Category Archives: pisanie prac

Pisanie prac z informatyki

Algorytm MIT

podrozdział tej pracy magisterskiej powstał na podstawie następującej literatury:

[1] Raj Jain, „Congestion Control And Traffic Management In ATM Netowrks: Recent Advances and A Survey”

[3] Kai-Yeung Siu, Hong-Yi Tzeng: “Intelligent Congestion Control for ABR Service in ATM Networks”

[4] Fang Lu, “ATM Congestion Control”

[11] Dorgham Sisalem, Henning Schulzrine, „Switch Mechanisms for the ABR Service: A comparison Study” 

Po raz pierwszy algorytm MIT został zaproponowany przez Anna Charny z Massachusetts Institute of Technology (MIT).

Algorytm ten do obliczenia współczynnika fairshare używa procedury iteracyjnej. Najpierw, współczynnik fairshare obliczany jest poprzez podzielenie dostępnego pasma przepustowego przez ilość aktywnych kanałów wirtualnych. Wszystkie kanały, które transmitują dane z prędkością poniżej obliczonego współczynnika fairshare, są zwane „underloading VC”. Jeżeli liczba kanałów „underloading VC” zwiększa się z iteracją, współczynnik fairshare jest obliczany według wzoru:

Procedura ta powtarzana jest dopóki nie osiągnie się stanu stabilnego, gdzie liczba „underloading VC” i współczynnik fairshare nie będzie się zmieniał. Anna Charny pokazała w swojej pracy, że zwykle dwie iteracje wystarczą do osiągnięcia zadawalającego rezultatu. Jednak mogą wystąpić sytuacje, dla których obliczenie współczynnika fairshare składać się będzie z n operacji, gdzie n jest liczbą kanałów wirtualnych. Dla przełączników ATM, które obsługują tysiące kanałów wirtualnych, liczba obliczeń koniecznych do wykonania stanie się bardzo duża i nie może być wykonana na dostępnym dzisiaj sprzęcie.

Zabezpieczanie firewalla

Firewall nie spełnia swojego zadania jeśli zostawia otwarte okno dla ataków przez nieużywane usługi. Hakerzy mogą zdobyć twierdzę i zmodyfikować ją dla swoich potrzeb.

Ważnym krokiem jest wyłączenie niepotrzebnych usług.. Plik /etc/inetd.conf kontroluje rzecz o nazwie ,,super serwer” – kontroluje uruchamianie usług na żądanie.

Kompletnie wyłączamy: netstat, systat, tftp, bootp oraz finger, kiedy już to zrobimy wysyłamy sygnał HUP do procesu inetd komendą: ” kill -HUP < pid > ” , gdzie < pid > jest numerem procesu inetd. Spowoduje to powtórne przeczytanie przez inetd pliku konfiguracyjnego (inetd.conf) i restart.

W tym miejscu możemy sprawdzić czy jesteśmy w stanie dostać się do portu obsługującego netstat telnet localhost 15 Jeśli otrzymamy wynik z netstata oznacza to, że zrestartowanie inetd nie odbyło się prawidłowo.

Konfiguracja filtrowania IP (IPFWADM)

By zacząć konfigurację filtrowania IP administrator musi włączyć przesyłanie pakietów IP w swoim jądrze i jego system powinien odsyłać wszystko co mu zostanie przesłane. Nasza tablica trasowania powinna być ustawiona i administrator powinien mieć dostęp tak wewnątrz jak do zewnętrznej Sieci. Domyślnie IP Forwarding w jądrze systemu odsyła wszystko. Dlatego nasze skrypty startowe firewalla powinny rozpoczynać swoja pracę od zakazania dostępu dla wszystkich i zerwania wszelkich połączeń dozwolonych w poprzednim uruchomieniu ipfw.

# Ustawianie rozliczania i odsyłania pakietów IP
#  Forwarding
# Domyślnie  wszystkie usługi są zakazane.
ipfwadm -F -p deny
# Zerwij wszystkie połączenia
ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f

W tym momencie mamy doskonały firewall, który nie przepuszcza niczego. Bez wątpliwości pewna cześć usług powinna być przesyłana (tego dotyczy następny przykład) [1].

# przesyłanie poczty do naszego MTA
ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10
25

# przesyłanie połączeń pocztowych do innych MTA
ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0
1024:65535

# przesyłanie WWW do naszego serwera
/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
196.1.2.11 80

# przesyłanie WWW do serwerów zewnętrznych
/sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0
1024:65535

# przesyłanie ruchu DNS
/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D
196.1.2.0/24

Jeśli administrator jest  zainteresowany rozliczaniem ruchu przechodzącego przez jego firewall, może zastosować niżej przedstawiony skrypt, który liczy każdy z pakietów.

# Zerwanie wszystkich połączeń
ipfwadm -A -f
# Rozliczanie
/sbin/ipfwadm -A -f
/sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24
/sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24


[1] na podstawie R. Ziegler „Linux. Firewalls“

Systemowe filtrowanie TCP/IP

Aby wykorzystać systemowe rozwiązania ochronne TCP/IP, należy uruchomić panel sterowania i dwukrotnie kliknąć na ikonie Network, celem otwarcia odpowiedniego okna. Następnie kliknąć na etykiecie Protocols i wybrać z listy zainstalowanych protokołów pozycję TCP/IP. W oknie Microsoft TCP/IP Properties wybrać kartę IP Adressed, a następnie wcisnąć znajdujący się na niej przycisk Advanced, co spowoduje otwarcie się okna Advanced IP Adressing. Zaznaczyć pole wyboru Enable Security, znajdujące się w górnej części okna dialogowego, a następnie wcisnąć przycisk Configure. Wyświetli się okno TCP/IP Security To nowe narzędzie można śmiało określić mianem „zapory sieciowej dla ubogich”. Umożliwia relatywnie obszerne filtrowanie wywołań portów i protokołów, co skutecznie utrudnia próby włamanie się do sieci.

Konfigurowanie ochrony TCP/IP wybranego komputera, należy zacząć od wyboru właściwego adaptera sieciowego. Jeśli komputer jest wyposażony w więcej niż jedną kartę sieciową, to pomyłka może spowodować zablokowanie dostępu dla użytkowników z domen upoważnionych. Dla każdego protokołu możemy wybrać jedną z dwóch podstawowych opcji: Permit All lub Permit Only (zezwolenie dla wszystkich lub dla wybranych) Permit All – umożliwia komunikację za pośrednictwem określonego protokołu poprzez wszystkie porty serwera. Permit Only – umożliwia wybór portów, które będą akceptowały połączenie i przesyłały pakiety do serwera.

Wyłączenie niepotrzebnych portów jest silnym i ważnym sposobem zabezpieczania sieci. Po pierwsze, uniemożliwia hakerom zdobywanie informacji o systemie za pośrednictwem niektórych usług (przypomnijmy sobie „życzliwość” Telnetu). Po drugie, zapobiega wykorzystaniu zbędnych portów do ataku o nazwie SYN-Flood (zalanie potokiem pytań SYN), należącego do grupy „odmowa-usługi” (denial-of-service).

Agresja polega na przesłaniu do wybranego komputera, wywołania sieciowego o nazwie SYN, ze zmyślonym zwrotnym adresem IP, (technika znana jako oszustwo IP). Haker przesyła możliwie najwięcej wezwań, próbując zablokować maksymalną ilość zasobów atakowanej maszyny. Ta odbiera żądanie, wyznacza zasoby do obsługi nowego połączenia i odwzajemnia próbę kontaktu wezwaniem SYN-ACK.

Ponieważ sygnał SYN-ACK jest wysyłany pod nie istniejący adres, więc pozostaje bez odpowiedzi. Zaatakowany komputer kontynuuje próby odzyskania łączności. Microsoft Windows NT (zarówno 3.5, jak i 4.0) ponawia wezwanie SYN_ACK pięć razy (przy oryginalnych ustawieniach systemu). Okres oczekiwania na odpowiedź po pierwszej retransmisji sygnału wynosi 3 sekundy, po każdej kolejnej jest podwajany, zatem po piątej wynosi 48

sekund. Jeśli maszyna nie otrzyma odpowiedzi, to czeka kolejne 96 sekund, zanim zwolni zasoby czekające na transmisję. łączny czas blokowania zasobów wynosi 189 sekund. Do diagnozy ataku SYN-Flood można wykorzystać informacje o statusie połączeń. Wpisując w linii komend polecenie netstat -n -p -tcp, otrzymamy listę wszystkich trwających sesji komunikacyjnych swojego komputera. Jeśli wiele z nich jest w stanie SYN_RECEIVED, można przypuszczać, że staliśmy się obiektem agresji. Z dwóch wiadomości, dobra polega na tym, że haker stosujący ten typ ataku nie ma dostępu do systemu. Zła informacja, to ograniczona liczba połączeń, która mogą pozostawać w stanie SYN_RECEIVED. Jeśli limit zaatakowanego portu komputera jest wykorzystany, zazwyczaj wszystkie następne wezwania są ignorowane do czasu zwolnienia alokowanych zasobów.

Aby jak najlepiej chronić swój system, należy pozostawić aktywność jedynie tych portów, które są niezbędne do działania potrzebnych nam usług i aplikacji. Zazwyczaj powinniśmy wyłączyć wszystkie porty UDP o numerach mniejszych od 900, z wyjątkiem specyficznych, a koniecznych dla nas usług (na przykład FTP). W szczególności protokołu UPD nie powinny obsługiwać porty echo (7) oraz chargen (19), które są ulubionym celem ataku SYN-Flood.

Innym powszechnie znanym zagrożeniem jest działająca w systemie Windows komenda nbstat. Polecenie ujawnia ważne dane o systemie, takie jak nazwa domeny, czy nazwę serwera NetBIOS. Jeszcze gorzej, że owe informacje są udostępniane również użytkownikom korzystającym z anonimowego konta IIS (o ile oczywiście usługa IIS jest dostępna). Na szczęście, stosunkowo łatwo można odseparować świat zewnętrzny od usługi Nbstat. Wystarczy odłączyć porty 137 i 138 UDP oraz port 139 TCP na routerze lub zaporze sieciowej. Komenda jest wtedy całkowicie operatywna w sieci chronionej i niedostępna z zewnątrz. Jeśli komuś jeszcze mało problemów, to informujemy o kolejnej luce, tym razem w realizowanej przez Windows usłudze RPC. Użytkownik wykorzystując

Telnet poprzez port 135 może wprowadzić 10 losowych znaków i rozłączyć się, co w stu procentach zawiesi działanie CPU. Przeładowanie systemu rozwiązuje problem, ale jest to dość kosztowny sposób. Znane jest również zastosowanie tego samego chwytu do ogłupienia usług korzystających z dwu innych portów, mianowicie 53 oraz 1031.

Jeśli serwer DNS jest uruchomiony z portu 53, atak zawiesza go i konieczne jest ponowne uruchomienie systemu. Podobnie reaguje IIS napadnięty z portu 1031.

Ochrona haseł i kont

Wiele skutecznych ataków sieci było spowodowane brakiem odpowiedniego przeszkolenia użytkowników, na temat zasad bezpiecznego posługiwania się hasłem. Osoby nieświadome zagrożeń najchętniej posługują się hasłem dwuznakowym, lub co gorsza, wcale go nie używają. Poniższa lista zawiera najważniejsze reguły skutecznej ochrony haseł [1]:

  1. Nie używać hasła krótszego niż sześć znaków. Krótkie hasła są łatwe do złamania.
  2. Nie wykorzystywać w haśle żadnej części swojego nazwiska; łatwo je znaleźć w Internecie.
  3. Nie wykorzystywać w haśle imion swojego małżonka, dzieci, przyjaciół, zwierząt.
  4. Nie stosować jako hasła żadnych rzeczywistych imion lub ich fragmentów; są łatwe do zapamiętania, ale wiedzą o tym hakerzy.
  5. Nie używać w haśle żadnych informacji o sobie: na przykład numeru dowodu osobistego, daty urodzenia, numeru NIP, numeru rejestracyjnego samochodu itp.
  6. Nie używać żadnych słów dostępnych w słownikach lub leksykonach; hakerzy posługują się programami próbującymi wygenerować hasło, podstawiając kolejne pozycje słownika.
  7. Nie zapisywać hasła i nie przekazywać go nikomu bez względu na to kto to jest! Zdarzały się przypadki, że hakerzy zdobywali potrzebne im dane, wysyłając pocztą elektroniczną wezwanie do podania hasła, podszywając się pod administratora.
  8. Hasło powinno się składać z losowych kombinacji małych i wielkich liter.
  9. Hasło powinno zawierać litery, cyfry i znaki symboliczne.
  10. Używać haseł rodzaju: X$2sC.8Zd(, których nie można wygenerować ze słownika. Nawet odgadnięcie hasła wymaga jeszcze znajomości jego pisowni.
  11. Hasło należy zmieniać co najmniej raz na 90 dni i nigdy nie używać go ponownie.

System zarządzania regułami stosowania haseł, który udostępnia Windows NT, pomaga je chronić, ale nie zastąpi współpracy użytkowników. Możemy, co prawda, określić minimalną długość hasła lub częstotliwość zmian, ale nie jesteśmy w stanie skontrolować wykorzystania swoich imion, nazw psów czy daty urodzenia. Pewność bezpieczeństwa haseł jest bardzo ważna. Ewentualny atak z Internetu skierowany będzie prawdopodobnie właśnie na nie. Haker, który zdobędzie identyfikator i hasło użytkownika może korzystać z jego przywilejów. Na dodatek działalność intruza, posługującego się cudzymi danymi, jest trudna do wykrycia.

Program Windows NT Account Policies służący do ustalania strategii wobec kont użytkownika pozwala mieć pewność, że tak wrażliwe na atak fragmenty systemu są odpowiednio zabezpieczone, możemy skonfigurować: parametry haseł, czas dostępu do systemu, profile użytkownika oraz procedury blokowania konta. Wszystkie opcje okna dialogowego umożliwiają wprowadzenie ustaleń, które doprowadzą do frustracji większość hakerów, ale najważniejszą pozycją jest zdolność określenia minimalnej długości hasła. Określenie tej wielkości uniemożliwia posługiwanie się przez użytkowników pustym hasłem. Rozszyfrowanie zasady tworzenia nazw użytkowników nie jest zazwyczaj trudne, wiec brak hasła jest furtką zapraszającą intruzów.

Eksperci od ochrony systemów komputerowych zalecają stosowania haseł zawierających co najmniej sześć znaków. Opcja, określająca maksymalny czas posługiwania się hasłem, pozwala zagwarantować, ze hasła są zmieniane systematycznie; właściwym ustawieniem jest liczba dni między 90, a 120. Nawet jeśli intruz zdobędzie dane jakiegoś użytkownika, to po pewnym czasie utraci dostęp uzyskany dzięki kradzieży. Opcja Password Uniqueness (unikalność hasła) jest ściśle związana z poprzednią. Jeśli ją uaktywnimy, to system pamięta określoną liczbę haseł stosowanych przez użytkownika. Po zmianie, nie można powrócić do jednego z wcześniej stosowanych haseł, znanego być może osobie postronnej.

Należy również rozważyć implementację opcji blokowania konta. Siła tego ustawienia wynika ze skutecznego ograniczenia liczby nieudanych prób dostępu do systemu. Rozwiązanie bardzo frustruje hakerów, uniemożliwiając stosowanie programów generujących hasła, ale równie skutecznie doprowadza do pasji roztargnionych użytkowników. Można skonfigurować liczbę dozwolonych błędów podczas rejestracji w określonym przedziale czasu. Przekroczenie tej wielkości spowoduje zablokowanie konta. Mając zablokowane konto, użytkownik nie może zarejestrować się w systemie, nawet podając prawidłowe dane identyfikacyjne. Czas blokady konta można określić opcją Lockout Duration. Konto może być również blokowane bezterminowo, co oznacza, że uaktywnienie go wymaga interwencji administratora systemu. Typowe ustawienia opcji, to dopuszczenie do pięciu błędów w ciągu pół godziny i zablokowanie konta na 10-20 minut. W systemach wymagających skrajnej ochrony można ograniczyć liczbę nieudanych prób do trzech a konto blokować bezterminowo.

Zobaczmy, jak to działa: System został skonfigurowany w sposób dopuszczający trzy nieudane próby rejestracji w ciągu piętnastu minut oraz na bezterminową blokadę konta. Sprytny haker zdobył nazwę konta użytkownika oraz nazwę hosta, wykorzystując program podsłuchowy (sniffer) do przechwycenia komunikatu poczty elektronicznej. Kolejnym etapem ataku jest uruchomienie programu do generowania haseł na podstawie słownika. Już po trzech próbach konto zostaje zablokowane. Użytkownik, który nie może korzystać z systemu, sygnalizuje problem administratorowi, a ten podejmie decyzję o dalszym postępowaniu. Inną popularną furtkę, umożliwiającą skuteczny atak hakerom, tworzą predefiniowane konta Windows NT. Konto gościa, należy po prostu wyłączyć. Mimo ograniczonych przywilejów, można je wykorzystać do przejęcia ważnych, dla bezpieczeństwa serwera, plików, dotyczących  jakiejś maszyny, a następnie wykorzystać zdobyte informacje do skutecznej infiltracji systemu. Jeśli, z ważnych powodów, konto gościa jest niezbędne, to należy się upewnić, że hasło jest trudne do złamania, ograniczyć czas korzystania konta do standardowych godzin pracy przedsiębiorstwa oraz monitorować procesy rejestracji.

Ze względu na znaczenie konta administratora, trzeba mu poświęcić szczególną uwagę. Oto kilka zasad dotyczących tego konta [2]:

  1. Zmienić nazwę konta administratora –  ukrycie tego najważniejszego w systemie ochrony elementu utrudni nieco pracę hakerom.
  2. Zgodnie z wcześniejszymi wytycznymi, zapewnić, aby hasło było ekstremalnie trudne do złamania. Powinno się składać z czternastu znaków i wyglądać na przykład tak: n*D65.Vm&z8Ps%. Hasło należy zapamiętać.
  3. Ograniczyć liczbę administratorów. Im więcej osób zna hasło, tym większe prawdopodobieństwo jego ujawnienia. Stosować przekazywanie uprawnień administracyjnych za pomocą odpowiedniej konfiguracji grup.
  4. Stosować zasadę „jak najmniej uprawnień”; konta administratora należy używać tylko w wyjątkowych sytuacjach. Pamiętajmy, że połączenia realizowane z odległych stacji mogą być podsłuchane i przechwycone.
  5. Rozważyć wyłączenie możliwości zdalnego korzystania z serwera poprzez konto administratora. Mimo uciążliwości, rozwiązanie znacznie poprawia ochronę.

Nie wolno zapomnieć o pozostałych grupach predefiniowanych, takich jak Account Operators (operatorzy kont), Server Operators (operatorzy serwerów) oraz przede wszystkim o grupie Backup Operators (operatorów archiwizacji). Pamiętajmy, że grupa użytkowników uprawnionych do archiwizacji, może czytać (prawo restore) wszystkie pliki i katalogi. Jeśli haker zdobędzie dane użytkownika mającego pozwolenie backup & restore, lub osoby należącej do grupy operatorów archiwizacji, to mamy poważny problem. Należy wykorzystać menedżer użytkowników do zapewnienia wspomnianym grupom dokładnie takiego poziomu uprawnień, jaki jest niezbędny do pracy (zasada „jak najmniej uprawnień.


[1] D. Chapman, E. Zwicky „Building Internet Firewalls“,

[2] D. Chapman, E. Zwicky „Building Internet Firewalls“,

Wymagania dużych sieci / nacisk na bezpieczeństwo

Przykład: Mamy pięćdziesiąt komputerów i 32 nr IP (5 bitów). Potrzebujemy możliwości rozdania różnych poziomów dostępu do sieci ponieważ powierzamy swoim współpracownikom różne zadania. Poza tym będziemy potrzebować izolacji określonych miejsc w sieci od reszty.

Poziomy dostępu:

  1. Poziom zewnętrzny – ukazywany wszystkim,
  2. Troop poziom ten przeznaczony jest dla ludzi którzy otrzymali dostęp z poziomu zewnętrznego.
  3. Mercenary Tutaj jest miejsce, które naprawdę planujemy chronić. Tutaj składujemy wszelkie ważne informacje. Serwer plików nosi numery 192.168.2.17 dla sieci Troop i 192.168.2.23 dla sieci Mercenary. Mają różne adresy ponieważ mają dwie różne karty sieciowe. network. IP Forwarding jest wyłączony.

IP Forwarding na obu stacjach linuxowych także jest wyłączony. Router nie powinien przesyłać pakietów przeznaczonych dla sieci 192.168.2.xxx dopóki  tego nie zażądamy, tak więc dostęp do internetu pozostaje wyłączony. Wyłączenie przesyłania IP ma na celu zablokowanie połączeń z sieci Troop do sieci Mercenary na odwrót. Serwer NFS może ponadto oferować różne pliki dla różnych sieci. Jest to łatwe przy drobnych operacjach z symbolicznymi odniesieniami, ponieważ można w ten sposób stworzyć współdzielenie wspólnych plików. Użycie tego typu ustawień i różnych kart sieciowych umożliwia nam zastosowanie jednego serwera plików dla trzech sieci.

Sieć Ethernet i jej najnowsze rozwiązania

dobry wzór do napisania własnej pracy

Standard Ethernet to najbardziej rozpowszechniony standard sieci. Łatwa dostępność  i szeroki wybór urządzeń aktywnych, zastosowanie w obecnej sieci komputerowej oraz projekcie jej modernizacji w ZAP S.A. Ostrów Wlkp. wymaga omówienia standardu, zaleceń projektowych i jego nowszych rozwiązań.

Elementy sieci występujące w omówieniu standardu Ethernet są opisane w punkcie 2.1.

Ethernet wykorzystuje metodę dostępu CSMA/CD co oznacza metodę sprawdzania sygnału w kablu z wielostacyjnym dostępem oraz wykrywaniem kolizji. Aby sieć z metodą CSMA/CD działała poprawnie konieczne jest spełnienie poniższych warunków:

  • limitowany rozmiar sieci w celu kontroli opóźnień propagacyjnych,
  • ograniczona liczba repeaterów łączących poszczególne segmenty sieci.

W specyfikacji Ethernetu występują trzy podstawowe odmiany sieci:

  • 10 BASE-5 – (gruby Ethernet) wykorzystuje gruby kabel koncentryczny 50W o długości jednego segmentu do 500m z terminatorem 50W na każdym końcu w topologii magistrali (rys. 2.14.). Każde przyłączenie do kabla realizowane jest przez transceiver. Przyłącza muszą być odległe od siebie co najmniej 2,5m. W sieci 10Base-5 może występować maksymalnie 5 segmentów połączonych za pomocą repeaterów o łącznej długości nie przekraczającej 2500m. Stacje robocze mogą być przyłączane tylko do trzech segmentów, dwa pozostałe służą jako przedłużenia. Do jednego segmentu można przyłączyć najwyżej 100 węzłów. Połączenie pomiędzy przyłączem a sprzęgiem sieciowym wykonywane jest przy pomocy kabla AUI, który może mieć długość do 50m. Oznaczenie 10Base-5 oznacza transmisje 10Mbps w paśmie podstawowym na odległość do 500m.

Rys. 2.14. Przykład 10Base-5

  • 10 BASE-2 – (cienki Ethernet) wykorzystuje cienki kabel koncentryczny 50W, o długości jednego segmentu do 185m z 50W terminatorem na każdym końcu w topologii magistrali, przy czym jeden koniec uziemiony (rys. 2.15.). W sieci lokalnej może występować co najwyżej pięć takich segmentów połączonych repeaterami. Całkowita długość wynosi 925m. Zgodnie ze specyfikacją 10 Base-2 stacje robocze mogą być przyłączone tylko do trzech segmentów, dwa pozostałe służą jako przedłużenia.
  • Do jednego segmentu magistrali można przyłączyć maksymalnie 30 węzłów. Odległość między węzłami wynosi co najmniej 0,5m. Oznaczenie 10 Base-2 wskazuje na transmisję 10Mbps na odległość 185m. Segment składa się z odcinków kabla połączonych za pomocą T-konektorów (łączników trójnikowych) do których podłączone są sprzęgi sieciowe (karty sieciowe) z wbudowanymi transceiverami.
  • 10 BASE-T – łączy w sobie najlepsze cechy topologii gwiazdy i magistrali. Z logicznego punktu widzenia sieć jest magistralą, w której dane przesyłane są do wszystkich stacji sieci, to jednak w rzeczywistości zastosowano w niej rozproszoną topologię gwiaździstą. W sieciach tego typu stosowany jest kabel skręcany i można w nich przesyłać dane z szybkością 10Mbps na maksymalną odległość jednego segmentu 100m. W tej specyfikacji wymagane jest stosowanie koncentratora, który pozwala na bardziej strukturalne podejście do okablowania. Każda stacja jest połączona dwoma parami nieekranowanego kabla skręcanego bezpośrednio z centralnym urządzeniem (koncentratorem), które ma możliwość monitorowania działania sieci (rys. 2.16.). Daje to możliwość odizolowania wadliwych węzłów, lokalizację wadliwego okablowania bez konieczności przerywania pracy całej sieci.

Wiele koncentratorów może być połączonych do jednego tworząc hierarchicznie rozgałęzioną gwiazdę. Maksymalna liczba węzłów, które mogą występować w całej sieci 10Base-T wynosi 1024. W sieciach 10Base-T sygnał może przejść tylko przez 4 repeatery co daje maksymalną odległość między końcowymi węzłami 500m. Jeśli trzeba użyć więcej repeaterów, to sygnały muszą być przepuszczone przez mosty. Stacje 10Base-T wymagają specjalnych transceiverów dla kabla skręcanego, które obecnie są wbudowane w karty sieciowe. Zaletą jest łatwość zarządzania, lepsza użyteczność oraz elastyczność okablowania.

Zastosowanie kabla światłowodowego w Ethernecie znacznie zwiększyło możliwość wysyłania informacji wewnątrz i między budynkami na większe odległości. Kabel światłowodowy zazwyczaj łączy segmenty sieci wykonanych z innego okablowania. Połączenie między mediami realizuje się poprzez np. transceivery, repeatery, moduły transceiverów wbudowane w koncentratory. Można połączyć maksymalnie 2 węzły za pomocą jednego łącza światłowodowego 10Base-F na odległość 2km.

Ethernet charakteryzuje się tym, że przepływność sieci stworzonej z zastosowaniem koncentratorów (rys. 2.16.) jest uzależniona od ilości stacji. Koncentratory tworzą tylko jedną domenę kolizyjną i przepływność w takiej domenie jest dzielona przez liczbę stacji np. 10Mbps / N gdzie N – liczba stacji.

Można go nazwać Ethernetem dzielonym. Przy dużej ilości stacji staje się wąskim gardłem do wymiany danych.

Aby zwiększyć przepływność sieci tworzy się kilka domen kolizyjnych (rys. 2.18.) przy pomocy takich urządzeń jak np. switch. Koncentrator przełączający (Switch Ethernetowy) nie tworzy domeny lecz grupę domen, a przełączanie odbywa się na podstawie adresów MAC. Takie rozwiązanie nosi nazwę Przełączanego Ethernetu (Switched Ethernet). Przełączany Ethernet używa przełączania pakietów, techniki wykorzystywanej przy wysyłaniu pakietów do ściśle określonego węzła. Możliwości przełączania mają bridge, switch i router.

Sieć Fast Ethernet jest nowszym udoskonalonym standardem 10Base-T. Prędkość przesyłania danych wynosi 100Mbps.. W tym standardzie stosowana jest ta sama topologia, protokoły i pakiety, a także metoda dostępu CSMA/CD, jak w sieci Ethernet 10Base-T. W sieci Fast Ethernet wprowadzono znacznie większe ograniczenia dotyczące odległości między urządzeniami końcowymi.

Między węzłami końcowymi jednego segmentu (domeny kolizyjnej) mogą występować tylko dwa repeatery a maksymalna odległość między węzłami końcowymi wynosi 205m dla UTP (w 10Base-T odległość z zastosowaniem 2 repeaterów wynosiła 300m).

Istnieją trzy odmiany sieci 100Base-T, każda oparta na innym rodzaju medium transmisyjnego:

  • 100 Base-TX – kable UTP kat.5 (z dwóch par przewodów),
  • 100 Base-T4 – kable UTP kat. 3 lub 4 (z czterech par przewodów,
  • 100 Base-FX – kable światłowodowe (dwa włókna światłowodowe).

Obecnie większość sieci Fast Ethernet pracuje z okablowaniem zgodnym ze specyfikacją 100Base-TX. Fragment sieci wykonany w technologii Fast Ethernet musi tworzyć osobny segment połączony z resztą sieci za pomocą mostów (bridge) lub przełączników (switch).

Najnowszym rozwiązaniem sieci Ethernet jest będąca jeszcze w trakcie prac specyfikacja 1000BaseX Gigabit Ethernet. Szerokość pasma tego standardu określa się na 1000Mbps.

Spis specyfikacji:

  • 1000Base-LX medium: laser długopasmowy, segmenty sieci o długości 550m (światłowód wielopasmowy) i 3000m (światłowód jednopasmowy),
  • 1000Base-SX medium: światłowód wielopasmowy (laser krótkopasmowy), segmenty sieci o długości 300m (światłowód wielopasmowy 62,5 mikrona) lub 550m (światłowód wielopasmowy 50 mikronów),
  • 1000Base-CX medium: kabel miedziany (skrętka ekranowana) o długości do 25m, łącza do sprzęgania urządzeń standardu Gigabit Ethernet, które pracują blisko siebie (w jednym pomieszczeniu lub na jednym stojaku),
  • 1000Base-T medium: kabel UTP (skrętka nieekranowana 4 pary), długość segmentu 100m.

Zalety:

  • możliwość likwidowania wąskich gardeł w sieciach opartych na technologii Fast Ethernet,
  • sieci tego rodzaju pracują bardzo szybko 1Gb/s,
  • możliwość uruchamiania aplikacji multimedialnych pracujących w czasie rzeczywistym,
  • w porównaniu z ATM jest to dość prosta technologia i tańsza niż ATM.

Wady:

  • sieci te nie dają się skalować tak łatwo (szczególnie obsługa aplikacji multimedialnych) jak te oparte na ATM,
  • w warstwie fizycznej sieć pracuje co prawda na światłowodzie i na kablu miedzianym, ale jeden segment w tym ostatnim przypadku ma ograniczoną długość,
  • istnieje obawa czy pakiety będą zawsze przesyłane z pełną szybkością 1Gb/s,

Architektura TCP/IP

Klejem, który trzyma w całości Internet, jest protokół TCP/IP. TCP/IP jest w zasadzie zestawem protokołów. Czterowarstwowy model protokołu TCP/IP został opracowany długo wcześniej niż siedmiowarstwowy model OSI, ale wykazują one pewne podobieństwa.  Jeśli nawiązane jest połączenie w sieci TCP/IP, to każdy protokół „rozmawia ze swoim partnerem” na odległym hoscie za pośrednictwem gniazd (sockets).

Gniazdo jest procedurą, która tworzy wirtualne połączenie między hostami. Każde gniazdo ma swój adres (socket address), który składa się z numeru portu i adresu IP lokalnego hosta. Rozróżnia się trzy typy gniazd: IP, TCP i UDP. Jeśli hosty nawiążą połączenie poprzez IP, to otwiera się między nimi gniazdo i wysłane zostaje wywołanie, zawierające unikatowy adres IP odległego hosta oraz numer portu żądanej usługi.

Port jest po prostu kanałem wykorzystywanym przez protokoły do komunikacji ze specyficzną usługą. Kiedy podejmujemy próbę połączenia z odległym hostem, nasze wywołanie będzie zawierało unikatowy adres IP, wykorzystywany typ protokołu (IP, TCP lub UDP) oraz port, którego chcemy użyć.

Na przykład:

jeśli próbujemy wywołać Telnet na odległej stacji, nasze wezwanie będzie się składać z adresu IP odległego komputera, typ wykorzystywanego protokołu (tutaj: TCP) oraz portu odległej stacji, na którym spodziewany jest Telnet. Jeśli chociaż jeden z tych parametrów jest błędny, połączenie nie zostanie zrealizowane.

We wczesnym okresie TCP/IP, ze względu na wygodę i standaryzację, wiele usług było skojarzone ze specyficznymi portami.

Na przykład:

usługi SMTP oczekiwały wezwania portu 25, a HTTP wezwania portu 80. W systemach UNIX porty są definiowane w pliku /etc/services lub w bazie danych Network Information Service. W systemach Windows NT, porty są określone w <winroot>system32driversetcservices (<winroot> oznacza macierzysty katalog Windows NT np.: winnt40).

Windows NT jest wyposażony w doskonały wewnętrzny układ ochrony, który zawiera weryfikację rejestracji, ochronę obiektów, prawa użytkownika i możliwość rozległego monitoringu. Zestaw tych elementów daje gwarancję wysokiego poziomu bezpieczeństwa systemu. Z chwilą podłączenia sieci do Internetu dokładamy jednak do systemu wszystkie wewnętrzne słabości protokołu TCP/IP.

Na szczęście „wyjęty prosto z pudełka” Windows NT jest bardziej bezpieczną platformą internetową od większości propozycji opartych na systemie UNIX. Przewaga Windows NT wynika z braku systemowego wsparcia dla najbardziej niebezpiecznych usług internetowych, takich jak Finger i Telnet. Ważnym czynnikiem jest architektura systemu, której twórcy traktowali bezpieczeństwo jako najważniejsze założenie projektu.

Dobrym przykładem różnic, jest przechowywanie informacji o użytkownikach w silnie zabezpieczonej bazie danych Windows NT (SAM), podczas gdy w systemie UNIX są to nieskomplikowane pliki z tekstami haseł. Jak nietrudno się domyślić, warunkiem wstępnym konfiguracji bezpiecznej współpracy Windows NT z TCP/IP jest zainstalowanie i ustawienie samego protokołu. Jeśli TCP/IP już działa na komputerze, to następnym krokiem jest zapewnienie bezpieczeństwa implementacji. Nie można optymalnie skonfigurować ochrony systemu bez znajomości narzędzi i rozwiązań wbudowanych w Windows NT, jak również, dostarczanych razem z nim, dodatkowych programów narzędziowych TCP/IP. Usługi typu Telnet mogą służyć jako doskonałe sprawdziany do wykrywania luk w układzie zabezpieczeń.

Windows NT dostarcza prawie wszystkich najbardziej popularnych narzędzi. Tym niemniej, zgodnie ze wcześniejszymi uwagami, nie świadczy najbardziej niebezpiecznych usług, będących powodem wielu włamań do systemów obronnych. Wszystkie dostarczane z Windows NT usługi internetowe są wspólnie nazywane serwerem informacyjnym Internetu – Internet Information Server, który zawiera między innymi serwery FTP, Gopher i HTTP (Web).

Typy zapór sieciowych

Wyróżniamy dwa podstawowe typy zapór sieciowych:

  1. Zapory sieciowe na poziomie sieci/pakietu (filtry pakietów)
  2. Zapory sieciowe na poziomie aplikacji/usługi (bramy pośredniczące, proxy)

Zapory pracujące na poziomie sieci są zazwyczaj routerami z zaawansowanymi możliwościami filtrowania pakietów. Administrator korzystający z takiej zapory ma możliwość przyznania, bądź odmowy dostępu do swego serwerem w oparciu o kilka zmiennych. Są to między innymi:

  1. Adres źródłowy
  2. Protokół
  3. Numer portu
  4. Zawartość

Zapory sieciowe w postaci routerów są popularne ze względu na łatwość ich zastosowania (po prostu podłącza się firewall do sieci i zaopatruje w odpowiednie reguły). Co więcej większość współczesnych routerów ma możliwość translacji/konwersji protokołów (gdzie protokół IP z zewnątrz jest tłumaczony na inne protokoły stosowane w sieci lokalnej). Dodatkową zaletą zastosowania firewalla zbudowanego w oparciu o router, jest fakt, że z racji swej specyfiki urządzenie takie jest elementem zewnętrznym z punktu widzenia naszej sieci lokalnej.

Tak więc jego podłączenie do sieci nie wymaga konieczności konfiguracji dziesiątek maszyn czy usług. I wreszcie, jeśli nasza sieć jest połączona z Internetem łączem stałym, to router i tak jest jej niezbędnym elementem. Zatem stosując firewall w oparciu o router możemy upiec dwie pieczenie na jednym ogniu. Z drugiej strony zapory sieciowe oparte na routerach maja kilka wad. Jedną z nich jest fakt, że wiele routerów jest podatnych na ataki, polegające na fałszowaniu adresu nadawcy pakietu – spoofing (aczkolwiek producenci pracują nad rozwiązaniem tego problemu).

Z praktycznego punktu widzenia, istotna jest również efektywność (moc obliczeniowa) routera – jeśli zadamy bardzo szczegółowe kryteria filtrowania, to w przypadku dużego natężenia ruchu przychodzącego możemy się spodziewać spadku jego wydajności. Niektóre routery nie posiadają wystarczająco szczegółowych możliwości zapisu stanu pracy. Oznacza to, że możemy potrzebować zewnętrznego oprogramowania i sprzętu do celów monitorowania pracy routera.

Zapory sieciowe realizowane w oparciu o aplikacje bramy Innym rodzajem zapory sieciowej jest firewall wykorzystujący aplikacje pośredniczące w standardowej komunikacji typu klient-serwer. Zapora taka zwana jest również bramą proxy, bądź bramą programową (application gateway). Żądanie połączenia z daną usługą sieciową wysłane przez zdalnego użytkownika jest obsługiwane nie bezpośrednio przez odpowiedni serwer usług, lecz podawane do niego poprzez bramę proxy. Zatem, w odróżnieniu od firewalla – filtra pakietów, nadchodzące pakiety IP nie są po przetworzeniu przesyłane do sieci lokalnej, zamiast tego brama przeprowadza swego rodzaju translację pośrednicząc pomiędzy klientem a serwerem.

Zaletą stosowania bramkowania usług jest fakt zapobiegania dostaniu się pakietów IP do naszej sieci (tunelowania pakietów). Wadą jest konieczność konfiguracji odpowiedniej bramy dla każdej usługi sieciowej, w tym FTP, Telnet, HTTP, e-mail itd. Dodatkowo użytkownicy muszą wykorzystywać programy klienckie pozwalające na stosowanie bramkowania usług (w przeciwnym wypadku, użytkownicy będą musieli nauczyć się „ręcznie” obsługiwać bramę (co może być czasochłonne, uciążliwe, bądź w ogóle niemożliwe, zależnie od stopnia skomplikowania procedur).

Przykładowo – w przypadku bramkowania popularnej usługi Telnet nie jest wymagana obecność po stronie użytkownika klienta świadomego istnienia bramy proxy; w takiej sytuacji jednak wymusi to na użytkowniku konieczność połączenia się (lecz nie zalogowania) z bramą – firewallem dla danej usługi – a nie bezpośrednio z serwerem Telneta. Zastosowanie klienta wspierającego procedury bramkowania uczyni bramę transparentną z punktu widzenia użytkownika. Zapora sieciowa służy jako wejście do systemu docelowego – przechwytuje żądania połączenia i podejmuje dalsze, uprzednio zdefiniowane, kroki, np. zapytanie o jednorazowe hasło. Zachowanie użytkownika pozostaje takie samo, pod warunkiem stosowania odpowiednio zmodyfikowanych/skonfigurowanych klientów usług.

MS Windows i Trumpet Winsock

Trumpet Winsock występuje z wbudowanymi możliwościami współpracy z serwerem proxy. Aby go skonfigurować wystarczy w setup menu wprowadzić adres serwera, i adresy komputerów dostępnych bezpośrednio. Program przekieruje na serwer wszystkie pakiety mające wyjść na zewnątrz.

Pakiet SOCKS pracuje jedynie z pakietami TCP, pomijając UDP. Powoduje to trochę mniejszą jego użyteczność. Wiele użytecznych programów, takich jak na przykład talki Archie używa UDP. Jest jednak pakiet który może być użyty jako serwer proxy dla UDP: UDPrelay.

Serwer proxy, jak  pokazano powyżej jest narzędziem bezpieczeństwa. Używanie go zwiększa dostępność do Internetu z ograniczoną liczbą adresów wiąże się jednak z wieloma niedogodnościami. Serwer proxy pozwala na większą dostępność internetu z sieci chronionej, ale pozostawia wnętrze całkowicie niedostępne z zewnątrz. Oznacza to brak możliwości uruchomienia wewnątrz sieci rozmaitych serwerów, talk i archie, oraz bezpośredniego wysyłania listów do chronionej sieci.

Przypadek FTP pokazuje jeszcze jeden problem z serwerami proxymi. Kiedy pobieramy pliki lub wydajemy komendę ls, serwer FTP otwiera gniazdo (,,socket”) na maszynie klienckiej i wysyła o tym informację. Serwer proxy nie pozwala na to, tak więc FTP nie działa w sposób prawidłowy.

Poza tym serwery pośredniczące działają powoli – z powodu większej wydajności większość innych metod dostępu do Internetu będzie szybsza.

Jeśli mamy przydzielony adres IP, i nie musimy martwić się o bezpieczeństwo, nie zachodzi konieczność używania ścian ogniowych i/lub serwerów proxy. Jeśli nie mamy IP, i także nie trzeba przejmować się bezpieczeństwem  sieci, możemy użyć jednego z ,,emulatorów IP” takich jak Term, Slirp lub TIA. Pakiety te pracują szybciej, pozwalają na szybsze połączenia i na większy dostęp z sieci wewnętrznej do internetu. Serwery pośredniczące są dobre dla tych który mają duże sieci z komputerami mającymi mieć dostęp ,,w locie” do internetu z jednorazowym ustawieniem.