sieci komputerowe - Zespół Szkół Nr 9 w Koszalinie

advertisement
Zespół Szkół Nr 9
im. Romualda Traugutta
w Koszalinie
Wykonawca: Sandra Reterska kl. I LA
Lic. Profil. – Zarządzanie informacją
KOSZALIN 2006
1. Wstęp
Sieć komputerowa to zbiór komputerów i innych urządzeń peryferyjnych (drukarki, modemy)
połączonych ze sobą w sposób umoŜliwiający wymianę danych. Komputery znajdujące się w
sieci nazywamy stacjami roboczymi. Przyczyn powstawania sieci komputerowych jest wiele róŜnią się one od siebie w zaleŜności od tego, czy sieć jest budowana w firmie, instytucji
rządowej czy teŜ w bloku przez mieszkających blisko siebie kolegów. Głównymi powodami,
dla których buduje się sieci, są:
•
•
•
•
•
•
przesyłanie poczty elektronicznej do innych uŜytkowników,
wymiana wszelkiego rodzaju danych - wraz ze wzrostem wydajności sieci popularne
stają się pliki multimedialne (muzyka, filmy, zdjęcia),
ograniczenie kosztów związanych z kupnem oprogramowanie (licencja
wielostanowiskowa jest tańsza niŜ zakup oprogramowania na wiele stacji roboczych),
wspólne korzystanie przez wielu uŜytkowników z urządzeń zewnętrznych (drukarki,
skanery, dyski),
centralne zarządzanie bazami danych,
moŜliwość tworzenia kopii zapasowych.
W ostatnich latach w Polsce powstaje wiele sieci osiedlowych. Młodzi ludzie decydują się na
ich budowę, aby zmniejszyć koszty dostępu do Internetu, które w naszym kraju są jednymi z
największych na świecie. Często przyświeca im równieŜ chęć wspólnego...grania w sieci.
Aby sieć mogła funkcjonować, potrzebne jest zarówno odpowiednie oprogramowanie, jak i
właściwy sprzęt. Podstawowymi elementami sieci są:
•
•
•
•
•
sieciowy system operacyjny - zapewnia właściwe wykorzystanie infrastruktury
sieciowej,
serwer - urządzenie lub oprogramowanie pełniące waŜne funkcje sieciowe
(przechowywanie plików, baz danych, obsługa poczty elektronicznej, archiwizacja
danych czy komunikacja z innymi sieciami); w sieciach osiedlowych jest to zazwyczaj
komputer mający bezpośredni dostęp do Internetu.
system klienta - stacja robocza podłączona do sieci,
karta sieciowa - urządzenie łączące komputer z siecią,
okablowanie, za pomocą którego podłączone są stacje robocze oraz serwery - kabel
koncentryczny, skrętka lub światłowód (moŜe to być równieŜ inne medium - fale
radiowe czy podczerwień).
W skład większości sieci wchodzą takŜe urządzenie aktywne: koncentratory, przełączniki,
mosty, routery i transceivery.
WaŜnymi cechami kaŜdej sieci są relacje występujące między poszczególnymi stacjami
roboczymi, sposób przyłączania komputerów, współdzielenia zasobów, udostępniania plików
oraz innych urządzeń zewnętrznych. Ze względu na te cechy wyróŜnia się dwa typy sieci:
•
•
KaŜdy z kaŜdym (peer-to-peer)
Dedykowany serwer
Często spotyka się sieci, w których nie da się jasno sprecyzować środowiska. Serwer wydruku
miewa na przykład zadania zwykłe stacji roboczej. Rozwiązanie "kaŜdy z kaŜdym" wydaje
się idealne w przypadku małych sieci osiedlowych, gdy nie ma potrzeby ograniczać dostępu
do danych. W sieciach firmowych nie stosuje się go z powodu niedostatecznego
bezpieczeństwa i niewielkich moŜliwości zarządzania strukturą. Przydzielanie komputerom
określonych zadań przekłada się na wydajność sieci. Aby tego uniknąć, procesy szczególnie
obciąŜające system są wykonywane przez wyspecjalizowane serwery.
Ze względu na obejmowany obszar rozróŜniamy następujące sieci:
•
lokalna sieć LAN (Local Area Network) - łącząca stacje robocze na niewielkim
obszarze (pomieszczenie, piętro, budynek), charakteryzująca się niskimi kosztami
eksploatacji i dołączania kolejnych komputerów, a takŜe prostym oprogramowaniem.
•
sieć kampusowa (Campus Network) - obejmująca zasięgiem kilka budynków na
terenie uczelni, firmy lub osiedla.
•
miejska sieć MAN (Metropolitan Area Network) - integrująca sieci LAN na obszarze
całego miasta, oparta na łączach o duŜej przepustowości, na przykład na
światłowodach.
•
rozległa sieć WAN (Wide Area Network) - łącząca wiele sieci typu LAN i MAN na
duŜych terenach geograficznych (region, państwo, kontynent), wykorzystująca
zazwyczaj publiczną sieć telekomunikacyjną, ale w wielu przypadkach równieŜ kanały
satelitarne i radiowe.
2. Struktura sieci LAN
W sieciach LAN dzięki wspólnemu korzystaniu z medium przesyłania danych eliminuje
się dublowanie łączy, co powoduje zmniejszenie kosztu tych sieci. Techniki sieci lokalnych
stały się przez to szalenie popularne.
Komputery w sieci LAN są podłączone do wspólnego ośrodka komunikacyjnego, przez
który przesyłają dane. Komputery po kolei otrzymują prawo dostępu do medium.
Techniki sieci lokalnych wymagają przesyłania danych w postaci małych porcji
nazywanych ramkami, jednak naraz moŜna przesyłać tylko jeden pakiet. W czasie przesyłania
pakietu nadawca ma prawo wyłącznego dostępu do łącza. W celu zapewnienia
sprawiedliwego dostępu do łącza kaŜdy z komputerów moŜe przesłać tylko jedną ramkę, a
potem musi ustąpić miejsca innym komputerom. W ten sposób kaŜdy komputer dostaje prawo
dostępu do łącza, wysyła jedną ramkę i odstępuje prawo dostępu do medium innemu
komputerowi.
KaŜda sieć komputerowa moŜe zostać zaklasyfikowana do jednej z kilku podstawowych
kategorii w zaleŜności od jej topologii.
W topologii szynowej mamy do czynienia z pojedynczym wspólnym kablem, do
którego są podłączone komputery. Gdy uŜywana jest szyna, komputer transmituje sygnał,
który odbierają wszystkie pozostałe komputery podłączone do szyny.
W sieci o topologii pierścieniowej komputery są połączone w zamkniętą pętlę.
Pierwszy komputer łączy się z drugim, drugi z trzecim i tak dalej aŜ ostatni komputer połączy
się z pierwszym.
Sieć o topologii gwiazdy przypomina koło rowerowe, gdzie centralnej osi odpowiada
koncentrator, a połączenia z poszczególnymi komputerami odpowiadają szprychom. KaŜda
topologia ma zalety i wady; Ŝadna z nich nie jest najlepsza do wszystkich zastosowań.
KaŜda topologia jest wykorzystywana w istniejących technikach LAN. Sieć Ethemet i
LocalTaIk mają topologię szynową. Stacje przyłączone do sieci Ethernet stosują metodę
wykrywania fali nośnej z detekcją kolizji CSMA/CD. Oznacza to, Ŝe komputer czeka na
moment, gdy eter jest wolny, i następnie próbuje wysłać dane. JeŜeli dwie stacje rozpoczną
transmisję w tym samym czasie, powstanie kolizja powodująca, Ŝe owe stacje odczekują
przez losowy czas przed następną próbą. Kolejne kolizje powodują wykładnicze
odczekiwanie, które polega na tym, Ŝe kaŜda stacja podwaja swoje opóźnienie.
Bezprzewodowe sieci lokalne takie jak WaveLAN, RangeLAN czy AirLAN uŜywają
mechanizmu CSMA/CA. Przed wysłaniem ramki z danymi nadawca wysyła krótki komunikat
kontrolny, na który odbiorca odsyła odpowiedź. Wymiana komunikatów kontrolnych
informuje wszystkie stacje w zasięgu odbiorcy o planowej transmisji danych. Inne stacje nie
próbują wysyłać danych w czasie, gdy ma miejsce zapowiedziana transmisja (co pozwala na
uniknięcie kolizji), nawet jeśli transmisja do nich nie dociera.
Komputery podłączone do sieci z krąŜącym znacznikiem takŜe wykorzystują wspólny
ośrodek. Gdy jedna stacja transmituje ramkę, wszystkie pozostałe przekazują jej bity dookoła
pierścienia. Dzięki temu nadawca moŜe sprawdzić, czy bity zostały przekazane poprawnie. W
celu zapewnienia koordynacji i sprawiedliwości dostępu stacje w pierścieniu wysyłają
specjalny komunikat zwany znacznikiem. Komputer czeka na przybycie znacznika, za
pośrednictwem całego pierścienia transmituje jedną ramkę i dalej przekazuje znacznik do
następnej maszyny.
3. Struktura sieci MAN
KaŜdy, kto zarządzał lokalną siecią komputerową jakiejś firmy staje w końcu przed
zagadnieniem rozszerzenia sieci. Firmy rozprzestrzeniają się i powiększają, więc zarządzający
muszą znaleźć sposoby połączenia wszystkich sieci w obrębie dzielnicy czy miasta.
Rozwiązaniem jest zainstalowanie miejskiej sieci komputerowej (metropolitan area network
— MAN).
Obecnie najczęściej stosowanym połączeniem między sieciami lokalnymi jest cyfrowa
linia telefoniczna dzierŜawiona od miejscowej spółki telefonicznej. Jednak z taką usługą
związane są opłaty za szybkość transmisji i za długość linii i jest to jedno z najdroŜszych
dostępnych na rynku połączeń. Istnieją inne, bardziej wyspecjalizowane usługi przesyłania
danych.
Komitet 802.6 IEEE zajmuje się obserwacją miejskich sieci komputerowych.
Opracował normę nazywaną Distributed Queue Duał Bus (DODB). Struktura DODB
przewiduje dwa równolegle biegnące kable (przewaŜnie światłowody), łączące ze sobą
wszystkie węzły systemu (przewaŜnie routery dla kaŜdego segmentu LAN). Tę architekturę z
podwójnym kablem cechuje wysoka niezawodność i szybkość transmisji rzędu 100 Mb/s.
Inna usługa zwana Światłowodowe Złącze dla Danych Rozproszonych (Fiber
Distributed Data Interface — FDDI) oferuje szkieletową sieć połączeń komunikacyjnych w
mieście i moŜe być zastosowana jako system zbierania danych, które następnie mogłyby być
przekazane DODB. Systemy FDDI osiągają przepustowość około 80 Mb/s, a ich zasięg
ograniczony jest przez maksymalną długość kabla (około 100 km.) Firmom opłaca się
zainstalowanie systemów FDDI na własny uŜytek i sprzedawanie sąsiadom usług
komunikacyjnych. Wielu producentów oferuje karty sieciowe FDDI, więc moŜna uŜywać
tych połączeń jako okablowania sieci lokalnej w budynku, a potem rozciągnąć je na pobliską
część miasta.
W strukturze FDDI do przenoszenia danych uŜywa się dwóch pierścieni
światłowodowych. Wszystkie węzły są dołączone do pierścienia pierwotnego. Drugi pierścień
traktowany jest jako połączenie rezerwowe. Dlatego z przyczyn ekonomicznych pewne węzły
(nazywane stacjami klasy B) mogą nie być dołączone do tego pierścienia.
Wreszcie moŜna zainstalować na terenie miejskim międzysieciowe łącza
bezprzewodowe, zwłaszcza jeśli przynajmniej jeden z biurowców firmy jest wyŜszy niŜ
okoliczne budynki. Kilka firm — między innymi M/A-Com., MicroWave Networks, Inc. i
Motorola Microwave — sprzedają radia mikrofalowe działające na częstotliwości 23 GHz.
Mogą one być — dosłownie — wystawione przez okno i skierowane na odległą sieć lokalną.
Transmisja mikrofalowa — to dość oszczędna opcja przy odległości do 30 km. MoŜna
przesyłać w ten sposób sygnały z szybkością 1,544 Mb/s, przy koszcie ograniczonym do
zakupu odbiorników radiowych. Transmisja ta nie wymaga to Ŝadnych miesięcznych opłat.
Zazwyczaj dzierŜawi się miejskie połączenia międzysieciowe od firm telefonicznych.
Instalacja własnych połączeń jest jednak doskonałą alternatywą dla wielu organizacji
4. Struktura sieci WAN
Kluczową cechą rozróŜniającą technikę WAN od techniki LAN jest skalowalność WAN musi umoŜliwiać rozrastanie się sieci w miarę potrzeby; sieć taka łączy wiele punktów
rozmieszczonych w duŜych odległościach geograficznych, a w punktach tych znajduje się
wiele komputerów. Za pomocą sieci WAN moŜna na przykład połączyć wszystkie komputery
duŜej firmy posiadającej biura lub fabryki w wielu miejscach rozproszonych na tysiącach
kilometrów kwadratowych. Co więcej technika nie jest klasyfikowana jako WAN, jeśli nie
zapewnia rozsądnego działania duŜych sieci. Znaczy to, Ŝe WAN nie łączy jedynie wielu
komputerów w wielu miejscach - sieć taka musi mieć wystarczającą przepustowość, aby
umoŜliwiać komputerom równoczesną komunikację.
Technika sieci rozległych moŜe być wykorzystywana do tworzenia sieci, które
rozciągają się na dowolnie duŜe odległości, i przyłączania dowolnie wielu komputerów.
Typowa sieć WAN składa się z urządzeń elektronicznych zwanych przełącznikami pakietów,
połączonych za pomocą linii komunikacyjnych. Przełącznik pakietów jest realizowany jako
wyspecjalizowany komputer przeznaczony do obsługi komunikacji. ChociaŜ poszczególne
komputery są podłączane do pojedynczych przełączników, system jest tak skonfigurowany,
aby dowolny komputer mógł przesyłać (i odbierać) pakiety do dowolnego innego komputera
w sieci.
Sieci pakietowe wykorzystują podejście „zapisz i przekaŜ", przy którym przybywający
pakiet jest umieszczany w pamięci przełącznika do chwili, gdy jego procesor będzie mógł
przekazać go do odbiorcy. Zwykle pakiet nie pozostaje długo w pamięci. Jeśli jednak wiele
komputerów próbuje wysyłać pakiety jednocześnie, to opóźnienia się zwiększają.
Przekazywanie pakietów jest realizowane strukturą danych zwaną tablicą tras. Tablica
ta zawiera pozycję dla kaŜdego odbiorcy i określa następny etap przekazywania pakietów.
Aby oszczędzić pamięć, odbiorcami określonymi w tablicy tras są przełączniki pakietów, a
nie poszczególne komputery.
Sieć WAN moŜe być reprezentowana za pomocą grafu, w którym kaŜdy wierzchołek
odpowiada przełącznikowi pakietów, a kaŜda krawędź - linii komunikacyjnej. Reprezentacja
grafowa jest uŜyteczna, gdyŜ eliminuje szczegóły, umoŜliwia analizę sieci i moŜe być
uŜywana do obliczania tablic tras.
Opracowano wiele technik WAN w tym ARPANET, X.25, ISDN, Frame Relay, SMDS
oraz ATM. Obecnie szybkie sieci WAN to Frame Relay, SMDS oraz ATM. ATM moŜe się w
przyszłości stać bardzo waŜną techniką.
5. Przegląd typowej struktury sieci
5.1. Elementy sieci lokalnej
Podstawowe elementy niezbędne do funkcjonowanie sieci moŜna podzielić na dwie
kategorie: sprzęt i oprogramowanie.
Do zbudowania sieci lokalnej są konieczne następujące elementy (sprzęt):
1. Okablowanie,
2. Hub,
3. Karta sieciowa,
4. Stacja robocza,
5. Serwer plików,
5.1.1 Okablowanie
5.1.1.1 Przewód koncentryczny
RóŜne rodzaje kabla koncentrycznego maja róŜne właściwości elektryczne i dlatego
kabel wykorzystywany przez jeden typ sieci nie moŜe współpracować z innym.
WyróŜniamy trzy typy sieciowych kabli koncentrycznych:
• Ethernet cienki o impedancji falowej 50 Ω i grubości 1/4", powszechnie stosowany w
małych sieciach lokalnych (maksymalna odległość między stacjami 185 m).
• Ethernet gruby o impedancji falowej 50 Ω i grubości 1/2", praktycznie wyszedł z uŜycia,
czasem stosowany jako rdzeń sieci (maksymalna odległość między stacjami do 500 m).
• Arcnet o impedancji falowej 93 Ω i grubości 1/3" (maksymalna odległość między
stacjami do 300 m).
Kable koncentryczne powinny być zakończone terminatorami (specjalne końcówki o
rezystancji dostosowane do impedancji falowej kabla).
•
•
•
Zalety kabla koncentrycznego:
jest mało wraŜliwy na zakłócenia i szumy,
zapewnia większe prędkości niŜ nie ekranowany kabel skręcany,
jest tańszy niŜ ekranowany kabel skręcany,
•
•
•
•
•
Wady kabla koncentrycznego:
łatwo ulega uszkodzeniom,
moŜliwość zastosowania danego typu kabla ogranicza impedancja falowa,
róŜne typy kabla koncentrycznego są wymagane przez róŜne sieci lokalne,
trudny w wykorzystaniu,
trudności przy lokalizowaniu usterki,
5.1.1.2. Przewód skręcany
Najpopularniejszym i najtańszym środkiem transmisji jest nieekranowany kabel
skręcany (UTP). Składa się z jednej lub więcej par przewodu miedzianego otoczonych
wspólną osłoną izolacyjną.
•
•
•
Istnieją trzy rodzaje nie ekranowanego kabla skręcanego:
zgodny ze specyfikacją DIW firmy AT&T,
zgodny ze specyfikacją 10 BASE T,
zgodny ze specyfikacją Type 3 firmy IBM,
Rodzaje te róŜnią się ilością posiadanych par przewodów.
•
•
•
Zalety:
jest najtańszym medium transmisji,
jest akceptowany przez wiele rodzajów sieci,
łatwa instalacja (standardowo instalowany w nowych budynkach),
Wady:
• niska prędkość transmisji,
• ograniczona długość odcinków kabla z uwagi na małą odporność na zakłócenia,
Odporność kabla skręcanego na zakłócenia zwiększa się przez jego ekranowanie.
Ekranowany kabel skręcany (STP) składa się z jednej lub więcej par przewodów miedzianych
otoczonych ekranującą siatką lub folią, umieszczonych w izolacyjnej osłonie.
Izolacja
plastikowa
Ekran
miedziany
Osłona
zewnętrzna
miedziana
Ekran
foliowy
Miedziany
przewód
Rys.5.1 Skrętka
5.1.1.3 Światłowód
W światłowodach do transmisji informacji wykorzystywana jest wiązka światła, która
jest odpowiednikiem prądu w innych kablach. Wiązka ta jest modulowana zgodnie z treścią
przekazywanych informacji. To rozwiązanie otworzyło nowe moŜliwości w dziedzinie
tworzenia szybkich i niezawodnych sieci komputerowych. Właściwie dobrany kabel moŜe
przebiegać w kaŜdym środowisku. Szybkość transmisji moŜe wynosić nawet 3 Tb/s. Sieci
oparte na światłowodach zwane są FDDI(Fiber Distributed Data Interface).
Włókno uŜywane w kablu światłowodowym moŜe być wykonane za szkła lub plastiku.
Światłowody plastikowe znacznie łatwiej instalować, ale występują w nich niestety duŜo
większe straty, niŜ w światłowodach szklanych. Światłowód wykonany ze szkła kwarcowego,
składa się z rdzenia (złoŜonego z jednego lub wielu włókien), okrywającego go płaszcza
oraz warstwy ochronnej. Dielektryczny kanał informatyczny eliminuje konieczność
ekranowania.
Transmisja światłowodowa polega na przepuszczeniu przez szklane włókno wiązki
światła generowanej przez diodę lub laser. Wiązka ta to zakodowana informacja binarna,
rozkodowywana następnie przez fotodetektor na końcu kabla. MoŜna wyróŜnić światłowody
do połączeń zewnętrznych i wewnętrznych oraz wielomodowe i jednomodowe.
Kabel zewnętrzny z włóknami w luźnych tubach, jest odporny na oddziaływanie
warunków zewnętrznych. Wypełnione Ŝelem luźne tuby zawierają jedno lub kilka włókien i
oplatają centralny dielektryczny element wzmacniający. Rdzeń kabla otoczony jest
specjalnym oplotem oraz odporną na wilgoć i promienie słoneczne polietylenową koszulką
zewnętrzną. Kable wewnętrzne przeznaczone są do układania wewnątrz budynku. Posiadają
cieńszą warstwowe ochronną i nie są tak odporne jak kable zewnętrzne.
Światłowody wielomodowe przesyłają wiele modułów (fal) o róŜnej długości co
powoduje rozmycie impulsu wyjściowego i ogranicza szybkość lub odległość transmisji.
Źródłem światła jest tu dioda LED. Światłowody jednomodowe są efektywniejsze i
pozwalają transmitować dane na odległość 100 km bez wzmacniacza. Jednak ze względu na
wysoki koszt interfejsów przyłączeniowych jest to bardzo drogie rozwiązanie. źródłem
światła jest tu laser.
Do karty sieciowej światłowód przyłącza się za pomocą złącza fiber connector. MoŜe
ono wyglądać róŜnie, w zaleŜności od rodzaju.
Rys.5.2. Światłowód wielomodowy
5.1.2 Hub
W kaŜdej sieci wszystkie stacje robocze muszą mieć dostęp do serwera plików.
PoniewaŜ indywidualne fizyczne połączenie kaŜdej stacji z serwerem nie jest moŜliwe, uŜywa
się hubów lub koncentratorów.
Hub moŜna porównać do elektrycznej tablicy rozdzielczej w mieszkaniu. Zazwyczaj do
mieszkania jest doprowadzona tylko jedna główna linia zasilająca. Ta linia dochodzi do
tablicy rozdzielczej, która rozdziela ją na poszczególne obwody zasilające róŜne
pomieszczenia mieszkania.
Sieć lokalna działa na podobnej zasadzie. Do huba jest podłączony nie tylko serwer
plików, ale równieŜ stacje robocze.
Niektóre topologie sieci wymagają zmodyfikowania funkcji huba. W topologii
z magistralą liniową funkcje huba lub koncentratora spełnia po prostu fragment
okablowania. W topologiach gwiazdy, pierścienia oraz gwiaździsto-pierścieniowej, hub
jest centralnym obszarem, dzięki któremu porozumiewają się stacje robocze i serwery.
Informacje docierające do sieci lub z niej wychodzące są kierowane przez hub do
miejsca przeznaczenia. Hub moŜe być aktywny lub pasywny. Hub aktywny oprócz
funkcji łączenia kabli regeneruje sygnał, dzięki czemu zwiększa się zasięg
przekazywania danych. Hub pasywny tylko łączy kable ze sobą.
Rys.5.3. Przykładowy koncentrator sieciowy 8-portowy
5.1.3. Karta sieciowa
Komputer moŜe zostać podłączony do sieci, która wysyła i odbiera bity szybciej niŜ
procesor komputera moŜe je obsłuŜyć. Jednostka centralna nie obsługuje transmisji i odbioru
poszczególnych bitów. Wykonuje to specjalna część sprzętowa łącząca komputer z siecią i
obsługując wszystkie szczegóły związane z transmisją i odbiorem pakietu. Fizycznie ten
wyspecjalizowany sprzęt składa się z płytki drukowanej, która zawiera elementy
elektroniczne. Płytka ta, zwana kartą adaptera sieciowego lub kartą interfejsu sieciowego
(ang. Network interface card – NIC), jest wtykana do szyny komputera i za pomocą kabla
połączona z siecią.
Karta sieciowa rozpoznaje sygnały elektryczne uŜywane w sieci, szybkość, z jaka dane
muszą być wysyłane i odbierane, oraz szczegóły formatu ramki sieciowej. Karta
zaprojektowana do uŜytku na przykład w sieci Ethernet nie moŜe być wykorzystywana w
sieci IBM Token Ring, a interfejs opracowany dla sieci Token Ring nie moŜe być uŜywany w
pierścieniu FDDI.
Karta sieciowa zawiera układy elektroniczne umoŜliwiające działanie niezaleŜnie od
procesora – moŜe ona transmitować i odbierać bity bez wykorzystywania jednostki centralnej
do obsługi kaŜdego z nich. Z punktu widzenia procesora karta taka działa jak kaŜde
urządzenie wejścia-wyjścia (np. jak dysk). Aby wysłać coś siecią, procesor tworzy w pamięci
pakiet, a następnie instruuje kartę, aby rozpoczęła transmisję. Procesor moŜe wykonywać
dalej inne zadania, podczas gdy karta obsługuje szczegóły dostępu do ośrodka transmisyjnego
oraz transmisji bitów (dokładnie tak, jak procesor moŜe kontynuować inne zadania, podczas
gdy interfejs dysku zapisuje dane). Gdy transmisja pakietu zostanie zakończona, karta
wykorzystuje mechanizm przerwań do poinformowania o tym procesora.
Podobnie karta moŜe odebrać przychodzący pakiet bez konieczności uŜycia jednostki
centralnej. Aby odebrać pakiet, procesor rezerwuje w pamięci miejsce na bufor, następnie
instruuje kartę, aby wczytała do niego przychodzący pakiet. Karta czeka, aŜ ramka przejdzie
przez sieć, tworzy jej kopię, sprawdza sumę kontrolną oraz adres odbiorcy. JeŜeli adres
docelowy zgadza się z adresem komputera lub adresem rozgłaszania, karta zapisuje kopię
ramki w pamięci oraz uaktywnia przerwanie procesora. JeŜeli adres docelowy nie zgadza się z
adresem komputera, karta porzuca ramkę i czeka na następną. W ten sposób karta wykonuje
przerwanie procesora tylko wtedy, gdy przybędzie ramka adresowana do miejscowego
komputera.
WaŜną opcją dotyczącą kart sieciowych jest wykorzystanie bufora w pamięci RAM.
Pamięć RAM zainstalowana na karcie sieciowej zapobiega powstawaniu ograniczenia na
styku z siecią i moŜe przyspieszać pracę stacji roboczej.
Zasada działania bufora jest bardzo prosta. W pewnych okresach szybkość przepływu
informacji docierającej z sieci przekracza moŜliwości karty sieciowej. Nadmiarowe dane są
tymczasowo umieszczane w obszarze pośredniczącym – buforze w pamięci RAM – do chwili,
kiedy karta będzie w stanie je przetworzyć.
Bufor w pamięci RAM działa podobnie jak bufor wydruku. Kiedy program wysyła dane
do drukarki, zwykle szybkość transmisji przekracza moŜliwości drukarki. Biorąc pod uwagę
wydajność całego systemu jest oczywiste, Ŝe wysyłający dane komputer nie powinien
oczekiwać na stan gotowości drukarki. Problem rozwiązano za pomocą bufora wydruku,
będącego obszarem pamięci, w którym przechodzące dane są przechowywane do czasu, gdy
drukarka będzie mogła je przetworzyć. W ten sposób zapewnia się ciągłą pracę drukarki i, co
waŜniejsze, nie zmniejsza się szybkość pracy komputera wysyłającego dane.
Rys. 5.4. Karta sieciowa Jamicom LAN 8029
5.1.4 Stacja robocza
Stacja robocza – komputer o duŜej mocy obliczeniowe j przeznaczony do wykonywania
bogatych w grafikę komputerową programów do przetwarzania danych naukowych i
technicznych; rzadziej komputer osobisty pełniący funkcję terminala w lokalnej sieci
komputerowej
5.1.5 Serwer plików
Komputer za pomocą którego odbywa się centralne sterowanie plikami i programami w
sieci; informacje te są później udostępniane poszczególnym uŜytkownikom sieci; za
pośrednictwem serwera odbywa się równieŜ udostępnianie urządzeń sieciowych- np. drukarek
lub skanerów, archiwizacja danych, transakcja protokołów itp.
6. Instalowanie karty sieciowej
JeŜeli jest to karta typu Plug&Play to system Windows sam powinien upomnieć się o
sterowniki. Posiadając dyskietkę ze sterownikami do karty, naleŜy zainstalować te sterowniki.
Czasami jednak zdarza się, Ŝe sterowniki które otrzymuje się z kartą jakimś cudem nie chcą
działać. W takim wypadku naleŜy wejść do Panelu Sterowania -> System -> MenedŜer
urządzeń -> Urządzenia Sieciowe i usunąć taką wadliwą kartę, a przy następnym restarcie
albo automatycznie albo ręcznie zainstalować kartę standardową (najczęściej będzie to karta
„Zgodna z NE2000”)
Aby ręcznie zainstalować kartę sieciową naleŜy:
• Wybrać w Panelu Sterowania opcję Dodaj Nowy Sprzęt
• Zrezygnować z automatycznego wyboru sprzętu przez Windows
• Z listy sprzętu wybrać karty sieciowe
• W nowo otwartym oknie moŜemy wybrać instalację sterowników z dyskietki lub
standardowych Windowsowych (w przypadku praktycznie wszystkich tanich kart
sieciowych będzie to „Zgodny z NE2000”)
•
Jeśli nie ma potrzeby uŜyć dodatkowej dyskietki ze sterownikami, po prostu klikamy
OK
• Teraz naleŜy włoŜyć płytę z Windowsem, odczekać chwilkę i zrestartować komputer
NaleŜy zwrócić uwagę na przerwanie IRQ, które Windows przypisał karcie. Zalecane jest aby
karta znalazła się na wolnym przerwaniu gdzieś między 9 a 12, tak Ŝeby nie kolidowała z
innymi urządzeniami albo Ŝeby nie zajmowała przerwań w pierwszej dziesiątce dla urządzeń
które normalnie je wykorzystują. Jeśli karta ustawiona jest w trybie Plug and Play, jeśli
chcemy wystarczy zmienić przerwanie w Windows w opcjach urządzenia. Jeśli natomiast
karta nie ma opcji Plug and Play musimy odpowiednio ustawić zworki, następnie dopiero
zmienić przerwanie w Windows.
Rys. 6.1. Ustawianie właściwości karty sieciowej
7. Konfiguracja sieci
•
•
•
•
•
Powinny się tam znaleźć następujące elementy.
Klient sieci Microsoft Networks - główna część sieci, logowanie
Karta - twoja karta sieciowa - upewnić się Ŝe karta ma prawidłowo przypisane zasoby
Protokół zgodny z IPX/SPX - uŜywany do transmisji danych przez
DOS/Win3x/Win95
Udostępnianie plików i drukarek - automatycznie dodawane jeśli zaznaczymy opcję
„Chcę mieć moŜliwość udostępniania innym moich plików/drukarek.”
Logowanie do sieci podstawowej - domyślnie jest „Klient Sieci Microsoft Network”.
JeŜeli nie logujemy się do Ŝadnego serwera, moŜna ustawić tutaj opcję „Logowanie
Windows” - nie zobaczymy wtedy tabelki logowania przy kaŜdym starcie (system
zaloguje się automatycznie).
•
Aby dodać protokół: Klikamy na przycisk Dodaj Z listy komponentów wybieramy Protokół Z
prawej części listy wyboru wybieramy Microsoft Wybieramy poŜądany protokół (IPX/SPX
lub TCP/IP)
Rys. 7.1 Konfiguracja sieci
Rys. 7.2. Instalacja składników sieci
Rys. 7.3. Dodanie protokołu
Na samym początku zaleca się dodać zarówno protokół IPX/SPX jak i TCP/IP, z tym Ŝe
ten drugi naleŜy jeszcze później odpowiednio skonfigurować.
Nie naleŜy dodawać tutaj karty sieciowej jako nowego sprzętu. Windows powinien sam
ją wykryć albo powinniśmy to zrobić w Dodaj Nowy Sprzęt. Jeśli robimy to tutaj, karta na
pewno nie będzie działać (Windows nie przypisze jej odpowiednich zasobów) albo wystąpi
zdublowanie urządzenia.
NaleŜy obowiązkowo włączyć opcję „Chcę mieć moŜliwość udostępniania innym
moich plików”. Jeśli tego nie uczynimy, Windows nie pokaŜe w ogóle Ŝadnych komputerów
w Otoczeniu Sieciowym. To czy włączymy opcję udostępniania drukarek zaleŜy tylko i
wyłącznie od zapotrzebowania na takowe usługi.
Rys. 7.4. Udostępnianie plików
UWAGA! Ze względu na podstawowe błędy jakie łatwo popełnić w tym miejscu
instalacji, poniŜej wymienione zostaną po kolei wszystkie niezbędne elementy, które
powinny się we właściwościach sieci znaleźć:
1. Gdy mamy kartę sieciową i modem:
a) Klient Sieci Microsoft Networks,
b) Karta Dial-Up,
c) Zgodny z NE2000 (lub inna karta sieciowa),
d) Protokół TCP/IP -> Karta Dial-Up,
e) Protokół TCP/IP -> Zgodny z NE2000,
f) Protokół zgodny z IPX/SPX -> Zgodny z NE2000,
g) Udostępnianie plików i drukarek w sieciach Microsoft Networks,
2. Gdy mamy tylko kartę sieciową:
a) Klient Sieci Microsoft Networks,
b) Zgodny z NE2000 (lub inna karta sieciowa),
c) Protokół TCP/IP,
d) Protokół zgodny z IPX/SPX,
e) Udostępnianie plików i drukarek w sieciach Microsoft Networks,
W przypadku pierwszym protokoły odwołują się do konkretnych urządzeń, ze względu Ŝe
Karta Dial-Up (modem) korzysta tylko z TCP/IP, odwołanie IPX/SPX dla niej naleŜy usunąć.
We właściwościach TCP/IP dla karty sieciowej (nie dla modemu ) naleŜy podać adresy IP
oraz maskę podsieci.
W polu „Identyfikacja” wpisujemy nazwę sieciową swojego komputera, najlepiej swój
pseudonim, jako grupę roboczą moŜna pozostawić Workgroup. Opis moŜe być kompletnie
dowolny.
Rys. 7.5 Ustawianie kontroli dostępu i identyfikacji
8. Architektura sieci lokalnych, standardy i protokoły
8.1. Protokoły
Jedną z właściwości architektury sieci jest to, Ŝe moŜna podzielić ją na warstwy, z
których kaŜda pełni inne funkcje. Połączenie tych funkcji daje usługę wykonywaną przez
sieć.
KaŜda warstwa komunikuje się z warstwą znajdującą się poniŜej lub powyŜej.
(Protokoły definiują sposób, w jaki odbywa się taka komunikacja). Po zakończeniu
wykonywania swojej funkcji kaŜda warstwa przekazuje dane i sterowanie wykonywaniem
usługi do warstwy znajdującej się bezpośrednio poniŜej lub powyŜej.
Układanie protokołów w warstwy w celu utworzenia architektury sieci jest podstawową
zasadą budowania sieci na podstawie standardów. W tym miejscu nie jest istotne rozumienie
zasad działania kaŜdego protokołu ani funkcji spełnianych przez poszczególne warstwy.
Trzeba jedynie przyjąć do wiadomości, Ŝe sieci buduje się z warstw protokołów, a te
protokoły są blokami składowymi, na podstawie których organizacje opracowujące standardy
tworzą architektury sieci.
Obecnie istnieje wiele róŜnorodnych protokołów, na ogół niezgodnych z innymi
protokołami. Dzieje się tak głównie dlatego, Ŝe duŜe firmy komputerowe ustaliły własne
standardy komunikacyjne lub sieciowe. Po utworzeniu przez danego producenta własnej
warstwowej architektury sieci, jego produkty mogą porozumiewać się z innymi produktami
naleŜącymi do tej samej rodziny. Jednak co zrobić, jeśli trzeba połączyć ze sobą maszyny
pochodzące od dwóch róŜnych producentów? Ten problem zrodził potrzebę opracowania
niezaleŜnego od producentów standardu dla kaŜdej warstwowej architektury sieci. Tak
właśnie powstał model OSI. Inne organizacje definiujące standardy równieŜ intensywnie
współpracują w poszukiwaniu rozwiązania zagadnienia zgodności w sieciach
komputerowych.
8.2. Model OSI
Opublikowany po raz pierwszy w roku 1978 model OSI opisuje architekturę sieci
łączącej odmienne elementy. Oryginalny dokument dotyczył systemów otwartych, czyli takich
systemów, które są wzajemnie otwarte, gdyŜ stosują takie same protokoły komunikacyjne lub
standardy. Model OSI dotyczy głównie połączeń między systemami - sposobów wymiany
między nimi informacji - a nie wewnętrznych funkcji poszczególnych systemów. W roku
1984 opublikowano zmodyfikowaną wersję tego dokumentu i wtedy stał się on
międzynarodowym standardem, na którym wzoruje się wielu producentów, projektując
warstwowe architektury swoich sieci.
Model OSI składa się z protokołów ułoŜonych warstwowo na siedmiu poziomach
funkcjonalnych:
• Warstwa fizyczna (ang. physical layer) - przesyła strumień bitów przez specjalny fizyczny
nośnik informacji (kabel). WiąŜe się z utworzeniem połączenia między dwoma
maszynami wymieniającymi sygnały elektryczne.
• Warstwa łqcza danych (ang. data link layer) - zapewnia niezawodną transmisję danych od
jednego węzła do drugiego, izolując wyŜsze warstwy od fizycznego nośnika informacji.
Ta warstwa jest odpowiedzialna za bezbłędną transmisję ramek danych. Dzieli się na
dwie podwarstwy: warstwę MAC (Media Access Con-trol - kontrola dostępu do nośnika)
oraz LLC (Logical Link Control - kontrola łącza logicznego).
• Warstwa sieciowa (ang. network layer) - rozsyła dane pomiędzy węzłami sieci. Tworzy,
podtrzymuje i przerywa połączenia sieciowe między dwoma uŜytkownikami oraz
przesyła dane przez te połączenia. Wykonuje równieŜ operacje podziału i powtórnego
składania strumienia informacji.
•
Warstwa transportowa (ang. transport layer) - zapewnia przekazywanie danych między
dwoma uŜytkownikami na uzgodnionym poziomie jakości. Po ustaleniu połączenia
między dwoma węzłami ta warstwa wybiera odpowiednią klasę usług. Ta klasa
monitoruje transmisję w celu zapewnienia odpowiedniego poziomu jakości oraz
informuje uŜytkowników, gdy jakość spadnie poniŜej dopuszczalnej granicy.
• Warstwa sesji (ang. session layer) - zapewnia usługi wykorzystywane przy organizowaniu
i synchronizowaniu dialogu występującego między dwoma uŜytkownikami oraz zarządza
wymianą danych. Głównym zadaniem tej warstwy jest sprawdzanie, kiedy uŜytkownik
moŜe wysłać lub odebrać dane, zaleŜnie od tego, czy dane moŜna odbierać i wysyłać
jednocześnie, czy na przemian.
• Warstwa prezentacji (ang. presentation layer) - odpowiada za przekazywanie informacji
uŜytkownikowi sieci w zrozumiały dla niego sposób. W zakres wykonywanych przez tę
warstwę operacji wchodzi między innymi translacja kodów znaków, konwersja oraz
kompresja i dekompresja danych.
• Warstwa aplikacji (ang. application layer) - umoŜliwia programom uŜytkowym dostęp do
mechanizmów łączących systemy w celu wymiany informacji. NaleŜą do niej między
innymi usługi stosowane do tworzenia i zamykania połączeń między uŜytkownikami.
Dodatkowo umoŜliwia monitorowanie i zarządzanie połączonymi systemami oraz
uŜywanymi przez nie zasobami.
Warstwa
Warstwa aplikacji
Warstwa prezentacji
Warstwa sesji
Warstwa transportowa
Warstwa sieciowa
Warstwa łącza danych
Warstwa fizyczna
Rys. 8.1. Warstwowy model OSI.
Prace nad modelem OSI wciąŜ trwają. Dla pewnych warstw opracowano juŜ specjalne
standardy dopasowane do wymogów modelu, natomiast standardy dla pozostałych warstw są
dopiero formułowane. Model OSI miał i wciąŜ ma wielki wpływ na zagadnienia związane z
przesyłaniem danych - szczególnie w kontekście sieci lokalnych. Wiele standardów
stosowanych w sieciach lokalnych pochodzi właśnie z modelu OSI. Na przykład dwie
pierwsze warstwy modelu (fizyczna i łącza danych) bardzo wpłynęły na opracowanie i
zdefiniowanie standardów sieci lokalnych. Największą zasługę ma tu Projekt 802, który
skoncentrował się na tych właśnie warstwach modelu, podczas gdy funkcje wyŜszych warstw
modelu OSI pozostawiono do opracowania autorom implementacji sieci.
Warstwa
Warstwa aplikacji
Warstwa prezentacji
Warstwa sesji
Warstwa transportowa
Warstwa sieciowa
Warstwa łącza danych
Warstwa fizyczna
Rys. 8.2. Projekt 802 dotyczy głównie dwóch najniŜszych warstw modelu OSI: warstwy
fizycznej i łącza danych
9. Komunikatory sieciowe.
Sieciowe pogadanki to temat bardzo obszerny - zarówno rozwaŜając rozwiązania w sieci
lokalnej, jaki i te dla Internetu. Usługa Posłaniec, IRC, komunikatory, czat, programy do
obsługi kamer internetowych i mikrofonów - kaŜda technologia roi się od róŜnorodnych
aplikacji po stronie klienta, od tekstowych począwszy, a na graficznych, oferujących
multimedialne interfejsy skończywszy. SłuŜbowe konwersacje za pośrednictwem Internetu
pozwalają obniŜyć koszty delegacji i rozmów telefonicznych.
Do komunikacji w obrębie sieci lokalnej moŜna wykorzystać mechanizmy wbudowane
w systemy operacyjne. W przypadku Windows 2000 lub XP przykładem moŜe być usługa
Posłaniec. Jej uŜycie jest bardzo proste, ale niezbyt przyjazne dla początkujących
uŜytkowników komputera. W załoŜeniu ma ona słuŜyć do wysyłania alertów lub
komunikatów administracyjnych. W linii poleceń wydajemy po prostu komendę net send
nazwa_komputera komunikat, na przykład:
net send Adam Co teraz robisz?
Na komputerze Adam pojawi się wówczas proste okno dialogowe, zawierające nadawcę,
odbiorcą, datę wysłania oraz treść wiadomości. Oferowana usługa nie wymaga instalacji ani
uruchamiania dodatkowych programów - do wysyłania prostych alertów jest wręcz idealna.
Dla wymagających uŜytkowników bardzo szybko pojawiły się proste programy, które usługę
Posłańca znacznie rozbudowały, wciąŜ korzystając z jego mechanizmu. Za ich pomocą moŜna
archiwizować i wyszukiwać wiadomości oraz budować proste skrzynki adresowe.
UŜytkownicy Windows 9x/Me mogą korzystać z bardzo podobnego mechanizmu. Aby
odbierać i wysyłać wiadomości, muszą jednak mieć uruchomiony program WinPopup, na
przykład wydając z linii poleceń komendę winpopup. Największą wadą tej aplikacji jest brak
moŜliwości przesunięcia jej do Paska systemowego, co skutkuje często przypadkowym
zamykaniem okien przed przeczytaniem wiadomości. Szybko pojawiły się bardzo dobre
klony (kilka propozycji było autorstwa polskich
programistów), które nie tylko pozwalały
minimalizować aplikację do Paska systemowego, lecz równieŜ wyposaŜyły ją w przydatne
funkcje, takie jak wymiana wiadomości z maszynami pod kontrolą Linuksa za pomocą usługi
Samba.
Jednym ze sposobów wykorzystania technologii rozmów sieciowych na styku klient-firma
są czaty uruchamiane w działach hotline lub obsługi klienta. Internauta potrzebujący pomocy
moŜe porozmawiać z serwisantem o problemach z zakupionym sprzętem lub z handlowcem o
cenach czy warunkach sprzedaŜy. Komunikatory przydają się takŜe do sprawnego
porozumiewania się wewnątrz firmy. Aplikacją kompleksowo wspierającą telekonferencje
jest na przykład NetMeeting - standardowy składnik systemów Windows. Program ten
oferuje realizację rozmów - zarówno w postaci multimedialnej (przekaz dźwięku i obrazu),
jak i w formie wiadomości tekstowych. Do dyspozycji jest takŜe specjalny program graficzny
do kreślenia szkiców czy rysunków poglądowych, które są prezentowane na Ŝywo innym
uczestnikom telekonferencji. Do dyskutantów moŜna przesłać dowolny plik, a takŜe
udostępnić im aplikację z naszego systemu (na przykład w celu prezentacji oprogramowania).
Mimo swej prostoty NetMeeting zawiera wszystkie elementy potrzebne do realizacji
videokonferencji. Microsoft udostępnia ponadto obszerne SDK (Software Development Kit),
za pomocą którego moŜna umieszczać elementy NetMeetingu we własnych aplikacjach lub na
stronach WWW.
10. Bezpieczeństwo sieci
KaŜdy z uŜytkowników, niezaleŜnie od sposobu, w jaki korzysta ze swojego komputera,
oraz od waŜności danych w nim przechowywanych, powinien dbać o bezpieczeństwo
swojego komputera. Niektórzy sadzą, Ŝe jeŜeli nie mają ściśle tajnych danych albo nie pracują
w organizacji obracającej miliardami, to mogą czuć się bezpieczni. Niestety, jest to
rozumowanie całkowicie błędne. Konieczne jest zabezpieczenie kaŜdego systemu
komputerowego, bez względu na to, do jakich celów on słuŜy. Niebezpieczeństwa czyhające
dziś na komputer wpięty do Sieci są całkiem inne niŜ kilka bądź kilkanaście lat temu. Kiedyś
podstawowym zagroŜeniem były wirusy i sporadycznie w porównaniu z ich atakami
włamania pojedynczych hakerów. Wirusy do infekowania kolejnych komputerów
wykorzystywały głównie dyskietki (rzadziej płyty CD-ROM), celem ataków były zaś głównie
systemy komputerowe organizacji lub bogatych firm. Wraz z rozwojem technologii
komputerowych i Internetu przybyło wiele nowych zagroŜeń. Wirusy i inne złośliwe
oprogramowania, takie jak robaki, bomby logiczne czy konie trojańskie, rozprzestrzeniające
się głównie za pośrednictwem sieci komputerowych, sporadycznie tylko traktując infekcję
plików przenoszonych na płytach CD jako dodatkowy kanał do infekowania ofiar.
Najprawdopodobniej (z powodu większej liczby oferowanych funkcji) uŜytkownicy będą
wybierali systemy w pełni wspierające wspólną pracę wielu uŜytkowników oraz dostęp do
sieci. JeŜeli instalujemy system operacyjny, z którego korzysta więcej niŜ jeden uŜytkownik,
powinniśmy zadbać o to, aby poszczególnym uŜytkownikom nadawać minimalne (lecz
wystarczające do prawidłowej ich pracy) uprawniania. Kolejną waŜną rzeczą są zagadnienia
dotyczące nadawania uprawnień do plików i katalogów( na przykład stosując system plików
NTFS). W prawdziwym środowisku wielouŜytkownikowym warto dokładnie ustalić
ograniczenia dotyczące korzystania z przestrzeni dyskowej czy czasu procesora (tak zwane
quoty). Na dłuŜszą metę zapewni to mniejszą awaryjność systemu. NaleŜy równieŜ zwrócić
uwagę na funkcje szyfrowania plików oferowane przez OS. Dobrym rozwiązaniem jest
równieŜ wyłączenie opcji pokazywania zasobów systemowych, co zabezpieczy nas przed
przypadkową modyfikacją lub usunięciem waŜnych plików.
Podczas tworzenia haseł naleŜy zwrócić uwagę na ich odpowiednią długość i złoŜoność. Oba
te czynniki utrudniają odgadnięcie hasła osobie postronnej lub złamaniem go za pomocą
specjalnego programu. Mocne hasła powinny mieć długość minimum sześć znaków i
zawierać małe i duŜe litery, cyfry oraz znaki alfanumeryczne. UŜytkownicy co jakiś czas
powinni zmieniać swoje hasła - jeŜeli nawet zostaną one złamane, to jest spora szansa, Ŝe
intruz nie będzie miał zbyt duŜo czasu na dostęp do systemu. Nawykiem powinno być teŜ
zabezpieczanie róŜnych zasobów innymi hasłami. WaŜne jest, aby do budowy hasła nie
wykorzystywać ogólnie dostępnych informacji dotyczących nas samych (np. daty urodzenia,
imienia Ŝony czy psa). Tego typu informacje mogą być łatwo zdobyte przez intruza i
wykorzystane do złamania naszego hasła.
Często zdarza się, Ŝe niepowołane osoby w bardzo łatwy sposób uzyskują dostęp do poufnych
informacji. Przykładem moŜe być poznanie haseł "zza pleców", poprzez obserwowanie ich
wprowadzanie przez legalnych uŜytkowników systemu lub ... odczytywanie karteczki
przyklejonej do monitora. Innego rodzaju podobne przykłady to podawanie haseł przez
telefon czy wysyłanie haseł w e-mailach (kierowanych rzekomo do administratora systemu z
powodu awarii). Działania osób niepowołanych, mające na celu zdobycie informacji
poufnych, nosi w narzeczu hakerów nazwę inŜynierii społecznej (social engineering).
Jedynym zabezpieczeniem przed wyciekaniem tego rodzaju informacji jest edukacja
uŜytkowników systemów komputerowych.
1.
2.
Haker - to osoba zafascynowana arkanami wiedzy o komputerach. Często jest
programistą. Wie duŜo o systemach operacyjnych i językach programowania.
Znajduje luki w systemach i przyczyny ich powstawania. Nieustannie zdobywa nową
wiedzą i dzieli się nią z innymi. Co istotne, nigdy nie niszczy celowo danych.
Kraker (włamywacz) - włamuje się lub w inny sposób narusza bezpieczeństwo
komputera zdalnego. Po uzyskaniu nieautoryzowanego dostępu niszczy kluczowe
dane, zamyka dostęp prawowitym uŜytkownikom i ogólnie przyczynia się do
powstawania problemów. Krakera jest łatwo poznać: kierują nim złe pobudki.
11. Ataki na sieć
Poprzez termin atak moŜna określić dowolną, nieupowaŜnioną akcję, przeprowadzoną w
celu naruszenia bezpieczeństwa serwera - w tym takŜe utrudnienia bądź teŜ uniemoŜliwienia
jego normalnej pracy. Atak taki moŜe sięgać od powodowania odmowy obsługi (denial of
service) aŜ do kompletnego zniszczenia serwera. Poziom ataku, który jest skuteczny, zaleŜy
od przedsięwziętych środków bezpieczeństwa przez administratora sieci. Atak moŜe nastąpić
w dowolnej chwili, kiedy sieć podłączona jest do Internetu. PoniewaŜ większość sieci
podłączonych jest przez 24 godziny na dobę - oznacza to, Ŝe w kaŜdej chwili moŜna
spodziewać się ataku. NiezaleŜnie od tego, moŜna przewidzieć sposób postępowania
hakerów. Większość ataków ma miejsce (lub przynajmniej zaczyna się) późno w nocy (czasu
lokalnego serwera). MoŜna by przypuszczać, Ŝe włamywacze wolą pracować w dzień, gdyŜ
duŜy ruch o tej porze w sieci mógłby ukryć ich aktywność. Istnieje jednak wiele powodów,
dla których unikają oni tej pory:
1.
2.
3.
Praktyczność - większość włamywaczy pracuje, chodzi do szkoły lub spędza czas w
inny sposób i w związku z tym nie mają oni czasu na włamywanie się w dzień.
Dawniej sytuacja wyglądała inaczej, z uwagi na stosunkowo młody wiek
włamywaczy.
Szybkość - obecnie sieć staje się coraz bardziej obciąŜona. Z tego powodu często
okazuje się, Ŝe lepiej pracować jest wtedy, gdy jej przepustowość jest największa.
Dogodny czas zaleŜy głównie od połoŜenia geograficznego. Na przykład - najlepsza
pora dla włamywacza znajdującego się na południowym zachodzie USA i atakującego
serwer w Londynie byłaby między godziną 22:00 i 12:00 czasu lokalnego. Przed
godziną 22:00 ludzie mogą sprawdzać pocztę przed snem, czytać wiadomości na
Usenecie itp. KaŜdy kto korzysta z Internetu w nocy moŜe to potwierdzić.
Tajność - przypuśćmy, Ŝe włamywacz znalazł lukę w bezpieczeństwie systemu.
WaŜne jest takŜe to, Ŝe jest godzina 11:00 rano i trzech administratorów jest
zalogowanych do sieci. Co moŜna w takiej sytuacji zrobić? Bardzo niewiele.
Ulubionymi przez włamywaczy maszynami są takie, na których Ŝaden uŜytkownik w danej
chwili nie pracuje. Mając do dyspozycji taką maszynę moŜna ją tymczasowo przejąć i
przygotować do przeprowadzenia ataku. Ponadto, jest duŜo czasu aby pozamieniać logi
systemowe. Włamywacze uŜywają rozmaitych systemów. Stosunkowo rzadziej działają na
platformie Macintosha, gdyŜ nie ma dla niego wystarczającej ilości programów
narzędziowych. Ponadto są problemy z przeniesieniem potrzebnych narzędzi z innych
systemów. Najbardziej popularny jest UNIX (w szczególności jego odmiany: FreeBSD i
Linux) - z uwagi na generalnie niskie obciąŜenie. Na przykład, Windows z róŜnymi
dodatkami potrzebuje duŜo pamięci RAM. Dla kontrastu - Linuxa lub FreeBSD moŜna
uruchomić na tanim PC 486 i uzyskać dobrą wydajność (jeśli zrezygnuje się ze środowiska
okienkowego - X Window). Jest to rozsądne, nawet w odniesieniu do narzędzi napisanych
pod X Window - mają one zazwyczaj swoje odpowiedniki, które moŜna uruchamiać w trybie
tekstowym. Dawniej wiele ataków pochodziło z uniwersytetów, w większości włamywacze
byli młodymi ludźmi, którzy nie mieli moŜliwości dostępu do sieci w inny sposób. Ponadto,
prawdziwe TCP/IP nie było powszechnie dostępne (przynajmniej nie w takiej formie jak
dzisiaj - dla ludzi, którzy będąc w domu mogą włączyć się do sieci). Obecnie sytuacja
wygląda zupełnie inaczej. Hakerzy mogą włamywać się do sieci będąc u siebie w domu, w
biurze lub w podróŜy (jednak powaŜni włamywacze generalnie nigdy nie korzystają z usług
dostawców). Ponadto, dostawcy ci nie oferują konta unixowego, pozwalającego np. na
zalogowanie się i korzystanie z powłoki (shell). Z poziomu powłoki moŜna uruchamiać róŜne
programy narzędziowe (np. Perl, AWK, SED, kompilatory C i C++) oraz komendy
systemowe (np. showmount, rusers). Dla potencjalnych włamywaczy jest to powaŜne
utrudnienie.
Trudno określić typowy cel ataku, poniewaŜ większość krakerów atakuje róŜne sieci z
róŜnych powodów. NiezaleŜnie od tego, popularnym celem jest mała, prywatna sieć. Hakerzy
są świadomi, jakiego rodzaju zabezpieczenia mogą spotkać. Zakup, jak i utrzymanie zapór
sieciowych (firewall) jest kosztowne - stąd w wielu instytucjach stosowane są inne, tańsze
rozwiązania. Poza tym, niewiele małych firm moŜe pozwolić sobie na zatrudnianie osób,
których zadaniem jest przeciwdziałanie ewentualnym atakom. Wybór celu ataku zaleŜy w
duŜym stopniu od wiedzy krakera. W rzeczywistości, niewielu zna więcej niŜ jeden system na
tyle dobrze, aby móc się do niego włamać. Na przykład, ktoś kto zna VAX/VMS bardzo
dobrze, moŜe wiedzieć niewiele o systemie SunOS. Celem ataków takiego włamywacza będą
bez wątpienia maszyny VAX i ostatecznie (być moŜe ze względu na doświadczenie) stacje
DEC Alpha. Większość celów to uniwersytety, z uwagi na ich olbrzymie zasoby
obliczeniowe. Inny powód jest taki, Ŝe maszyny uniwersyteckie mają często po kilkuset
uŜytkowników, nawet w relatywnie małych segmentach sieciowych. Administracja takich
miejsc jest trudnym zadaniem. Innymi popularnymi celami ataków są instytucje rządowe.
Taki atak, jeŜeli się powiedzie, moŜe przynieść krakerowi uznanie w środowisku. Nie ma
znaczenia nawet, czy zostanie on złapany, najwaŜniejsze jest, Ŝe udało mu się złamać
zabezpieczenia w przypuszczalnie dobrze chronionym systemie. Wyczyn taki jest
potwierdzeniem jego umiejętności.
12. Rodzaje ataków
•
Sniffing (podsłuch (dosł. węszenie) transmisji danych) UŜywając programów typu
analizator pakietów moŜna "podsłuchać" transmisję TCP, taką jak np. sesje TELNET
czy FTP, gdzie wszystkie wymieniane dane to "gołe" pakiety i dzięki temu przechwycić
hasło wymagane przy logowaniu się, po przechwyceniu hasła moŜna wejść na konto
uŜytkownika i spróbować wykorzystać np. exploita dzięki któremu spodziewamy się
dostać prawa administratora. Warto zauwaŜyć Ŝe programy tego typu korzystają z
"promiscous mode", a więc aby uruchomić taki program naleŜy JUś mieć gdzieś prawa
administratora systemu (najlepiej w domenie gdzie znajduje się obiekt naszego ataku),
•
•
•
•
•
•
takie programy to LanWatch, IPtrace, snoop, sniffit, LinuxSniffer, Ipinvestigator,
strobe.
Spoofing (podszywanie się pod legalną "zarejestrowaną" maszynę) podszywanie ma
na celu ominięcie zabezpieczeń związanych z dostępem do usług tylko dla wybranych
adresów, np. tylko lokalni uŜytkownicy mogą korzystać z usługi która moŜe okazać się
niebezpieczną po udostępnieniu jej światu zewnętrznemu. Programy reprezentujące ten
typ ataków to: fakerwall i spoofer
Cracking (łamanie haseł z passwd metodą słownikową, lub teŜ próbkowanie
programu autoryzującego słowami z odpowiednio przygotowanych słowników). Są
jeszcze systemy, gdzie "czyste" passwd moŜna sobie skopiować przez TFTP, lub teŜ po
"zorganizowaniu" sobie konta zwykłego uŜytkownika skopiować passwd, i programem
crack z odpowiednią ilością słowników próbkować po kolei wszystkie konta. Dostęp do
passwd moŜna teŜ uzyskać wykorzystując tzw. błąd phf niektórych serwerów
webowych i ich CGI, istnieją nawet programy wyszukujące takie serwery. MoŜna teŜ
próbkować w ten sposób sam program autoryzujący (np. w POP3) , lecz jest to łatwe do
wykrycia, ze względu na ruch generowany w sieci i obciąŜenie maszyny autoryzującej.
Hijacking (przechwytywanie zdalnej sesji legalnego uŜytkownika systemu), metoda
przejęcia sesji uŜytkownika oparta o mechanizm połączeniowy protokołu TCP (3-way
handshaking) na czym opiera się TELNET, oraz wygenerowanie odpowiedniego
numeru sekwencyjnego. Forma ataku, którą trudno jest wykryć, a uŜytkownik którego
sesja jest przechwytywana, moŜe zorientować się Ŝe cos jest nie tak, po nagłym 'resecie'
sesji, lub później przeglądając to co robił, programem 'history'. Administrator moŜe
rozpoznać tę formę ataku po wykryciu stanu DESYNCH połączenia, oraz lekko
zwiększonej ilości pakietów TCP ACK w segmencie, zwiększa się takŜe współczynnik
utraty pakietów. Aby uchronić się przed tym rodzajem ataku, naleŜy zrezygnować z
TELNET'a na rzecz np. SSH, lub teŜ zaimplementować KERBEROSA.
Denial of Service (blokada usług świadczonych przez system). Przez wysyłanie
niewłaściwie sformowanych pakietów, lub flood'owanie danego portu systemu, moŜna
spowodować jej zawieszenie, lub teŜ zawieszenie całego systemu, wykorzystują błędy
w implementacji obsługi gniazd (np. zbyt długie pakiety ICMP ) itp. Ratunkiem przed
tego typu atakami są jedynie patche (czyli łatki) na oprogramowanie, oraz zaopatrzenie
się w odpowiednie narzędzia logujące zdarzenia. W pewnych określonych sytuacjach
sprawę rozwiązuje jednak dopiero zakup FIREWALL'a.
Wykorzystywanie tzw. exploit'ów. Exploity to małe programy głównie w C i PERL'u,
które wykorzystują dziury w oprogramowaniu systemowym (np. SUID), polegające
głównie na przepełnianiu buforów i skokach podprogramów w losowe miejsce w
pamięci normalnie zabronione dla uŜytkownika (GCC trampolines) , dzięki czemu
moŜna uzyskać prawa administratora systemu. Ta forma ataku moŜe się powieść,
jednak intruz musi najpierw zdobyć konto na danej maszynie. Obroną przed tego typu
atakiem, jest śledzenie na bieŜąco list dyskusyjnych poświeconych dziurom w
oprogramowaniu sieciowym (BUGTRAQ, linux-security), regularne sprawdzanie
logów.
Socjotechnika - Paradoksalnie, najprostsze metody (niekiedy bardzo skuteczne –
jednak jest to sprawa indywidualna) nie wymagają wielkiej wiedzy na temat luk w
zabezpieczeniach systemów do których włamywacz chce uzyskać dostęp. Zaliczają się
do tej grupy metody socjotechniczne (ang. social engeneering) polegające na
wyłudzaniu haseł dostępu do systemu wprost od jego nieświadomych uŜytkowników.
Najprościej im zapobiegać stosując politykę bezpieczeństwa oraz szkoląc
uŜytkowników sieci.
13. Literatura.
1. Greg Nunemacher: „Przewodnik po sieciach lokalnych”,
ZNI„Mikom”, Warszawa 1996.
2. Douglas E. Comer: „Sieci komputerowe i intersieci”,
Wydawnictwa Naukowo – Techniczne, Warszawa 2000.
3. Frank J. Derfler, JR., Les Freed: „Jak działają sieci”,
Wydawnictwo Naukowe PWN, Warszawa 1995.
4. T. Bogdan: „Aparaty i urządzenia elektryczne”,
Wydawnictwa Szkolne i Pedagogiczne, Warszawa 1998.
5. P. Ciborski: „Vademecum BHP w pytaniach i odpowiedziach”,
Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 1998.
6. Strony WWW:
http://lanzone.koti.com.pl
http://www.meditronik.com.pl
http://www.wsiz.rzeszow.pl/html/student/pracekzr/martyn2/
Download