- •Основы локальных сетей
- •Место и роль локальных сетей Немного истории компьютерной связи
- •Определение локальной сети
- •Топология локальных сетей
- •Топология шина
- •Топология звезда
- •Топология кольцо
- •Другие топологии
- •Многозначность понятия топологии
- •Кабели на основе витых пар
- •Коаксиальные кабели
- •Оптоволоконные кабели
- •Бескабельные каналы связи
- •Согласование, экранирование и гальваническая развязка линий связи
- •Кодирование информации в локальных сетях
- •Код nrz
- •Манчестерский код
- •Бифазный код
- •Другие коды
- •Назначение пакетов и их структура
- •Адресация пакетов
- •Методы управления обменом
- •Управление обменом в сети с топологией звезда
- •Управление обменом в сети с топологией шина
- •Управление обменом в сети с топологией кольцо
- •Эталонная модель osi
- •Аппаратура локальных сетей
- •Стандартные сетевые протоколы
- •Стандартные сетевые программные средства
- •Одноранговые сети
- •Сети на основе сервера
- •Вступление
- •Сети Ethernet и Fast Ethernet
- •Сеть Token-Ring
- •Сеть Arcnet
- •Сеть fddi
- •Сеть 100vg-AnyLan
- •Сверхвысокоскоростные сети
- •Классификация средств защиты информации
- •Классические алгоритмы шифрования данных
- •Стандартные методы шифрования и криптографические системы
- •Программные средства защиты информации
- •Метод управления обменом csma/cd
- •Алгоритм доступа к сети
- •Оценка производительности сети
- •Использование помехоустойчивых кодов для обнаружения ошибок в сети
- •Способы снижения числа ошибок в принятой информации
- •Характеристики и разновидности помехоустойчивых кодов
- •Циклические коды (crc)
- •Аппаратура 10base5
- •Аппаратура 10base2
- •Аппаратура 10base-t
- •Аппаратура 10base-fl
- •Аппаратура 100base-tx
- •Аппаратура 100base-t4
- •Аппаратура 100base-fx
- •Автоматическое определение типа сети (Auto-Negotiation)
- •Адаптеры Ethernet и Fast Ethernet Характеристики адаптеров
- •Адаптеры с внешними трансиверами
- •Репитеры и концентраторы Ethernet и Fast Ethernet
- •Функции репитеров и концентраторов
- •Концентраторы класса I и класса II
- •Коммутаторы Ethernet и Fast Ethernet
- •Коммутаторы Cut-Through
- •Коммутаторы Store-and-Forward
- •Мосты и маршрутизаторы Ethernet и Fast Ethernet
- •Функции мостов
- •Функции маршрутизаторов
- •Выбор конфигурации Ethernet
- •Правила модели 1
- •Расчет по модели 2
- •Выбор конфигурации Fast Ethernet
- •Правила модели 1
- •Исходные данные
- •Выбор размера и структуры сети
- •Выбор оборудования
- •Выбор сетевых программных средств
- •Выбор с учетом стоимости
- •Проектирование кабельной системы
- •Оптимизация и поиск неисправностей в работающей сети
- •Формулы Шеннона для непрерывного и дискретного каналов
- •Типы линий передачи, в которых используются модемы (варианты решения проблемы «последней мили»)
- •Структура модема
- •Методы модуляции, используемые в высокоскоростных модемах
- •Особенности стандартов V.34, V.90 и V.92
- •Классификация модемов
- •Программные средства для модемов
Программные средства защиты информации
Встроенные средства защиты информации в сетевых ОСдоступны, но не всегда, как уже отмечалось, могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надежную «эшелонированную» защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance – система устойчивости к отказам) компании Novell включает три основные уровня:
SFT Level I предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как «плохой» и в дальнейшем не используется.
SFT Level II содержит дополнительные возможности создания «зеркальных» дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
SFT Level III позволяет применять в локальной сети дублированные серверы, один из которых является «главным», а второй, содержащий копию всей информации, вступает в работу в случае выхода «главного» сервера из строя.
Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней:
уровень начального доступа (включает имя и пароль пользователя, систему учетных ограничений – таких как явное разрешение или запрещение работы, допустимое время работы в сети, место на жестком диске, занимаемое личными файлами данного пользователя, и т.д.);
уровень прав пользователей (ограничения на выполнение отдельных операций и/или на работу данного пользователя, как члена подразделения, в определенных частях файловой системы сети);
уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций, в том числе удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);
уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).
Однако полагаться на эту часть системы защиты информациив ОС NetWare можно не всегда. Свидетельством тому являются многочисленные инструкции в Интернете и готовые доступные программы, позволяющие взломать те или иные элементы защиты от несанкционированного доступа.
То же замечание справедливо по отношению к более поздним версиям ОС NetWare (вплоть до последней 6-й версии) и к другим «мощным» сетевым ОС со встроенными средствами защиты информации(Windows NT, UNIX,ѕ). Дело в том, чтозащита информации– это только часть тех многочисленных задач, которые решаются сетевыми ОС. Усовершенствование одной из функций в ущерб другим (при понятных разумных ограничениях на объем, занимаемый данной ОС на жестком диске) не может быть магистральным направлением развития таких программных продуктов общего назначения, которыми являются сетевые ОС. В то же время в связи с остротой проблемызащиты информациинаблюдается тенденция интеграции (встраивания) отдельных, хорошо зарекомендовавших себя и ставших стандартными средств в сетевые ОС, или разработка собственных «фирменных» аналогов известным программамзащиты информации. Так, в сетевой ОС NetWare 4.1 предусмотрена возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.
Специализированные программные средства защиты информацииот несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средствзащиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.
Firewalls – брандмауэры (дословно firewall – огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и JavaScript).
Лекция #10: Алгоритмы сети Ethernet/Fast EthernetВ данной лекции излагается метод управления обменом CSMA/CD, используемый в широко распространенных сетях семейства Ethernet, оказывающий существенное влияние на их особенности и характеристики. Кроме того, рассматривается алгоритм формирования и свойства помехоустойчивого циклического кода CRC, который применяется для обнаружения ошибок из-за наводок и помех в получаемых по сети данных.
В данной главе предлагается подробно рассмотреть два основных алгоритма, применяемых в самой распространенной сегодня сети Ethernet/Fast Ethernet. Речь идет о методе управления обменом (доступа)CSMA/CD и о методе вычисления циклической контрольной суммы (помехоустойчивого циклического кода) пакета CRC.
Эти же самые алгоритмы используются во многих других локальных сетях. Например, метод доступа CSMA/CD применяется в сетях IBM PC Network, AT&T Starlan, Corvus Omninet, PC Net, G-Net и др. Если говорить об алгоритме вычисления циклической контрольной суммы CRC, то он стал фактическим стандартом для любых локальных сетей. Таким образом, все, что представлено в данной главе, относится ко многим локальным сетям.