KIS a jejich bezpečnost I Počítačové sítě a možnosti jejich ochrany doc. Ing. Bohumil Brechta, CSc. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

POČÍTAČOVÉ SÍTĚ Úvod Dělení počítačových sítí a jejich komponenty Klasifikace a topologie sítí LAN Síťové standardy a protokoly Propojování sítí Architektura otevřených systémů Síťový software Organizační zabezpečení

ZÁKLADNÍ DĚLENÍ SÍTÍ Sítě typu LAN (Local Area Network) Sítě se dělí z hlediska jejich ROZSAHU: Sítě typu LAN (Local Area Network) Zpravidla realizovány v rámci budovy nebo skupiny budov ~ úřad, podnik, škola, … Sítě typu WAN (Wide Area Network) Rozsáhlé sítě ~ propojují počítače mezi městy, státy, kontinenty Sítě typu MAN (Metropolitan Area Network) ~ jako městské nebo velkoměstské

Komponenty počítačových sítí Počítače Síťový hardware Síťový software Organizační zabezpečení

POČÍTAČE pracovní stanice servery nenabízejí žádné síťové prostředky využívají síťové prostředky v rámci přidělených práv servery souborové, tiskové, komunikační, aplikační apod. nabízejí prostředky pro použití v síti je nutný výběr spolehlivých a výkonných sestav

SÍŤOVÝ HARDWARE VŠECHNY TECHNICKÉ PROSTŘEDKY UMOŽŇUJÍCÍ VZÁJEMNÉ FYZICKÉ PROPOJENÍ JEDNOTLIVÝCH POČÍTAČŮ síťové karty kabeláže (kroucené dvoulinky, koaxiální nebo optický kabel) rozbočovače a zesilovače bridge, router, gateway

SÍŤOVÉ KARTY fyzické rozhraní mezi počítačem a síťovým kabelem zabezpečují: přípravu dat v počítači pro síťový kabel (transceiver – transmitter/receiver) posílání dat do jiných počítačů kontrolu toku dat mezi kabelem a počítačem Dále je důležité: - volba konfigurace a nastavení s. karty. - přerušení (IRQ) – IRQ3 (5) - bázová adresa V/V portu - síťové kabely a konektory

KLASIFIKACE POČÍTAČOVÝCH SÍTÍ Nejčastější dělení dle: Struktury Aplikace Topologie Přenášeného signálu Přenosového média Způsobu řízení komunikace v síti

KLASIFIKACE podle struktury PŘEDŘAZENÉ (FRONT – END) Hlavní počítač a jeho terminály (PC jako pseudoterminály). Veškeré zpracování probíhá na mainframe. Funkčně se neliší od terminálové sítě

KLASIFIKACE podle struktury TÝLOVÉ (BACK – END) Hlavní počítač a jeho periferní zařízení. Připojení periferií pomocí sítě umožňuje jejich připojení na velké vzdálenosti.

KLASIFIKACE podle struktury SÍŤ S ROVNOCENNÝMI UZLY (PEER-TO-PEER) Síť obsahuje pouze hlavní počítače, které si jsou rovny. Lze je pružně určovat jako výhradní pracovní stanice popř. jako server apod.

KLASIFIKACE podle struktury SÍŤ PRACOVNÍCH STANIC A SERVERŮ Síť obsahuje stanice v nerovnovážném postavení. Server je vybaven speciálním technickým a programovým vybavením. Server plní speciální funkce (poskytuje soubor, zajistí tisk,řídí komunikaci apod.)

KLASIFIKACE podle aplikace SÍŤ PRO SYSTÉMY ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ Priorita –rychlost a spolehlivost SÍŤ PRO INFORMAČNÍ SYSTÉMY Priorita – velké množství stanic, snadné rozšiřování a jednoduchá rekonfigurace

KLASIFIKACE podle topologie způsob fyzického propojení, t.j. jak jsou vedeny propojovací kabely mezi počítači Sběrnicová Hvězdicová Kruhová další možnosti topologie varianty hlavních topologií neomezená topologie

SBĚRNICOVÁ TOPOLOGIE Pasivní topologie Posílání signálu – data se posílají všem počítačům, přijme je ten, jehož adresa odpovídá zakódované Vracející se signál – signál kmitá od konce ke konci kabelu  je třeba ho zastavit ~ pomocí: Terminátor(u) – umístí se na oba konce kabelu a pohlcuje volné signály Výhody – spolehlivost(výpadek uzlu neohrozí činnost sítě);decentralizované řízení;malé náklady na instalaci Nevýhody – porucha kabelu znamená vyřazení celé sítě; složitější realizace odboček při použití optického kabelu;interference

HVĚZDICOVÁ TOPOLOGIE Pochází z dob modelu host/terminal ~ propojení počítačů k centr. počítači Jde o propojení pomocí ka- bel. segmentů k centrál. prvku – rozbočovači Hvězdice nabízí centrální zdroje a správu Nevýhody-velké množství kabelů, selže-li centrální prvek, spadne celá síť Výhody-selhání jednoho poč. neohrozí ostatní; ;snadná diagnostika kabeláže a řízení větví Obecně je hvězda jednoúrovňový strom

HVĚZDICOVÁ TOPOLOGIE STROM Rozbočovač

HVĚZDICOVÁ TOPOLOGIE VLOČKA Rozbočovač

KRUHOVÁ TOPOLOGIE Na rozdíl od sběrnice jde o aktivní topologii Každý počítač jako opakovač – zesiluje signál a posílá dál Systém předávání známky – token – posílá se po okruhu, až k počítači, který má data k odeslání Výhody-netřeba centrální jednotky; menší nároky na spotřebu kabelu;vadná stanice nezahltí síť;jednoduché použití optického vlákna Nevýhody-citlivost na rušení;složitější řízení (pešek-token) opakovač

KOMBINOVANÉ TOPOLOGIE Kombinace topologií stejného typu Sběrnice – sběrnice (strom bez kořene) hlavní páteř – tlustý kabel přes opakovače tenké kabely ( výhodné pro sítě v budovách)

KOMBINOVANÉ TOPOLOGIE Kombinace topologií rozdílného typu Strom – sběrnice

KOMBINOVANÉ TOPOLOGIE Kombinace topologií rozdílného typu Kruh - hvězda

VOLBA TOPOLOGIE výhody nevýhody sběr Jednoduchá, spolehl., snadno rozšiřitelná, ekonomické využití kabelu Při velkém provozu síť zpomaluje; porušení kabelu může ovlivnit mnoho uživatelů prst Rovnocenný přístup pro všechny počítače, vyvážený výkon i při velkém počtu uživatelů Selhání jednoho počítače může ovlivnit celou síť; rekonfigurace přeruší její provoz hvězda Snadná modifikace, centr. monitorování a správa, selhání jednoho poč. neovliv. zbytek sítě Pokud selže centrální prvek, spadne celá síť; velké množství kabelů

VARIANTY HLAVNÍCH TOPOLOGIÍ Kombinace sběrnicové, hvězdicové prstencové topologie Hvězdicově sběrnicová topologie několik hvězdicových sítí, propojených lineárně sběrnicovými kabely Hvězdicově prstencová topologie hvězda zapojená do kruhu Oba dva typy jsou soustředěny do rozbočovače

KLASIFIKACE podle přenášeného signálu BASEBAND Přenos signálu v základním frekvenčním pásmu Ethernet Token Ring ARCnet

KLASIFIKACE podle přenosového média Kroucená dvoulinka Koaxiální kabel Optické vlákno Bezdrátové spoje

Kabeláže Kroucená dvoulinka nejlevnější síťové médium -kabel se skládá ze dvou izolovaných drátů vzájemně zkroucených tak, že se do každého indukuje z okolí stejné množství rušení -průměr drátů označen číslem AWG (American Wire Gauge); např.drát s AWG=26 má průměr 0,4 mm -pro sítě es nejčastěji používají kabely s AWG=22 nebo 24 -v kabelu se páry drátů shlukují do svazků ( 2 – 3000); nejčastěji 25

KOAXIÁLNÍ KABEL kdysi nejpoužívanější forma přenosových kabelů pro sítě (:levný, :lehký a :lehce ohebný) skládá se z izolovaného měděného jádra opleteného kovovým stíněním a vnější izolací tenký (thinnet) - 0,25“, přenos do 185 m (bez útlumu) tlustý (thicknet) - 0,5“, do 500 m

OPTICKÁ VLÁKNA digitální datové signály jsou přenášena ve formě modulovaných světelných impulsů je vhodný pro přenos velkých objemů dat velmi vysokou rychlostí datové přenosy nepodléhají elektrické interferenci a jsou extrémně rychlé (1Gbps)

1) Jednovidové vlákno Optická vlákna (singlemode SM) pro větší vzdálenosti nebo pro přenos většími rychlostmi velká šířka pásma zdroj signálu - laser

2) Mnohovidové vlákno Optická vlákna pro vzdálenosti do 300 m užší šířka pásma vlákno 50/125 μm od 1976 Evropa a Japonsko vlákno 62,5/125 μm od 1986 Severní Amerika skupiny 2-24 vláken; standard 2-4 vlákna

Bezdrátové sítě Wireless Local Area Networks WLAN Wireless Metropolitan Area Network WMAN

Wireless Local Area Networks WLAN Sítě WLAN slouží pro: Budování LAN tam, kde není možná klasická LAN (historická budova) Připojení mobilních uživatelů (nomádi) – servisní práce Sběr údajů v rozsáhlých prostorách (velké sklady) Provoz na dočasných pracovištích

Wireless Local Area Networks WLAN Realizace: Vzájemně propojené stanice (nezávislá síť) Síť propojená pomocí retraslátoru v přístupovém modulu CM (communication module)

Přístupové metoda frekvenční Frekvenční multiplex Pro přenos dat danou rychlostí postačuje určitá šířka pásma Je-li šířka kanálu dostatečná lze ho rozdělit na několik podkanálů Výhody : vysoká propustnost až 30 km rychlost až 14 Mb/s připojitelnost stanic sta až tisíce

Přístupová metoda asynchronního vysílání Časový multiplex - přidělování na sebe navazujících kvant pevné délky pro jednu stanici

BRIDGE – MOST (brouter) umožňuje připojení jednotlivých sítí na úrovni spojové vrstvy a přistupování k prostředkům jednotlivých sítí umožňuje prodlužovat délku sítě, měnit počet uzlů v síti, redukovat profily uživatelů apod. funkcí bridge je směrování paketů podle jejich adres určení

SÍŤOVÝ SOFTWARE souhrn programových prostředků, které společně s hardwarem zajišťují činnost sítě peer – to – peer jednoduchá forma softwaru – rezidentních modulů v rámci OS počítače sdílená data jsou umístěna na více místech client – to – server data jsou centrálně uložena na file serverech síť tohoto typu pracuje na síťovém OS s jednotlivými klientskými OS velký výkon sítě, ale finančně jsou náročnější a nutná je kvalifikovaná správa

ORGANIZAČNÍ ZABEZPEČENÍ Soubor prostředků a opatření k zabezpečení provozu sítě Personální zabezpečení – poučení uživatelů o provozu sítě; zajištění správy sítě; určení správce sítě, který má nejvyšší práva v síti Provozní pravidla – upravují způsob a organizaci práce v síti

IP ADRESA základní identifikační prvek komunikace v síti ~ k jednoznačnému rozeznání počítače IP adresa má velikost 4 byte = 32 bitů. Nejčastěji se zapisuje v desítkové soustavě, kdy jednotlivé byte jsou odděleny tečkou. Každý byte může logicky nabývat hodnot od 0 - 255. Například: 192.44.118.192 proxy server IP adresa 192.168.x.x