Zespół Szkół Nr 9 im. Romualda Traugutta w Koszalinie Wykonawca: Sandra Reterska kl. I LA Lic. Profil. – Zarządzanie informacją KOSZALIN 2006 1. Wstęp Sieć komputerowa to zbiór komputerów i innych urządzeń peryferyjnych (drukarki, modemy) połączonych ze sobą w sposób umoŜliwiający wymianę danych. Komputery znajdujące się w sieci nazywamy stacjami roboczymi. Przyczyn powstawania sieci komputerowych jest wiele róŜnią się one od siebie w zaleŜności od tego, czy sieć jest budowana w firmie, instytucji rządowej czy teŜ w bloku przez mieszkających blisko siebie kolegów. Głównymi powodami, dla których buduje się sieci, są: • • • • • • przesyłanie poczty elektronicznej do innych uŜytkowników, wymiana wszelkiego rodzaju danych - wraz ze wzrostem wydajności sieci popularne stają się pliki multimedialne (muzyka, filmy, zdjęcia), ograniczenie kosztów związanych z kupnem oprogramowanie (licencja wielostanowiskowa jest tańsza niŜ zakup oprogramowania na wiele stacji roboczych), wspólne korzystanie przez wielu uŜytkowników z urządzeń zewnętrznych (drukarki, skanery, dyski), centralne zarządzanie bazami danych, moŜliwość tworzenia kopii zapasowych. W ostatnich latach w Polsce powstaje wiele sieci osiedlowych. Młodzi ludzie decydują się na ich budowę, aby zmniejszyć koszty dostępu do Internetu, które w naszym kraju są jednymi z największych na świecie. Często przyświeca im równieŜ chęć wspólnego...grania w sieci. Aby sieć mogła funkcjonować, potrzebne jest zarówno odpowiednie oprogramowanie, jak i właściwy sprzęt. Podstawowymi elementami sieci są: • • • • • sieciowy system operacyjny - zapewnia właściwe wykorzystanie infrastruktury sieciowej, serwer - urządzenie lub oprogramowanie pełniące waŜne funkcje sieciowe (przechowywanie plików, baz danych, obsługa poczty elektronicznej, archiwizacja danych czy komunikacja z innymi sieciami); w sieciach osiedlowych jest to zazwyczaj komputer mający bezpośredni dostęp do Internetu. system klienta - stacja robocza podłączona do sieci, karta sieciowa - urządzenie łączące komputer z siecią, okablowanie, za pomocą którego podłączone są stacje robocze oraz serwery - kabel koncentryczny, skrętka lub światłowód (moŜe to być równieŜ inne medium - fale radiowe czy podczerwień). W skład większości sieci wchodzą takŜe urządzenie aktywne: koncentratory, przełączniki, mosty, routery i transceivery. WaŜnymi cechami kaŜdej sieci są relacje występujące między poszczególnymi stacjami roboczymi, sposób przyłączania komputerów, współdzielenia zasobów, udostępniania plików oraz innych urządzeń zewnętrznych. Ze względu na te cechy wyróŜnia się dwa typy sieci: • • KaŜdy z kaŜdym (peer-to-peer) Dedykowany serwer Często spotyka się sieci, w których nie da się jasno sprecyzować środowiska. Serwer wydruku miewa na przykład zadania zwykłe stacji roboczej. Rozwiązanie "kaŜdy z kaŜdym" wydaje się idealne w przypadku małych sieci osiedlowych, gdy nie ma potrzeby ograniczać dostępu do danych. W sieciach firmowych nie stosuje się go z powodu niedostatecznego bezpieczeństwa i niewielkich moŜliwości zarządzania strukturą. Przydzielanie komputerom określonych zadań przekłada się na wydajność sieci. Aby tego uniknąć, procesy szczególnie obciąŜające system są wykonywane przez wyspecjalizowane serwery. Ze względu na obejmowany obszar rozróŜniamy następujące sieci: • lokalna sieć LAN (Local Area Network) - łącząca stacje robocze na niewielkim obszarze (pomieszczenie, piętro, budynek), charakteryzująca się niskimi kosztami eksploatacji i dołączania kolejnych komputerów, a takŜe prostym oprogramowaniem. • sieć kampusowa (Campus Network) - obejmująca zasięgiem kilka budynków na terenie uczelni, firmy lub osiedla. • miejska sieć MAN (Metropolitan Area Network) - integrująca sieci LAN na obszarze całego miasta, oparta na łączach o duŜej przepustowości, na przykład na światłowodach. • rozległa sieć WAN (Wide Area Network) - łącząca wiele sieci typu LAN i MAN na duŜych terenach geograficznych (region, państwo, kontynent), wykorzystująca zazwyczaj publiczną sieć telekomunikacyjną, ale w wielu przypadkach równieŜ kanały satelitarne i radiowe. 2. Struktura sieci LAN W sieciach LAN dzięki wspólnemu korzystaniu z medium przesyłania danych eliminuje się dublowanie łączy, co powoduje zmniejszenie kosztu tych sieci. Techniki sieci lokalnych stały się przez to szalenie popularne. Komputery w sieci LAN są podłączone do wspólnego ośrodka komunikacyjnego, przez który przesyłają dane. Komputery po kolei otrzymują prawo dostępu do medium. Techniki sieci lokalnych wymagają przesyłania danych w postaci małych porcji nazywanych ramkami, jednak naraz moŜna przesyłać tylko jeden pakiet. W czasie przesyłania pakietu nadawca ma prawo wyłącznego dostępu do łącza. W celu zapewnienia sprawiedliwego dostępu do łącza kaŜdy z komputerów moŜe przesłać tylko jedną ramkę, a potem musi ustąpić miejsca innym komputerom. W ten sposób kaŜdy komputer dostaje prawo dostępu do łącza, wysyła jedną ramkę i odstępuje prawo dostępu do medium innemu komputerowi. KaŜda sieć komputerowa moŜe zostać zaklasyfikowana do jednej z kilku podstawowych kategorii w zaleŜności od jej topologii. W topologii szynowej mamy do czynienia z pojedynczym wspólnym kablem, do którego są podłączone komputery. Gdy uŜywana jest szyna, komputer transmituje sygnał, który odbierają wszystkie pozostałe komputery podłączone do szyny. W sieci o topologii pierścieniowej komputery są połączone w zamkniętą pętlę. Pierwszy komputer łączy się z drugim, drugi z trzecim i tak dalej aŜ ostatni komputer połączy się z pierwszym. Sieć o topologii gwiazdy przypomina koło rowerowe, gdzie centralnej osi odpowiada koncentrator, a połączenia z poszczególnymi komputerami odpowiadają szprychom. KaŜda topologia ma zalety i wady; Ŝadna z nich nie jest najlepsza do wszystkich zastosowań. KaŜda topologia jest wykorzystywana w istniejących technikach LAN. Sieć Ethemet i LocalTaIk mają topologię szynową. Stacje przyłączone do sieci Ethernet stosują metodę wykrywania fali nośnej z detekcją kolizji CSMA/CD. Oznacza to, Ŝe komputer czeka na moment, gdy eter jest wolny, i następnie próbuje wysłać dane. JeŜeli dwie stacje rozpoczną transmisję w tym samym czasie, powstanie kolizja powodująca, Ŝe owe stacje odczekują przez losowy czas przed następną próbą. Kolejne kolizje powodują wykładnicze odczekiwanie, które polega na tym, Ŝe kaŜda stacja podwaja swoje opóźnienie. Bezprzewodowe sieci lokalne takie jak WaveLAN, RangeLAN czy AirLAN uŜywają mechanizmu CSMA/CA. Przed wysłaniem ramki z danymi nadawca wysyła krótki komunikat kontrolny, na który odbiorca odsyła odpowiedź. Wymiana komunikatów kontrolnych informuje wszystkie stacje w zasięgu odbiorcy o planowej transmisji danych. Inne stacje nie próbują wysyłać danych w czasie, gdy ma miejsce zapowiedziana transmisja (co pozwala na uniknięcie kolizji), nawet jeśli transmisja do nich nie dociera. Komputery podłączone do sieci z krąŜącym znacznikiem takŜe wykorzystują wspólny ośrodek. Gdy jedna stacja transmituje ramkę, wszystkie pozostałe przekazują jej bity dookoła pierścienia. Dzięki temu nadawca moŜe sprawdzić, czy bity zostały przekazane poprawnie. W celu zapewnienia koordynacji i sprawiedliwości dostępu stacje w pierścieniu wysyłają specjalny komunikat zwany znacznikiem. Komputer czeka na przybycie znacznika, za pośrednictwem całego pierścienia transmituje jedną ramkę i dalej przekazuje znacznik do następnej maszyny. 3. Struktura sieci MAN KaŜdy, kto zarządzał lokalną siecią komputerową jakiejś firmy staje w końcu przed zagadnieniem rozszerzenia sieci. Firmy rozprzestrzeniają się i powiększają, więc zarządzający muszą znaleźć sposoby połączenia wszystkich sieci w obrębie dzielnicy czy miasta. Rozwiązaniem jest zainstalowanie miejskiej sieci komputerowej (metropolitan area network — MAN). Obecnie najczęściej stosowanym połączeniem między sieciami lokalnymi jest cyfrowa linia telefoniczna dzierŜawiona od miejscowej spółki telefonicznej. Jednak z taką usługą związane są opłaty za szybkość transmisji i za długość linii i jest to jedno z najdroŜszych dostępnych na rynku połączeń. Istnieją inne, bardziej wyspecjalizowane usługi przesyłania danych. Komitet 802.6 IEEE zajmuje się obserwacją miejskich sieci komputerowych. Opracował normę nazywaną Distributed Queue Duał Bus (DODB). Struktura DODB przewiduje dwa równolegle biegnące kable (przewaŜnie światłowody), łączące ze sobą wszystkie węzły systemu (przewaŜnie routery dla kaŜdego segmentu LAN). Tę architekturę z podwójnym kablem cechuje wysoka niezawodność i szybkość transmisji rzędu 100 Mb/s. Inna usługa zwana Światłowodowe Złącze dla Danych Rozproszonych (Fiber Distributed Data Interface — FDDI) oferuje szkieletową sieć połączeń komunikacyjnych w mieście i moŜe być zastosowana jako system zbierania danych, które następnie mogłyby być przekazane DODB. Systemy FDDI osiągają przepustowość około 80 Mb/s, a ich zasięg ograniczony jest przez maksymalną długość kabla (około 100 km.) Firmom opłaca się zainstalowanie systemów FDDI na własny uŜytek i sprzedawanie sąsiadom usług komunikacyjnych. Wielu producentów oferuje karty sieciowe FDDI, więc moŜna uŜywać tych połączeń jako okablowania sieci lokalnej w budynku, a potem rozciągnąć je na pobliską część miasta. W strukturze FDDI do przenoszenia danych uŜywa się dwóch pierścieni światłowodowych. Wszystkie węzły są dołączone do pierścienia pierwotnego. Drugi pierścień traktowany jest jako połączenie rezerwowe. Dlatego z przyczyn ekonomicznych pewne węzły (nazywane stacjami klasy B) mogą nie być dołączone do tego pierścienia. Wreszcie moŜna zainstalować na terenie miejskim międzysieciowe łącza bezprzewodowe, zwłaszcza jeśli przynajmniej jeden z biurowców firmy jest wyŜszy niŜ okoliczne budynki. Kilka firm — między innymi M/A-Com., MicroWave Networks, Inc. i Motorola Microwave — sprzedają radia mikrofalowe działające na częstotliwości 23 GHz. Mogą one być — dosłownie — wystawione przez okno i skierowane na odległą sieć lokalną. Transmisja mikrofalowa — to dość oszczędna opcja przy odległości do 30 km. MoŜna przesyłać w ten sposób sygnały z szybkością 1,544 Mb/s, przy koszcie ograniczonym do zakupu odbiorników radiowych. Transmisja ta nie wymaga to Ŝadnych miesięcznych opłat. Zazwyczaj dzierŜawi się miejskie połączenia międzysieciowe od firm telefonicznych. Instalacja własnych połączeń jest jednak doskonałą alternatywą dla wielu organizacji 4. Struktura sieci WAN Kluczową cechą rozróŜniającą technikę WAN od techniki LAN jest skalowalność WAN musi umoŜliwiać rozrastanie się sieci w miarę potrzeby; sieć taka łączy wiele punktów rozmieszczonych w duŜych odległościach geograficznych, a w punktach tych znajduje się wiele komputerów. Za pomocą sieci WAN moŜna na przykład połączyć wszystkie komputery duŜej firmy posiadającej biura lub fabryki w wielu miejscach rozproszonych na tysiącach kilometrów kwadratowych. Co więcej technika nie jest klasyfikowana jako WAN, jeśli nie zapewnia rozsądnego działania duŜych sieci. Znaczy to, Ŝe WAN nie łączy jedynie wielu komputerów w wielu miejscach - sieć taka musi mieć wystarczającą przepustowość, aby umoŜliwiać komputerom równoczesną komunikację. Technika sieci rozległych moŜe być wykorzystywana do tworzenia sieci, które rozciągają się na dowolnie duŜe odległości, i przyłączania dowolnie wielu komputerów. Typowa sieć WAN składa się z urządzeń elektronicznych zwanych przełącznikami pakietów, połączonych za pomocą linii komunikacyjnych. Przełącznik pakietów jest realizowany jako wyspecjalizowany komputer przeznaczony do obsługi komunikacji. ChociaŜ poszczególne komputery są podłączane do pojedynczych przełączników, system jest tak skonfigurowany, aby dowolny komputer mógł przesyłać (i odbierać) pakiety do dowolnego innego komputera w sieci. Sieci pakietowe wykorzystują podejście „zapisz i przekaŜ", przy którym przybywający pakiet jest umieszczany w pamięci przełącznika do chwili, gdy jego procesor będzie mógł przekazać go do odbiorcy. Zwykle pakiet nie pozostaje długo w pamięci. Jeśli jednak wiele komputerów próbuje wysyłać pakiety jednocześnie, to opóźnienia się zwiększają. Przekazywanie pakietów jest realizowane strukturą danych zwaną tablicą tras. Tablica ta zawiera pozycję dla kaŜdego odbiorcy i określa następny etap przekazywania pakietów. Aby oszczędzić pamięć, odbiorcami określonymi w tablicy tras są przełączniki pakietów, a nie poszczególne komputery. Sieć WAN moŜe być reprezentowana za pomocą grafu, w którym kaŜdy wierzchołek odpowiada przełącznikowi pakietów, a kaŜda krawędź - linii komunikacyjnej. Reprezentacja grafowa jest uŜyteczna, gdyŜ eliminuje szczegóły, umoŜliwia analizę sieci i moŜe być uŜywana do obliczania tablic tras. Opracowano wiele technik WAN w tym ARPANET, X.25, ISDN, Frame Relay, SMDS oraz ATM. Obecnie szybkie sieci WAN to Frame Relay, SMDS oraz ATM. ATM moŜe się w przyszłości stać bardzo waŜną techniką. 5. Przegląd typowej struktury sieci 5.1. Elementy sieci lokalnej Podstawowe elementy niezbędne do funkcjonowanie sieci moŜna podzielić na dwie kategorie: sprzęt i oprogramowanie. Do zbudowania sieci lokalnej są konieczne następujące elementy (sprzęt): 1. Okablowanie, 2. Hub, 3. Karta sieciowa, 4. Stacja robocza, 5. Serwer plików, 5.1.1 Okablowanie 5.1.1.1 Przewód koncentryczny RóŜne rodzaje kabla koncentrycznego maja róŜne właściwości elektryczne i dlatego kabel wykorzystywany przez jeden typ sieci nie moŜe współpracować z innym. WyróŜniamy trzy typy sieciowych kabli koncentrycznych: • Ethernet cienki o impedancji falowej 50 Ω i grubości 1/4", powszechnie stosowany w małych sieciach lokalnych (maksymalna odległość między stacjami 185 m). • Ethernet gruby o impedancji falowej 50 Ω i grubości 1/2", praktycznie wyszedł z uŜycia, czasem stosowany jako rdzeń sieci (maksymalna odległość między stacjami do 500 m). • Arcnet o impedancji falowej 93 Ω i grubości 1/3" (maksymalna odległość między stacjami do 300 m). Kable koncentryczne powinny być zakończone terminatorami (specjalne końcówki o rezystancji dostosowane do impedancji falowej kabla). • • • Zalety kabla koncentrycznego: jest mało wraŜliwy na zakłócenia i szumy, zapewnia większe prędkości niŜ nie ekranowany kabel skręcany, jest tańszy niŜ ekranowany kabel skręcany, • • • • • Wady kabla koncentrycznego: łatwo ulega uszkodzeniom, moŜliwość zastosowania danego typu kabla ogranicza impedancja falowa, róŜne typy kabla koncentrycznego są wymagane przez róŜne sieci lokalne, trudny w wykorzystaniu, trudności przy lokalizowaniu usterki, 5.1.1.2. Przewód skręcany Najpopularniejszym i najtańszym środkiem transmisji jest nieekranowany kabel skręcany (UTP). Składa się z jednej lub więcej par przewodu miedzianego otoczonych wspólną osłoną izolacyjną. • • • Istnieją trzy rodzaje nie ekranowanego kabla skręcanego: zgodny ze specyfikacją DIW firmy AT&T, zgodny ze specyfikacją 10 BASE T, zgodny ze specyfikacją Type 3 firmy IBM, Rodzaje te róŜnią się ilością posiadanych par przewodów. • • • Zalety: jest najtańszym medium transmisji, jest akceptowany przez wiele rodzajów sieci, łatwa instalacja (standardowo instalowany w nowych budynkach), Wady: • niska prędkość transmisji, • ograniczona długość odcinków kabla z uwagi na małą odporność na zakłócenia, Odporność kabla skręcanego na zakłócenia zwiększa się przez jego ekranowanie. Ekranowany kabel skręcany (STP) składa się z jednej lub więcej par przewodów miedzianych otoczonych ekranującą siatką lub folią, umieszczonych w izolacyjnej osłonie. Izolacja plastikowa Ekran miedziany Osłona zewnętrzna miedziana Ekran foliowy Miedziany przewód Rys.5.1 Skrętka 5.1.1.3 Światłowód W światłowodach do transmisji informacji wykorzystywana jest wiązka światła, która jest odpowiednikiem prądu w innych kablach. Wiązka ta jest modulowana zgodnie z treścią przekazywanych informacji. To rozwiązanie otworzyło nowe moŜliwości w dziedzinie tworzenia szybkich i niezawodnych sieci komputerowych. Właściwie dobrany kabel moŜe przebiegać w kaŜdym środowisku. Szybkość transmisji moŜe wynosić nawet 3 Tb/s. Sieci oparte na światłowodach zwane są FDDI(Fiber Distributed Data Interface). Włókno uŜywane w kablu światłowodowym moŜe być wykonane za szkła lub plastiku. Światłowody plastikowe znacznie łatwiej instalować, ale występują w nich niestety duŜo większe straty, niŜ w światłowodach szklanych. Światłowód wykonany ze szkła kwarcowego, składa się z rdzenia (złoŜonego z jednego lub wielu włókien), okrywającego go płaszcza oraz warstwy ochronnej. Dielektryczny kanał informatyczny eliminuje konieczność ekranowania. Transmisja światłowodowa polega na przepuszczeniu przez szklane włókno wiązki światła generowanej przez diodę lub laser. Wiązka ta to zakodowana informacja binarna, rozkodowywana następnie przez fotodetektor na końcu kabla. MoŜna wyróŜnić światłowody do połączeń zewnętrznych i wewnętrznych oraz wielomodowe i jednomodowe. Kabel zewnętrzny z włóknami w luźnych tubach, jest odporny na oddziaływanie warunków zewnętrznych. Wypełnione Ŝelem luźne tuby zawierają jedno lub kilka włókien i oplatają centralny dielektryczny element wzmacniający. Rdzeń kabla otoczony jest specjalnym oplotem oraz odporną na wilgoć i promienie słoneczne polietylenową koszulką zewnętrzną. Kable wewnętrzne przeznaczone są do układania wewnątrz budynku. Posiadają cieńszą warstwowe ochronną i nie są tak odporne jak kable zewnętrzne. Światłowody wielomodowe przesyłają wiele modułów (fal) o róŜnej długości co powoduje rozmycie impulsu wyjściowego i ogranicza szybkość lub odległość transmisji. Źródłem światła jest tu dioda LED. Światłowody jednomodowe są efektywniejsze i pozwalają transmitować dane na odległość 100 km bez wzmacniacza. Jednak ze względu na wysoki koszt interfejsów przyłączeniowych jest to bardzo drogie rozwiązanie. źródłem światła jest tu laser. Do karty sieciowej światłowód przyłącza się za pomocą złącza fiber connector. MoŜe ono wyglądać róŜnie, w zaleŜności od rodzaju. Rys.5.2. Światłowód wielomodowy 5.1.2 Hub W kaŜdej sieci wszystkie stacje robocze muszą mieć dostęp do serwera plików. PoniewaŜ indywidualne fizyczne połączenie kaŜdej stacji z serwerem nie jest moŜliwe, uŜywa się hubów lub koncentratorów. Hub moŜna porównać do elektrycznej tablicy rozdzielczej w mieszkaniu. Zazwyczaj do mieszkania jest doprowadzona tylko jedna główna linia zasilająca. Ta linia dochodzi do tablicy rozdzielczej, która rozdziela ją na poszczególne obwody zasilające róŜne pomieszczenia mieszkania. Sieć lokalna działa na podobnej zasadzie. Do huba jest podłączony nie tylko serwer plików, ale równieŜ stacje robocze. Niektóre topologie sieci wymagają zmodyfikowania funkcji huba. W topologii z magistralą liniową funkcje huba lub koncentratora spełnia po prostu fragment okablowania. W topologiach gwiazdy, pierścienia oraz gwiaździsto-pierścieniowej, hub jest centralnym obszarem, dzięki któremu porozumiewają się stacje robocze i serwery. Informacje docierające do sieci lub z niej wychodzące są kierowane przez hub do miejsca przeznaczenia. Hub moŜe być aktywny lub pasywny. Hub aktywny oprócz funkcji łączenia kabli regeneruje sygnał, dzięki czemu zwiększa się zasięg przekazywania danych. Hub pasywny tylko łączy kable ze sobą. Rys.5.3. Przykładowy koncentrator sieciowy 8-portowy 5.1.3. Karta sieciowa Komputer moŜe zostać podłączony do sieci, która wysyła i odbiera bity szybciej niŜ procesor komputera moŜe je obsłuŜyć. Jednostka centralna nie obsługuje transmisji i odbioru poszczególnych bitów. Wykonuje to specjalna część sprzętowa łącząca komputer z siecią i obsługując wszystkie szczegóły związane z transmisją i odbiorem pakietu. Fizycznie ten wyspecjalizowany sprzęt składa się z płytki drukowanej, która zawiera elementy elektroniczne. Płytka ta, zwana kartą adaptera sieciowego lub kartą interfejsu sieciowego (ang. Network interface card – NIC), jest wtykana do szyny komputera i za pomocą kabla połączona z siecią. Karta sieciowa rozpoznaje sygnały elektryczne uŜywane w sieci, szybkość, z jaka dane muszą być wysyłane i odbierane, oraz szczegóły formatu ramki sieciowej. Karta zaprojektowana do uŜytku na przykład w sieci Ethernet nie moŜe być wykorzystywana w sieci IBM Token Ring, a interfejs opracowany dla sieci Token Ring nie moŜe być uŜywany w pierścieniu FDDI. Karta sieciowa zawiera układy elektroniczne umoŜliwiające działanie niezaleŜnie od procesora – moŜe ona transmitować i odbierać bity bez wykorzystywania jednostki centralnej do obsługi kaŜdego z nich. Z punktu widzenia procesora karta taka działa jak kaŜde urządzenie wejścia-wyjścia (np. jak dysk). Aby wysłać coś siecią, procesor tworzy w pamięci pakiet, a następnie instruuje kartę, aby rozpoczęła transmisję. Procesor moŜe wykonywać dalej inne zadania, podczas gdy karta obsługuje szczegóły dostępu do ośrodka transmisyjnego oraz transmisji bitów (dokładnie tak, jak procesor moŜe kontynuować inne zadania, podczas gdy interfejs dysku zapisuje dane). Gdy transmisja pakietu zostanie zakończona, karta wykorzystuje mechanizm przerwań do poinformowania o tym procesora. Podobnie karta moŜe odebrać przychodzący pakiet bez konieczności uŜycia jednostki centralnej. Aby odebrać pakiet, procesor rezerwuje w pamięci miejsce na bufor, następnie instruuje kartę, aby wczytała do niego przychodzący pakiet. Karta czeka, aŜ ramka przejdzie przez sieć, tworzy jej kopię, sprawdza sumę kontrolną oraz adres odbiorcy. JeŜeli adres docelowy zgadza się z adresem komputera lub adresem rozgłaszania, karta zapisuje kopię ramki w pamięci oraz uaktywnia przerwanie procesora. JeŜeli adres docelowy nie zgadza się z adresem komputera, karta porzuca ramkę i czeka na następną. W ten sposób karta wykonuje przerwanie procesora tylko wtedy, gdy przybędzie ramka adresowana do miejscowego komputera. WaŜną opcją dotyczącą kart sieciowych jest wykorzystanie bufora w pamięci RAM. Pamięć RAM zainstalowana na karcie sieciowej zapobiega powstawaniu ograniczenia na styku z siecią i moŜe przyspieszać pracę stacji roboczej. Zasada działania bufora jest bardzo prosta. W pewnych okresach szybkość przepływu informacji docierającej z sieci przekracza moŜliwości karty sieciowej. Nadmiarowe dane są tymczasowo umieszczane w obszarze pośredniczącym – buforze w pamięci RAM – do chwili, kiedy karta będzie w stanie je przetworzyć. Bufor w pamięci RAM działa podobnie jak bufor wydruku. Kiedy program wysyła dane do drukarki, zwykle szybkość transmisji przekracza moŜliwości drukarki. Biorąc pod uwagę wydajność całego systemu jest oczywiste, Ŝe wysyłający dane komputer nie powinien oczekiwać na stan gotowości drukarki. Problem rozwiązano za pomocą bufora wydruku, będącego obszarem pamięci, w którym przechodzące dane są przechowywane do czasu, gdy drukarka będzie mogła je przetworzyć. W ten sposób zapewnia się ciągłą pracę drukarki i, co waŜniejsze, nie zmniejsza się szybkość pracy komputera wysyłającego dane. Rys. 5.4. Karta sieciowa Jamicom LAN 8029 5.1.4 Stacja robocza Stacja robocza – komputer o duŜej mocy obliczeniowe j przeznaczony do wykonywania bogatych w grafikę komputerową programów do przetwarzania danych naukowych i technicznych; rzadziej komputer osobisty pełniący funkcję terminala w lokalnej sieci komputerowej 5.1.5 Serwer plików Komputer za pomocą którego odbywa się centralne sterowanie plikami i programami w sieci; informacje te są później udostępniane poszczególnym uŜytkownikom sieci; za pośrednictwem serwera odbywa się równieŜ udostępnianie urządzeń sieciowych- np. drukarek lub skanerów, archiwizacja danych, transakcja protokołów itp. 6. Instalowanie karty sieciowej JeŜeli jest to karta typu Plug&Play to system Windows sam powinien upomnieć się o sterowniki. Posiadając dyskietkę ze sterownikami do karty, naleŜy zainstalować te sterowniki. Czasami jednak zdarza się, Ŝe sterowniki które otrzymuje się z kartą jakimś cudem nie chcą działać. W takim wypadku naleŜy wejść do Panelu Sterowania -> System -> MenedŜer urządzeń -> Urządzenia Sieciowe i usunąć taką wadliwą kartę, a przy następnym restarcie albo automatycznie albo ręcznie zainstalować kartę standardową (najczęściej będzie to karta „Zgodna z NE2000”) Aby ręcznie zainstalować kartę sieciową naleŜy: • Wybrać w Panelu Sterowania opcję Dodaj Nowy Sprzęt • Zrezygnować z automatycznego wyboru sprzętu przez Windows • Z listy sprzętu wybrać karty sieciowe • W nowo otwartym oknie moŜemy wybrać instalację sterowników z dyskietki lub standardowych Windowsowych (w przypadku praktycznie wszystkich tanich kart sieciowych będzie to „Zgodny z NE2000”) • Jeśli nie ma potrzeby uŜyć dodatkowej dyskietki ze sterownikami, po prostu klikamy OK • Teraz naleŜy włoŜyć płytę z Windowsem, odczekać chwilkę i zrestartować komputer NaleŜy zwrócić uwagę na przerwanie IRQ, które Windows przypisał karcie. Zalecane jest aby karta znalazła się na wolnym przerwaniu gdzieś między 9 a 12, tak Ŝeby nie kolidowała z innymi urządzeniami albo Ŝeby nie zajmowała przerwań w pierwszej dziesiątce dla urządzeń które normalnie je wykorzystują. Jeśli karta ustawiona jest w trybie Plug and Play, jeśli chcemy wystarczy zmienić przerwanie w Windows w opcjach urządzenia. Jeśli natomiast karta nie ma opcji Plug and Play musimy odpowiednio ustawić zworki, następnie dopiero zmienić przerwanie w Windows. Rys. 6.1. Ustawianie właściwości karty sieciowej 7. Konfiguracja sieci • • • • • Powinny się tam znaleźć następujące elementy. Klient sieci Microsoft Networks - główna część sieci, logowanie Karta - twoja karta sieciowa - upewnić się Ŝe karta ma prawidłowo przypisane zasoby Protokół zgodny z IPX/SPX - uŜywany do transmisji danych przez DOS/Win3x/Win95 Udostępnianie plików i drukarek - automatycznie dodawane jeśli zaznaczymy opcję „Chcę mieć moŜliwość udostępniania innym moich plików/drukarek.” Logowanie do sieci podstawowej - domyślnie jest „Klient Sieci Microsoft Network”. JeŜeli nie logujemy się do Ŝadnego serwera, moŜna ustawić tutaj opcję „Logowanie Windows” - nie zobaczymy wtedy tabelki logowania przy kaŜdym starcie (system zaloguje się automatycznie). • Aby dodać protokół: Klikamy na przycisk Dodaj Z listy komponentów wybieramy Protokół Z prawej części listy wyboru wybieramy Microsoft Wybieramy poŜądany protokół (IPX/SPX lub TCP/IP) Rys. 7.1 Konfiguracja sieci Rys. 7.2. Instalacja składników sieci Rys. 7.3. Dodanie protokołu Na samym początku zaleca się dodać zarówno protokół IPX/SPX jak i TCP/IP, z tym Ŝe ten drugi naleŜy jeszcze później odpowiednio skonfigurować. Nie naleŜy dodawać tutaj karty sieciowej jako nowego sprzętu. Windows powinien sam ją wykryć albo powinniśmy to zrobić w Dodaj Nowy Sprzęt. Jeśli robimy to tutaj, karta na pewno nie będzie działać (Windows nie przypisze jej odpowiednich zasobów) albo wystąpi zdublowanie urządzenia. NaleŜy obowiązkowo włączyć opcję „Chcę mieć moŜliwość udostępniania innym moich plików”. Jeśli tego nie uczynimy, Windows nie pokaŜe w ogóle Ŝadnych komputerów w Otoczeniu Sieciowym. To czy włączymy opcję udostępniania drukarek zaleŜy tylko i wyłącznie od zapotrzebowania na takowe usługi. Rys. 7.4. Udostępnianie plików UWAGA! Ze względu na podstawowe błędy jakie łatwo popełnić w tym miejscu instalacji, poniŜej wymienione zostaną po kolei wszystkie niezbędne elementy, które powinny się we właściwościach sieci znaleźć: 1. Gdy mamy kartę sieciową i modem: a) Klient Sieci Microsoft Networks, b) Karta Dial-Up, c) Zgodny z NE2000 (lub inna karta sieciowa), d) Protokół TCP/IP -> Karta Dial-Up, e) Protokół TCP/IP -> Zgodny z NE2000, f) Protokół zgodny z IPX/SPX -> Zgodny z NE2000, g) Udostępnianie plików i drukarek w sieciach Microsoft Networks, 2. Gdy mamy tylko kartę sieciową: a) Klient Sieci Microsoft Networks, b) Zgodny z NE2000 (lub inna karta sieciowa), c) Protokół TCP/IP, d) Protokół zgodny z IPX/SPX, e) Udostępnianie plików i drukarek w sieciach Microsoft Networks, W przypadku pierwszym protokoły odwołują się do konkretnych urządzeń, ze względu Ŝe Karta Dial-Up (modem) korzysta tylko z TCP/IP, odwołanie IPX/SPX dla niej naleŜy usunąć. We właściwościach TCP/IP dla karty sieciowej (nie dla modemu ) naleŜy podać adresy IP oraz maskę podsieci. W polu „Identyfikacja” wpisujemy nazwę sieciową swojego komputera, najlepiej swój pseudonim, jako grupę roboczą moŜna pozostawić Workgroup. Opis moŜe być kompletnie dowolny. Rys. 7.5 Ustawianie kontroli dostępu i identyfikacji 8. Architektura sieci lokalnych, standardy i protokoły 8.1. Protokoły Jedną z właściwości architektury sieci jest to, Ŝe moŜna podzielić ją na warstwy, z których kaŜda pełni inne funkcje. Połączenie tych funkcji daje usługę wykonywaną przez sieć. KaŜda warstwa komunikuje się z warstwą znajdującą się poniŜej lub powyŜej. (Protokoły definiują sposób, w jaki odbywa się taka komunikacja). Po zakończeniu wykonywania swojej funkcji kaŜda warstwa przekazuje dane i sterowanie wykonywaniem usługi do warstwy znajdującej się bezpośrednio poniŜej lub powyŜej. Układanie protokołów w warstwy w celu utworzenia architektury sieci jest podstawową zasadą budowania sieci na podstawie standardów. W tym miejscu nie jest istotne rozumienie zasad działania kaŜdego protokołu ani funkcji spełnianych przez poszczególne warstwy. Trzeba jedynie przyjąć do wiadomości, Ŝe sieci buduje się z warstw protokołów, a te protokoły są blokami składowymi, na podstawie których organizacje opracowujące standardy tworzą architektury sieci. Obecnie istnieje wiele róŜnorodnych protokołów, na ogół niezgodnych z innymi protokołami. Dzieje się tak głównie dlatego, Ŝe duŜe firmy komputerowe ustaliły własne standardy komunikacyjne lub sieciowe. Po utworzeniu przez danego producenta własnej warstwowej architektury sieci, jego produkty mogą porozumiewać się z innymi produktami naleŜącymi do tej samej rodziny. Jednak co zrobić, jeśli trzeba połączyć ze sobą maszyny pochodzące od dwóch róŜnych producentów? Ten problem zrodził potrzebę opracowania niezaleŜnego od producentów standardu dla kaŜdej warstwowej architektury sieci. Tak właśnie powstał model OSI. Inne organizacje definiujące standardy równieŜ intensywnie współpracują w poszukiwaniu rozwiązania zagadnienia zgodności w sieciach komputerowych. 8.2. Model OSI Opublikowany po raz pierwszy w roku 1978 model OSI opisuje architekturę sieci łączącej odmienne elementy. Oryginalny dokument dotyczył systemów otwartych, czyli takich systemów, które są wzajemnie otwarte, gdyŜ stosują takie same protokoły komunikacyjne lub standardy. Model OSI dotyczy głównie połączeń między systemami - sposobów wymiany między nimi informacji - a nie wewnętrznych funkcji poszczególnych systemów. W roku 1984 opublikowano zmodyfikowaną wersję tego dokumentu i wtedy stał się on międzynarodowym standardem, na którym wzoruje się wielu producentów, projektując warstwowe architektury swoich sieci. Model OSI składa się z protokołów ułoŜonych warstwowo na siedmiu poziomach funkcjonalnych: • Warstwa fizyczna (ang. physical layer) - przesyła strumień bitów przez specjalny fizyczny nośnik informacji (kabel). WiąŜe się z utworzeniem połączenia między dwoma maszynami wymieniającymi sygnały elektryczne. • Warstwa łqcza danych (ang. data link layer) - zapewnia niezawodną transmisję danych od jednego węzła do drugiego, izolując wyŜsze warstwy od fizycznego nośnika informacji. Ta warstwa jest odpowiedzialna za bezbłędną transmisję ramek danych. Dzieli się na dwie podwarstwy: warstwę MAC (Media Access Con-trol - kontrola dostępu do nośnika) oraz LLC (Logical Link Control - kontrola łącza logicznego). • Warstwa sieciowa (ang. network layer) - rozsyła dane pomiędzy węzłami sieci. Tworzy, podtrzymuje i przerywa połączenia sieciowe między dwoma uŜytkownikami oraz przesyła dane przez te połączenia. Wykonuje równieŜ operacje podziału i powtórnego składania strumienia informacji. • Warstwa transportowa (ang. transport layer) - zapewnia przekazywanie danych między dwoma uŜytkownikami na uzgodnionym poziomie jakości. Po ustaleniu połączenia między dwoma węzłami ta warstwa wybiera odpowiednią klasę usług. Ta klasa monitoruje transmisję w celu zapewnienia odpowiedniego poziomu jakości oraz informuje uŜytkowników, gdy jakość spadnie poniŜej dopuszczalnej granicy. • Warstwa sesji (ang. session layer) - zapewnia usługi wykorzystywane przy organizowaniu i synchronizowaniu dialogu występującego między dwoma uŜytkownikami oraz zarządza wymianą danych. Głównym zadaniem tej warstwy jest sprawdzanie, kiedy uŜytkownik moŜe wysłać lub odebrać dane, zaleŜnie od tego, czy dane moŜna odbierać i wysyłać jednocześnie, czy na przemian. • Warstwa prezentacji (ang. presentation layer) - odpowiada za przekazywanie informacji uŜytkownikowi sieci w zrozumiały dla niego sposób. W zakres wykonywanych przez tę warstwę operacji wchodzi między innymi translacja kodów znaków, konwersja oraz kompresja i dekompresja danych. • Warstwa aplikacji (ang. application layer) - umoŜliwia programom uŜytkowym dostęp do mechanizmów łączących systemy w celu wymiany informacji. NaleŜą do niej między innymi usługi stosowane do tworzenia i zamykania połączeń między uŜytkownikami. Dodatkowo umoŜliwia monitorowanie i zarządzanie połączonymi systemami oraz uŜywanymi przez nie zasobami. Warstwa Warstwa aplikacji Warstwa prezentacji Warstwa sesji Warstwa transportowa Warstwa sieciowa Warstwa łącza danych Warstwa fizyczna Rys. 8.1. Warstwowy model OSI. Prace nad modelem OSI wciąŜ trwają. Dla pewnych warstw opracowano juŜ specjalne standardy dopasowane do wymogów modelu, natomiast standardy dla pozostałych warstw są dopiero formułowane. Model OSI miał i wciąŜ ma wielki wpływ na zagadnienia związane z przesyłaniem danych - szczególnie w kontekście sieci lokalnych. Wiele standardów stosowanych w sieciach lokalnych pochodzi właśnie z modelu OSI. Na przykład dwie pierwsze warstwy modelu (fizyczna i łącza danych) bardzo wpłynęły na opracowanie i zdefiniowanie standardów sieci lokalnych. Największą zasługę ma tu Projekt 802, który skoncentrował się na tych właśnie warstwach modelu, podczas gdy funkcje wyŜszych warstw modelu OSI pozostawiono do opracowania autorom implementacji sieci. Warstwa Warstwa aplikacji Warstwa prezentacji Warstwa sesji Warstwa transportowa Warstwa sieciowa Warstwa łącza danych Warstwa fizyczna Rys. 8.2. Projekt 802 dotyczy głównie dwóch najniŜszych warstw modelu OSI: warstwy fizycznej i łącza danych 9. Komunikatory sieciowe. Sieciowe pogadanki to temat bardzo obszerny - zarówno rozwaŜając rozwiązania w sieci lokalnej, jaki i te dla Internetu. Usługa Posłaniec, IRC, komunikatory, czat, programy do obsługi kamer internetowych i mikrofonów - kaŜda technologia roi się od róŜnorodnych aplikacji po stronie klienta, od tekstowych począwszy, a na graficznych, oferujących multimedialne interfejsy skończywszy. SłuŜbowe konwersacje za pośrednictwem Internetu pozwalają obniŜyć koszty delegacji i rozmów telefonicznych. Do komunikacji w obrębie sieci lokalnej moŜna wykorzystać mechanizmy wbudowane w systemy operacyjne. W przypadku Windows 2000 lub XP przykładem moŜe być usługa Posłaniec. Jej uŜycie jest bardzo proste, ale niezbyt przyjazne dla początkujących uŜytkowników komputera. W załoŜeniu ma ona słuŜyć do wysyłania alertów lub komunikatów administracyjnych. W linii poleceń wydajemy po prostu komendę net send nazwa_komputera komunikat, na przykład: net send Adam Co teraz robisz? Na komputerze Adam pojawi się wówczas proste okno dialogowe, zawierające nadawcę, odbiorcą, datę wysłania oraz treść wiadomości. Oferowana usługa nie wymaga instalacji ani uruchamiania dodatkowych programów - do wysyłania prostych alertów jest wręcz idealna. Dla wymagających uŜytkowników bardzo szybko pojawiły się proste programy, które usługę Posłańca znacznie rozbudowały, wciąŜ korzystając z jego mechanizmu. Za ich pomocą moŜna archiwizować i wyszukiwać wiadomości oraz budować proste skrzynki adresowe. UŜytkownicy Windows 9x/Me mogą korzystać z bardzo podobnego mechanizmu. Aby odbierać i wysyłać wiadomości, muszą jednak mieć uruchomiony program WinPopup, na przykład wydając z linii poleceń komendę winpopup. Największą wadą tej aplikacji jest brak moŜliwości przesunięcia jej do Paska systemowego, co skutkuje często przypadkowym zamykaniem okien przed przeczytaniem wiadomości. Szybko pojawiły się bardzo dobre klony (kilka propozycji było autorstwa polskich programistów), które nie tylko pozwalały minimalizować aplikację do Paska systemowego, lecz równieŜ wyposaŜyły ją w przydatne funkcje, takie jak wymiana wiadomości z maszynami pod kontrolą Linuksa za pomocą usługi Samba. Jednym ze sposobów wykorzystania technologii rozmów sieciowych na styku klient-firma są czaty uruchamiane w działach hotline lub obsługi klienta. Internauta potrzebujący pomocy moŜe porozmawiać z serwisantem o problemach z zakupionym sprzętem lub z handlowcem o cenach czy warunkach sprzedaŜy. Komunikatory przydają się takŜe do sprawnego porozumiewania się wewnątrz firmy. Aplikacją kompleksowo wspierającą telekonferencje jest na przykład NetMeeting - standardowy składnik systemów Windows. Program ten oferuje realizację rozmów - zarówno w postaci multimedialnej (przekaz dźwięku i obrazu), jak i w formie wiadomości tekstowych. Do dyspozycji jest takŜe specjalny program graficzny do kreślenia szkiców czy rysunków poglądowych, które są prezentowane na Ŝywo innym uczestnikom telekonferencji. Do dyskutantów moŜna przesłać dowolny plik, a takŜe udostępnić im aplikację z naszego systemu (na przykład w celu prezentacji oprogramowania). Mimo swej prostoty NetMeeting zawiera wszystkie elementy potrzebne do realizacji videokonferencji. Microsoft udostępnia ponadto obszerne SDK (Software Development Kit), za pomocą którego moŜna umieszczać elementy NetMeetingu we własnych aplikacjach lub na stronach WWW. 10. Bezpieczeństwo sieci KaŜdy z uŜytkowników, niezaleŜnie od sposobu, w jaki korzysta ze swojego komputera, oraz od waŜności danych w nim przechowywanych, powinien dbać o bezpieczeństwo swojego komputera. Niektórzy sadzą, Ŝe jeŜeli nie mają ściśle tajnych danych albo nie pracują w organizacji obracającej miliardami, to mogą czuć się bezpieczni. Niestety, jest to rozumowanie całkowicie błędne. Konieczne jest zabezpieczenie kaŜdego systemu komputerowego, bez względu na to, do jakich celów on słuŜy. Niebezpieczeństwa czyhające dziś na komputer wpięty do Sieci są całkiem inne niŜ kilka bądź kilkanaście lat temu. Kiedyś podstawowym zagroŜeniem były wirusy i sporadycznie w porównaniu z ich atakami włamania pojedynczych hakerów. Wirusy do infekowania kolejnych komputerów wykorzystywały głównie dyskietki (rzadziej płyty CD-ROM), celem ataków były zaś głównie systemy komputerowe organizacji lub bogatych firm. Wraz z rozwojem technologii komputerowych i Internetu przybyło wiele nowych zagroŜeń. Wirusy i inne złośliwe oprogramowania, takie jak robaki, bomby logiczne czy konie trojańskie, rozprzestrzeniające się głównie za pośrednictwem sieci komputerowych, sporadycznie tylko traktując infekcję plików przenoszonych na płytach CD jako dodatkowy kanał do infekowania ofiar. Najprawdopodobniej (z powodu większej liczby oferowanych funkcji) uŜytkownicy będą wybierali systemy w pełni wspierające wspólną pracę wielu uŜytkowników oraz dostęp do sieci. JeŜeli instalujemy system operacyjny, z którego korzysta więcej niŜ jeden uŜytkownik, powinniśmy zadbać o to, aby poszczególnym uŜytkownikom nadawać minimalne (lecz wystarczające do prawidłowej ich pracy) uprawniania. Kolejną waŜną rzeczą są zagadnienia dotyczące nadawania uprawnień do plików i katalogów( na przykład stosując system plików NTFS). W prawdziwym środowisku wielouŜytkownikowym warto dokładnie ustalić ograniczenia dotyczące korzystania z przestrzeni dyskowej czy czasu procesora (tak zwane quoty). Na dłuŜszą metę zapewni to mniejszą awaryjność systemu. NaleŜy równieŜ zwrócić uwagę na funkcje szyfrowania plików oferowane przez OS. Dobrym rozwiązaniem jest równieŜ wyłączenie opcji pokazywania zasobów systemowych, co zabezpieczy nas przed przypadkową modyfikacją lub usunięciem waŜnych plików. Podczas tworzenia haseł naleŜy zwrócić uwagę na ich odpowiednią długość i złoŜoność. Oba te czynniki utrudniają odgadnięcie hasła osobie postronnej lub złamaniem go za pomocą specjalnego programu. Mocne hasła powinny mieć długość minimum sześć znaków i zawierać małe i duŜe litery, cyfry oraz znaki alfanumeryczne. UŜytkownicy co jakiś czas powinni zmieniać swoje hasła - jeŜeli nawet zostaną one złamane, to jest spora szansa, Ŝe intruz nie będzie miał zbyt duŜo czasu na dostęp do systemu. Nawykiem powinno być teŜ zabezpieczanie róŜnych zasobów innymi hasłami. WaŜne jest, aby do budowy hasła nie wykorzystywać ogólnie dostępnych informacji dotyczących nas samych (np. daty urodzenia, imienia Ŝony czy psa). Tego typu informacje mogą być łatwo zdobyte przez intruza i wykorzystane do złamania naszego hasła. Często zdarza się, Ŝe niepowołane osoby w bardzo łatwy sposób uzyskują dostęp do poufnych informacji. Przykładem moŜe być poznanie haseł "zza pleców", poprzez obserwowanie ich wprowadzanie przez legalnych uŜytkowników systemu lub ... odczytywanie karteczki przyklejonej do monitora. Innego rodzaju podobne przykłady to podawanie haseł przez telefon czy wysyłanie haseł w e-mailach (kierowanych rzekomo do administratora systemu z powodu awarii). Działania osób niepowołanych, mające na celu zdobycie informacji poufnych, nosi w narzeczu hakerów nazwę inŜynierii społecznej (social engineering). Jedynym zabezpieczeniem przed wyciekaniem tego rodzaju informacji jest edukacja uŜytkowników systemów komputerowych. 1. 2. Haker - to osoba zafascynowana arkanami wiedzy o komputerach. Często jest programistą. Wie duŜo o systemach operacyjnych i językach programowania. Znajduje luki w systemach i przyczyny ich powstawania. Nieustannie zdobywa nową wiedzą i dzieli się nią z innymi. Co istotne, nigdy nie niszczy celowo danych. Kraker (włamywacz) - włamuje się lub w inny sposób narusza bezpieczeństwo komputera zdalnego. Po uzyskaniu nieautoryzowanego dostępu niszczy kluczowe dane, zamyka dostęp prawowitym uŜytkownikom i ogólnie przyczynia się do powstawania problemów. Krakera jest łatwo poznać: kierują nim złe pobudki. 11. Ataki na sieć Poprzez termin atak moŜna określić dowolną, nieupowaŜnioną akcję, przeprowadzoną w celu naruszenia bezpieczeństwa serwera - w tym takŜe utrudnienia bądź teŜ uniemoŜliwienia jego normalnej pracy. Atak taki moŜe sięgać od powodowania odmowy obsługi (denial of service) aŜ do kompletnego zniszczenia serwera. Poziom ataku, który jest skuteczny, zaleŜy od przedsięwziętych środków bezpieczeństwa przez administratora sieci. Atak moŜe nastąpić w dowolnej chwili, kiedy sieć podłączona jest do Internetu. PoniewaŜ większość sieci podłączonych jest przez 24 godziny na dobę - oznacza to, Ŝe w kaŜdej chwili moŜna spodziewać się ataku. NiezaleŜnie od tego, moŜna przewidzieć sposób postępowania hakerów. Większość ataków ma miejsce (lub przynajmniej zaczyna się) późno w nocy (czasu lokalnego serwera). MoŜna by przypuszczać, Ŝe włamywacze wolą pracować w dzień, gdyŜ duŜy ruch o tej porze w sieci mógłby ukryć ich aktywność. Istnieje jednak wiele powodów, dla których unikają oni tej pory: 1. 2. 3. Praktyczność - większość włamywaczy pracuje, chodzi do szkoły lub spędza czas w inny sposób i w związku z tym nie mają oni czasu na włamywanie się w dzień. Dawniej sytuacja wyglądała inaczej, z uwagi na stosunkowo młody wiek włamywaczy. Szybkość - obecnie sieć staje się coraz bardziej obciąŜona. Z tego powodu często okazuje się, Ŝe lepiej pracować jest wtedy, gdy jej przepustowość jest największa. Dogodny czas zaleŜy głównie od połoŜenia geograficznego. Na przykład - najlepsza pora dla włamywacza znajdującego się na południowym zachodzie USA i atakującego serwer w Londynie byłaby między godziną 22:00 i 12:00 czasu lokalnego. Przed godziną 22:00 ludzie mogą sprawdzać pocztę przed snem, czytać wiadomości na Usenecie itp. KaŜdy kto korzysta z Internetu w nocy moŜe to potwierdzić. Tajność - przypuśćmy, Ŝe włamywacz znalazł lukę w bezpieczeństwie systemu. WaŜne jest takŜe to, Ŝe jest godzina 11:00 rano i trzech administratorów jest zalogowanych do sieci. Co moŜna w takiej sytuacji zrobić? Bardzo niewiele. Ulubionymi przez włamywaczy maszynami są takie, na których Ŝaden uŜytkownik w danej chwili nie pracuje. Mając do dyspozycji taką maszynę moŜna ją tymczasowo przejąć i przygotować do przeprowadzenia ataku. Ponadto, jest duŜo czasu aby pozamieniać logi systemowe. Włamywacze uŜywają rozmaitych systemów. Stosunkowo rzadziej działają na platformie Macintosha, gdyŜ nie ma dla niego wystarczającej ilości programów narzędziowych. Ponadto są problemy z przeniesieniem potrzebnych narzędzi z innych systemów. Najbardziej popularny jest UNIX (w szczególności jego odmiany: FreeBSD i Linux) - z uwagi na generalnie niskie obciąŜenie. Na przykład, Windows z róŜnymi dodatkami potrzebuje duŜo pamięci RAM. Dla kontrastu - Linuxa lub FreeBSD moŜna uruchomić na tanim PC 486 i uzyskać dobrą wydajność (jeśli zrezygnuje się ze środowiska okienkowego - X Window). Jest to rozsądne, nawet w odniesieniu do narzędzi napisanych pod X Window - mają one zazwyczaj swoje odpowiedniki, które moŜna uruchamiać w trybie tekstowym. Dawniej wiele ataków pochodziło z uniwersytetów, w większości włamywacze byli młodymi ludźmi, którzy nie mieli moŜliwości dostępu do sieci w inny sposób. Ponadto, prawdziwe TCP/IP nie było powszechnie dostępne (przynajmniej nie w takiej formie jak dzisiaj - dla ludzi, którzy będąc w domu mogą włączyć się do sieci). Obecnie sytuacja wygląda zupełnie inaczej. Hakerzy mogą włamywać się do sieci będąc u siebie w domu, w biurze lub w podróŜy (jednak powaŜni włamywacze generalnie nigdy nie korzystają z usług dostawców). Ponadto, dostawcy ci nie oferują konta unixowego, pozwalającego np. na zalogowanie się i korzystanie z powłoki (shell). Z poziomu powłoki moŜna uruchamiać róŜne programy narzędziowe (np. Perl, AWK, SED, kompilatory C i C++) oraz komendy systemowe (np. showmount, rusers). Dla potencjalnych włamywaczy jest to powaŜne utrudnienie. Trudno określić typowy cel ataku, poniewaŜ większość krakerów atakuje róŜne sieci z róŜnych powodów. NiezaleŜnie od tego, popularnym celem jest mała, prywatna sieć. Hakerzy są świadomi, jakiego rodzaju zabezpieczenia mogą spotkać. Zakup, jak i utrzymanie zapór sieciowych (firewall) jest kosztowne - stąd w wielu instytucjach stosowane są inne, tańsze rozwiązania. Poza tym, niewiele małych firm moŜe pozwolić sobie na zatrudnianie osób, których zadaniem jest przeciwdziałanie ewentualnym atakom. Wybór celu ataku zaleŜy w duŜym stopniu od wiedzy krakera. W rzeczywistości, niewielu zna więcej niŜ jeden system na tyle dobrze, aby móc się do niego włamać. Na przykład, ktoś kto zna VAX/VMS bardzo dobrze, moŜe wiedzieć niewiele o systemie SunOS. Celem ataków takiego włamywacza będą bez wątpienia maszyny VAX i ostatecznie (być moŜe ze względu na doświadczenie) stacje DEC Alpha. Większość celów to uniwersytety, z uwagi na ich olbrzymie zasoby obliczeniowe. Inny powód jest taki, Ŝe maszyny uniwersyteckie mają często po kilkuset uŜytkowników, nawet w relatywnie małych segmentach sieciowych. Administracja takich miejsc jest trudnym zadaniem. Innymi popularnymi celami ataków są instytucje rządowe. Taki atak, jeŜeli się powiedzie, moŜe przynieść krakerowi uznanie w środowisku. Nie ma znaczenia nawet, czy zostanie on złapany, najwaŜniejsze jest, Ŝe udało mu się złamać zabezpieczenia w przypuszczalnie dobrze chronionym systemie. Wyczyn taki jest potwierdzeniem jego umiejętności. 12. Rodzaje ataków • Sniffing (podsłuch (dosł. węszenie) transmisji danych) UŜywając programów typu analizator pakietów moŜna "podsłuchać" transmisję TCP, taką jak np. sesje TELNET czy FTP, gdzie wszystkie wymieniane dane to "gołe" pakiety i dzięki temu przechwycić hasło wymagane przy logowaniu się, po przechwyceniu hasła moŜna wejść na konto uŜytkownika i spróbować wykorzystać np. exploita dzięki któremu spodziewamy się dostać prawa administratora. Warto zauwaŜyć Ŝe programy tego typu korzystają z "promiscous mode", a więc aby uruchomić taki program naleŜy JUś mieć gdzieś prawa administratora systemu (najlepiej w domenie gdzie znajduje się obiekt naszego ataku), • • • • • • takie programy to LanWatch, IPtrace, snoop, sniffit, LinuxSniffer, Ipinvestigator, strobe. Spoofing (podszywanie się pod legalną "zarejestrowaną" maszynę) podszywanie ma na celu ominięcie zabezpieczeń związanych z dostępem do usług tylko dla wybranych adresów, np. tylko lokalni uŜytkownicy mogą korzystać z usługi która moŜe okazać się niebezpieczną po udostępnieniu jej światu zewnętrznemu. Programy reprezentujące ten typ ataków to: fakerwall i spoofer Cracking (łamanie haseł z passwd metodą słownikową, lub teŜ próbkowanie programu autoryzującego słowami z odpowiednio przygotowanych słowników). Są jeszcze systemy, gdzie "czyste" passwd moŜna sobie skopiować przez TFTP, lub teŜ po "zorganizowaniu" sobie konta zwykłego uŜytkownika skopiować passwd, i programem crack z odpowiednią ilością słowników próbkować po kolei wszystkie konta. Dostęp do passwd moŜna teŜ uzyskać wykorzystując tzw. błąd phf niektórych serwerów webowych i ich CGI, istnieją nawet programy wyszukujące takie serwery. MoŜna teŜ próbkować w ten sposób sam program autoryzujący (np. w POP3) , lecz jest to łatwe do wykrycia, ze względu na ruch generowany w sieci i obciąŜenie maszyny autoryzującej. Hijacking (przechwytywanie zdalnej sesji legalnego uŜytkownika systemu), metoda przejęcia sesji uŜytkownika oparta o mechanizm połączeniowy protokołu TCP (3-way handshaking) na czym opiera się TELNET, oraz wygenerowanie odpowiedniego numeru sekwencyjnego. Forma ataku, którą trudno jest wykryć, a uŜytkownik którego sesja jest przechwytywana, moŜe zorientować się Ŝe cos jest nie tak, po nagłym 'resecie' sesji, lub później przeglądając to co robił, programem 'history'. Administrator moŜe rozpoznać tę formę ataku po wykryciu stanu DESYNCH połączenia, oraz lekko zwiększonej ilości pakietów TCP ACK w segmencie, zwiększa się takŜe współczynnik utraty pakietów. Aby uchronić się przed tym rodzajem ataku, naleŜy zrezygnować z TELNET'a na rzecz np. SSH, lub teŜ zaimplementować KERBEROSA. Denial of Service (blokada usług świadczonych przez system). Przez wysyłanie niewłaściwie sformowanych pakietów, lub flood'owanie danego portu systemu, moŜna spowodować jej zawieszenie, lub teŜ zawieszenie całego systemu, wykorzystują błędy w implementacji obsługi gniazd (np. zbyt długie pakiety ICMP ) itp. Ratunkiem przed tego typu atakami są jedynie patche (czyli łatki) na oprogramowanie, oraz zaopatrzenie się w odpowiednie narzędzia logujące zdarzenia. W pewnych określonych sytuacjach sprawę rozwiązuje jednak dopiero zakup FIREWALL'a. Wykorzystywanie tzw. exploit'ów. Exploity to małe programy głównie w C i PERL'u, które wykorzystują dziury w oprogramowaniu systemowym (np. SUID), polegające głównie na przepełnianiu buforów i skokach podprogramów w losowe miejsce w pamięci normalnie zabronione dla uŜytkownika (GCC trampolines) , dzięki czemu moŜna uzyskać prawa administratora systemu. Ta forma ataku moŜe się powieść, jednak intruz musi najpierw zdobyć konto na danej maszynie. Obroną przed tego typu atakiem, jest śledzenie na bieŜąco list dyskusyjnych poświeconych dziurom w oprogramowaniu sieciowym (BUGTRAQ, linux-security), regularne sprawdzanie logów. Socjotechnika - Paradoksalnie, najprostsze metody (niekiedy bardzo skuteczne – jednak jest to sprawa indywidualna) nie wymagają wielkiej wiedzy na temat luk w zabezpieczeniach systemów do których włamywacz chce uzyskać dostęp. Zaliczają się do tej grupy metody socjotechniczne (ang. social engeneering) polegające na wyłudzaniu haseł dostępu do systemu wprost od jego nieświadomych uŜytkowników. Najprościej im zapobiegać stosując politykę bezpieczeństwa oraz szkoląc uŜytkowników sieci. 13. Literatura. 1. Greg Nunemacher: „Przewodnik po sieciach lokalnych”, ZNI„Mikom”, Warszawa 1996. 2. Douglas E. Comer: „Sieci komputerowe i intersieci”, Wydawnictwa Naukowo – Techniczne, Warszawa 2000. 3. Frank J. Derfler, JR., Les Freed: „Jak działają sieci”, Wydawnictwo Naukowe PWN, Warszawa 1995. 4. T. Bogdan: „Aparaty i urządzenia elektryczne”, Wydawnictwa Szkolne i Pedagogiczne, Warszawa 1998. 5. P. Ciborski: „Vademecum BHP w pytaniach i odpowiedziach”, Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 1998. 6. Strony WWW: http://lanzone.koti.com.pl http://www.meditronik.com.pl http://www.wsiz.rzeszow.pl/html/student/pracekzr/martyn2/