книги / Основы информационной безопасности
..pdf
Недостатки звездообразных сетей:
–полная зависимость надежности функционирования сети от надежности ЦУС, выход из строя которого однозначно ведет к выходу из строя всей сети;
–сложностьЦУС, накоторыйвозложеныпрактическивсесетевые
функции.
Кольцевая конфигурация (рис. 16.2). В кольцевой сети не выделяется узел, управляющий передачей сообщений, их передача осуществляется в одном направлении через специальные повторители, к которым подключаются все узлы сети. Повторители бывают пассивные и активные. Пассивный повторитель обеспечивает узлу лишь возможность соединения со средой передачи, активный – выполняет несколько сетевых функций, а именно:
1)принимает сообщения от узла-источника и усиливает несущие их сигналы;
2)формирует сообщения в вид, доступный узлу-приемнику;
3)обеспечивает соответствующему узлу возможности передачи собственных сообщений;
4)пересылает пакет следующему узлу или производит его буфери-
зацию.
Рис. 16.2. Структура кольцевой ВС
481
Достоинства кольцевых ВС:
–отсутствие зависимости сети от функционирования отдельных ее узлов, причем отключение какого-либо узла не нарушает работу сети;
–использование простой маршрутизации передаваемых сообщений;
–легкаяидентификациянеисправныхузловивозможностьосуществления реконфигурации сети в случае сбоя или неисправности.
Недостатки кольцевых сетей:
–надежность сети полностью зависит от надежности кабельной системы, поскольку неисправность этой системы в каком-либо одном месте полностью выводит из строя всю сеть;
–необходимость использования более сложного программного обеспечения для узлов, например для обработки сбойных ситуаций, реконфигурации и т. п.;
–усложняется решение задач защиты информации, поскольку со-
общения при передаче проходят через все узлы сети.
Шинная структура (рис. 16.3). Шина – это не замкнутая в кольцо среда передачи данных. Все узлы сети подключаются к шине одинако- вымобразомчерезусилители-повторителисигналов, посколькусигналы в шине затухают. Сигналы в шине от передающего узла распространяются в обе стороны со скоростью, соизмеримой со скоростью света. Так как все принимающие узлы получают передаваемые сообщения практически одновременно, то особое внимание должно обращаться на управление доступом к среде передачи.
Достоинства шинной структуры:
–простота организации, особенно при создании ЛВС;
–легкость подключения новых узлов;
–простота реализации широковещательных передач;
–приспособленность к передаче сообщений с резкими колебаниями их потока.
Рис. 16.3. Структура шинной ВС
482
Основные недостатки шинной ВС:
–пассивность среды передачи, в силу чего необходимо усиление сигналов, затухающих в среде;
–усложнение решения задач защиты информации;
–при увеличении числа УС растет опасность насыщения среды передачи, что ведет к снижению пропускной способности.
Комбинированные сети, как это следует из самого названия, организуются путем построения отдельных фрагментов сети по различным способам с объединением их в общую сеть.
На основе даже такого беглого рассмотрения возможных структур ВС нетрудно заключить, что для тех объектов (предприятий, учреждений, других организаций), в которых регулярно обрабатываются значительные объемы подлежащей защите информации, наиболее целесообразной будет комбинированная структура ЛВС. Например, для обработки конфиденциальнойинформацииможетбытьсозданасамостоятельнаяподсеть, организованнаяпозвездообразнойсхеме, адляобработкиобщедоступной– подсеть, организованная по шинной схеме, причем ЦУС первой подсистемы может быть подсоединен к общей шине второй подсистемы в качестве полноправного ее узла. Выдача же на общую шину защищаемой информации может блокироватьсяцентральнымузломпервойподсистемы.
Следует обратить внимание еще и на такое обстоятельство. В настоящее время есть возможности расширить само содержание понятия среды передачи, включив в него также организационную передачу сообщений, например, путем переноса дискет с помощью посыльного. Нетрудно представить, насколько это может расширить организацию сетевой обработки данных, хотя и будет сопряжено с решением дополнительных задач, в том числе и связанных с защитой информации.
Рассмотрим далее основные положения концепции построения сетевых протоколов, представляющих наборы правил и соглашений, определяющих, как отмечалось выше, следующие элементы сети.
1.Типы разъемов и кабелей, используемых для создания среды пе-
редачи.
2.Способы и методы передачи данных.
3.Алгоритмы работы сетевых интерфейсов.
4.Способы контроля и исправления ошибок.
5.Методы взаимодействия прикладных процессов.
483
Ниже в общем виде излагается возможное содержание перечисленных элементов.
1. Типы разъемов и кабелей, используемых для создания среды передачи данных. В настоящее время для создания физической среды передачи преимущественно используются три типа кабелей: витая пара, коаксиальный и оптоволоконный.
Витая пара представляет собой два изолированных провода, спиралевидно сплетенных друг с другом. Такие кабели используются давно в телефонной связи. Они обеспечивают надежную передачу данных при сравнительно небольших скоростях (несколько Мбит/с) и небольших расстояниях передачи (несколько десятков метров). Отсюда следуют рекомендации по их применению: целесообразно использовать в компактных ЛВС с не очень большими потоками данных.
Существуют две разновидности кабелей рассматриваемого типа: неэкранированныеиэкранированные, причемвэкранированныхкабеляхгасятся побочныеэлектромагнитныеизлучения, поэтомуонизащищеныотперехватапередаваемойинформациипутемнеконтактногоподсоединения.
Коаксиальный кабель содержит два проводника: один служит для передачи сигналов, второй – для заземления. Роль заземления всегда играет внешний цилиндрический проводник. Пространство между проводниками заполнено изоляционным материалом.
Коаксиальный кабель способен передавать широкополосные сигналы, то есть одновременно много сигналов, каждый на своей частоте, что обеспечивает высокуюскоростьпередачи. Крометого, коаксиальные кабели отличаются достаточно высокой помехоустойчивостью.
Промышленностью выпускаются стандартный (толстый) и дешевый (тонкий) разновидности коаксиального кабеля. Толстый кабель отличается повышенной помехоустойчивостью и малым затуханием передаваемых сигналов, однако для его подключения необходимы специальные разъемы-соединения. Тонкий кабель уступает толстому по помехоустойчивости и степени затухания сигнала, но он подключается к стандартным разъемам-соединениям. Кроме того, названные разновидности кабеля отличаются максимальной длиной между узлами сети: толстый – до 2500 м, тонкий – до 925 м.
Всем сказанным однозначно определяются и рекомендации по их применению в ВС.
484
Оптоволоконный кабель представляет собою световод на кремниевой или пластмассовой основе, который защищен материалом с низким коэффициентом преломления. Он позволяет решить все проблемы создания среды передачи данных: высокая скорость передачи (до 50 Мбод/с), отсутствие потерь при передаче, практически полная невосприимчивость кпомехам, отсутствиеограниченийнарасстоянияпередачииполосупропускания. Недостатки его заключаются в сложности установки и диагностики. Кроме того, в настоящее время мало опыта в его применении. Однако, несмотрянаназванныенедостатки, оптоволоконныйкабельявляется весьма перспективным для организации среды передачи данных ВС.
2.Способы и методы передачи данных. Для передачи данных
всетях используются как традиционные способы передачи по техническим каналам связи, так и новые, разрабатываемые специально для создания среды передачи в ВС.
Из традиционных способов большое распространение в ВС получили телефонные каналы. Основной проблемой при этом стало преобразование высокоскоростных потоков цифровых (дискретных) данных
вформу, удобную для передачи по телефонным каналам, рассчитанным на передачу речевых аналоговых сигналов. Решение проблемы было найдено разработкой методов предварительного, перед выдачей в телефонный канал связи, преобразования цифровых сигналов в аналоговые и обратного преобразования сигналов перед приемом их из телефонных каналов связи. Первый процесс преобразования получилназвание модуляции, второй – демодуляции, а устройство, осуществляющее эти преобразования – модулятора – демодулятора (или сокращенно – модема). Сама модуляция может осуществляться несколькими методами: амплитудная (амплитуда некоторой несущей частоты меняется в соответствии с входной последовательностью бит: 1 – соответствует волне несущего сигнала, а отсутствие несущей – 0); частотная (частота меняется в обе стороны, крайние значения интерпретируются как 1 и 0), фазовая – меняется фаза несущей.
Для формирования среды передачи в ВС специально разработаны методы цифрового кодирования данных: 1 представляется положительным напряжением высокого уровня, 0 – напряжением низкого уровня. В зависимости от способа отделения друг от друга битов одинакового значения различают синхронное и асинхронное кодирование.
485
При синхронном кодировании узлы сети синхронизируются путем задания одинакового отсчета времени. Для этого передающий узел посылает сигналы тактовой частоты. Приемник в этом случае выбирает сигнал данных в моменты появления тактовых импульсов. Серьезный недостаток данного метода заключается в необходимости отдельной линии связи для передачи синхроимпульсов.
При асинхронной передаче поток бит делится на блоки фиксированной длины (например, байт). Узлы сети имеют генераторы импульсов одинаковой частоты. Генераторы периодически подстраиваются друг к другу (например, в начале каждого байта данных). Синхронизация
вэтом случае достигается передачей старт-бита в начале байта и стопбита в его конце.
3.Алгоритмы работы сетевых интерфейсов. Названные алго-
ритмы реализуют методы доступа к среде передачи данных. В настоящее время используется несколько таких методов, наиболее распространенные из них коротко рассматриваются ниже.
Множественный доступ с контролем несущей и обнаружением коллизий– этоспособ ссостязаниями, где узлысети соревнуются заправо использования среды. Узел, выигравший в соревновании, может передать свой пакет данных, после чего освободить среду. Узлы периодически проверяют активность среды (наличие несущей). Отсутствие активности означает, что среда свободна и узлы могут начать передачу. Первый начавший передачу узел занимает среду, а остальные ожидают ее освобождения. При одновременном начале передачи несколькими узлами возникает коллизия. При ее появлении узлы прекращают передачу и в течение некоторого времени ожидают ее возобновления, после чего процедура повторяется.
Методдоступавкольцевойсредеспередачеймаркера. Методосно-
ван на однонаправленном двухточечном подключении узлов сети к среде передачи через порты приема и порты передачи. Физическая среда реализуется в виде звездно-кольцевой топологии, причем узлы сети соединяются кабелями через специальный концентратор. Если какой-либо узел неисправен, то он отключается от среды передачи. Если передача данных в кольце отсутствует, то в ней циркулирует специальный маркер
всостоянии «свободно». Узел сети, который желает передать данные, меняетсодержаниемаркеравсостояние«занято» иприсоединяеткнему
486
пакет передаваемых данных. После завершения передачи передающий узел меняет содержание маркера в состояние «свободно». Все остальные узлы лишь ретранслируют передаваемый пакет.
Метод доступа типа шины с передачей маркера. Данный метод основывается на передаче вдоль логического кольца узлов сети специального маркера, содержащего адрес следующего узла. Каждому узлу известен адрес следующего узла. Каждый узел может находиться в одном из следующих состояний: прослушивание, прием кадра, передача пакета и передача маркера.
4. Способы контроля и исправления ошибок. Существует ряд эф-
фективных способов подавления помех как в оборудовании и линиях электропитания, так и в информационных каналах сети. Рассмотрим основные из них.
Способы подавления помех в сетях электропитания. Основной при-
чиной искажений формы стандартного сигнала первичного электропитания обычно является резкое изменение нагрузки сети электропитания. При наличии такой опасности необходимо использовать специальное электрооборудование для развязки питания оборудования коммуникаций сети, например в виде специальных распределительных силовых щитов.
Помимо этого, применяются широкополосные фильтры на вводе питания коммуникационного оборудования в целях подавления кратковременных помех. Используется электростатическое экранирование линий электропитания и коммуникаций.
Защита от помех по линии «земля». Существуют два основных типа
«земли»: корпусная и схемная. Корпусное устройство «земли» должно быть обязательно подключено к общей линии «земля», проложенной
впомещении. Схемное устройство «земли» – это нулевой потенциал, относительно которого отсчитываются уровни напряжения информационных сигналов. Общее правило заключается в том, что корпусные «земли» объединяются индивидуальными линиями в одной точке, а схемные –
вдругой. Причем эти точки могут быть не соединены либо соединены, но обязательно должны располагаться в непосредственной близости друг от друга.
Способыпомехозащищеннойпередачипосогласованныминформаци-
онным линиям связи. Существуют специальные схемотехнические средства и правила согласования волнового сопротивления (например, витой
487
парыиликоаксиальногокабеля) инагрузочногоимпедансакоммуникационного устройства. Особо тщательно должна быть выполнена распайка разъемов и ответвления от линии информационной связи. Все это существенно повышает помехозащищенность. В линиях связи большой протяженности применяют оптоволоконные развязки сетевых узлов.
Способы обеспечения помехозащищенности и коррекции ошибок в модемной связи. Основной задачей приема сигналов по телефонным каналам с использованием модема является нормализация их параметров и компенсация дестабилизирующих факторов и помех. Правильный выбор модема зависит от объективных данных о дестабилизирующих факторах конкретной телефонной линии, которые могут быть определены с помощью специального измерительного и имитационного оборудования.
5. Методы взаимодействия прикладных процессов. Способы объединения компьютеров в сеть условно можно разделить на два вида:
1)способы, отвечающие всем признакам ЛВС, основным из которых считается возможность одновременного доступа пользователей к общим программно-информационным ресурсам нескольких компьютеров;
2)способы, отвечающие не всем признакам ЛВС, но которые все же дают возможность пользователям делать многое из того, что обеспечивают настоящие ЛВС.Такие системы принято называть ЛВС-подобными.
К последним системам можно отнести:
1)коллективизаторы периферии и коммутаторы данных;
2)системы беспроводной локальной связи между компьютерами, которые позволяют совместно использовать данные и обмениваться сообщениями;
3)системы локальных электронных досок объявлений, когда имеются возможности обмена сообщениями и файлами, но нельзя совместно использовать периферию.
В настоящее время у нас в стране наибольшее распространение получили сети Ethernet, Token-Ring, ArcNet и некоторые другие. Краткое сравнение их основных характеристик приведено в табл. 16.1.
Сетевые операционные системы (ОС). Современные сетевые ОС можно разделить на трикласса: «DOS-ориентированные», «OS/2-ориен- тированные», «UNIX-ориентированные».
488
«DOS-ориентированные» сетевые системы предполагают наличие сетевого программного обеспечения на каждой рабочей станции ЛВС или выделение под файл-сервер одной из станций. При этом возможно разделение ресурсов (например, принтеров, твердых дисков и т. д.), пересылка файлов и сообщений и др. Каждый компьютер в сети может воспользоваться ресурсами другого компьютера. Это означает довольно высокую гибкость в применении ЛВС.
Сетевые ОС данного типа имеют два существенных недостатка: они сложны в управлении (администрировании) сетью и занимают довольно много оперативной памяти в рабочих станциях. Например, для ОС типа PC LAN может потребоваться до 400 кбайт ОЗУ ПЭВМ.
«OS/2-ориентированные» ОС. Определенный интерес представляют сетевые ОС, которые используют ОС типа OS/2 рабочих станций серии PS/2 фирмы IBM. Это связано с тем, что наряду с рабочими станциями набазеOS/2 допускаетсяфункционированиевсетиПЭВМнаосновеDOS.
Таблица 16.1
Сравнительные характеристики наиболее распространенных ЛВС
Наименование |
Наименование сети |
|
||
характеристик |
Ethernet |
Token-Ring |
ArcNet |
|
|
|
|
|
|
Скорость передачи |
1–10 |
4–16 |
2,5 |
|
данных (Мбит/с) |
||||
|
|
|
||
|
|
|
|
|
Средняя длина кад- |
|
|
|
|
ров передаваемых |
100 |
18 200 |
8000 |
|
данных (байт) |
|
|
|
|
|
|
|
|
|
|
Неисправность |
Функциони- |
Неисправность |
|
|
кабеля выво- |
|||
Надежность |
кабеля выводит |
рует даже при |
дит из строя |
|
из строя всю сеть |
поврежде- |
всю сеть или |
||
|
или отдельные ее |
нии сетевого |
||
|
отдельный ее |
|||
|
сегменты |
кабеля |
сегмент |
|
|
|
|
||
|
|
|
|
|
Рекомендации по |
Организации науч- |
Организации, |
Небольшие |
|
пользующиеся |
офисные |
|||
применению |
ного плана |
поддержкой |
||
системы |
||||
|
|
фирмы IBM |
||
|
|
|
||
|
|
|
|
|
489
Кроме того, возможно использование системной программы LAN Manager фирмы Microsoft и программы доступа к многопользовательским базам данных SQL Server, разработанной фирмами Ashton-Tate
и Microsoft.
«UNIX-ориентированные» сетевые ОС. Если предполагается, что ЛВС будет использоваться только для коллективного применения дорогостоящей периферии (например, лазерного принтера и др.), обмена файлами или «электронной почты», когда необходима совместная обработка данных (например, в базе данных), то нужны средства поддержки программирования распределенных систем (создание единой операционной сетевой среды). В этом случае часто используется центральный компьютер или несовмещенный файл-сервер (НФС) с соответствующей сетевой «UNIX-ориентированной» ОС.
Особенностью данных ОС является то, что в НФС инсталлируется главная часть ОС – ее «ядро», на которое ложится ответственность за выполнение основных сетевых функций. Программное обеспечение остальных станций поэтому является достаточно простым. Очевидно, для размещения резидентных сетевых программ в памяти рабочих станций требуется меньше места, чем в «DOS-ориентированных» сетевых ОС.
Ядро рассматриваемой сетевой ОС должно обеспечивать следующие функции: интерфейс с ОС рабочих станций сети, коллективное использование ресурсов ЛВС, обеспечение безопасности и целостности данных путем контроля прав доступа к ресурсам, многозадачное и многопользовательское выполнение прикладных программ и др.
Различные типы сетевых ОС, построенных на одинаковых фундаментальных принципах работы компьютерных сетей, могут отличаться средствамиадминистрированиясетиипроцедураминачальнойустановки (инсталляции и инициализации).
К новейшим разработкам сетевых ОС фирмы Novell можно отнести Novell NetWare v. 4.0 и v. 4.1, предназначенные для крупных корпоративных ЛВС с числом рабочих станций до 1000, а также Novell Personal NetWare, ориентированную на средние ЛВС с числом пользователейдо50, вкоторойпользователипредъявляют невысокие требования к сети.
Главной особенностью ОС Novell NetWare v. 4.x следует считать то, что с помощью новой специальной службы каталогов NDS (NetWare
490