„Lokalne sieci komputerowe”
Moją pracę chciałbym rozpocząć od przedstawienia sprzętu, który jest niezbędny do tworzenia sieci ( np. tzw. osiedlowej czyli Ethernet ).
Karta sieciowa (zdj.1,2) - to płytka drukowana, instalowana w wolnym gnieździe magistrali komputera. Składa się z kontrolera LAN, transformatora złącza sieciowego RJ-45 i\lub BNC, pamięci EEPROM oraz opcjonalnie pamięci FLASH. Najważniejszym z wymienionych elementów jest moduł kontrolera LAN. Odpowiednio wysoką prędkość transmisji (np. 100Mbit/s ) zapewnia scalenie w jednym układzie wszystkich elementów realizujących funkcję kontrolera. Takie rozwiązanie znacznie skraca długość połączeń między elementami wewnątrz kontrolera, a tym samym czas transmisji sygnałów. Kontroler LAN wykonany zwykle w technologii CMOS charakteryzuje się również małym poborem prądu. Po włączeniu komputera karta zostaje skonfigurowana według parametrów odczytanych z modułu pamięci EEPROM. Pamięć ta przeznaczona jest do przechowywania wszystkich parametrów konfiguracji zdefiniowanych przez użytkownika - full duplex, prędkość transmisji, inicjalizacja BootROM - u. Zadaniem transformatora jest zapewnienie izolacji pomiędzy kartą a okablowaniem sieciowym w celu ochrony kontrolera LAN przed przepięciami elektrycznymi.
zdj. 1 Karta sieciowa PCI zdj. 2 Karta sieciowa ISA
Nie możemy też zapomnieć o wzmacniaku (repeater). Jest to względnie proste urządzenie które wzmacnia sygnał wejściowy nie zmieniając jego kształtu. Działa ono wyłącznie na poziomie warstwy 1 (fizycznej) modelu OSI. Wyróżniamy również koncentrator nie wzmacniający (zdj. nr.3), który jest bardzo podobny do wzmacniającego. Jedyna w zasadzie różnica między nimi polega na tym, że koncentrator nie wzmacniający nie wzmacnia sygnału ani nie powtarza sygnałów. Koncentratory tego rodzaju służą w zasadzie wyłącznie do łączenia wielu stacji roboczych, umożliwiając tworzenie sieci o topologii gwiazdy.
zdj. 3 HUB
Kolejnym urządzeniem jest Router. Jest to urządzenie umiejące kierować dane do wielu różnych sieci. Jego głównym zadaniem jest odczytywanie adresów z poszczególnych pakietów, tak aby wiedzieć gdzie je kierować. Router stara się przesyłać każdy pakiet do jego miejsca przeznaczenia najszybszą możliwą drogą, która nie koniecznie musi pokrywać się z drogą najkrótszą. Przekierowywanie pakietów między sieciami lokalnymi działa podobnie jak sortowanie przesyłek pocztowych, które pojadą do kilkudziesięciu miejsc przeznaczenia osiągalnych z danego urzędu poczty. Routery są nafaszerowane wiedzą o istniejących połączeniach, zazwyczaj są to bardzo mocne komputery mające zakodowane w swej pamięci tzw. tabele routingu, czyli informacji o wszystkich możliwych połączeniach w swoim zasięgu i ich stanie.
Akcesoria sieci:
Kabel BNC - (koncentryk) - budową przypomina chudy kabel antenowy. Sieć budowana jest na zasadzie linii tzn. pierwszy komputer połączony jest z drugim, drugi z trzecim itd.
Trójnik - nasadka nakładana na karty sieciowe; Każda karta sieciowa wymaga jednego trójnika (zdj.5.1).
Terminator - wpinane w trójnik oporniki „zamykające” sieć z obu stron; zawsze potrzebne są dwie sztuki na cała sieć (zdj.5.2).
Końcówka - wtyczka zakładana na kabel; pierwszy i ostatni komputer w sieci muszą mieć po jednej końcówce pozostałe komputery wymagają dwóch.
karta sieciowa - na danym zdjęciu widać śledzia karty sieciowej z gniazdami UTP (1) oraz BNC (2).
Końcówka UTP - ośmio żyłkowa (zdj nr 8.). Prawidłową instalację takiej końcówki, kiedy łączymy dwa komputery przedstawia rysunek 9 (pin 1i2 w jednej końcówce musi być równy pinom 3i6 w drugiej). Rysunek 10 pokazuje w jakiej kolejności powinny być ułożone przewody w przypadku kiedy komputer będzie podłączony do HUB -a.
zdj. 8 Końcówka UTP rys.9 rys,10
Topologia sieci lokalnych
Topologia sieci informuje o tym w jaki sposób stacje robocze (hosty) są ze sobą połączone.
To właśnie topologia decyduje o łatwości rozbudowy sieci komputerowej, jeżeli więc na początku zostanie wybrana nie właściwa, nie dająca możliwości rozwoju, koszty poszerzenia sieci o kolejne komputery mogą nie potrzebnie wzrastać. Opisze 3 podstawowe topologie: magistrali, pierścienia, gwiazdy.
Magistrala (rys. 1) - w tym przypadku wszystkie urządzenia w sieci połączone są ze sobą za pomocą pojedynczego kabla. Kabel taki nosi miano otwartego, a więc umożliwia przyłączenie kolejnych urządzeń. Magistrala musi zostać zaterminowana, czyli na każdym końcu kabla musi istnieć pasywny lub aktywny opornik ograniczający sygnał w magistrali rozchodzi się równocześnie w obu kierunkach i po napotkaniu końca przewodu odbija się. W przypadku braku oporników ograniczających można się spotkać ze zjawiskiem, kiedy pojedyncza transmisja zabiera całe dostępne pasmo i uniemożliwia dostęp do sieci innym urządzeniom. Topologia magistrali jest w tańszych sieciach Ethernet, gdzie występuje w postaci dwóch specyfikacji znanych jako 10 Base2 i 10Base5. 10Base2 umożliwia podłączenie stacji za pomocą 50 - omowego kabla koncentrycznego o długości do 195 metrów na segment. 10Base5 korzysta z grubszego kabla koncentrycznego, ale umożliwia tworzenie sieci o znacznie większej rozpiętości. Segment cieci oparty na specyfikacji 10Base5 może mieć do 500 metrów długości. Obie specyfikacje są przestarzałe i coraz rzadziej wykorzystywane . Jeżeli chodzi o zagadnienie sieci osiedlowych, to koncentryczny kabel 50 - omowy często wykorzystywany jest do łączenia koncentratorów, co umożliwia wykorzystywanie niewątpliwej zalety jaką jest długość segmentu takiej sieci.
rys. 1 topologia magistrali
Pętla (rys. 2) - topologia wykorzystywana najczęściej w sieciach Token Ring i FDDI. Sieć Token Ring to projekt firmy IBM, który umożliwia połączenie stacji za pomocą urządzeń koncentrujących Token Ring. Wykorzystywana jest wtedy topologia gwiazdy, ale logiczny przepływ informacji pomiędzy stacjami odbywa się cały czas w pętli, co powoduje trochę zamieszania i wprowadza nowe pojęcie topologii pierścieniowej o kształcie gwiazdy. Zarówno sieci Token Ring i FDDI (w której stosowane są dwie przeciwbieżne pętle światłowodowe) są rozwiązaniami dla dużych firm ze względu na swoją skomplikowaną strukturę i cenę.
rys.2 Topologia pętli
Gwiazda (rys. 3) - najbardziej popularna obecnie topologia sieci ze względu na łatwość rozbudowy sieci na niej opartą i niską cenę. Najbardziej popularne implementacje tej topologii to 10BaseT i 100BaseT, specyfikacji sieci Ethernet o przepustowości odpowiednio 10Mbps i 100Mbps opartej na nie ekranowanej lub ekranowanej skrętce dwużyłowej UTP i STP. Połączenie skrętka dwużyłową jest połączeniem typu punkt z punktem, dlatego wymaga obecności urządzeń znanych jako koncentrator Ethernet lub popularniej HUB. Wykorzystywane są dwa rodzaje połączeń - proste ( w przypadku podłączenia do koncentratora lub przełącznika) i krosowane, stosowane najczęściej przy bezpośrednim łączeniu dwóch stacji lub łączeniu koncentratorów. Różnica polega na tym iż w połączeniu krosowanym piny odpowiedzialne za sygnały nadawcze łączone są z pinami odpowiedzialnymi za odbiór i odwrotnie, te odpowiedzialne za odbiór łączone są z nadawczymi. Kolejnym zagadnieniem związanym ze skrętką dwużyłową jest kwestia długości segmentu wykonanego w tej technologii. Oficjalnie maksymalną długością segmentu w sieci 10BaseT oraz 100BaseT jest 100 m. Można przekroczyć tę długość korzystając z markowych koncentratorów Ethernet, takich jak np. 3Com, i dobrego okablowania Molex lub Alcatel, ponieważ bardzo wiele zależy od jakości sprzętu łączącego poszczególne komputery sieci.
rys. 3 Topologia gwiazdy
Topologie złożone - łańcuchy
Najprostszą z topologii złożonych otrzymać można w wyniku połączenia szeregowego wszystkich koncentratorów sieci tak, aby jak przedstawia to rysunek niżej. Taki sposób łączenia znany jest jako łańcuchowe. Wykorzystuje ono porty już istniejących koncentratorów do łączenia ich z innymi koncentratorami. Dzięki temu uniknąć można ponoszenia kosztów dodatkowych związanych z tworzeniem odpowiedniego szkieletu. Małe sieci LAN mogą być zwiększane (skalowane dodatnio) przez łączenie koncentratorów w łańcuchy (łańcuchowanie ich). Łańcuchy dają się łatwo tworzyć i nie wymagają żadnych specjalnych umiejętności administracyjnych. Łańcuchy stanowiły alternatywną, wobec sieci LAN pierwszej generacji, metodę przyłączania urządzeń Topologia ta najlepiej sprawdza się w sieciach lokalnych, w skład których wchodzi garstka jedynie koncentratorów i co najwyżej niewielkie współdziałanie sieci rozległych.
Hierarchie:
- hierarchiczne pierścienie
Rozmiary sieci pierścieniowych mogą być mogą być zwiększane przez łączenie wielu pierścieni w sposób hierarchiczny jak ukazuje poniższy rysunek. Łączność między stacją roboczą a serwerem może być realizowana za pomocą tylu pierścieni o ograniczonych rozmiarach, ile potrzeba do uzyskania odpowiedniego poziomu sprawności. Pierścień poziomu drugiego, zarówno w sieciach Token Ring, jak i FDDI, może być używany do wzajemnego łączenia wszystkich pierścieni poziomu użytkownika oraz do umożliwienia zagregowanego dostępu do sieci rozległych (sieci WAN). Sieci lokalne o małych pierścieniach można skalować, dodając hierarchicznie kolejne pierścienie. Rysunek niżej ilustruje dwa odrębne pierścienie Token Ring o szybkości przesyłania danych 16Mbps, które używane są do łączenia komputerów użytkownikowi oraz odrębną pętlę FDDI używaną do łączenia serwerów i tworzenia szkieletu.
- hierarchiczne gwiazdy
Topologie gwiazdy również mogą być organizowane hierarchicznie w wiele gwiazd. Hierarchiczne gwiazdy mogą być realizowane jako pojedyncze domeny kolizji lub dzielone przy użyciu przełączników, routerów i mostków na segmenty, z których każdy jest domeną kolizji. Topologia hierarchiczna gwiazdy używa jednego poziomu do łączenia użytkownika z serwerem, a drugiego jako szkielet.
Przykładowe rodzaje sieci:
1) Sieć typu peer - to - peer.
W sieci tego typu nie jest potrzebny serwer, na którym byłyby zainstalowane programy, gdyż wszystkie komputery w tej sieci działają na tych samych prawach. Programy znajdują się na każdej z podłączonych maszyn natomiast za pośrednictwem sieci przesyłane jedynie przetwarzane dane. Budowa sieci peer - to - peer nie jest skomplikowana, każdy ma dostęp do podłączonych urządzeń. Ten rodzaj nadaje się najbardziej do małych biur, sieci domowych. Niżej przedstawiony jest wygląd takiej sieci.
2) Sieć typu klient - serwer.
Tego typu sieci nadają się przede wszystkim do zastosowania w większych firmach. Serwer zarządza wówczas wszystkimi programami i używanymi przez nie danymi. poszczególni użytkownicy mają tylko dostęp do informacji przechowywanych na jego dyskach. Zdarza się, że w tym samym czasie wiele osób próbuje dotrzeć do danych znajdujących się na serwerze dlatego maszyna ta powinna być bardzo wydajna, a także powinien być zainstalowany duży dysk, który pomieści dane wszystkich osób w sieci. Niżej przedstawiony jest wygląd sieci typu klient - serwer.
To tyle wiadomości jeżeli chodzi o łączenie sieciowe komputerów. Kolejna kwestia to sposób adresowania urządzeń w sieci. Potrzebne nam do tego będą następujące protokoły:
TCP/IP
W dzisiejszych czasach niebywałego zainteresowania Internetem, każdy chyba słyszał o protokole TCP/IP. Jest to protokół używany w Internecie, choć także w sieciach lokalnych zajmuje miejsce przodujące wśród innych protokołów. Powodem takiego sukcesu nie jest jednak popularność samego Internetu. Już przed obecnym boomem na Internet TCP/IP zaczęło zdobywać popularność w środowiskach firmowych, uniwersyteckich i naukowych. Powód leży w tym, że jest to standard otwarty - nikt nie jest jego właścicielem i w związku z tym nikt go nie kontroluje.
Na adres IP składają się trzy elementy:
są to bity określające klasę adresu
część identyfikacyjna sieci lokalnej
część identyfikacyjna konkretnego komputera w sieci
Wyróżnia się pięć klas adresów:
0 - 127 - dotyczy sieci dużej wielkości
128 - 191 - dotyczy średniej sieci
192 - 223 - dotyczy małych sieci
224 - 239 - dotyczy adresów grupowych
240 - 255 - służy do eksperymentów
IPX
Internetworking Pocked Exchange to odpowiedź firmy Novell na złożoność protokołu IP. Novell zaprojektował ten protokół we wczesnych latach osiemdziesiątych, zanim jeszcze nastał boom na Internet. Jest on stosunkowo wydajny i ma kilka zalet docenianych przez administratorów sieci. W przeciwieństwie do IP, IPX może sam konfigurować swoje adresy. Jest to zaleta szczególnie cenna w sytuacji, gdy do skonfigurowania jest bardzo wiele systemów. Drugą cechą tego protokołu jest jego gadatliwość. Oznacza to, że sam rozgłasza swą obecność w sieci. Nie stanowi to żadnej przeszkody w sieciach ograniczonych, gdyż rozgłaszanie nie blokuje zbytnio przepustowości sieci. Jednak gdy wchodzi w grę sieć rozległa, konsumowanie części łącza przez rozgłaszanie staje się problemem. Generalnie protokół IPX można łatwo zainstalować i jest on prosty w użytkowaniu. Niestety nie jest to standard otwarty: należy do Novell'a. Poza tym nawet Novell przyznaje, że w dłuższej perspektywie IPX ustąpi pola IP. Na razie jest to dobry wybór dla kogoś, kto jest pewien, że swej sieci lokalnej nie będzie łączyć z Internetem.
NetBIOS oraz NetBEUI
Network Basic Input / Outout System (NetBIOS) oraz NetBIOS Extended User Interface (NetBEUI) to protokoły używane w sieciach odosobnionych. Są one bazowane na metodzie przekazywania danych zwanej Server Message Block (SMB), w której adresy miejsc przeznaczenia przesyłek są odszukiwane w oparciu o nazwy komputerów. Jedną z niewątpliwych zalet NetBIOS'u oraz NetBEUI jest ich łatwa instalacja. Najczęściej używa się ich w małych sieciach lokalnych równorzędnych komputerów (peer to peer). Są one dostarczone z każdą wersją Windowsa, a także z kilkoma pakietami oprogramowania sieciowego pochodzącego od niezależnych wytwórców. Aby wszystko było jasne powinienem w tym momencie ustalić składniki konfiguracji nowej sieci oraz połączenia z już istniejącą. Pisząc składniki mam na myśli oczywiście topologię, rodzaj okablowania oraz model sieci o jaki będzie się opierać.
Na pierwszy ogień idzie topologia logiczna czyli Gwiazda. Mogę zinterpretować to tylko w jeden sposób. Najlepsza topologia jaką można zastosować w małej sieci. Bezkonkurencyjna jeśli chodzi o stosunek kosztów do wydajności. Następna sprawa to rodzaj kabla. W tym przypadku topologia narzuca wybór, ponieważ ściśle z nią związana jest skrętka nie ekranowana, czyli 10BASE-T. No i ostatni element, a więc model sieci. Wybraniec to oczywiście TCP/IP, który w świetle konkurentów jest praktycznie jedynym wyborem. Dodając do tego jeszcze fakt, iż jednym z wymagań stawianych przed nim jest możliwość bezpiecznego (dla sieci) dostępu do Internetu i korzystania z niego przez wszystkich użytkowników, wybór staje się jasny .
Reasumując, będzie to sieć w topologii Gwiazdy .Do połączenia wykorzystana będzie skrętka nie ekranowana (10BAS-T), a do komunikacji użyte będą protokoły TCP/IP.
Łącza radiowe
Spośród wielu rodzajów dostępu radiowego do sieci największą popularność mają systemy dostępu szeroko pasmowego BWA (Broadband Wireles Acces). Głównym przedstawicielem tej technologii jest bezprzewodowy system radiowy o lokalnym zasięgu LMDS (Local Multipoint Distribution Service). W technologii LMDS wykorzystuje się ukierunkowane fale o częstotliwości 27,5 - 31 GHz. Zapewnia to przesyłanie głosu, obrazu i danych z przepływnością równą 1 Gb/s. Wykorzystanie niezagospodarowanego dotychczas pasma radiowego o tak wysokiej częstotliwości umożliwia lokowanie w nim wielu pasm transmisyjnych o wysokiej przepustowości o zasięgu kilku kilometrów. Kompletna struktura LMDS składa się z następujących elementów:
-RBS (Radio Base Station),czyli centralne stacje bazowe
-DBS (Digital Base Station) - stacje cyfrowe
-serwery przeznaczone do obsługi terminali NT (Network Terminal)
Zagadnienia bezpieczeństwa sieci LAN.
Co dzień przybywa komputerów podłączonych do sieci Internet, tym samym rośnie prawdopodobieństwo, że któryś z użytkowników Internetu postanowi włamać się do naszej sieci lokalnej. Bezpieczeństwo sieci komputerowych jest zagadnieniem ogromnym i nie widzę możliwości wyczerpania tutaj tego tematu. Zwłaszcza, że co dzień odkrywane są nowe sposoby włamania lub zakłócenia pracy systemów komputerowych. W tym rozdziale zajmę się sposobami kompleksowego zabezpieczenia sieci komputerowej za pomocą techniki filtrowania datagramów (firewalling) oraz tłumaczenia adresów sieciowych (NAT - masquerading). Pierwszym krokiem podczas rozpatrywania zagadnień bezpieczeństwa jest określenie potencjalnych wrogów i zorientowanie w metodach ich pracy.
Cele ataków włamywaczy.
Poniżej pokrótce omówię najczęściej stosowane sposoby ingerencji w pracę systemów sieciowych. Istnieją dwa cele ataków crackerów (włamywaczy komputerowych):
1. Uzyskanie dostępu do systemu.
2. Zdestabilizowanie pracy systemu komputerowego.
Pierwszy cel osiągany jest poprzez zdobycie nazwy użytkownika w systemie (login) i używanego przez niego hasła. Czasem odbywa się to poprzez wykorzystanie błędu w oprogramowaniu danej usługi sieciowej i zdobycie dostępu do systemu na prawach przyznanych tej usłudze. Zdobycie loginu nie jest trudne, najczęściej wystarczy zdobyć adres poczty elektronicznej (E-mail) danego użytkownika (czasem jest to tzw. alias, co utrudnia zadanie włamywaczowi).
Statystyki podają, że najczęściej użytkownicy sieci komputerowych stosują hasła łatwe do złamania za pomocą metody słownikowej (korzystając ze słownika zawierającego odpowiednią liczbę słów). Dekodowanie haseł metodą brute-force jest bardziej czasochłonne (statystycznie) i dzięki temu łatwiejsze do wykrycia. Polega ono na sprawdzaniu wszystkich możliwych kombinacji znaków mogących znaleźć się w haśle danego systemu operacyjnego. Dlatego należy dbać, aby hasła użytkowników były jak najbardziej skomplikowane, powinny zawierać przynajmniej duże i małe litery oraz cyfry.
Drugi cel ataków, osiągany jest przez crackerów dzięki wykorzystaniu błędów (bug) w oprogramowaniu serwerów usług Internetowych, czasem stosu TCP/IP. Tego typu działaniem jest ostatnio popularna metoda unieruchamianiu serwisów WWW. Polega ona na wysyłaniu olbrzymiej liczby zapytań do serwera WWW, który próbując je wszystkie obsłużyć zostaje zablokowany. Główną metodą zabezpieczeń przed tego typu ?problemami? jest ciągła aktualizacja oprogramowania sieciowego oraz śledzenie stron zawierających gotowe oprogramowanie służące do takich działań. Jest to zadanie administratora sieci komputerowej i w zakresie jego obowiązków musi być czas przeznaczony na tego typu działania.
Metody włamań.
Starą metodą jest podstawienie programu, udającego program logujący do systemu. W ten sposób użytkownik podaje swoje hasło, a program włamywacza posiada hasło w postaci niezakodowanej. W przypadku systemu Windows 95 (98) zainstalowanie takiego programu, udającego przykładowo system potwierdzania hasła poczty elektronicznej, nie stanowi zbytniego problemu.
Następną metodą jest nasłuchiwanie (sniffing), polega ona na podłączeniu do sieci komputera z uruchomionym oprogramowaniem do ściągania wszystkich ramek Ethernetowych w danym segmencie sieci. W tym momencie cracker uzyskuje dostęp do wszystkich haseł, które transmitowane są otwartym tekstem po sieci (np. odczytywanie poczty za pomocą protokołu POP, transmisja plików protokołem FTP). Pod nazwą sniffing zaszeregowane są również metody podsłuchu transmisji w kablach sieciowych lub też transmisji w kablach monitorowych. Przykładowo: istnieją urządzenia umożliwiające oglądanie (oczywiście zaszumionego) obrazu wyświetlanego na monitorze znajdującym się kilkanaście metrów od nas, za kilkoma ścianami.
Znanym problemem są usługi umożliwiające zdalną pracę: rlogin, rsh, rcp, których system zabezpieczeń jest zupełnie niewystarczający. Aktualnie są coraz rzadziej stosowane i najczęściej nie wykorzystywane. Zastąpione zostały usługą bezpiecznego połączenia ssh (Secure Shell).
Niebezpieczna może być również usługa ftp. Niewłaściwie skonfigurowany serwer ftp, może umożliwić włamywaczowi uzyskanie ważnych informacji, przykładowo pliku zawierającego hasła.
Jedną z kategorii zagrożeń stanowią tzw. furtki (backdoors) lub włazy (trapdors) będące nieudokumentowanymi funkcjami aplikacji, pozostawionymi przez programistów. W systemie Linux, dzięki pełnej dostępności źródeł programów, bardzo szybko są wykrywane i usuwane tego typu problemy.
Ponadto usługa smtp w implementacji wczesnych wersji programu sendmail okazała się niedostatecznie bezpieczna. Przykładowo przy odpowiednim przerobieniu przesyłki, interpretowana jest ona jako program wykonywalny i uruchamiana przez sendmaila.
Jednym z problemów może być wykorzystywanie przez administratorów serwerów WWW, skryptów CGI pochodzących z nieznanych źródeł. Dodatkowo korzystanie z usług WWW wymaga wiele ostrożności, ponieważ pojawia się bardzo dużo nowych technologii, których systemy zabezpieczeń nie są dobrze znane. Typowym przykładem jest technologia ActiveX wprowadzona przez firmę Microsoft, chociaż implementacja języka Java też nie jest wolna od błędów. Jednak znany jest fakt, że zastosowana w przeglądarce Netscape Communicator technologia Sand Box jest o wiele bezpieczniejsza od implementacji zabezpieczeń w Internet Explorerze.
Jedną z najgłośniejszych technik włamań było podszywanie się? (spoofing). Polega ono na wysyłaniu datagramów IP z nieprawdziwym adresem źródłowym, przez co komputer je odbierający błędnie identyfikuje ich nadawcę. Zabezpieczenie przed ta metodą zostało wkompilowane w jądro rutera i jest uruchamiane zawsze przy starcie systemu.
Systemy Linuxowe są odporne na atak Ping of Death polegający na wysyłaniu dużych pakietów ICMP i przepełnianiu stosu TCP. Łatwo rozpoznać takie pakiety ICMP po fragmentacji, która została dokonana ze względu na rozmiar przekraczający MTU.
Teardrop i Bonk - są metodami ataków (niebezpieczne głównie dla Windows NT) używającymi nachodzących na siebie fragmentów pakietów. Ruter Linuxowy dokonuje defragmentacji i uniemożliwia takie ataki.
Niektóre z mniej stabilnych stosów TCP są wrażliwe na datagramy z dużą liczbą fragmentów i mogą nie odebrać ich wszystkich. Linux jest pozbawiony tego problemu. Można filtrować takie fragmenty lub skompilować jądro rutera z opcją „IP: always defragment” ustawioną na „Y”(tylko gdy dany ruter jest jedyną możliwa drogą dotarcia takich pakietów).
Istnieje na pewno wiele innych metod i ciągle pojawiają się nowe. Jedynym sposobem zabezpieczenia jest nieustanne śledzenie grup dyskusyjnych zajmujących się zagadnieniami bezpieczeństwa i natychmiastowe reagowanie na każde nowe zagrożenie. Jest to zadanie każdego administratora sieci. Ponadto podstawą tworzenia polityki zabezpieczeń dla danej firmy jest prawidłowe skonfigurowanie firewalla, będącego aktualnie niezbędnym składnikiem systemu bezpieczeństwa.
Podczas projektowania bezpiecznej sieci komputerowej możemy wyróżnić trzy poziomy (strefy) dostępu z Internetu:
I. Poziom zewnętrzny - sieć znajdująca się za firewallem z komputerami o adresach widocznych z Internetu. W tej sieci powinny znajdować się jedynie serwery świadczące usługi Internetowe.
II. Poziom wewnętrzny - podsieć z adresów nierutowalnych, mająca połączenie z Internetem za pomocą rutera z funkcjami firewalla i NAT (najczęściej masquerading). Tutaj powinny się znajdować komputery pracowników firmy.
III. Poziom izolowany - sieć bez rutingu do Internetu, tutaj powinny się znajdować serwery baz danych strategicznych dla firmy (kadry, płace, dane techniczne produkcji, biura projektowe itp.) i komputery pracowników korzystających z tych zasobów.
Rzadko istnieje możliwość wprowadzenia takiej modelowej struktury.
Pomimo istnienia aż tylu różnych metod włamania się do systemów informatycznych, najczęściej powodem problemów jest po prostu błąd człowieka. Głośne są przypadki pozostawiania haseł dostępu do systemu przyklejonych pod klawiaturą, a czasem karteczką do monitora. Dla tego bardzo ważny jest poziom zrozumienia zasad bezpieczeństwa przez użytkowników systemu i ich przestrzeganie. Ustalenie takich zasad, przyjęcie metod ich egzekwowania, ustalenie i sztywne przestrzeganie poziomów dostępu do systemu oraz odpowiednie jego skonfigurowanie (konstrukcja sieci, firewall) tworzy politykę bezpieczeństwa firmy.
Firewall .
Firewall (ściana ogniowa) - termin wzięty z konstrukcji samochodu, jest to element konstrukcji uniemożliwiający rozprzestrzenianie się ognia w czasie pożaru na kabinę pasażerów. W sieci komputerowej jego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób włamania. Można wyróżnić dwa ogólne typy firewalli.
Firewalle filtrujące IP - na podstawie adresów IP oraz numerów portów podejmują decyzje o zakwalifikowaniu danego datagramu jako bezpieczny. Firewalle filtrujące działają na poziomie pakietów IP. Są zaprojektowane do kontroli przepływu bazując na adresie źródłowym, docelowym, porcie i typie pakietu (zawartych w każdym z pakietów). Ten typ firewalli jest bardzo bezpieczny, ale nie daje kontroli nad użytkownikami. Można udostępnić usługę, ale nie da się otrzymać informacji identyfikujących konkretnego użytkownika z niej korzystającego, poza adresem IP komputera z którego przyszła transmisja.
Serwery połączeniowe (proxy) - wykonują połączenie sieciowe w zamian za komputer z sieci lokalnej. Serwery proxy pozwalają na niebezpośredni dostęp do Internetu. Dobrym przykładem jest serwer proxy usługi WWW. Gdy łączymy się z proxy-serwerem za pomocą oprogramowania klienckiego uruchamia on swojego klienta i dostarcza danych których zarządaliśmy. Ponieważ serwery proxy podwajają każde połączenie, możliwe jest zapisywanie (logowanie) każdego z nich. Serwery proxy są w pełni bezpieczne, gdyż nie dokonują bezpośredniego rutingu. Jedyną ich wadą są ogromne wymagania sprzętowe oraz pewien brak elastyczności. W momencie pojawienia się nowej usługi, z której użytkownicy sieci chcą skorzystać, musimy zainstalować dodatkowy program na serwerze zapewniający daną usługę.
Poniżej przedstawię dokładniejszy podział firewalli i ich cechy.
Tradycyjne proxy (Traditional proxies).
Pakiety z sieci prywatnej nigdy nie wychodzą do Internetu i vice versa. Adresy IP w sieci prywatnej powinny być z klas nierutowalnych. Jedyną drogą połączenia się z Internetem, jest wywołanie firewalla, ponieważ jest on jedyną maszyną mogącą łączyć się równocześnie z obiema sieciami. Uruchamiamy jest na nim program zwany proxy, który tego dokonuje. Dla każdej usługi która ma być dostępna z Internetu, na firewallu musi być uruchomiony osobny program pośredniczący w jej świadczeniu.
Komputery w sieci wewnętrznej muszą być specjalnie skonfigurowane do uzyskania dostępu do wybranych usług. Przykładowo, aby ściągnąć stronę WWW, muszą połączyć się z firewallem na port 8080 i zażądać potrzebnej strony. W tym momencie uruchamia się odpowiedni program pośredniczący, ściąga potrzebne dane i przekazuje do odpowiedniego komputera w sieci lokalnej.
Przezroczyste proxy (Transparent proxies).
Pakiety z sieci prywatnej nigdy nie wychodzą do Internetu i vice versa. Adresy IP w sieci prywatnej powinny być z klas nierutowalnych. Jedyną drogą połączenia się z Internetem, jest wywołanie firewalla, ponieważ jest on jedyną maszyną mogącą łączyć się równocześnie z obiema sieciami. Uruchamiamy na nim program zwany transparent proxy, który tego dokonuje. Jądro Linuksa kieruje pakiety do tego programu, zamiast wysłać je bezpośrednio do Internetu. Dla każdej usługi która ma być dostępna z Internetu, na firewallu musi być uruchomiony osobny program pośredniczący w świadczeniu takiej usługi.
Przezroczyste proxy oznacza, że klient nie musi wiedzieć o użyciu oprogramowania typu proxy i nie musi być specjalnie konfigurowany. Przykładowo: firewall jest skonfigurowany do przekierowywania (za pomocą komendy ipchains) wszystkich połączeń do portu 80 na port 8080 na którym pracuje tranparent proxy. Przy próbie pobrania dowolnej strony WWW, transmisja przekierowywana jest na port 8080, a następnie wszystko odbywa się jak w poprzednim przykładzie.
Do pracy dołączam terminologie:
Rodzaje transmisji:
simplex - umożliwia przesyłanie pakietów danych tylko i wyłącznie w jedną stronę
half duplex - umożliwia przesyłanie pakietów danych w obie strony, ale nie jednocześnie
full duplex - umożliwia przesyłanie danych w obie strony jednocześnie
Podstawowe pojęcia związane z sieciami:
Ethernet - standard sieciowy umożliwiający przesyłanie danych z prędkością 10 Mbps.
Fast Ethernet - standard sieciowy umożliwiający przesyłanie danych z prędkością 100 Mbps.
Giga Ethernet - standard sieciowy umożliwiający przesyłanie danych z prędkością 1Gbps.
TCP/IP - (Transfer Control Protocol/Internet Protocol) protokół opisujący sposób przekazywania informacji w Internecie. Protokół ten dzieli informacji na pakiety, przenosi je z komputera wysyłającego do odbierającego, po czym ponownie gromadzi pakiet.
Intranet - Jest to sieć lokalna, gdzie można komunikować się za pomocą poczty elektronicznej, stawiać własne strony.
DNS - ( Domain Name Server ) dzięki DNS można powoływać się na hosta używając tylko jego nazwy hosta, a całą robotę sprawdzenia IP wykona DNS.
PPP - (Point-to-Point Protocol) opisuje metodę łączenia się z Internetm, w której komputer użytkownika staje się komputerem hostem. Dzięki połączeniu PPP można przenosić pliki między hostem, a własnym komputerem, oraz korzystać z przeglądarki WWW.
Model sieci OSI - Podczas lat 80-tych, grupa specjalistów zwana Open System Interconnect (OSI) spróbowała systematycznie opisać strukturę sieci komputerowych i zorganizować wszystkie tworzące je elementy. Z perspektywy czasu ich wysiłek okazał się daremny. Obecnie prawie już nikt nie korzysta z opracowanego przez nich modelu sieci OSI. Wyodrębnia on siedem warstw w strukturze każdej sieci. Model ten stał się podporą teorii przesyłania danych przez sieć. Rysunek poniżej obrazuje działanie sieci zbudowanej w oparci o model OSI.