Вывод
В этой главе были рассмотрены вопросы, касающиеся информационной безопасности, в общем, и безопасности систем информации и локальных вычислительных сетей в частности. Были описаны основные угрозы информационной безопасности, а также средства и методы предотвращения этих угроз и борьбы с их последствиями. Исходя из, этого можно сделать некоторые выводы. Во-первых, для эффективной защиты информации и ее безопасности, необходимо использовать все возможные средства. Очень важно применять и их не отдельно друг от друга, а комплексно, тем самым усиливая эффективность защиты. Во-вторых, можно сделать вывод о том, что арсенал хакеров и других злоумышленников очень велик и разнообразен. Они используют различные способы, средства и метолы для того, чтобы достичь своих целей. В ход идет все: начиная от простой кражи и заканчивая социальной инженерией. Именно поэтому так важно не терять бдительности и следить за соблюдением режима информационной безопасности. В-третьих, не стоит забывать, что самым уязвимым звеном в информационной системе является человек, и поэтому стоит уделять больше внимания людям, которые имеют непосредственный доступ к информации или информационным ресурсам.
ГЛАВА 2. ОРГАНИЗАЦИЯ ЗАЩИТЫ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ § 2.1. Основы организации локальной вычислительной сети.
Говоря о безопасности локальной вычислительной сети, мы не можем не затронуть вопросы ее организации. Но прежде приступить к ним, необходимо дать определение локальной вычислительной сети. Локальная вычислительная сеть – это система связи компьютеров, покрывающая относительно небольшую территорию или группу зданий (например, университет, школа, офис). Отдельная локальная вычислительная сеть может иметь связь с другими локальными сетями через шлюзы, а также быть частью глобальной вычислительной сети (например, Интернет) или иметь подключение к ней. Компьютеры могут соединяться между собой, используя различные среды передачи данных. Несмотря на то, что во всем мире сейчас идет переход на беспроводные сети, на сегодняшний день в основе большинства локальных сетей по-прежнему лежит соединение компьютеров кабелями. Все дело в том, что технологии проводных сетей позволяют создавать высокопроизводительные и недорогие решения, которые отлично подходят для любых целей. В основе таких сетей лежит технология Ethernet, которая является наиболее популярной из всех технологий организации сети. В качестве среды передачи данных, сети Ethernet используют различные виды кабелей. Это могут быть коаксиальные кабели, оптоволокно или витая пара. Коаксиальные кабели морально устарели и практически не используются, оптоволокно хоть и позволяет достигать большой скорости передачи данных, однако очень дорого. Оптимальным решением является витая пара, которая и используется в большинстве локальных вычислительных сетей. Существует достаточно большое количество различных видов Ethernet. Выделим некоторые из них:
100Base-TX – реализация Ethernet, наиболее актуальная для небольших локальных сетей (в том числе и для локальной сети образовательного учреждения). Эту технологию называют еще Fast Ethernet. Пропускная способность такой сети равняется 100 Мбит/с. В качестве среды передачи данных используется витая пара.
Gigabit Ethernet – локальная сеть с пропускной способностью 1000 Мбит/с. Это достаточно высокая скорость передачи данных, однако оборудование для такой сети достаточно дорого. Это обуславливается как дороговизной самого оборудования, так и тем, что для такой сети лучше всего использовать оптоволоконные линии связи, хотя, качестве физической среды передачи данных может использоваться и витая пара.
Говоря о характеристике различных видов Ethernet-сетей, мы упоминали такое понятие, как пропускная способность сети. Пропускная способность сети – это скорость передачи данных по линии связи. Иными словами, пропускная способность сети – количество информации, переданное по этой сети за единицу времени. Говоря о пропускной способности линии связи надо учитывать, что она редко достигает максимальных значений по причинам помех в линиях связи, ошибок в работе оборудования и так далее. Так же надо учитывать, что часть пропускной способности тратится на передачу служебной информации, что, естественно, уменьшает саму пропускную способность.
Еще одной важной характеристикой сети является ее топология. Топология – это способ связи нескольких компьютеров в сеть. Иными словами топология – это физическая схема, отображающая расположение узлов сети и соединяющие их кабели. Выделяют следующие сетевые топологии:
шинную;
звездообразную;
кольцевую;
ячеистую.
Шинная топология представляет собой топологию, в которой все устройства локальной сети подключаются к линейной сетевой среде передачи данных (см. рис. 1). Такую линейную среду часто называют каналом, шиной или трассой. Каждое устройство, например, рабочая станция или сервер, независимо подключается к общему шинному кабелю с помощью специального разъема. Шинный кабель должен иметь на конце согласующий резистор, или терминатор, который поглощает электрический сигнал, не давая ему отражаться и двигаться в обратном направлении по шине. Такая топология свойственна устаревшим сетям, использующим в качестве среды передачи информации коаксиальный кабель.
Рис. 1. Шинная топология.
Достоинства:
Небольшое время установки сети.
Дешевизна (требуется меньше кабеля и сетевых устройств).
Простота настройки.
Выход из строя рабочей станции не отражается на работе сети.
Недостатки:
Неполадки в сети, такие как обрыв кабеля и выход из строя терминатора, полностью блокируют работу всей сети.
Сложная локализация неисправностей.
С добавлением новых рабочих станций падает производительность сети.
Звездообразная топология – наиболее распространенная на сегодняшний день сетевая топология, являющаяся наиболее простой в обслуживании. При такой топологии все компьютеры сети присоединены к центральному узлу (хабу), которым могут быть коммутатор, концентратор или повторитель, образуя физический сегмент сети (см. рис. 2). Весь обмен информацией идет исключительно через центральный компьютер, на который таким способом возлагается очень большая нагрузка, поэтому ничем другим, кроме сети, он заниматься не может. Как правило, именно центральный компьютер является самым мощным, и именно на него возлагаются все функции по управлению обменом. Никакие конфликты в сети с топологией звезда в принципе невозможны, потому что управление полностью централизовано.
Рис. 2. Звездообразная топология.
Достоинства:
Выход из строя одной рабочей станции не отражается на работе всей сети в целом.
Хорошая масштабируемость сети.
Лёгкий поиск неисправностей и обрывов в сети.
Высокая производительность сети (при условии правильного проектирования).
Гибкие возможности администрирования.
Недостатки:
Выход из строя центрального концентратора обернётся неработоспособностью сети (или сегмента сети) в целом.
Для прокладки сети зачастую требуется больше кабеля, чем для большинства других топологий.
Конечное число рабочих станций в сети (или сегменте сети) ограничено количеством портов в центральном концентраторе.
Кольцевая топология – это топология, при которой каждый компьютер сети соединен линиями связи только с двумя другими (см. рис. 3). От одного он только получает информацию, а другому только передает. На каждой линии связи, как и в случае звезды, работает только один передатчик и один приемник. Это позволяет отказаться от применения внешних терминаторов. Компьютеры в кольце не являются полностью равноправными. Одни из них обязательно получают информацию от компьютера, который ведет передачу в этот момент, раньше, а другие — позже. Именно на этой особенности топологии и строятся методы управления обменом по сети. В этих методах право на следующую передачу переходит последовательно к следующему по кругу компьютеру.
Рис. 3. Кольцевая топология.
Достоинства:
Простота установки.
Практически полное отсутствие дополнительного оборудования.
Возможность устойчивой работы без существенного падения скорости передачи данных при интенсивной загрузке сети, поскольку использование маркера исключает возможность возникновения коллизий.
Недостатки:
Выход из строя одной рабочей станции, и другие неполадки (обрыв кабеля), отражаются на работоспособности всей сети.
Сложность конфигурирования и настройки.
Сложность поиска неисправностей.
Необходимость иметь две сетевые платы, на каждой рабочей станции.
Ячеистая топология – топология, характерная для крупных сетей. При такой топологии каждый компьютер сети соединяется с несколькими другими компьютерами этой же сети (см. рис. 4). Каждый компьютер имеет множество возможных путей соединения с другими компьютерами.
Рис. 4. Ячеистая топология.
Достоинства:
Высокая отказоустойчивость.
Наличие множества путей соединения одного компьютера с другими.
Обрыв кабеля не приведет к потере соединения между двумя компьютерами.
Возможность соединения большого числа компьютеров.
Недостатки:
Сложность настройки.
Переизбыточный расход кабеля.
Существуют и другие виды топологий, являющиеся производными от тех, которые мы перечислили. Они получаются путем комбинации двух или более базовых топологий и называются гибридными. К таким топологиям относятся: двойное кольцо, решётка, дерево, Fat Tree, полносвязная топология.
Конечно, для того, чтобы создать реальную локальную вычислительную сеть, мало знать о том, в соответствии с какой топологией она будет построена и какими кабелями соединена. Необходимо еще наличие соответствующего оборудования. Для построения Ethernet-сети потребуются следующие технические средства:
Сетевые карты.
Коммутатор (хаб).
Система кабелей.
Сетевая карта занимается передачей информации между компьютерами сети. Она принимает данные от компьютера, преобразует их в форму, подходящую для передачи по сети, отправляет в сеть, принимает данные от других компьютеров и, обработав их, передает в компьютер.
Коммутатор оснащен некоторым количеством портов, к которому подключаются кабели от сетевых карт компьютеров. Существует термин хаб, обозначающий концентраторы. Однако, данное понятие прочно вошло в сетевой жаргон и теперь хабом можно назвать и коммутатор и концентратор. Разница между коммутатором и концентратором заключается в том, что концентратор – это устройство, которое усиливает сигнал и отправляет его на другие порты. Коммутатор же отправляет сигналы только на тот порт, которому они предназначены. В результате повышается производительность сети.
Система кабелей соединяет компьютеры между собой при помощи коммутатора или другого подобного устройства. Как уже говорилось выше, в настоящее время наибольше распространение получила витая пара. Различают два вида таких кабелей: UTP и STP. UTP расшифровывается Unshielded Twisted Pair – то есть неэкранированная витая пара. Такой кабель представляет собой 8 скрученных попарно медных изолированных проводников, заключенных в общую изоляцию. STP расшифровывается как Shielded Twisted Pair – то есть экранированная витая пара. Такой кабель стоит дороже, чем UTP, но лучше защищен от помех.
Для «общения» компьютеров друг с другом в локальной сети используется стек протоколов TCP/IP. Он является наиболее распространенным в мире. Но что же такое стек протоколов? Стек коммуникационных протоколов – это набор протоколов различных уровней, которые обеспечивают взаимодействие в сети. Компьютер, расположенный в Ethernet сети имеет два адреса: MAC-адрес и IP-адрес. MAC-адрес (Media Acc ess Control) – это адрес сетевой карты. Для каждой из них он уникален и не повторяется. Вследствие того, что в сети может быть очень много компьютеров, обращение к ним по прямому адресу (адресу сетевой платы) сильно затруднено, ведь в таком случае придется хранить все адреса всех компьютеров во всех сетях. Для разрешения этой проблемы был создан IP-адрес, который, в отличие от MAC-адреса, является относительным. IP-адрес – это числовой идентификатор, приписанный каждому компьютеру в сети и обозначающий местонахождение в сети устройства, к которому он приписан. IP-адрес, в отличие от MAC-адреса, является адресом программного, а не аппаратного обеспечения. IP-адрес состоит из четырех байтов и записывается в виде четырех чисел, разделенных точками. Существует несколько основных видов записи IP-адреса:
Десятичная (130.57.30.56).
Двоичная (1000010.00111001.00011110.01110000).
Шестнадцатеричная (82.39.1E.38).
Первая часть IP-адреса – это номер сети, в которой находится компьютер, а вторая – номер самого компьютера, или, соблюдая сетевую терминологию, узла сети. Существует еще один тип адресов – доменные адреса узлов. Их еще называют доменными именами или просто именами хост-узлов. Такие адреса имеют иерархическую структуру и используются в случае разделения сети на несколько подсетей. Адреса веб-сайтов сети Интернет, которые мы видим в адресной строке браузера, являются примером доменных имен. Для установления связи между доменным именем и IP-адресом могут использоваться:
Хост-таблицы – таблицы, сопоставляющие доменное имя с его IP-адресом.
DNS – система имен доменов. Этот механизм позволяет локализовать имя компьютера и отобразить его в IP-адрес. Для этого существуют специальные компьютеры, называемые серверами имен, которые хранят в иерархические базы данных, в которых содержится информации об том или ином доменном имени.
NIS – сетевой информационный сервис. Этот сервис содержит базы данных, называемые таблицами отображений, обеспечивающие перевод имен хост-узлов в IP. Основное различие между NIS и DNS в том, что DNS используется в сети Интернет, а NIS в более мелких, локальных вычислительных сетях.
А теперь поговорим об общих принципах работы протоколов TCP/IP. TCP/IP – это пара протоколов связи, которые применяются для компоновки информации и передачи ее по сети или сетям. IP — это своего рода сетевой транспорт, который занимается доставкой данных через составные сети. Средствами IP осуществляется маршрутизация пакетов. IP работает без установления соединения, выполняя "черновую" работу по доставке пакетов данных по сети. Его цель – доставлять пакеты данных по определенному адресу, не задумываясь об их целостности. IP умеет фрагментировать слишком большие пакеты: одно и то же сообщение протокола более высокого уровня может быть разбито на несколько фрагментов, которые независимо путешествуют по сети в поисках адресата и, дойдя до него, снова собираются в исходное сообщение. TCP отвечает за надежную доставку сообщений. Прежде чем начинать передачу, он устанавливает соединение, а в процессе передачи контролирует передаваемые данные и при необходимости проводит повторные передачи. TCP оперирует так называемыми сегментами данных, а IP работает с пакетами. Сегмент TCP образуется путем "вырезания" определенного количества байт из поступившего потока данных более высокого уровня. TCP не занимается структурированием этих данных, точно так же, как и IP, и не задумывается над тем, что он передает. Но если задача IP – доставить данные через систему сетей, то задача TCP – надежная передача этих данных с использованием IP в качестве транспорта.
Помимо стека протоколов TCP/IP существуют и другие, не столь распространенные стеки сетевых протоколов. Примером может служить стек протоколов IPX/SPX. Эти протоколы применяются крайне редко, даже не смотря на то, что компания Novell, которая является разработчиком этого стека, занимается их развитием. Использование IPX/SPX оправдано только в том случае, если в сети используются старые программы, рассчитанные на этот стек протоколов. Общая структура IPX/SPX на физическом и канальном уровне не сильно отличается от структуры TCP/IP на этом же уровне. Отличия начинаются на сетевом уровне протокола. Сетевой уровень IPX/SPX представлен протоколом IPX. IPX, аналогично IP, занимается доставкой сообщений узлам сети без установления соединения. При этом не играет роли надежность доставки информации. За нее отвечает протокол SPX, который работает с установлением соединения и может восстанавливать потерянные или поврежденные пакеты.
|
