpieczenie stosuje się specjalne odgromniki, sprzedawane w sklepach z artykułami sieciowymi). Zalety tego kabla widać również w środowiskach o dużych szumach elektromagnetycznych (fabryki), jednak aktualnym trendem jest stosowanie skrętki ekranowej lub światłowodów w miejsce przewodu koncentrycznego.

5.3 SKRĘTKA UTP

Aktualnie najpopularniejszym środkiem transmisji stał się nieekranowany, dwuparowy kabel skręcany (UTP- Unshielded Twister-Pair cable). Składa się on z ośmiu przewodów skręconych po dwa (czterech par), umieszczonych we wspólnej izolacji.

5.4 KATEGORIE KABLI ZDEFINIOWANYCH W SPECYFIKACJI EIA/TIA

CAT 1- kategoria 1 - najstarsza nieekranowana skrętka telefoniczna. Stosowana do transmisji głosu, nie ma możliwości transmisji danych.

CAT 2- kategoria 2 - nieekranowana skrętka umożliwiająca transmisję głosu i danych (modem) z częstotliwością do 4 MHz. Kabel składa się z dwóch par skręconych przewodów.

CAT 3- kategoria 3 - skrętka umożliwiająca transmisję o szybkości do 10 MHz, spotykana głównie w starszych instalacjach sieci Ethernet 10Base-T. Kabel składa się z czterech par skręconych ze sobą przewodów.

CAT 4- kategoria 4 - skrętka umożliwiająca transmisję o szybkości do 16 MHz (klasa C). Kabel składa się z czterech par skręconych ze sobą przewodów.

CAT 5- kategoria 5 - skrętka umożliwiająca transmisję o szybkości do 100 MHz (klasa D). Ze względu na zminimalizowanie indukcyjności wzajemnej przewodów, każda para ma skręt o innym skoku. Impendancja falowa skrętki CAT 5 wynosi 100 omów.

W późniejszych dodatkach do standardu pojawiły się nowe kategorie kabli:

CAT 5e- kategoria 5 poszerzona - skrętka umożliwiająca transmisję o szybkości do 100 MHz ( klasa D+).

CAT 6- kategoria 6 - skrętka umożliwiająca transmisję o szybkości do 250 MHz.

CAT 7- kategoria 7 - skrętka umożliwiająca transmisję o szybkości do 600 MHz.

W aktualnie instalowanych sieciach zalecane jest stosowanie przynajmniej kabla kategorii 5e lub lepszej, gdyż gwarantują one poprawną pracę Ethernetu gigabitowego. Istniejące okablowanie klasy 5 w większości przypadków spełnia wymagania CAT-5e, dzięki czemu możliwe jest bezproblemowe dostosowanie sieci do technologii 100Base-T.

Zalety skrętki CAT 5e:

Wady skrętki:

5.5 ŚWIATŁOWÓD

Najnowocześniejszym i zapewniającym największe szybkości transmisji medium jest aktualnie światłowód (Fiber Optic Cable). Jak sama nazwa wskazuje, jego działanie opiera się na transmisji impulsów świetlnych między nadajnikiem (Optical Transmitter) przekształcającym sygnały elektryczne na świetlne, a odbiornikiem (Optical Receiver) przekształcającym sygnały świetlne odebrane ze światłowodu w sygnały elektryczne.

BUDOWA ŚWIATŁOWODU

W samym środku znajduje się włókno optyczne przenoszące impulsy świetlne, składa się ono z dwóch rodzajów szkła o różnych współczynnikach załamania (Refraction Index):

Pozostałe elementy to:

Zasada działania światłowodu

Promień światła, wędrując w rdzeniu światłowodu o współczynniku załamania n1, natyka się na środowisko o innym współczynniku załamania (n2) - płaszcz. Gdy promień pada od strony rdzenia na płaszcz pod kątem alfa, to pewna część światła zostaje odbita i wraca do rdzenia. W zależności od kąta padania i współczynników załamania materiałów rdzenia i płaszcza zmienia się ilość odbitego światła. Dla kątów poniżej pewnej wartości zachodzi znane z fizyki zjawisko całkowitego odbicia wewnętrznego i światło padające zostaje odbite bez strat. Umożliwia to transmisję strumienia świetlnego przez włókno.

ŚWIATŁOWÓD WIELOMODOWY.

Światłowód wielomodowy (Multimode Fiber) charakteryzuje się tym, że promień światła może zostać wprowadzony do niego pod różnymi kątami - modami.

Apertura numeryczna (kątowa) światłowodu (Numerical Aperture) jest miarą maksymalnego dopuszczalnego kąta między wchodzącym promieniem światła a osią światłowodu, powyżej którego nie zachodzi już zjawisko odbicia całkowitego w rdzeniu. Największy możliwy kąt alfa nazywany jest również akceptowanym kątem włókna światłowodowego.

Indeks kroku jest długością światłowodu, jaką przebywa promień bez odbić wewnętrznych.

Najważniejszym problemem w przypadku tego rodzaju światłowodów jest zjawisko dyspersji, polegające na „poszerzaniu” się promienia świetlnego wraz z drogą przebytą wewnątrz światłowodu. Ponieważ dyspersja powiększa się wraz z drogą promienia świetlnego, więc kable wielomodowe stosowane są maksymalnie na długościach do 5 km.

Występują trzy rodzaje dyspersji:

  1. Dyspersja modowa - wynika z różnic w kątach (modach) wprowadzenia światła do rdzenia. W zależnosci od kąta, światło przebywa różną drogę wewnątrz rdzenia, co zmienia czas przejścia światła przez światłowód i powoduje poszerzenie sygnału.

  2. Dyspersja chromatyczna - wynika z tego, że promień świetlny nie jest monochromatyczny (jeśli źródłem światła są diody LED), a światło o różnej długości fali przebiega światłowód z różnymi szybkościami.

  3. Dyspersja falowodowa - jest efektem przenikania części światła do płaszcza światłowodu.

ŚWIATŁOWÓD JEDNOMODOWY

W światłowodzie jednomodowym rdzeń złożony jest z wielu warstw o różnych współczynnikach załamania. Dodatkową różnicą jest zmniejszenie średnicy rdzenia do 9 mikrometrów. W efekcie w światłowodzie propagowany jest tylko jeden mod. Nie istnieje zjawisko całkowitego odbicia wewnętrznego na granicy rdzenia i płaszcza. Dzięki temu zjawisko dyspersji zostało zredukowane do minimum, co umożliwia wykorzystanie tego medium przy odległościach rzędu 60 km. Zwiększona została również częstotliwość pracy takiego włókna, co poszerza pasmo pracy w sieci. Niestety, koszt takiego światłowodu jest znacznie wyższy niż światłowodu wielomodowego, a dodatkowo instalacja wymaga o wiele większej precyzji przy wprowadzaniu promienia świetlnego (diody laserowe) do rdzenia. Tego typu światłowody stosowane są w sieciach WAN. W przypadku posiadania sieci LAN z lokalizacjami odległymi od siebie o ponad 500 m należy rozważyć zastosowanie światłowodu jednomodowego. Głównym powodem jest osiągnięcie przepustowości rzędu 1 Gb/s, którą dla światłowodów wielomodowych można uzyskać (zgodnie z normami) do odległości około pół kilometra.

STANDARDY TRANSMISJI ŚWIATŁOWODOWYCH

Najważniejszymi z naszego punktu widzenia standardami dla technologii światłowodowej są:

5.6 SIECI BEZPRZEWODOWE. WIRELESS LAN- standard 802.11

Aktualnie istnieje wiele możliwości zestawiania transmisji przy wykorzystaniu mediów bezprzewodowych. Począwszy od łączy IrDA, w które wyposażony jest praktycznie każdy notebook, poprzez standard Bluetooth, radiowe sieci bezprzewodowe w standardzie 802.11 do radiolinii. Te ostatnie są bardzo drogie, zapewniają jednak połączenia na odległość dziesiątek kilometrów przy transferach dziesiątek megabitów.

Często używanym skrótem na określenie sieci bezprzewodowych jest WLAN (Wireless LAN). Ze względu na praktyczne zastosowania oraz duży spadek cen urządzeń przedstawię dokładniej rodzinę standardów IEEE 802.11. Urządzenia 802.11b aktualnie bardzo potaniały, a można za ich pomocą rozwiązać wiele problemów, dla których koszt realizacji innymi metodami byłby zbyt wysoki. W rzeczywistości w budynkach urządzenia WLAN zapewniają nam transmisję na odległość 30-50 m, ze względu na tłumienie ścian i zakłócenia od innych urządzeń (np. kuchenek mikrofalowych, które w większości pracują w tym samym paśmie). Jednak już w otwartym terenie odległości wzrastają nawet do 300 m. Przy wykorzystaniu specjalnych anten kierunkowych montowanych na zewnątrz budynków możemy połączyć się na odległość rzędu kilku kilometrów. Aby osiągnąć tak duże odległości, pomiędzy antenami musi istnieć bezpośrednia widoczność optyczna i nie powinno być żadnych przeszkód, nawet w postaci drzew. Czasami wystarczy postawienie małego masztu. Należy pamiętać, że w urządzeniach standardu 802.11b wraz ze wzrostem odległości- zmniejszaniem się jakości sygnału- maleje szybkość transmisji. Standard ten korzysta z częstotliwości 2,4 GHz, która najczęściej jest przeznaczona właśnie do zastosowań tego typu. Warto wiedzieć, że rzeczywista szybkość transmisji danych w sieci 802.11b jest dużo mniejsza od nominalnych 11 Mb. Wynika to z przesyłania wielu informacji nadmiarowych potrzebnych m.in. do prawidłowej korekcji błędów.

5.7 STRUKTURA SIECI WLAN

Najprostszym rozwiązaniem sieci WLAN jest sytuacja, gdy komputery (dwa lub kilka) łączą się ze sobą za pomocą swoich bezprzewodowych kart sieciowych. Struktura taka określana jest skrótem IBSS (Independent Basic Service Set) i najczęściej jest tworzona w instalacjach o charakterze tymczasowym. Wadą takiego rozwiązania jest niewielki zasięg.

Zakres ten zwiększamy, stosując AP (Access Point) - odpowiednik koncentratora w sieci Ethernet. Dzięki niemu rozpiętość instalacji się podwaja; strukturę taką określamy skrótem BSS (Basic Service Set). Najczęściej sieć WLAN jest uzupełnieniem istniejącej przewodowej sieci LAN. Połączenia tych dwóch mediów transmisji dokonuje się poprzez zastosowanie AP, który jest wyposażony w gniazdo RJ-45 do podłączenia do sieci LAN. Uruchamiając kilka urządzeń AP, tworzących BSS, możemy pokryć zasięgiem duże obszary. Instalację taką określamy nazwą ESS (Extended Service Set). Jeśli BSS będą się częściowo pokrywały, dzięki roamingowi, który obsługują AP, możemy przemieszczać się z działającym urządzeniem WLAN, nie tracąc połączenia z siecią.

RYS.7 Struktura sieci WLAN. 

5.8 KONTROLA DOSTĘPU DO MEDIUM

W sieciach WLAN nie jest możliwe stosowanie CSMA/CD, ponieważ stacja nadająca nie może równocześnie prowadzić nasłuchu, gdyż jej własny sygnał zagłuszyłby wszystkie inne. Stosowaną metodą jest CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Przy strukturze IBSS stacja prowadzi nasłuch pasma; jeśli przez określony czas nie wykryje transmisji, przełącza się w tryb gotowości do nadawania i czeka jeszcze trochę. Następnie, jeśli nadal nikt nie prowadzi nadawania, stacja rozpoczyna transmisję. Mechanizm ten określamy skrótem CCA (Clear Channel Assessment).

Ponieważ stacje w strukturach BSS i ESS mogą znajdować się w odległościach większych od swojego zasięgu nadawania (połączenia zapewniają AP), mechanizm CCA nie spełnia swoich zadań. W tym przypadku nadawca najpierw wysyła ramkę RTS (Request To Send), będącą informacją dla pozostałych stacji o zamiarze nadawania. Odbiorca danych wysyła ramkę CTS (Clear To Send), informującą o gotowości do odbioru i uniemożliwiającą pozostałym stacjom nadawanie. Po wymianie ramek RTS i CTS rozpoczyna się właściwa transmisja, otrzymanie której odbiorca potwierdza ramką ACK (Acknowledge). Jeśli nadawca nie otrzyma potwierdzenia ACK, musi ponowić transmisję. Mechanizm ten określamy skrótem DCF (Distributed Coordination Function).

Dodatkową metodą kontroli dostępu jest PCF (Point Coordination Function), w której decyzję o zezwoleniu na transmisję podejmuje Access Point. Najpierw sygnalizuje on zajętość medium, a następnie umożliwia kolejnym stacjom nadawanie.

5.9 ACCESS POINT

Access Point najlepiej instalować pod sufitem, zapewnia wtedy lepszy zasięg. Konfiguracja AP odbywa się najczęściej za pomocą:

Przykładowe możliwości udostępniane przez Access Point i oprogramowanie nim zarządzające:

Czasem spotyka się tzw. Interbuilding Access Point- urządzenia zawierające dwie anteny i wewnętrzny most (bridge), dzięki czemu możemy łączyć ze sobą tym urządzeniem dwa BSS i nie jest wymagany dostęp do stacjonarnej sieci LAN. W miejsce każdej anteny standardowej można podłączyć anteny zewnętrzne i połączyć za pomocą tego urządzenia dwie odległe lokalizacyjnie od siebie sieci.

5.10 WARSTWA DOSTĘPU DO SIECI- STANDARD ETHERNET

DZIAŁANIE PROTOKOŁU

Metody transmisji.

Protokół stosowany w sieciach Ethernet powstawał poprzez ewolucję kolejnych metod transmisji danych.

ALOHA

Najstarszą historycznie metodą jest ALOHA; stosuje się ją czasem w rozległych sieciach radiowych. Nadawca rozpoczyna nadawanie w dowolnym momencie, a po wysłaniu całej ramki oczekuje na potwierdzenie dotarcia informacji przez odbiorcę. W przypadku jego braku odczekuje pewien czas i ponawia nadawanie. Przy większym natężeniu ruchu sieć taka szybko się blokuje poprzez tzw. kolizje, czyli równoczesne nadawanie sygnału przez stacje, co powoduje zniekształcenie danych.

CSMA (Carrier Sense , Multiple Access)

Do poprzedniej metody dodany został ciągły nasłuch stanu łącza (carrier sense). Jeśli łącze jest wolne, nadawca rozpoczyna nadawanie. Nie ma tutaj potrzeby rozsyłania potwierdzeń, ponieważ w przypadku wystąpienia zakłóceń nadawca , ciągle nasłuchując na łączu (również w trakcie nadawania przez siebie danych), dowie się o tym i powtórzy transmisję. W tym przypadku kolizje następują jedynie, gdy dwie stacje rozpoczną równocześnie nadawanie, upewniwszy się przedtem o wolnym łączu. Przykładowo, jeżeli obie zaczną nadawanie równocześnie, to dla każdej z nich łącze będzie wolne. Ponieważ sygnał jest transportowany pomiędzy nimi w określonym czasie t, o wystąpieniu kolizji zorientują się dopiero po upływie tego czasu, po czym oczywiście powtórzą nadawanie.

CSMA/CD (Carrier Sense, Multiple Access with Collision Detection).

Ta metoda jest kolejnym rozszerzeniem poprzednich. Po wykryciu kolizji nadawca uznaje, że transmisję należy powtórzyć- ponieważ dane w łączu są już zniekształcone przez sygnał drugiego nadawcy. Jednak nie przerywa natychmiast transmisji, aby zwolnić łącze. Nadaje jeszcze przez jakiś czas, aby zwiększyć prawdopodobieństwo wykrycia kolizji przez innych użytkowników.

URZĄDZENIA SIECIOWE DZIAŁAJĄCE W WARSTWIE DOSTĘPU DO SIECI

Ponieważ w zakresie sprzętu stosowanego do konstrukcji sieci komputerowych panuje ogromna różnorodność, ograniczę się do przedstawienia ogólnego podziału najczęściej spotykanych urządzeń.

Karta sieciowa

Określana jest często skrótem NIC (Network Interface Card). Jest to urządzenie łączące komputer z siecią komputerową, zawierające dwa interfejsy- jeden do połączenia z siecią:

i drugi interfejs, do połączenia z komputerem:

Obecnie produkowane karty sieciowe mają wbudowany własny procesor, co umożliwia przetwarzanie niektórych danych bez angażowania głównego procesora, oraz własną pamięć RAM, która pełni rolę buforu w przypadku, gdy karta nie jest w stanie przetworzyć napływających z dużą szybkością danych. Niektóre współcześnie produkowane karty mają także możliwość podłączenia programowalnej pamięci Remote Boot PROM, pozwalającej na załadowanie systemu operacyjnego z sieciowego serwera. Karta oznaczona przydomkiem Combo ma dwa interfejsy wyjściowe, UTP i BNC (nigdy nie mogą one działać równocześnie); karty te mają szybkość 10 Mbps.

RYS.8 Karta sieciowa Combo

Rozróżnia się również karty 10 i 100 Mb/s; te drugie są to z oczywistych względów karty UTP.

Modem

Jest to urządzenie służące do połączenia komputerów najczęściej poprzez sieć telefoniczną lub dwa przewody miedziane (linia dzierżawiona). Modemy dzielimy na zewnętrzne- podłączane do portu szeregowego RS-232 - i wewnętrzne - podłączane do złącz komputera, m.in.: ISA, PCI, PCMCIA.

Transceiver

Urządzenie nadawczo- odbiorcze, łączy port sieciowy AUI z wykorzystywanym przez nas typem okablowania. Transceiver znajduje się np. wewnątrz karty sieciowej. Realizuje następujące funkcje:

Konwerter nośników

Jest to urządzenie umożliwiające łączenie różnych mediów transmisyjnych ze sobą, przykładowo- światłowodu i skrętki. Takie urządzenie jest o wiele częściej spotykane niż opisany wcześniej transceiver, głównie ze względu na wygodę stosowania. Należy zwrócić uwagę, że konwertery nośników obsługują najczęściej konwersję jedynie w jednej szybkości, np. w 100 Mb/s, bez możliwości pracy na 10 Mb/s.

RYS.9 Konwerter nośników skrętka- światłowód.

Regenerator (repeater)

Regenerator jest to urządzenie aktywne służące do wzmacniania i naprawiania zniekształceń sygnałów w sieci. Nie wprowadza żadnych zmian logicznych w przesyłane sygnały. Działa na poziomie warstwy fizycznej modelu ISO/OSI, a co za tym idzie, jego możliwości są niewielkie: nie izoluje segmentów, uszkodzeń ani pakietów, łączy ze sobą sieci o takiej samej architekturze, używające tych samych protokołów i technik transmisji. Może łączyć segmenty sieci o różnych mediach transmisyjnych. Aktualnie rzadko spotykany w popularnych zastosowaniach. Czasem nazywany jest wzmacniakiem.

Koncentrator (hub)

Jest urządzeniem mającym wiele portów do przyłączania stacji roboczych przede wszystkim w topologii gwiazdy. W rozważaniach można go traktować jak wieloportowy regenerator.

Zaletą takiego rozwiązania jest to, że przerwanie komunikacji pomiędzy koncentratorem a jedną ze stacji roboczych nie powoduje zatrzymania ruchu w całej sieci (każda stacja ma oddzielne połączenie z koncentratorem). Należy jednak pamiętać, że awaria koncentratora unieruchomi komunikację ze wszystkimi podłączonymi do niego urządzeniami. Huby wymagają zasilania, wzmacniają i regenerują kształt sygnałów ze stacji roboczych, co pozwala na wydłużenie połączenia

Przykładowo dobrej klasy hub poza zwykłym wzmacnianiem sygnału na każdym łączu dodatkowo:

Most (bridge)

Most jest urządzeniem o dwóch portach, mającym za zadanie łączenie ze sobą domen kolizji. Ponieważ dzieli sieć lokalną na osobne domeny kolizji, umożliwia zwiększenie jej rozpiętości. Działa w warstwie łącza danych modelu ISO/ OSI.

Most operuje tylko na adresach sprzętowych, decydując, do którego segmentu sieci należy przesłać nadchodzący pakiet. Nie jest jednak w stanie zatrzymywać pakietów uszkodzonych ani zapobiegać zatorom w przypadku transmisji broadcastowej z kilku stacji równocześnie. Mosty są urządzeniami prostymi w instalacji i nie wymagającymi konfigurowania. Należy pamiętać, że ponieważ most musi reagować na adresy MAC pakietów, wprowadza opóźnienie transmisji. W przypadku, gdy dana grupa komputerów korzysta z jednego serwera, nie należy danego serwera umieszczać za mostem ze względu na generowane przez most opóźnienia.

Przełącznik (switch)

Czasem używa się zamiennie nazwy przełącznik i most. Podobnie jak huby, przełączniki stosowane są przede wszystkim w topologii gwiazdy, w sieciach opartych na skrętce. Zwykle mają kilka portów, które mogą być wykorzystywane do podłączenia stacji roboczych, innych przełączników lub koncentratorów. Pracują w drugiej warstwie modelu ISO/ OSI Przełącznik podłączony do sieci nasłuchuje na swoich portach adresów MAC podłączonych tam komputerów. Tworzy sobie tablicę przyporządkowującą do adresu sprzętowego stacji numer portu, do którego podłączony jest dany komputer. Teraz w przypadku pojawienia się transmisji do danej stacji cały ruch kierowany jest na odpowiedni port i nie przedostaje się na pozostałe porty przełącznika. Dzięki temu przełączniki dzielą sieć lokalną na oddzielne domeny kolizji, jednak nie rozdzielają domeny rozgłoszeniowej. Ramki typu broadcast transmitowane są na wszystkie porty urządzenia, czyli do takich transmisji przełącznik zachowuje się jak koncentrator. Jeśli przełącznik odbierze ramkę do stacji, której nie ma jeszcze w swojej tablicy adresów MAC, również rozsyła ją na wszystkie porty z wyjątkiem tego, na którym ją odebrał; proces ten nazywamy floodowaniem. Nadal jednak należy pamiętać- podobnie jak przy mostach- o opóźnieniu wprowadzanym przez przełącznik.

Inteligentne przełączniki mogą stosować jeden z trybów pracy:

6.WARSTWA INTERNETU

Sieć ARPANET utworzona w 1969 roku nie była pokaźna, łączyła jedynie cztery komputery różnych uniwersytetów położonych na terenie Stanów Zjednoczonych, ale była ona zalążkiem dzisiejszego Internetu. Okazało się, że idealnym systemem operacyjnym do takiej sieci jest stworzony również w tym roku UNIX. W 1972 roku ARPANET łączyła około 40 komputerów i była ciekawostką, z której korzystało grono kilkudziesięciu naukowców. To wtedy Ray Tomlinson stworzył pocztę elektroniczną, udostępniając prosty sposób komunikacji naukowcom z różnych stanów.

6.1 PROTOKÓŁ IP

Najważniejszą częścią warstwy Internetu jest protokół IP (Internet Protocol). Jest to protokół transportowy tej sieci. Zapewnia on przenoszenie danych pomiędzy odległymi od siebie komputerami w Internecie. Często używanym pojęciem okreslającym jego jednostkę danych jest pakiet IP, jednak formalnie poprawnym jest datagram protokołu IP.

Zadania spełniane przez protokół I

Protokół ten:

Cechy protokołu IP

  1. IP jest protokołem bezpołączeniowym, tzn. nie ustanawia w żaden sposób połączenia i nie sprawdza gotowości odległego komputera do odebrania przesyłanych danych.

  2. IP jest protokołem niepewnym, tzn. nie zapewnia korekcji i wykrywania błędów transmisji.

Adresowanie IP

Stosowane w Internecie adresy komputerów wynikają z budowy nagłówka datagramu IP. Ponieważ na adres w nagłówku IP przewidziane są cztery bajty, taka jest też długość adresu internetowego. Ponieważ człowiekowi najłatwiej zapamiętać liczby dziesiętne, adres taki składa się z czterech liczb z zakresu od 0 do 255 każda, oddzielonych kropkami. Zapisuje się go czasem jako jeden ciąg 32 bitów lub też cztery ciągi po osiem bitów każdy, podzielone kropkami.

Każdy taki adres można podzielić na dwie części:

6.2 PROTOKÓŁ ICMP

Protokół ICMP (Internet Control Message Protocol) jest częścią warstwy Internetu, transportowany jest wewnątrz datagramów IP. Jest to protokół kontrolny Internetu i jego funkcją jest obsługa i wykrywanie awarii oraz różnorodnych nietypowych sytuacji podczas pracy protokołu IP.

Zadania protokołu ICMP

  1. Sterowanie przepływem danych; w przypadku, gdy komputer docelowy transmisji IP nie nadąża z obróbką przychodzących datagramów IP, ICMP wysyła komunikat Source Quench, po którym nadawca powinien czasowo wstrzymać transmisję.

  2. Raportowanie o braku możliwości dostarczenia danych; jeśli komputer docelowy nie odpowiada, system, który wykrył problem, wysyła do nadawcy komunikat Destination Unreachable. Jeśli komunikat ten jest wysyłany przez router, oznacza to, że router nie może wysyłać pakietów do danego komputera. Może to nastąpić w dwóch przypadkach:

W momencie, gdy komunikat ten jest wysyłany przez host, może to oznaczać, że:

  1. Przekierowywanie tras; jeśli komputer (router), do którego dotarł datagram IP, uzna, że właściwą bramką będzie inny komputer z tej samej sieci, wysyła komunikat Redirect wskazujący na inny komputer (musi znajdować się w tej samej sieci). Po otrzymaniu takiego komunikatu odbiorca powinien zaktualizować swoją tablicę routingu.

  2. Testowanie osiągalności zdalnego hosta; odbywa się podczas wywołania polecenia ping. Wysyłany jest komunikat Echo Message, po otrzymaniu którego komputer docelowy powinien odpowiedzieć komunikatem Echo Request. Jeśli tego nie zrobi i komputer nadający nie otrzyma odpowiedzi w określonym czasie, host docelowy uznawany jest za nieosiągalny.

  3. Jeśli jakiś datagram podczas przechodzenia przez router osiągnie zerowy limit „ czasu życia” ( Time-to-Live), jest usuwany. Do komputera źródłowego danego datagramu wysyłany jest komunikat ICMP Time- exceeded.

Urządzenia pracujące w warstwie Internetu

Router nazywany również bramką (gateway) jest urządzeniem sprzęgającym sieci, funkcjonującym w warstwach: fizycznej, łącza danych i sieciowej modelu ISO/OSI. Router jest zaawansowanym urządzeniem do łączenia ze obą poszczególnych sieci IP. Jest urządzeniem konfigurowalnym, najczęściej pozwala na sterowanie przepustowością sieci oraz zapewnia pełną izolację segmentów sieci- oddziela zarówno domeny kolizji, jak i domeny rozgłoszeniowe w sieci Ethernet. Potrafi również przekazywać dane pomiędzy sieciami opartymi na różnych technnologiach. W sieciach rozległych dane przechodzą przez wiele węzłów pośrednich i mogą podróżować różnymi trasami. Router jest jednym z takich węzłów, ma za zadanie przesyłanie danych jak najszybszą i najlepszą drogą.

Potrafi odczytywać adresy z poszczególnych pakietów tak, aby znać ich miejsce przeznaczenia. Procedura dostarczania pakietów bliżej ich miejsca przeznaczenia jest różnie nazywana. Najczęściej spotykane są pojęcia: routowanie, trasowanie, przekierowywanie. Do kierowania danych używana jest tzw. tabela (lub tablica) routingu, która zawiera informacje o sąsiadujących routerach, sieciach lokalnych oraz ich stanie. Na podstawie tych danych wyszukiwana jest optymalna droga dla danego datagramu.

Tablica routingu może być statyczna- aktualizowana ręcznie przez administratora sieci, lub dynamiczna- aktualizowana automatycznie przez oprogramowanie sieciowe (protokoły routingu). Zaletą drugiegi rozwiązania jest to, że w razie dużego ruchu oprogramowanie może zmienić tablicę routingu tak, aby pakiety omijały powstały zator; ponadto protokoły routingu zapewniają reakcję na awarię i w miarę możliwości powodują transmisję danych łączem awaryjnym.

Aktualnie zadania routera najczęściej nie ograniczają się do trasowania datagramów IP. Routery bywają także wykorzystywane jako „zapora ogniowa”, zabezpieczając sieć przed nieautoryzowanym dostępem. Przy odpowiedniej konfiguracji wszyscy użytkownicy sieci lokalnej korzystają z Internetu, natomiast pozostali użytkownicy Internetu mają ograniczony dostęp do sieci lokalnej.

7.WARSTWA TRANSPORTOWA

Protokoły pracujące w warstwie transportowej modelu TCP/IP zapewniają dostarczenie danych do konkretnych aplikacji. Aplikacje najczęściej wykorzystują inny format i rozmiar informacji niż przenoszona przez sieć w datagramach IP. Zadaniem protokołów warstwy transportowej jest dostarczenie danych w pożądanej kolejności i formie umożliwiającej aplikacji skorzystanie z nich. Protokół IP zapewnia jedynie dostarczenie danych do komputera, a przecież na każdym komputerze może pracować wiele procesów (programów, usług, serwisów sieciowych) korzystających jednocześnie z transmisji IP. Protokoły warstwy transportowej mają za zadanie zadbać, aby dane dotarły do oczekującego na nie programu.

Port, gniazdo

Zadaniem protokołów warstwy transportowej jest rozdzielenie informacji nadchodzących z warstwy Internetu i dostarczenie ich do odpowiednich procesów pracujących w warstwie aplikacji. Identyfikacja przynależności danej transmisji do konkretnego procesu odbywa się na podstawie numeru portu. Numer portu jest liczbą 16- bitową związaną z procesem komunikującym się w sieci. Na przykład serwer WWW, chcąc odbierać zapytania o strony i wysyłać odpowiedzi, rezerwuje sobie port o numerze 80. Teraz jeśli jakiś komputer w Internecie wyśle zapytanie o stronę WWW, zapytanie to będzie zaadresowane numerem portu 80 i zostanie skierowane do serwera WWW. Proces, chcąc transmitować lub odbierać dane poprzez IP, rezerwuje sobie taką liczbę i w ten sposób uzyskuje dostęp do sieci.

Każda transmisja w sieci Intenet jest identyfikowana za pomocą kilku liczb. Po pierwsze jest to adres IP komputera wysyłającego dane oraz numer portu na tym komputerze, z którego nadaje proces transmitujący. W tym momencie mamy już liczby identyfikujące transmisję z jednej strony. Połączenie numeru IP komputera i portu, na którym odbywa się komunikacja, nazywamy gniazdem (socket). Podobnie komputer odbierający dane ma swój numer IP oraz port, na którym proces z nim kojarzony odbiera dane.

7.1 PROTOKÓŁ UDP

Protokół pakietów użytkownika UDP (User Datagram Protocol) wykonuje usługę bezpołączeniowego dostarczania datagramów, tzn. nie ustanawia w żaden sposób połączenia i nie sprawdza gotowości odległego komputera do odebrania przesyłanych danych ani poprawności ich dostarczenia. Po prostu wysyła paczkę danych i nie sprawdza w żaden sposób, czy dotarły do celu. Dzięki takiemu uproszczeniu funkcji zmniejszona została ilość przesyłanych informacji kontrolnych, co zwiększa efektywność tego protokołu. Daje on aplikacjom bezpośredni dostęp do usług rozsyłania datagramów przy wykorzystaniu minimalnego nakładu środków. Jednostką przesyłanych danych dla protokołu UDP jest pakiet.

RYS.10 Budowa pakietu UDP.

Bity

0 16 31

Port żródłowy Port przeznaczenia

Długość Suma kontrolna

DANE....

Pierwsze dwa bajty (16 bitów) nagłówka zawierają adres portu źródłowego (source port), następne dwa- adres portu docelowego (destination port) pakietu UDP.

Pole długość (lenght- 16 bitów) zawiera całkowitą długość pakietu (nagłówek i dane) w bajtach.

Pole suma kontrolna (checksum) jest tworzone na podstawie nagłówka i danych pakietu.

Protokół UDP jest dobrym rozwiązaniem, jeżeli ilość przesyłanych danych w poszczególnych pakietach jest niewielka. W tym przypadku obciążenie wynikające z dodania informacji dotyczących kontroli poprawności połączenia mogłoby stać się porównywalne z ilością przesyłanych informacji. Ponadto niektóre aplikacje same dbają o kontrolę poprawności transmisji i wykorzystywanie do ich transmisji protokołu połączeniowego byłoby dublowaniem tych samych funkcji.

7.2 PROTOKÓŁ TCP

Protokół kontroli transmisji TCP (Transmission Control Protocol) jest protokołem niezawodnym i połączeniowym, działającym na strumieniach bajtów. Oznacza to, że sprawdza on, czy dane zostały dostarczone przez sieć poprawnie i w określonej kolejności. Dane dostarczane przez ten protokół mogą być traktowane jak strumień. Jednostką danych przesyłanych dla protokołu TCP jest segment.

8.USŁUGI WARSTWY APLIKACJI

Ostatnią warstwą modelu TCP/IP jest warstwa aplikacji. Jest to warstwa najważniejsza z punktu widzenia użytkownika, ponieważ zapewnia przekazywanie danych przetransportowanych za pomocą wcześniej omówionych protokołów (warstw niższych) w formie zrozumiałej dla aplikacji komunikującej się z człowiekiem. Warstwa ta zawiera w sobie różnorodne procesy (usługi), często określane mianem protokołów, ponieważ są ściśle zdefiniowanymi standardami wymiany informacji. Należy również wyjaśnić, że większość omówionych tutaj usług działa w architekturze klient- serwer. Oznacza to, że na odległym hoście musi być uruchomiony serwer danej usługi (program świadczący daną usługę). Na komputerze komunikującym się z nim musi zostać uruchomiony klient tej usługi, który dopiero nawiąże połączenie z odległym serwerem i umożliwi wykorzystanie danego protokołu.

8.1 DNS

Ponieważ zapamiętywanie adresów IP jest trudne dla człowieka, komputery dostępne w sieci są określane łatwymi do zapamiętania nazwami. Na samym początku istnienia sieci ARPANET wystarczała lista nazw kilkuset komputerów umieszczona w pliku tekstowym hosts. Ponieważ liczba ta wzrosła niepomiernie, więc system został zmieniony na bardziej wydajny. Jest nim system DNS (Domain Name System) świadczący usługi zamieniania (rozwiązywania) nazwy komputera na jego adres IP.

DNS jest jedną z najważniejszych usług warstwy aplikacji. Zapewnia odwzorowywanie nazw hostów na adresy IP. Przykładowo, to dzięki systemowi DNS i najbliższemu serwerowi tej usługi po wpisaniu w przeglądarce WWW nazwy serwera: www.lodz.pl zostaniemy przekierowani na adres IP: 212.51.192.18.

RYS.11 Drzewiasta struktura domen w Internecie.

Przestrzeń nazw w Internecie jest oparta na modelu drzewiastym. Drzewo jest odwrócone a pełną dokładną nazwę domenową FQDN (Fully Qualified Domain Name) zapisujemy od prawej do lewej, od najbardziej ogólnych domen, do szczegółowych, aż po nazwę konkretnego komputera. Poszczególne nazwy rozdzielamy kropkami. Tworzenie nazwy rozpoczynamy od korzenia (root) oznaczanego kropką „.”. Następnie są nazwy domen górnego poziomu, następnie pod- domeny, a w końcu nazwa hosta. Jednak aby uprościć zapis, najczęściej pomijamy kropkę oznaczającą korzeń, więc w efekcie otrzymujemy dobrze nam znany, typowy adres, który wpisujemy w przeglądarce WWW.

Organizacją zajmującą się zarządzaniem przestrzenią nazw domenowych jest ICANN (The Internet Corporation for Assigned Names and Numbers). Domeny głównego poziomu dzielą się na domeny organizacyjne i geograficzne. Domeny geograficzne są to dwuliterowe nazwy domen przyznane poszczególnym krajom, np. .pl - Polska.

Domeny organizacyjne są przyznawane w zależności od prowadzonej działalności:

.com - firmy komercyjne,

.edu - instytucje naukowe,

.gov - agencje rządowe,

.mil - organizacje wojskowe,

.net - organizacje związane z siecią Internet,

.int - międzynarodowe organizacje rządowe i pozarządowe,

.org - pozostałe organizacje nie mieszczące się w tych ramach.

8.2 SERWERY DNS

Serwer nazw najczęściej ma pełne informacje o części całej przestrzeni nazw; część tą nazywamy strefą. Dane te pobiera z lokalnego pliku lub z innego serwera nazw, co opisujemy, mówiąc, że serwer ma autoryzację (authority) dla strefy lub, że jest wiarygodnym (autorytarnym) serwerem dla tej strefy. Ponieważ baza danych posiadająca wpisy dotyczące wszystkich hostów w domenie pl byłaby ogromna i praktycznie niemożliwa do zarządzania, stosuje się tzw. delegację strefy. W ten sposób przechowywanie i uzupełnianie informacji o hostach w domenie firma.com.pl zostaje przekazane serwerowi nazw należącemu do tej firmy. Serwer zarządzający domeną com.pl zawiera jedynie wpis informujący o adresie IP serwera nazw domeny firma.com.pl. Wszelkie pytania o poszczególne komputery w tej domenie będą skierowane do tego serwera. Dzięki temu baza nazw domenowych Internetu zachowuje pewien rozproszony charakter.

Istnieją dwa rodzaje serwerów DNS: podstawowy serwer główny (primary masters) i drugorzędny serwer główny (secondary masters). Drugorzędny serwer czasem nazywany jest zapasowym serwerem. Dodatkowo czasem uruchamia się tzw. serwery tymczasowe, buforujące przechodzące przez nie dane i odciążające w ten sposób serwery podstawowy i drugorzędny. Oczywiście serwerów podstawowych może być więcej niż dwa, jednak formalnie dla domeny są wymagane przynajmniej dwa serwery podstawowe. Pierwszy z nich czyta dane strefy z lokalnego pliku. Drugi pobiera informację dotyczącą strefy z serwera podstawowego; operację taką nazywamy transferem strefy (zone transfer). Przy rejestracji domeny jest wymagane podanie dwóch adresów IP naszych serwerów DNS.

SMTP

SMTP (Simple Mail Transfer Protocol) jest podstawowym protokołem transmisji poczty w Internecie. Serwer SMTP często określany jest jako serwer poczty wychodzącej (Outgoing Mail Transfer) lub MTA (Mail Transfer Agent). ESMTP jest to rozszerzony protokół transportu wiadomości. Oba do transportu wykorzystują protokół TCP i port o numerze 25.

Protokół ten umożliwia wysyłanie i transport poczty elektronicznej e- mail poprzez różnorodne środowiska systemowe.

POP

POP ( Post Office Protocol) jest protokołem pocztowym, za pomocą którego możemy odbierać pocztę z serwera. Aktualnie używaną wersją jest POP3. Serwer POP3 używa protokołu TCP i portu o numerze 110. Odbieranie naszej poczty, w odróżnieniu od protokołu SMTP, wymaga zalogowania się do serwera- podania nazwy użytkownika (login) i hasła.

IMAP

IMAP (Internet Message Access Protocol) jest następnym protokołem, za pomocą którego możemy odebrać swoją pocztę z serwera. Aktualna wersja tego protokołu ma o wiele bardziej rozbudowane możliwości od POP3. Umożliwia przechowywanie wiadomości na serwerze i podzielenie ich na różne foldery, dzięki czemu użytkownik, logując się do dowolnego komputera w Internecie, ma dostęp do całej swojej skrzynki pocztowej (tak jakby ją miał skopiowaną lokalnie). Użytkownik może zarządzać swoimi wiadomościami, usuwać je, przenosić pomiędzy folderami, wyszukiwać słowa w ich treści itp. Oczywiście istnieje też możliwość ściągnięcia treści wszystkich wiadomości i pracy bez bezpośredniego połączenia z serwerem (offline). Dobrze znanym portem zarezerwowanym dla IMAP jest port 143 protokołu TCP.

FTP

FTP (File Transfer Protocol) jest protokołem transmisji plików, umożliwia transmisję i odbiór plików z odległego systemu oraz różnorodne operacje na tych plikach (np. zmiana praw dostępu). Poza możliwością połączenia się na swoje konto i pobrania plików, możliwy jest anonimowy dostęp. Dzięki temu w Internecie są serwery udostępniające ogromne ilości różnorodnych plików, które każdy może sobie za darmo pobrać. Jest to dość skomplikowany protokół, ponieważ do połączenia używa aż dwóch portów protokołu TCP. Port 20 (data) służy do transmisji danych, a port 21 (command, control) do przekazywania poleceń. Ponadto sposób nawiązywania połączenia sprawia problemy podczas konfigurowania NAT i firewalli.

HTTP

HTTP (Hypertext Transfer Protocol) jest protokołem odpowiedzialnym za przesyłanie w Internecie stron WWW. Portem zarezerwowanym dla protokołu HTTP jest 80 port TCP oraz rzadziej używane porty 8008 i 8080. Dodatkowo do transmisji (ankapsulacji) protokołu HTTP poprzez strumień SSL (Secure Socket Layer) zarezerwowany został port 443 TCP.

Jednostką logiczną protokołu HTTP jest wiadomość (message) składająca się z zapytania od klienta do serwera i odpowiedzi serwera. Protokół HTTP definiuje kilka metod (rodzajów działań), które zostaną wykonane na wywołanym zasobie. Wyróżnia się następujące usługi (metody) protokołu HTTP.

SSL

SSL (Secure Socket Layer) jest protokołem służącym do bezpiecznej transmisji zaszyfrowanego strumienia danych. SSL nie jest nowym algorytmem szyfrującym. Jest to zestandaryzowany zestaw wcześniej znanych algorytmów, technik i schematów używanych do uzyskania bezpieczeństwa. Wykorzystuje on algorytmy szyfrowania:

SSL składa się z dwóch protokołów:

TELNET

Telnet (Network Terminal Protocol) jest protokołem terminalu sieciowego, służy do zalogowania się i zdalnej pracy na odległym komputerze z wykorzystaniem konsoli tekstowej. Używany jest głównie do pracy zdalnej w powłoce (shell) systemów uniksowych. Dobrze znanym portem zarezerwowanym dla tej usługi jest port 23 protokołu TCP.

SSH

SSH (Secure Shell Login) jest bezpiecznym protokołem terminalu sieciowego udostępniającym usługi szyfrowania połączenia. Dobrze znanym portem zarezerwowanym dla ssh jest port 22 protokołu TCP.

FINGER

Finger jest usługą dostarczania wiadomości o użytkowniku, umożliwia zapytywanie odległego serwera o dane osobiste interesującej nas osoby. Portem zarezerwowanym dla protokołu Finger jest 79 port TCP.

AUTH

Oficjalną nazwą tego protokołu jest The Identification Protocol, czasem używa sie nazwy Authentication Server Protocol. Portem zarezerwowanym dla tego protokołu jest 113 w TCO jest 113. Protokół ten służy do identyfikacji użytkownika danego połączenia TCP.

NNTP

NNTP (Network News Transfer Protocol) to protokół transmisji USENET-owej. Służy do transmisji listów na grupę dyskusyjną i ich odczytywania z grup dyskusyjnych. Artykuły (listy, posty) są przechowywane na serwerze umożliwiającym pobieranie przez klienta wybranych z nich lub wysyłanie własnych. NNTP używa dobrze znanego portu 119 protokołu TCP.

SNMP

SNMP ( Simple Network Management Protocol) służy do zarządzania i monitorowania urządzeń sieciowych ( przełączniki, routery, serwery, modemy, drukarki itp.)

SNMP jest protokołem typu klient- serwer, we własnej terminologii definiowany jako protokół menedżer- agent. Agent (serwer) działa na obsługiwanym urządzeniu nazywanym MNE (Managed Network Entity) - obsługiwana jednostka sieciowa - i monitoruje stan urządzenia. Menedżer (klient) działa na jednostce NMS (Network Management Station) - stacja zarządzania siecią - i wysyła zapytania do agenta oraz odbiera od niego odpowiedzi.

IRC

IRC (Internet Relay Chat) to protokół służący do prowadzenia rozmów za pomocą konsoli tekstowej. Na potrzeby IRC zostały zarezerwowane porty od 6665 do 6669 protokołu TCP, z domyślnym portem 6667.

WHOIS

Whois jest usługą działającą na 43 porcie protokołu TCP. Służy do zadawania zapytań bazie danych whois. Baza ta przechowuje informacje o osobach (lub firmach) związanych z adresami IP lub domenami.

NTP

NTP (Network Time Protocol) jest protokołem służącym do synchronizacji czasu na wielu serwerach. Jeden serwer jest wybierany jako źródło podstawy czasu, a pozostałe co pewien czas pytają go o czas i jeśli zachodzi taka potrzeba, regulują swoje zegary systemowe. NTP działa na 123 porcie protokołu UDP. NTP tworzy strukturę obejmującą sieć Internet, w której wydzielono 4 warstwy (poziomy zaufania). W pierwszej znajdują się serwery mające bezpośredni dostęp do zegarów atomowych, w warstwie drugiej są serwery połączone z tamtymi. W warstwie czwartej znajdują się już samodzielne komputery korzystające z serwerów, a dla sieci lokalnej źródło czasu stanowi znajdujący się w niej serwer warstwy trzeciej.

BOOTPS, DHCP

Dawniej w sieci lokalnej wszystkie stacje były konfigurowane ręcznie przez administratora, jednak przy wzroście ich liczby stało się to zbyt dużym obciążeniem. Rozwiązaniem było powstanie i wdrożenie najpierw protokołu BOOTP (Bootstrap Protocol), a następnie jego rozwinięcia, DHCP (Dynamic Host Configuration Protocol).

Protokoły te są protokołami typu klient- serwer zapewniającymi automatyczną konfigurację parametrów sieciowych (adres IP, maska, adres bramki itp.) stacji roboczej. Opierają się na identyfikacji stacji roboczych na podstawie adresu sprzętowego MAC karty sieciowej, który jest unikalny dla każdej stacji.

8.3 INNE PROTOKOŁY

TOKEN RING

Token Ring różni się od Ethernetu zasadą działania. W sieci Token Ring w jednym momencie może nadawać tylko jedna stacja, nie występują więc kolizje ani inne zjawiska związane z wykrywaniem kolizji w Ethernecie. Wyboru stacji upoważnionej do nadawania dokonuje się na podstawie żetonu (token). Jeśli stacja ma żeton, to może nadawać przez pewną jednostkę czasu. Gdy skończy, przekazuje żeton następnej w kolejności stacji. Aby ponownie rozpocząć nadawanie, stacja czeka, aż ponownie otrzyma żeton. Metoda ta nazywana jest przekazywaniem żetonu (Token Passing). Określony jest maksymalny czas, przez jaki stacja może przetrzymywać żeton. Stacja, otrzymując żeton będący swoistą ramką, zmienia w nim pewne bity, dodaje dane, które chce przesłać i całość nadaje do następnej stacji. Kolejna stacja, otrzymawszy tak utworzoną ramkę danych, nie może nadawać, a jedynie przekazuje ją dalej. Gdy dane osiągną stację docelową, są przez nią odbierane i ponownie przekazywane dalej, dopóki nie wrócą do stacji nadawczej. Stacja, która rozpoczęła nadawanie, po powrocie do niej wysłanej ramki generuje nowy żeton (bez danych) i przekazuje go następnej stacji. Dopiero od tego momentu kolejna stacja może przejąć nadawanie. W specyfikacji Token Ring zawarte są mechanizmy zarządzania i dostrajania działania pierścienia oraz wykrywania awarii.

FDDI

FDDI (Fiber Distributed Data Interface) to sieć zbudowana z dwóch pierścieni światłowodowych, w których ruch odbywa się w przeciwnych kierunkach. Używany jest jednocześnie tylko jeden z pierścieni, a drugi pełni rolę połączenia awaryjnego. Dostęp do medium regulowany jest, podobnie jak w sieci TokenRing, metodą Token Passing. Rozpiętość pierścieni może dochodzić do 200 km, a transmisja odbywa się z szybkością 100 Mb/s. Sieć taka, dzięki zdublowaniu pierścieni, cechuje się dużą odpornością na awarie, zwłaszcza że stacje i wzmacniaki mają zaimplementowane mechanizmy automatycznej reakcji na uszkodzenia sieci. Dzięki tym cechom sieci te są często stosowane do zapewnienia połączeń szkieletowych w sieciach MAN.

ISDN

ISDN (Integrated Services Digital Network) - zintegrowane usługi sieci cyfrowej są systemem telekomunikacyjnym, korzystającym z istniejącej struktury sieci telefonicznej. Transmisja odbywa się przy wykorzystaniu kanałów logicznych B (Bearer) i D (Delta). Kanały B służą do transmisji danych klienta, a kanały D do przesyłania informacji kontrolnych.

Zalety ISDN:

PPP

PPP (Point to Point Protocol) stosowany jest głównie do przesyłania datagramów IP w łączach dwupunktowych, chociaż obsługuje również enkapsulację innych protokołów. Najpopularniejszym jego aktualnym zastosowaniem jest zapewnienie komutowanych połączeń modemowych, czyli popularnego wdzwanianego dostępu do Internetu. Ponadto jest wykorzystywany przy połączeniach modemowych na łączach stałych.

XDSL

DSL (Digital Subscriber Line) oznacza cyfrową linię abonencką; xDSL jest określeniem całej rodziny technologii zapewniających połączenia z wykorzystaniem istniejących sieci telefonicznych, bez potrzeby ich przebudowy. Ponieważ modemy DSL wymagają wydzielonej linii kabli miedzianych na swoje potrzeby, najczęściej konieczna jest dzierżawa odpowiedniego łącza od operatora telekomunikacyjnego. Większość łączy stałych o większej przepustowości (powyżej 512 kb/s) w Polsce jest realizowana za pomocą technologii z rodziny DSL. Korzystając z istniejącej infrastruktury telekomunikacyjnej, technologie te pozwalają uzyskać przepustowości rzędu 6 Mb/s. Ponieważ cały czas powstają nowe protokoły wykorzystujące coraz bardziej zaawansowane metody transmisji, więc możliwości oferowane przez technologię xDSL ciągle wzrastają.

FRAME RELAY

Frame Relay oparta jest na przełączaniu pakietów; opiera się na dwóch pierwszych warstwach modelu ISO/OSI. W warstwie 2 odbywa się sprawdzanie poprawności transmisji pakietów, jednak bez obsługi retransmisji uszkodzonych; funkcje te zostały zrzucone na protokoły warstw wyższych. Ponadto ramki nie są numerowane. Dzięki tym cechom nie ma dublowania funkcji protokołów warstw wyższych (obsługa retransmisji błędnych pakietów, zachowywanie kolejności itp.), co powoduje ogromny wzrost przepustowości takiej sieci. Wynika to z faktu, że pojedyncza ramka wymaga minimalnej obróbki na każdym z etapów przesyłania. Frame Relay używa zmiennej długości pakietu, który może mieć od kilku do ponad tysiąca bajtów.

RYS.12 Sieć Frame Relay.

DTE (Data Terminal Equipment) - urządzenia dostępowe do sieci Frame Relay, np. FRAD, router, most, komputer. FRAD (Frame Relay Access Device) jest to najczęściej urządzenie autonomiczne, wyposażone w porty szeregowe (również LAN), mogące dokonywać transmisji protokołów warstw wyższych w ramkach FR, a dodatkowo w zależności od modelu oferujące różne możliwości zarządzania ruchem.

DCE (Data Circuit Equipment) - urządzenia międzysieciowe, węzły sieci Frame Relay; najczęściej są to przełączniki FR.

ATM

ATM (Asynchronous Transfer Mode) jest szerokopasmową technologią używaną w wielu zastosowaniach: transmisja głosu i obrazu, transmisja danych interakcyjnych, tworzenie dużych i złożonych sieci MAN i WAN. Informacja przesyłana jest w komórkach (cells) o stałym rozmiarze 53 bajtów, przy czym dane zajmują 48 bajtów, a reszta przypada na nagłówek. Jak wskazuje nazwa technologii ATM, dane transmitowane są asynchronicznie, czyli komórki należące do różnych połączeń są ze sobą wymieszane i przesyłane bez z góry ustalonego porządku. Poszczególne połączenia mogą mieć różną szybkość, zgodną z przyjętymi standardami.

SIECI W GNIAZDKU ZASILAJĄCYM- PLC

Technologię sieci komputerowych wykorzystujących istniejące sieci zasilające nazwano PLC (Power Line Communication). Główną ideą działania takiego rozwiązania jest przesłanie równolegle z napięciem zasilającym 220 V o częstotliwości 50 Hz sygnału wykorzystującego o wiele większą częstotliwość, transmitującego dane. Jeśli częstotliwości sygnałów będą odpowiednio odległe, to sygnały nie będą się za bardzo zakłócały. Olbrzymią zaletą takiego rozwiązania jest wykorzystanie najpowszechniej istniejącej sieci przewodowej na świecie- czyli sieci zasilającej.

Sieci PLC mogą dostarczyć następujących usług:

Główną wadą sieci PLC są zakłócenia elektromagnetyczne wypromieniowywane przez olbrzymią antenę, jaką staje się sieć energetyczna podczas wykorzystania jej jako sieci PLC.

SIECI TELEWIZJI KABLOWYCH

Uzyskującą coraz większą popularność metodą dostępu do Internetu są kablowe sieci telewizyjne. Podłączamy do nich specjalne modemy, z których sygnał pobieramy zwyczjnym gniazdem ethernetowym RJ- 45 lub złączem USB.

W tradycyjnych sieciach telewizji kablowych medium transmisyjnym jest kabel koncentryczny. Aktualnie coraz częściej spotyka się instalacje hybrydowe HFC (Hybrid Fiber Coax). W sieciach HFC część toru przesyłowego wykorzystuje światłowody (lub kabel miedziany).

9. BEZPIECZEŃSTWO W SIECI

9.1 NAJWAŻNIEJSZE POJĘCIA

Co dzień przybywa komputerów podłączonych do sieci Internet, a tym samym rośnie prawdopodobieństwo, że któryś z użytkowników tej globalnej sieci postanowi włamać się do naszej sieci lokalnej. Bezpieczeństwo sieci komputerowych jest zagadnieniem ogromnym i raczej nie ma możliwości wyczerpania tutaj tego tematu, zwłaszcza że codziennie odkrywane są nowe sposoby włamania lub zakłócenia pracy systemów kompterowych. Przedstawię tu podstawowe pojęcia, na które natykamy się podczas zgłębiania tematyki bezpieczeństwa.

FIREWALL

Firewall - „ściana ogniowa” - termin wzięty z konstrukcji samochodu; jest to element konstrukcji uniemożliwiający rozprzestrzenianie się ognia w czasie pożaru na kabinę pasażerów. W sieci komputerowej jego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób podłączenia się do zasobów, które nie powinny być udostępniane. Można wyróżnić dwa ogólne typy firewalli, filtrujące i połączeniowe.

Firewalle filtrujące na podstawie adresów IP oraz numerów portów podejmują decyzje o zakwalifikowaniu danego datagramu jako bezpieczny. Firewalle filtrujące działają na poziomie pakietów IP (warstwy Internetu modelu TCP/IP). Są zaprojektowane do kontroli przepływu, bazując na adresie źródłowym, docelowym, porcie i typie pakietu (zawartych w każdym z pakietów). Te firewalle są bardzo bezpieczne, ale nie dają kontroli nad użytkownikami. Można udostępnić usługę, ale poza adresem IP komputera, z którego przyszła transmisja, nie da się otrzymać informacji identyfikujących konkretnego użytkownika. Bardziej zaawansowanym rodzajem są firewalle z inspekcją stanu (state- full inspection). Korzystają one również z protokołów warstw wyższych niż warstwa transportowa. Przy tworzeniu ich reguł możemy operować na obiekcie zwanym sesją.

Serwery połączeniowe (proxy) - wykonują połączenie sieciowe zamiast komputera z sieci lokalnej. Serwery proxy pozwalają na niebezpośredni dostęp do Internetu. Głównym zastosowaniem jest udostępnianie usługi WWW, jednak możliwe jest uruchomienie również innych usług. Gdy łączymy się z proxy- serwerem za pomocą przeglądarki WWW, uruchamia on swojego własnego klienta i wysyła takie samo zapytanie, jakie otrzymał od nas. Po otrzymaniu odpowiedzi dostarcza nam danych, których zażądaliśmy. Dzięki temu, jeśli nastąpi jakiś atak, będzie on przeprowadzony wobec serwera połączeniowego, a nie komputera w sieci lokalnej. Ponieważ serwery proxy podwajają każde połączenie, możliwe jest zapisywanie (logowanie) każdego z nich. Serwery proxy są dość bezpieczne, ponieważ nie dokonują bezpośredniego routingu. Główną ich wadą są ogromne wymagania sprzętowe oraz pewien brak elastyczności. W momencie pojawienia się nowej usługi, z której użytkownicy sieci chcą skorzystać, musimy zainstalować dodatkowy program na naszym serwerze proxy. Jednak główną zaletą, która wpływa na dużą popularność tych rozwiązań, jest duże- subiektywnie- przyspieszenie działania sieci z punktu widzenia użytkownika w sieci lokalnej. Odbywa się to dzięki mechanizmowi buforowania (cache) stron przesyłanych przez proxy. Jeśli użytkownik zażąda wcześniej już pobieranej strony, która została zbuforowana przez serwer proxy, zostanie ona odczytana z buforu i natychmiast przesłana do użytkownika. Dzięki temu zmniejsza się obciążenie naszego łącza do Internetu, ponieważ część stron jest pobierana bezpośrednio z serwera proxy. Należy pamiętać, że ze zrozumiałych względów serwery takie nie mogą buforować stron budowanych dynamicznie (CGI, PHP, ASP itp.). Drugim polem do zastosowań serwerów połączeniowych jest ochrona serwerów WWW. Serwer proxy przejmuje wszystkie połączenia skierowane do serwera WWW, buforuje zapytania, odciążając właściwy serwer, oraz sprawdza występowanie podejrzanych zapytań, które mogłyby zagrozić stabilności usługi WWW.

IDS

IDS (Intrusion Detection System) służy do wykrywania prób włamań do chronionych zasobów. Nawet jeśli mamy zainstalowany firewall, to włamywacz może wykorzystać błędy w oprogramowaniu udostępnianych przez nas serwerów. Do wykrywania takich prób służy właśnie IDS. Wyróżniamy trzy rodzaje takich systemów:

9.2 METODY WŁAMAŃ

Istnieją dwa cele ataków sieciowych:

Uzyskanie dostępu

Rozpoczyna się ono najczęściej etapem wyszukiwania odpowiedniego narzędzia (exploita), które posłuży do włamania. Najprostszym sposobem osiągnięcia celu jest zdobycie nazwy użytkownika w systemie (login) i używanego przez niego hasła (password). Zdobycie loginu nie jest trudne, najczęściej wystarczy zdobyć adres poczty elektronicznej (e- mail) danego użytkownika (czasem jest to tzw. alias, co utrudnia zadanie włamywaczowi). Jeśli system operacyjny umożliwia takie działania, cracker zajmie się lokalnym zwiększaniem uprawnień zdobytego konta, tak aby opanować serwer. Działanie takie opiera się oczywiście na wykorzystywaniu błędów w systemie operacyjnym i aplikacjach oraz błędów popełnionych przez administratora podczas konfiguracji.

Statystyki podają, że najczęściej użytkownicy sieci komputerowych stosują hasła łatwe do złamania za pomocą metody słownikowej. Dlatego należy dbać, aby hasła użytkowników były jak najbardziej skomplikowane, powinny zawierać przynajmniej duże i małe litery oraz cyfry. Ponadto warto poustawiać możliwość np. trzykrotnego błędnego logowania się, a następnie system powinien przez pewien czas (kilka minut, godzin) uniemożliwiać logowanie tego użytkownika, równocześnie raportując taką sytuację w dziennikach systemowych. Ze względu na dużą czasochłonność takiego działania, rzadko stosowane jest łamanie haseł poprzez sieć; metoda ta stosowana jest najczęściej podczas lokalnego zwiększania uprawnień włamywacza na serwerze.

Starą metodą jest podstawienie programu, udającego program logujący do systemu. W ten sposób użytkownik podaje swoje hasło, a program włamywacza zdobywa je w postaci niezakodowanej. Następną metodą jest nasłuchiwanie (sniffing); polega ona na podłączeniu do sieci komputera z uruchomionym oprogramowaniem do ściągania wszystkich ramek ethernetowych w danym segmencie sieci. W tym momencie cracker uzyskuje dostęp do wszystkich haseł, które transmitowane sa otwartym tekstem w swojej domenie kolizji (np. odczytywanie poczty za pomocą protokołu POP, transmisja plików protokołem FTP). Pod nazwą sniffing zaszeregowane są również metody podsłuchu promieniowania elektromagnetycznego wydzielanego przez transmisje w kablach sieciowych lub w kablach monitorowych. Na przykład istnieją urządzenia umożliwiające oglądanie (oczywiście zaszumionego) obrazu wyświetlanego na monitorze znajdującym się kilkanaście metrów od nas, za kilkoma ścianami

Znanym problemem są usługi umożliwiające zdalną pracę: rlogin, rsh, rcp, których system zabezpieczeń jest zupełnie niewystarczający. Aktualnie są coraz rzadziej stosowane i najczęściej nie wykorzystywane. Zastąpione zostały usługą bezpiecznego połączenia ssh (Secure Shell).

Niebezpieczna może być również usługa ftp. Niewłaściwie skonfigurowany serwer ftp może umożliwić włamywaczowi uzyskanie ważnych informacji, przykładowo pliku zawierającego hasła.

Jedną z kategorii zagrożeń stanowią tzw. furtki (backdoors) lub włazy (trapdoors), będące nieudokumentowanymi funkcjami aplikacji, pozostawionymi przez programistów. W systemie Linux, dzięki pełnej dostępności źródeł programów, bardzo szybko są wykrywane i usuwane tego typu problemy. Systemy komercyjne nie dają nam tej pewności. Często nazwę backdoor stosuje się do tylnego wejścia pozostawianego przez włamywacza po opanowaniu systemu. Może on dostać się do systemu nawet po poprawieniu błędu, dzięki któremu dostał się do niego za pierwszym razem.

Ponadto usługa smtp w implementacji wczesnych wersji programu sendmail okazała się niedostatecznie bezpieczna. Przykładowo przy odpowiednim przerobieniu przesyłki interpretowana jest ona jako program wykonywalny i uruchamiana przez sendmaila. Należy uaktualniać oprogramowanie do stabilnych wersji, nie zawierających (w momencie uaktualnienia) błędów.

Ponadto istnieje olbrzymia liczba metod korzystających ze słabości specyficznych dla systemu operacyjnego i oprogramowania użytkowego. Z tego powodu administrator sieci powinien również dobrze znać zagadnienia związane z bezpieczeństwem systemów operacyjnych komputerów i serwerów używanych w jego sieci. Przykładowo dobrze znane są problemy z bezpieczeństwem protokołu NetBIOS. Bardzo ważne jest uniemożliwienie dostępu do niego z Internetu; dobrze skonfigurowany firewall filtrujący ruch na porty używane przez ten protokół powinien nas przed tym zabezpieczyć. Nie zabezpieczy nas jednak przed atakami z wnętrza sieci, a tam pomoże jedynie dobra konfiguracja systemu operacyjnego. Można również rozważyć instalację lokalnych firewalli na serwerach sieci lokalnej.

Nigdy nie należy uruchamiać serwerów sieciowych z konfiguracją domyślną. Taką konfigurację będzie znał każdy cracker, zwłaszcza jeżeli korzystamy z gotowego, prekompilowanego pakietu dostarczanego wraz z używaną przez nas dystrybucją systemu. Jeżeli używamy oprogramowania Open Source, należy kompilować swoje serwery osobiście, podczas kompilacji wyłączać właściwości (moduły, opcje), które nie są nam potrzebne. Jeśli w używanym przez nas serwerze usług zostanie wykryty błąd, jest prawdopodobne, że będzie on w module, który wyłączyliśmy. Ponadto zmniejszenie liczby funkcji najczęściej wpływa pozytywnie na wydajność. Zwróćmy uwagę na domyślną konfigurację routerów, przełączników i innych urządzeń sieciowych. Często posiadają- dobrze znane crackerom- domyślne konta umożliwiające zarządzanie nimi.

Osobnym zagadnieniem jest sieć telefoniczna. Włamywacze często- korzystając z wcześniej zdobytych informacji o zakresie- obdzwaniają wszystkie numery telefoniczne należące do firmy, szukając słabo zabezpieczonych połączeń wdzwanianych (dial- up). Dobrym zwyczajem jest zapewnienie podwójnego logowania, tak aby włamywacz po przełamaniu zabezpieczeń protokołu musiał się jeszcze zalogować do serwera. Niezłym pomysłem jest również połączenie oddzwaniane (call- back); użytkownik po połączeniu się i zalogowaniu rozłącza się. Następnie serwer oddzwania pod uprzednio skonfigurowany numer telefonu przyporządkowany do użytkownika, który się wcześniej zalogował.

Spoofing

Jedną z niebezpieczniejszych technik włamań jest „podszywanie się” (spoofing). Bardzo ogólnie można powiedzieć, że polega ono na wysyłaniu datagramów IP z nieprawdziwym adresem źródłowym, przez co komputer je odbierający błędnie identyfikuje ich nadawcę. Najczęściej jest to właśnie wykorzystywane do podszywania się pod- przykładowo- stronę WWW banku, w którym obsługujemy nasze konto. Agresor może podszywać się, korzystając z różnych warstw modelu sieciowego i z różnych mechanizmów, jednak wszystkie prowadzą do sytuacji, że komunikujemy się z kimś innym niż chcielibyśmy. Metody te są tak bardzo niebezpieczne ze względu na możliwość niezauważonej modyfikacji danych w przejętym przez crackera połączeniu. Cechą wspólną podszywania się jest konieczność unieszkodliwienia stacji, z którą chcemy się połączyć, tak aby pakiety przez nią generowane nie przeszkadzały w pracy włamywacza. Dokonuje się tego różnymi metodami, począwszy od fizycznych ataków, poprzez np. wyłączenie prądu (w sieci lokalnej), odcięcia od sieci poprzez uszkodzenie (zmianę konfiguracji) urządzenia sieciowego, z którego stacja ta korzysta, na ataku DoS (Denial of Service) skończywszy.

Destabilizacja pracy

Czasem crackerowi nie zależy na włamaniu do sieci, a na zdestabilizowaniu działania usług sieciowych i uniemożliwieniu zaatakowanemu serwerowi świadczenia usług. Na takie akcje mówimy atak typu „odmowa usługi” DoS (Denial of Service).

Atak typu Smurf polega na wysłaniu wiadomości ICMP „echo” (ping) na adres rozgłoszeniowy jakiejś sieci, z adresem źródłowym ustawionym na IP naszego serwera. W tym przypadku wszystkie działające komputery w tej sieci odpowiadają komunikatami ICMP echo reply skierowanymi do twojego serwera. Jeden pakiet wysłany przez agresora jest automatycznie pomnażany do wielu i wysyłany z przepustowością łącza sieci wykorzystywanej do ataku. Jeśli napastnik będzie szybko wysyłał takie pakiety do kilkunastu sieci, wszystkie działające komputery z tych sieci będą atakowały nasz serwer komunikatami ICMP. Spowoduje to przepełnienie naszego łącza i spowolnienie pracy zalewanego pakietami serwera.

Pewną odmianą tego jest atak Fraggle, podczas którego agresor wysyła pakiety UDP skierowane na adres rozgłoszeniowy jakiejś sieci. Wszystkie aktywne komputery w tej sieci powinny odpowiedzieć komunikatem ICMP port unreachable, oczywiście skierowanym do naszego serwera.

Najłatwiej można zabezpieczyć swoją sieć przed wykorzystaniem przez agresora do ataku. Wystarczy nie przyjmować (filtrować) pakietów z adresem docelowym ustawionym na adres rozgłoszeniowy. Poza tym powinno się zadbać, aby żaden z użytkowników sieci nie wykonał takiego ataku, uniemożliwiając wychodzenie na zewnątrz pakietów z adresami źródłowymi innymi niż poprawne adresy należące do naszej sieci.

Pochłanianie zasobów

Tego typu działaniem jest ostatnio popularna metoda unieruchamiania serwisów WWW. Polega ona na wysyłaniu olbrzymiej liczby zapytań do serwera WWW, który próbując je wszystkie obsłużyć, zostaje zablokowany. W celu obsłużenia wzrastającej liczby nawiązywanych połączeń, usługa będzie zajmowała coraz więcej zasobów systemowych, aż do unieruchomienia serwera. Należy używać serwerów usług, które są odporne na takie akcje i można określić w nich liczbę jednocześnie otwartych połączeń. Jednak nawet w takim przypadku atak ten odniesie skutek, ponieważ po przekroczeniu maksimum usługa przestaje przyjmować nowe połączenia. Nie powoduje to jednak unieruchomienia całego serwera i po zaprzestaniu ataku na serwer podejmuje działanie.

Zmiana routingu

Jeśli korzystamy z protokołów routingu dynamicznego musimy wykorzystać wszystkie mechanizmy autoryzacji, jakie udostępniają. Ponieważ protokoły te były projektowane dawno, udostępniają agresorowi wiele możliwości. Pakiety z odpowiednią zawartością mogą zmienić nasze tablice routingu i w ten sposób spowodować niedostępność serwerów. Bardzo szkodliwe mogą być również wiadomości ICMP typu destination unreachable, source quench oraz redirect, podszywające się pod pakiety z wnętrza naszej sieci. Główną obroną jest filtrowanie protokołów routingu (jeśli to możliwe) i uniemożliwianie przedostawania się z zewnątrz pakietów z adresem źródłowym sugerującym pochodzenie z wnętrza sieci.

Ataki w warstwie aplikacji

Są to ataki wykorzystujące słabości protokołów aplikacji. Istnieje rodzaj ataków polegający na generowaniu dużej ilości poczty elektronicznej. Przykładowo agresor może zapisać naszego użytkownika równocześnie na kilkaset pocztowych list dyskusyjnych, z których każda generuje dużą ilość codziennych wiadomości. Jeśli jeszcze sposób wypisywania się z list będzie skomplikowany, a część list będzie w różnych językach, to czasem jedyną sensowną możliwością jest zmiana nazwy konta pocztowego na inną. Istnieje wiele metod utrudniania życia za pomocą poczty elektronicznej, począwszy od przepełnienia skrzynki pocztowej, tzw. mail- bombing, poprzez wysyłanie wielu reklam, tzw. spam, aż po podszywanie się pod znane użytkownikowi adresy i wysyłanie wymyślnych informacji wykorzystujących inżynierię społeczną (łańcuszki, informacje o pseudowirusach itp.). Wiele z tych problemów zostanie rozwiązanych poprzez włączenie autoryzacji na serwerze SMTP oraz korzystanie z baz RBL.

9.3 PODSUMOWANIE

Istnieje wiele innych metod ataków poza opisanymi powyżej i ciągle pojawiają się nowe. Jedynym sposobem zabezpieczenia jest nieustanne śledzenie grup dyskusyjnych zajmujących się zagadnieniami bezpieczeństwa i natychmiastowe reagowanie na każde nowe zagrożenie. Jest to zadanie każdego administratora sieci. Pomimo istnienia aż tylu różnych metod włamania się do systemów informatycznych, najczęściej powodem problemów jest po prostu błąd człowieka. Głośne są przypadki pozostawiania haseł dostępu do systemu pod klawiaturą lub przyklejonych do monitora. Dlatego bardzo ważny jest poziom zrozumienia zasad bezpieczeństwa przez użytkowników systemu i ich przestrzeganie. Ustalenie takich zasad, przyjęcie metod ich egzekwowania, ustalenie i sztywne przestrzeganie poziomów dostępu do systemu oraz odpowiednie jego skonfigurowanie (konstrukcja sieci, firewall) tworzy politykę bezpieczeństwa.

 

Analiza porównawcza dostępu do sieci komputerowej SDI, DSL, ISDN.

SDI (pierwotnie Szybki Dostęp do Internetu, aktualnie Stały Dostęp do Internetu).

Jest to usługa Telekomunikacji Polskiej S.A.polegająca na udostępnianiu klientom terminalu HIS-NT (Home Internet Solution), który za pomocą linii telefonicznej abonenta łączy się z urządzeniem HIS-NAE znajdującym się w centrali telefonicznej. Użytkownik uzyskuje nieograniczony czasowo dostęp do Internetu.

W dużym uproszczeniu polega ona na zainstalowaniu u użytkownika pewnego urządzenia (nieco podobnego do modemu), które za pomocą zwykłej linii telefonicznej przesyła dane pomiędzy centralą telefoniczną a komputerem.. W centrali jest instalowane drugie urządzenie, które jest (tu także w dużym uproszczeniu) jakby hubem, czy tez bridgem pomiędzy użytkownikiem a siecią Polpak-T. Zazwyczaj do takiego urządzenia może być podłączonych 16-stu użytkowników, Urządzenie dostępowe ma postać 19'' półki, która zawiera 16 modułów abonenckich (HIS-LT) i moduł sterujący. Półka zasilana jest napięciem 48V. Każdy moduł abonencki obsługuje jedną linię abonencką. Transmisja danych odbywa się asynchronicznie z bardzo niską maksymalną szybkością 115,5 kbit/s. Dodatkowo w czasie korzystania z telefonu szybkość transmisji danych zmniejszana jest do 70 kbit/s.


DSL (Digital Subscriber Line) - cyfrowa linia abonencka, rodzina technologii szerokopasmowego dostępu do Internetu. Standardowa prędkość odbierania danych waha się od 128 Kbps do 24.000 Kbps, w zależności od zastosowanej technologii DSL. Dla technologii ADSL prędkość wysyłania danych jest niższa od prędkości ich odbierania, natomiast prędkości te są symetryczne w technologii SDSL.

 

Technologia DSL umożliwia wykorzystanie istniejących linii telefonicznych do komunikacji cyfrowej i przesyłanie sygnału cyfrowego parą przewodów miedzianych zwykłej linii telefonicznej (tzw. skrętką) bez zakłócania usług głosowych..

Usługa dostęp do Internetu DSL TP, oparta na technologii ADSL, wykorzystuje nieużywane, wyższe pasma częstotliwości na linii telefonicznej Abonenta. Na każdym zakończeniu telefonicznego kabla miedzianego montuje się specjalne urządzenia (modem DSL ze strony Klienta i kartę modemową ze strony centrali telefonicznej), które oddzielają analogowy sygnał głosowy rozmowy telefonicznej od danych przesyłanych do i z Internetu.

Podczas jednoczesnego prowadzenia rozmowy telefonicznej i korzystania z dostępu do Internetu nie zostaje obniżona jakość i bezpieczeństwo rozmowy i transmisji danych. Implementacje DSL mogą tworzyć sieci mostowe. W takiej konfiguracji, grupa komputerów abonenta efektywnie łączy się w pojedynczą podsieć.

ISDN (Integrated Services Digital Network)- sieć cyfrowa z integracją usług. Jest rodzajem sieci cyfrowej łączącej wszelkiego rodzaju usługi telekomunikacyjne. Dzięki takiej transmisji można uzyskać dostęp do wszystkich usług, korzystając tylko z jednego łącza. Do łącza ISDN u abonenta można podłączyć o wiele szerszą gamę urządzeń niż w przypadku klasycznej linii telefonicznej. Technologia ta zapewnia dużą szybkość, doskonałe zarządzanie linią i prawie natychmiastowe połączenia.

ISDN oferuje:

ISDN pozwala na pełne współdziałanie szeroko rozumianej telefoni i transmisji danych oraz zapewnia większą ilość i jakość w przenoszeniu informacji poprzez sieć telekomunikacyjną. Decydując się na łącze ISDN, zamiast zwyczajnego modemu trzeba zakupić nieco droższe urządzenie, modem ISDN, oraz odpowiednie oprogramowanie.

Zakończenie sieciowe ISDN

Podsumowanie:

Na pierwszy rzut oka zdawać by się mogło, iż najwięcej możliwości udostepnia nam technologia ISDN. Stosunkowo nieduże koszty abonamentu, możliwość pracy na kilku stanowiskach sieciowych jednocześnie, brak obciążenia linii telefonicznej, przepustowość 128000 bps, większa wydajność w stosunku do łącza wdzwanianego. Dodatkowo ISDN pozwala na uzyskanie większej szybkości transmisji, dane mogą przepływać z prędkością do 64 Kb/s w jednym kanale przesyłu. Maksymalną prędkością jest 128 Kb/s. Ponieważ w każdym kanale łącz ISDN może się odbywać oddzielna komunikacja, w tego typu łącza zaopatrują się głównie ISP lub duże korporacje. Umożliwia im to przyjmowanie pod jednym numerem wielu jednoczesnych podłączeń do zasobów i usług.

Wady łączy ISDN to dość wysoki koszt instalacji sprzętu oraz brak możliwości przyłączenia tego typu linii w niektórych warunkach.

Przewiduje się, że ISDN rozwinie się docelowo w jednolitą szerokopasmową sieć telekomunikacyjną B-ISDN obejmującą powyżej 2 Mbit/s. Sieć taka umożliwi korzystanie z usług typu: wideokonferencje, wideotelefonia, dostęp do grafiki i baz danych oraz pozwoli na przesyłanie programów telewizyjnych i radiowych o najwyższej jakości.

Technologia HIS, przemianowana później przez Telekomunikację Polską na SDI najpopularniejsza była w 2001 roku. Jest to rozwiązanie, które zostało zepchnięte ne margines przez technologię DSL, ze względu na szybkość transferu ( a raczej jego powolność- 115,2 Kb/s).

Do zalet SDI należą: stały zewnętrzny adres IP, nielimitowany transfer, możliwość uruchomienia własnych usług internetowych. Technologia SDI przeznaczona jest więc dla firm, którym zależy na niskiej opłacie za zewnętrzny niezmienny adres IP.

Według mnie, najlepszym rozwiązaniem jest połączenie DSL. Mimo, że opłaty za instalację usługi i miesięczny abonament są stosunkowo wysokie ale za to połączenia są szybkie. Dla najtańszej opcji w T.P., czyli DSL 250 maksymalna prędkość do abonenta to 256 kbit/s, od 64 kbit/s. W wersji najdroższej DSL 4000 jest to odpowiednio 4096 kbit/s i 512 kbit/s.. Usługodawca oferuje nam ponadto stałą, 4- adresową (lub 8-adresową) podsieć publiczną adresu IP na interfejs LAN modemu, brak ograniczeń ilości przesyłanych informacji, 100 (lub 150) MB przestrzeni dyskowej na dowolną liczbę kont poczty elektronicznej i serwer www w domenie usługodawcy.

Wyższością usługi DSL nad połączeniami modemowymi jest całodobowe podłączenie do Internetu , więc nie trzeba czekać, aż modem wybierze numer usługodawcy internetowego.

Największym problemem tego rozwiązania jest bezpieczeństwo. Komputer, podłączony cały czas do Internetu jest narażony na ataki hackerów.

SPIS RYSUNKÓW.

Rys.1 Topologia magistrali

Rys.2 Topologia gwiazdy

Rys.3 Topologia pierścienia

Rys.4 Transmisja danych pomiędzy kolejnymi warstwami ISO/OSI

Rys.5 Porównanie modelu ISO/OSI i modelu TCP/IP.

Rys.6 Budowa kabla koncentrycznego

Rys.7 Struktura sieci WLAN

Rys.8 Karta sieciowa Combo

Rys.9 Konwerter nośników skrętka- światłowód.

Rys.10 Budowa pakietu UDP

Rys.11 Drzewiasta struktura domen w Internecie

Rys.12 Sieć Frame Relay

BIBLIOGRAFIA.

Wikipedia- Wolna Encyklopedia

„100 sposobów na sieci bezprzewodowe”- Rob Flickenger

„101 zabezpieczeń przed atakami w sieci komputerowej”- Maciej Szmit, Marek Gusta

„Sieci komputerowe- kompendium”- Karol Krysiak

„ABC sieci komputerowych”- Joe Habraken

„Sieci komputerowe”- Andrew S. Tanenbaum

Przy pisaniu pracy korzystałam ze stron internetowych Telekomunikacji Polskiej S.A., Microsoft i numerów czasopisma PC World Komputer.

1


Wyszukiwarka

Podobne podstrony:
Prezentacja praca dyplom
Praca dyplomowa Strona tytułowa etc
PRACA DYPLOMOWA BHP - ORGANIZACJA PRACY W PSP, TEMATY PRAC DYPLOMOWYCH Z BHP
praca dyplomowa 1 strona wzor, Szkoła, prywatne, Podstawy informatyki
d druku BIBLIOGRAFI1, cykl VII artererapia, Karolina Sierka (praca dyplomowa; terapia pedagogiczna z
Praca dyplomowa(1)
streszczenie panelu, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu
praca dyplomowa BR5VQ5NYN263L77S7YKAVS66LCHECBHKF2E3GEQ
praca dyplomowa informatyka programowanie 7B5PTOE5KXERFXSEJISGCMFJDQ5X6LRRZEBNOJY
praca dyplomowa
praca dyplomowa edycja wbn1 2011
PRACA DYPLOMOWA MAGISTERSKA OCZ SC TYPU LEMMNA
Internet - UE prawo, Studia - IŚ - materiały, Semestr 07, Praca dyplomowa
do druku ROZDZIAŁ III, cykl VII artererapia, Karolina Sierka (praca dyplomowa; terapia pedagogiczna
PRACA DYPLOMOWA SPIS TREŚCI, TEMATY PRAC DYPLOMOWYCH Z BHP
strona tytulowa, WNPiD, moje, praca dyplomowa
inżynierska praca dyplomowa wzorzec
Wytwarzanie biogazu - wysypisak śmieci., Studia - IŚ - materiały, Semestr 07, Praca dyplomowa

więcej podobnych podstron