35478

Мережеві операційні системи

Конспект

Информатика, кибернетика и программирование

Гетерогенні мережі. Охарактеризувати переваги та недоліки методів рішення проблем у гетерогенній мережі дивлячись на конкретну удову та вимоги до мережі. У вузькому розумінні мережна ОС це операційна система окремого компютера що забезпечує йому можливість працювати в мережі. Комунікаційні засоби ОС за допомогою яких відбувається обмін повідомленнями в мережі забезпечує адресацію і буферизацію повідомлень вибір маршруту передачі повідомлення по мережі надійність передачі і т.

Украинкский

2013-09-15

701 KB

9 чел.

Мережані ОС.

 Лекція № 6.

Тема: Структура мережної операційної системи. Огляд мережаних ОС. Модель OSI.

Основна термінологія. Гетерогенні мережі. Проблеми в гетерогенних мережах

Мета:Охарактеризувати структуру мережаних ОС. Оглянути основні види використання мережаних ОС. Ознайомити з моделлю OSI та основною термінологією. Показати різноманітність видів мереж. Вказати на основні проблеми та методи ріщення. Охарактеризувати переваги та недоліки методів рішення проблем у гетерогенній мережі дивлячись на конкретну удову та вимоги до мережі.

Структура мережної операційної системи

Під мережною операційною системою розуміється сукупність операційних систем окремих комп'ютерів, взаємодіючих з метою обміну повідомленнями і поділу ресурсів за єдиними правилами - протоколам. У вузькому розумінні мережна ОС - це операційна система окремого комп'ютера, що забезпечує йому можливість працювати в мережі.

Рис. 1.1. Структура мережний ОС 

У мережній операційній системі окремої машини можна виділити кілька частин (рис 1.1):

Засоби керування локальними ресурсами комп'ютера: функції розподілу оперативної пам'яті між процесами, планування і диспетчеризації процесів, керування периферійними пристроями й інші функції керування ресурсами локальних ОС.

Засоби надання власних ресурсів і послуг у загальне користування - серверна частина ОС (сервер). Ці засоби забезпечують, наприклад, блокування файлів і записів, що необхідно для їхнього спільного використання; ведення довідників імен мережних ресурсів; обробку запитів доступу до власної файлової системи і бази даних; керування чергами запитів віддалених користувачів до своїх периферійних пристроїв.

Засоби запиту доступу до вилучених ресурсів і послуг і їхнього використання - клієнтська частина ОС (редиректор). Ця частина виконує розпізнавання і перенапрямок у мережу запитів до віддалених ресурсів від програм і користувачів, при цьому запит надходить від програми в локальній формі, а передається в мережу в іншій формі, що відповідає вимогам сервера. Клієнтська частина також здійснює прийом відповідей від серверів і перетворення їхній у локальний формат, так що для програми виконання локальних і віддалених запитів нерозрізнено.

Комунікаційні засоби ОС, за допомогою яких відбувається обмін повідомленнями в мережі забезпечує адресацію і буферизацію повідомлень, вибір маршруту передачі повідомлення по мережі, надійність передачі і т.п., тобто є засобом транспортування повідомлень.

У залежності від функцій, покладених на конкретний комп'ютер, у його операційній системі може бути відсутня або клієнтська, або серверна частини.

Побудова мережних операційних систем (малюнок 1.3).

Рис. 1.3. Варіанти побудови мережних ОС

Перші мережні ОС являли собою сукупність існуючої локальної ОС і настроєної над нею мережної оболонки. При цьому в локальну ОС вбудовувався мінімум мережних функцій, необхідних для роботи мережної оболонки, що виконувала основні мережні функції. Прикладом такого підходу є використання на кожній машині мережі операційної системи MS DOS. Принцип побудови мережних ОС у вигляді  мережної оболонки над локальної ОС використовується  у сучасних ОС, таких, наприклад, як LANtastic чи Personal Ware.

Більш ефективним представляється шлях розробки операційних систем, споконвічно призначених для роботи в мережі. Мережні функції в ОС такого типу глибоко убудовані в основні модулі системи, що забезпечує їхню логічну стрункість, простоту експлуатації і модифікації, а також високу продуктивність. Прикладом Windows NT фірми Microsoft

Однорангові мережні ОС і ОС з виділеними серверами

У залежності від того, як розподілені функції між комп'ютерами мережі, мережні операційні системи, а отже, і мережі поділяються на два класи: однорангові і дворангові (малюнок 1.4). Останні частіше називають мережами з виділеними серверами.

(а) 

(б) 

Рис. 1.4. (а) - Однорангова мережа, (б) - Дворангова мережа 

Дворангові мережі.

Якщо комп'ютер надає свої ресурси іншим користувачам мережі, то він відіграє роль сервера. При цьому комп'ютер, що звертається до ресурсів іншої машини, є клієнтом. Комп'ютер, що працює в мережі, може виконувати функції або клієнта, або сервера, або сполучати обидві ці функції.

Якщо виконання яких-небудь серверних функцій є основним призначенням комп'ютера (наприклад, надання файлів у загальне користування всім іншим користувачам чи мережі організація спільного використання факсу, чи надання всім користувачам мережі можливості запуску на даному комп'ютері своїх додатків), то такий комп'ютер називається виділеним сервером. У залежності від того, який ресурс сервера є поділюваним, він називається файлом-сервером, факсом-сервером, принт-сервером, сервером додатків і т.д.

На виділених серверах бажано встановлювати ОС, спеціально оптимізовані для виконання тих чи інших серверних функцій. Тому в мережах з виділеними серверами найчастіше використовуються мережні операційні системи, до складу яких входить декількох варіантів ОС, що відрізняються можливостями серверних частин. Наприклад, мережна ОС Novell NetWare має серверний варіант, оптимізований для роботи як файл-сервер, а також варіанти оболонок для робочих станцій з різними локальними ОС, причому ці оболонки виконують винятково функції клієнта. ОС, орієнтована на побудову мережі з виділеним сервером, є операційна система Windows NT. На відміну від NetWare, обидва варіанти даної мережний ОС - Windows NT Server (для виділеного сервера) і Windows NT Workstation (для робочої станції) - можуть підтримувати функції і клієнта і сервера.

Виділений сервер не прийнятий використовувати як комп'ютер для виконання поточних задач, не зв'язаних з його основним призначенням, тому що це може зменшити продуктивність його роботи як сервера.

У мережі з виділеним сервером усі комп'ютери в загальному випадку можуть виконувати одночасно ролі і сервера, і клієнта, ця мережа функціонально не симетрична: апаратно і програмно в ній реалізовані два типи комп'ютерів - одні, у більшому ступені орієнтовані на виконання серверних функцій і працюючі під керуванням спеціалізованих серверних ОС, а інші - в основному виконуючі клієнтське функції і працюючі під керуванням відповідного цьому призначенню варіанта ОС. Функціональна несиметричність, викликає і несиметричність апаратури - для виділених серверів використовуються більш могутні комп'ютери з великими обсягами оперативної і зовнішньої пам'яті. Таким чином, функціональна несиметричність у мережах з виділеним сервером супроводжується несиметричністю операційних систем (спеціалізація ОС) і апаратною несиметричністю (спеціалізація комп'ютерів).

Однорангові мережі.

В однорангових мережах усі комп'ютери рівні в правах доступу до ресурсів один одного. Кожен користувач може по своєму бажанню оголосити який-небудь ресурс свого комп'ютера поділюваним, після чого інші користувачі можуть його експлуатувати. У таких мережах на всіх комп'ютерах установлюється та сама ОС, що надає всім комп'ютерам у мережі потенційно рівні можливості. Однорангові мережі можуть бути побудовані, наприклад, на базі ОС LANtastic, Personal Ware, Windows for Workgroup, Windows NT Workstation.

В однорангових мережах  може виникнути функціональна несиметричність: одні користувачі не бажають розділяти свої ресурси з іншими, і в такому випадку їхні комп'ютери виконують роль клієнта, за іншими комп'ютерами адміністратор закріпив тільки функції по організації спільного використання ресурсів, а значить вони є серверами, у третьому випадку, коли локальний користувач не заперечує проти використання його ресурсів і сам не виключає можливості звертання до інших комп'ютерів, ОС, установлювана на його комп'ютері, повинна включати і серверну, і клієнтську частини. На відміну від мереж з виділеними серверами, в однорангових мережах відсутня спеціалізація ОС у залежності від переважної функціональної спрямованості - чи клієнта сервера. Усі варіації реалізуються засобами конфігурування того самого варіанта ОС.

Однорангові мережі простіше в організації й експлуатації, однак вони застосовуються в основному для об'єднання невеликих груп користувачів, що не пред'являють великих вимог до обсягів збереженої інформації, її захищеності від несанкціонованого доступу і до швидкості доступу. При підвищених вимогах до цих характеристик більш придатними є дворангові мережі, де сервер краще вирішує задачу обслуговування користувачів своїми ресурсами, тому що його апаратура і мережна операційна система спеціально спроектовані для цієї мети.

Види мережаних  ОС за будовою.

ОС для робочих груп і ОС для мереж масштабу підприємства

Мережі відділів - використовуються невеликою групою співробітників, що вирішують загальні задачі. Головною метою мережі відділу є поділ локальних ресурсів, таких як додатка, дані, лазерні принтери і модеми. Мережі відділів звичайно не розділяються на під мережі. Звичайно мережі відділів мають один чи два файлових сервери і не більш ніж 30 користувачів. Задачі керування на рівні відділу відносно прості. У задачі адміністратора входить додавання нових користувачів, усунення простих відмовлень, інсталяція нових вузлів і установка нових версій програмного забезпечення. Така мережа звичайно використовує одну чи максимум дві мережні ОС. Найчастіше це мережа з виділеним сервером NetWare 3.x чи Windows NT, чи ж однорангова мережа, наприклад мережа Windows for Workgroups.

Мережі кампусів - з'єднують кілька мереж відділів усередині окремого чи будинку усередині однієї території підприємства. Ці мережі є усе ще локальними мережами, хоча і можуть покривати територію в кілька квадратних кілометрів. Сервіси такої мережі включають взаємодія між мережами відділів, доступ до баз дані підприємства, доступ до факсів-серверів, високошвидкісним модемам і високошвидкісним принтерам.

Операційна система, що працює в мережі кампусу, повинна забезпечувати для співробітників одних відділів доступ до деяких файлів і ресурсів мереж інших відділів. Послуги, надані ОС мереж кампусів, не обмежуються простим поділом файлів і принтерів, а часто надають доступ і до серверів інших типів, наприклад, до факсів-серверів і до серверів високошвидкісних модемів. Важливим сервісом, наданим операційними системами даного класу, є доступ до корпоративних баз даних, незалежно від того, чи розташовуються вони на серверах баз чи даних на мінікомп ютерах.

Мережі підприємства (корпоративні мережі) - поєднують усі комп'ютери всіх територій окремого підприємства. Вони можуть покривати місто, чи регіон навіть континент. У таких мережах користувачам надається доступ до інформації і додатків, що знаходиться в інших робочих групах, інших відділах, підрозділах і штаб-квартирах корпорації.

Поряд з базовими сервісами, зв'язаними з поділом файлів і принтерів, мережна ОС, що розробляється для корпорацій, повинна підтримувати більш широкий набір сервісу, у котрий звичайно входять поштова служба, засоби колективної роботи, підтримка вилучених користувачів, факс-сервіс, обробка голосових повідомлень, організація відеоконференцій і ін.

Задачі і проблеми корпоративної мережі.

Підтримка програм. У корпоративних мережах виконуються складні програми, що вимагають для виконання великої обчислювальної потужності. Такі програми розділяються на кілька частин, наприклад, на одному комп'ютері виконується частина додатка, зв'язана з виконанням запитів до бази даних, на іншому - запитів до файлового сервісу, а на клієнтських машинах - частину, що реалізує логіку обробки дані додатки й організуюча інтерфейс із користувачем. Обчислювальна частина загальних для корпорації програмних систем може бути занадто об'ємної і непід'ємний для робочих станцій клієнтів, тому додатки будуть виконуватися більш ефективно, якщо їх найбільш складні в обчислювальному відношенні частини перенести на спеціально призначений для цього могутній комп'ютер - сервер додатків. 

Сервер додатків повинний базуватися на могутній апаратній платформі .

У цьому відношенні мережну ОС NetWare важко віднести до корпоративних продуктів, тому що в ній відсутні майже усі вимоги, пропоновані до сервера додатків. У той же час гарна підтримка універсальних додатків у Windows NT власне і дозволяє їй претендувати на місце у світі корпоративних продуктів.

Довідкова служба. Корпоративна ОС повинна мати здатність зберігати інформацію про всіх користувачів і ресурси таким чином, щоб забезпечувалося керування нею з однієї центральної крапки.  Організувати цю інформацію можливо у виді бази даних. Вона дозволяє здійснювати різні операції пошуку, сортування, модифікації і т.п., що дуже сильно полегшує життя як адміністраторам, так і користувачам.

Наприклад, у Windows NT мається п'ять різних типів довідкових баз даних. Ближче до ідеалу знаходяться довідкові служби, що поставляються фірмою Banyan (продукт Streettalk III) і фірмою Novell (NetWare Directory Services), що пропонують єдиний довідник для всіх мережних додатків. Наявність єдиної довідкової служби для мережної операційної системи - один з найважливіших ознак її корпоративності.

Безпека. Для захисту таких даних у корпоративних мережах поряд з різними апаратними засобами використовується весь спектр засобів захисту, наданий операційною системою: виборчі чи мандатні права доступу, складні процедури аутентифікації користувачів, програмна шифрація.

Модель OSI. Основна термінологія

Міжнародною організацією стандартів затверджені визначені вимоги до організації взаємодії між системами мережі.

Ці вимоги одержали назва OSI (Open System Interconnection) - "еталонна модель взаємодії відкритих систем".

Відповідно до вимог еталонної моделі, кожна система мережі повинна здійснювати взаємодію за допомогою передачі кадру даних. Відповідно до моделі OSI утворення і передача кадру здійснюється за допомогою 7-ми послідовних дій, що одержали назву "рівень обробки".

Основна ідея цієї моделі полягає в тім, що кожному рівню приділяється конкретна роллю в тому числі і транспортному середовищі. Завдяки цьому загальна задача передачі даних розчленовується на окремі легко доступні для огляду задачі.

Тому що користувачі мають потребу в ефективному керуванні, система обчислювальної мережі представляється як комплексна будівля, що координує взаємодію задач користувачів.

Окремі рівні базової моделі проходять у напрямку униз від джерела даних (від рівня 7 до рівня 1) і в напрямку нагору від приймача даних (від рівня 1 до рівня 7). Користувальницькі дані передаються в нижче розташований рівень разом зі специфічним для рівня заголовком доти, поки не буде досягнутий останній рівень.

На прийомній стороні дані, що надходять, аналізуються і, у міру потреби, передаються далі у вище розташований рівень, поки інформація не буде передана в користувальницький прикладний рівень.

Рівень 1. Фізичний.
На фізичному рівні визначаються електричні, механічні, функціональні і процедурні параметри для фізичного зв'язку в системах. Фізичний зв'язок і нерозривна з нею експлуатаційна готовність є основною функцією 1-го рівня. Стандарти фізичного рівня включають рекомендації V.24 МККТТ (CCITT), EIA r232 і Х.21. Стандарт ISDN ( Integrated Services Digital Network) у майбутньому зіграє визначальну роль для функцій передачі даних. Як середовище передачі даних використовують трехжильный мідний провід (екранована кручена пари), коаксіальний кабель, оптоволоконный провідник і радіорелейну лінію.

Рівень 2. Канальний.
Канальний рівень формує з даних, переданих 1-м рівнем, так називані "кадри", послідовності кадрів. На цьому рівні здійснюються керування доступом до передавального середовищу, використовуваної декількома ЕОМ, синхронізація, виявлення і виправлення помилок.

Рівень 3. Мережний.
Мережний рівень установлює зв'язок в обчислювальній мережі між двома абонентами. З'єднання відбувається завдяки функціям маршрутизації, що вимагають наявності мережної адреси в пакеті. Мережний рівень повинний також забезпечувати обробку помилок, мультипле
ксування, керування потоками даних. Найвідоміший стандарт, що відноситься до цього рівня, - рекомендація Х.25 МККТТ (для мереж загального користування з комутацією пакетів).

Рівень 4. Транспортний.
Транспортний рівень підтримує безупинну передачу даних між двома взаємодіючими один з одним користувальницькими процесами. Якість транспортування, безпомилковість передачі, незалежність обчислювальних мереж, сервіс транспортування від краю до краю, мінімізація витрат і адресація зв'язку гарантують безупинну і безпомилкову передачу даних.

Рівень 5. Сеансовий.
Сеансов
ий рівень координує прийом, передачу і видачу одного сеансу зв'язку. Для координації необхідний контроль робочих параметрів, керування потоками даних проміжних нагромаджувачів і діалоговий контроль, що гарантує передачу, що маються в розпорядженні даних. Крім того, сеансовий рівень містить додатково функції керування паролями, підрахунку плати за користування ресурсами мережі, керування діалогом, синхронізації і скасування зв'язку в сеансі передачі після збою внаслідок помилок у ннижче розташованих рівнях.

Рівень 6. Представлення даних.
Рівень представлення даних призначений для інтерпретації даних; а також підготовки даних для користувальницького прикладного рівня. На цьому рівні відбувається перетворення даних з кадрів, використовуваних для передачі даних в екранний чи формат формат для друкувальних пристроїв  системи.

Рівень 7. Прикладний.
У прикладному рівні необхідно надати в розпорядження користувачів уже перероблену інформацію. З цим може справитися системне і користувальницьке прикладне програмне забезпечення.

Для організації комп'ютерної мережі необхідна наявність:

Мережного програмного забезпечення

Фізичного середовища передачі даних

Коммутуючих пристроїв.

Мережне ПО
Мережне програмне забезпечення складається з двох найважливіших компонентів:
1) Мережного програмного забезпечення, установлюваного на комп'ютерах-клієнтах.
2) Мережного програмного забезпечення, установлюваного на комп'ютерах-серверах.
Мережна операційна система зв'язує всі комп'ютери і периферійні пристрої в мережі, координує функції всіх комп'ютерів і периферійних пристроїв у мережі, забезпечує захищений доступ до даних і периферійних пристроїв у мережі.

Локальний ресурс – ресурс, який розташований на вашому компютері і фізично підключен до нього.

Віддалений ресурс – це ресурс, який розташований на іншому компютері або підключений до вашого компютера через мережу.

Ethernetтехнологія, на якій основано більшість сучасних локальних мереж. Стандартна лінія звзку дозволяє передавати данні зі скоростю максимум 10 Мбіт/с, а більш сучасне зєднання Fast Ethernet 100 Мбіт/с. Пристрої, які можуть передавати дані з обома скоростями маркуються 10/100.

Пропускна здатність – характеристика каналу звязку, який показує, який обєм даних можливо передати по деякому каналу за одиницю часу. Пропусктна здатність вимірюється в кілобітах за секунду, для повільних каналів (приклад – телефонне зєднання з Інтернетом) мегабітах за секунду, для швидких зєднань (наприклад DSL, кабельний модем або Ethernet LAN) і гігабітах за секунду. Пропусктна здатність каналу може бути поділена між декількома користувачами.

Для того щоб визначити теоретично максимальну скорость передачі даних через канал потрібно поділити величину пропускної здатності на 8 (так як біти перетворюємо в байти, 1 байт – 8 бит).   Наприклад через зєднання 384 Кбіт/с можливо передати 384/8=48 Кбайт даних. Звідси витікає, що для отримання 1 Мб потрібно приблизно 20 секунд.

Протоколице мова, якою користується компютер для спілкування з іншими компютерами мережі. Як правило в мережі одночасно використовується декілька протоколів.

TCP/IPнабір протоколів, використовуємий для обміну даними через Інтернет/, а також в більшості сучасних локальних мережах. Згідно концепції TCP/IP кожний хост, повинен мати визначений ІР адрес. ІР адрес потрібен для функціонування всіх протоколів та служб стеку протоколів TCP/IP. 

У рамках специфікації TCP/IP виділяють декілька основних протоколів:

IP (Internet Protocol) – Він працює на мережному рівні і займається доставкою пакетів – основна задача маршрутизація пакетів.

TCPпротокол управління передачі пакетів орієнтований на установку зєднання.Перед ти, як передати пакети протоком увіряється, що отримувач готов отримати пакет, після отримання одержувач посилає підтвердження.

Когда вы обращаетесь к удаленному серверу по протоколу TCP, то происходит процесс установления связи. К примеру, вы обратились к веб-серверу узла 192.168.1.1 (стандартно – на TCP порт 80). При этом ваш компьютер (клиент) тоже должен выделить порт, чтобы сервер знал, куда отправлять ответ. Порт клиента выделяется случайным образом – к примеру, пусть это будет TCP 29334.

UDPпротокол користувальницьких дейтаграм, швидкий протокол. Користувач відправляє пакети не перевіряючи, наскільки  успішно їх приймає користувач.

ICMP (Internet Control Message Protocol) – призначений для діагностики комп'ютерної мережі.  По ICMP працює утиліта "ping.exe", що  стандартно поставляється з Windows. Протокол управлінських повідомлень Інтернета, представляє собою механізм, за допомогою якого хости мають можливість обмінюватися службовою інформацією. Протокол підтримує два види службових повідомлень: про помилки і управлінські повідомлення. (наприклад не можливість доставити пакет одержувачу через маршрутизатор)

Ipsec протокол безпечного ІР - звязку.Забезпечує безпеку мережаного зєднання.

Структура протоколу Ipsec.

Реалізація протоколу включає в себе декілька різних алгоритмів шифрування даних.

  •  Система шифруваання з відкритим ключем.
  •  Система шифрування з симетричним ключем (DES і його модифікації)
  •  Протокол відкритогорозподілу ключів (алгоритм Діффі – Хелмана)
  •  Хешуючі алгоритми (приклад MD5 і SHA)

Порт TCP/IP це логічні ворота, які відкриваються між вашим компютером і мережою для передачі даних. Порти номеруються від 0 до 65 536. кожна працююча програма може відкрити може відкрити декілька портів.

Номера портів більшості служб стандартизовані, і ви можете подивитися їх у файлі "services", що розміщається в каталозі %systemroot%\system32\drivers\etc.  %Systemroot% - це каталог, де встановлений Windows.

Комбінація «IP адреса» + «номер порту» називається сокетом. Сокет дозволяє унікально адресувати службу в Інтернету.

IP – адреси  кожному компютеру або пристрою у мережі TCP/IP ставиться відповідно IP адрес, який використовується для індентифікації даного компютера або пристрою. ІР адреса складається з 4 чисел, де кожне знаходиться у діапазоні від 0 до 255  (207.46.230.218). Двом різним компютерам мережі TCP/IP не може відповідати один і той самий ІР адрес, у той час компютер може мати декілька ІРадрес.  Для ідентифікації вузлів Інтернета програмне забезпечення використовує цифрові ІР адреси. Коли користувач вводе символьне імя, спеціальна система перетворює імя в відповідний йому ІР адрес, після чого цей адрес використовується для звернення до вузла який цікавить користувача. База даних відповідностей між ІР адресами і символьними іменами зберігається на спеціальних компютерах – серверах імен (DNSсервери).

Маска підмережі – використовується для видалення з ІР адресу адреси підмережі. Маска підмережі дозволяє визначити, чи належить запрашуємий адресдо тої мережі, що і локальний компютер.

Концентратори та перемикачі – дозволяють зєднати декілька компютерів у єдину мережу.

Премикач (switch) – має можливість обслуговувати одночасно декілька зєднань, кожне з яких має повну пропускну здатність.

Концентратор (hab) – поділяє загальну пропускну здатність мережі між декількома одночасно зєднаннями.

Маршрутизатор  - пристрій, призначений для обміну даними між двома мережами. (наприклад однорангову мережу підєднати до мережі Інтернет).

Брандмауер – система захисту компютера від несанкціонованного доступу з зовнішньої мережі. Це спеціальна програма, яка дозволяє чи забороняє передачу даних на основі раніш визначенного спеціального набору правил.

Передача даних у мережі

Для передачі інформації з комунікаційних ліній дані перетворяться в ланцюжок наступних друг за другом бітов (двоїчне кодування за допомогою двох станів:"0" і "1").

При передачі даних їх розділяють на окремі пакети, що передаються послідовно друг за другом.

Пакет містить у собі: адреса відправника, адреса одержувача, дані, контрольний біт.

Для правильної і, отже, повної і безпомилкової передачі даних необхідно дотримувати погоджених і встановлених правил. Усі вони обговорені в протоколі передачі даних.

Протокол передачі даних вимагає наступної інформації:

  •  Синхронізація - Під синхронізацією розуміють механізм розпізнавання початку блоку даних і його кінця.
  •  Ініціалізація - Під ініціалізацією розуміють установлення з'єднання між взаємодіючими партнерами.
  •  Блокування - Під блокуванням розуміють розбивка переданої інформації на блоки даних строго визначеної максимальної довжини (включаючи пізнавальні знаки початку блоку і його кінця).
  •  Адресація - Адресація забезпечує ідентифікацію різного використовуваного устаткування даних, що обмінюється один з одним інформацією під час взаємодії.
  •  Виявлення помилок - Під виявленням помилок розуміють установку бітов парності і, отже, обчислення контрольних бітов.
  •  Нумерація блоків - Поточна нумерація блоків дозволяє установити помилково передану чи інформацію, що втратилася.
  •  Керування потоком даних - Керування потоком даних служить для розподілу і синхронізації інформаційних потоків. Так, наприклад, якщо не вистачає місця в буфері пристрою даних чи дані не досить швидко обробляються в периферійних пристроях (наприклад, принтерах), повідомлення і / чи запити накопичуються.
  •  Методи відновлення - Після переривання процесу передачі даних використовують методи відновлення, щоб повернутися до визначеного положення для повторної передачі інформації.
  •  Дозвіл доступу - Розподіл, контроль і керування обмеженнями доступу до даних ставляться в обов'язок пункту дозволу доступу (наприклад, "тільки передача" чи "тільки прийом".

Простір доменних імен (DNC)простий та ефективний спосіб іменування хостів (компютера).  В Інтернеті та локальній мережі використовується для визначення ІР. (наприклад по www.OS.uk).

NetBEUI - NetBIOS Extended User Interface. 

Транспортний протокол, використовуваний Microsoft LAN Manager, Windows for Workgroups, Windows NT і інших мережних ОС.

NetBIOS: Network Basic Input Output System (Мережна базова система введення-висновку). 

Стандартний мережний інтерфейс, запропонований для IBM PC і сумісних систем.

WINS (Windows Internet Naming Service) 

Служба імен Internet для Windows, запропонована Microsoft. WINS являє собою базу даних імен комп'ютерів і зв'язаних з ними IP-адрес у середовищі TCP/IP. База даних автоматично обновляється WINS-клієнтами при призначенні адрес серверами DHCP

Масштабуємість -  здатністю однаково добре працювати в широкому діапазоні різних кількісних характеристик мережі,

Сумісність з іншими продуктами - тобто здатністю працювати в складному гетерогенному середовищі інтермережі в режимі plug-and-play.

Домен – У мережі Internet частина ієрархії імен. Синтаксично доменне ім'я Internet містить послідовність імен (міток), розділених крапками (.) наприклад, "tundra.mpk.ca.us." У OSI термін домен використовується як адміністративний розподіл складних розподілених систем, як у MHS Private Management Domain (PRMD) і Directory Management Domain (DMD).

Приклади мережних ОС:

Netware 3.11, Nowell Inc.
LAN Server, IВМ Согр.
VINES 5.52, Banyan System Inc.
windows NT Advanced Server 4.0, windows 2k
Unix, Linux, FreeBSD

Контрольні запитання

  1.  З яких частин складається мережана ОС
  2.  Охарактеризуйте однорангову мережу
  3.  Охарактеризуйте дворангову мережу
  4.  Які види мережаних  ОС за будовою ви знаєте
  5.  Охарактеризуйте модель OSI.
  6.  З яких елементів складається мережне програмне забезпечення
  7.  Дайте визначення наступним характеристикам: локальний ресурс,віддалений ресурс, Ethernet, пропускна здатність.
  8.  Дайте визначення Протоколу системи
  9.  Поясніть призначення протоколу TCP/IP
  10.  Які основні протоколи виділяють у рамках специфікації TCP/IP 
  11.  Дайте визначення наступним характеристикам: маска під мережі, концентратори та перемикачі, маршрутизатор, брандмауер, передача даних у мережі
  12.  Якої інформації вимагає протокол передачі даних:
  13.  Дайте визначення наступним характеристикам: простір доменних імен (DNC), масштабуємість,
  14.  сумісність з іншими продуктами, домен 

Самостійна робота

Протоколи TCP/IP

 Протоколи TCP/IP відповідають за передачу інформації, що проходить по мережі, і подальший її прийом. Протокол TCP ділить всю інформацію, що підлягає передачі, на окремі блоки - пакети. Протокол IP ці пакети нумерує і посилає за наперед певною цифровою адресою у вигляді кадру інформації - пакету, в який вкладений пакет, створений по протоколу TCP. На приймальному кінці процедура виконується в зворотному порядку. Пакети приймаються, сортуються і збираються в початковому поєднанні. Цифровий, а вірніше IP-адреса є четирехбайтную послідовністю чисел, записуваних звичайно в десятковому вигляді, наприклад, так: 192.168.55.3.

 Мережі умовно діляться на класи, кожному з яких відповідає свій діапазон адрес.

Адреса 127.0.0.1 зарезервована для організації зворотного зв'язку при тестуванні роботи програмного забезпечення вузла без реальної відправки пакету по мережі. Ця адреса має назву loopback.

 Маска підмережі указує на біти, призначені для позначення адреси мережі, в решті позицій повинна розташовуватися адреса комп'ютера. Приведені також вживані діапазони адрес для кожного класу, а також зарезервовані для особливих випадків адреси, не вживані в Інтернеті.

 Структура адреси стає зрозумілішою, якщо записати його в двійковому коді. Наприклад, маска 255.255.255.0 в двійковому коді виглядає так:

 11111111.11111111.11111111.0. Всі позиції, призначені для запису адреси мережі, зайняті одиницями. Адреса 198.168.55.1 виглядає як:

 11000110.10101000.110111.1.

По таблиці можна визначити, що це адреса мережі класу "С", і адреса комп'ютера виражена одиницею. Чим вищий клас мережі, тим більше може існувати адрес мережі і тим менше комп'ютерів може знаходитися в такій мережі. Так, в класі А може бути 126 мереж, в кожній з которих- 254x254x254 комп'ютери, а в класі З - 30x254x254 мережі, в кожній з яких 254 комп'ютери. Цей розрахунок дуже приблизний, оскільки не враховує виділення груп адрес усередині діапазонів. Кожен комп'ютер в мережі має свою унікальну адресу, призначену адміністратором або одержаний автоматично. Саме такі адреси сприймає протокол IP.

 Навіть в найскладнішій мережі, що допускає передачу інформації по найбільш короткому або найменше завантаженому зараз шляху, пакети на приймальному кінці сортуються в послідовності їх передачі, тоді як реальна послідовність прийому може істотно відрізнятися від початкової. Проте спотворень інформації не відбувається.

 Порти

 Не менш важливо розуміти, що для роботи програм або вірусів в мережі необхідно не тільки мати адресу призначення, але і порт, через який можна проникнути в систему. Портами цими користуються як TCP-протокол, так і UDP-протокол (User Datagram Protocol, призначений для користувача протокол даних), який достатньо часто використовується застосуваннями для передачі даних.

 Список найбільш поширених портів, які можуть застосовуватися різними відомими застосуваннями, краще знати якщо не напам'ять, то "близько до тексту". Число портів, які можуть використовуватися застосуваннями, дуже велике - 65 336. Цього числа достатньо для того, щоб у ва-

 шего комп'ютера завжди були вільні порти, необхідні для роботи різних програм зв'язку, наприклад. Проте є певний список портів, які рекомендовано використовувати для стандартних сервісів мережі. Для таких сервісів відведені перші 1024 номери. Найпоширеніші сервіси, такі як FTP, Telnet, SMTP, Time, DNS, TFTP, HTTP P0P3, NNTP звичайно використовують порти, номери яких приведені табл. П6.

В деяких випадках, коли рекомендований для роботи програми порт з якої-небудь причини застосувати не можна, слід використовувати і порти з приведеного списку, якщо немає програм, які їх використовують. Наприклад, створюючи VPN, ви можете зіткнутися з ситуацією, коли запланований

 для застосування порт закритий на одному з серверів, через який повинен здійснюватися зв'язок. В цьому випадку можна застосувати порт, призначений для роботи стандартних сервісів, який напевно відкритий на всіх серверах провайдерів Інтернету.

 

Протокол - це набір правил і угод для передачі інформації по мережі. Microsoft Windows XP Professional використовує  протокол TCP/IP Control Protocol/ Internet Protocol) для  авторизації, роботи файлових служб і служб друку, інформації контроллерами домена і для інших мережевих функцій.

TCP/IP забезпечує зв'язок різних операційних систем і різної апаратної архітектури через мережу. Microsoft TCP/IP дозволяє організувати мережу масштабу підприємства і забезпечити зв'язок між комп'ютерами, що працюють під управлінням Windows ХР

 Набір протоколів TCP/IP - промисловий стандарт, який дозволяє організувати мережу масштабу підприємства і зв'язувати комп'ютери, що працюють підлога управлінням Windows XP Professional, Застосування протоколу TCP/IP в Windows XP Professional дає наступні переваги:

• мережевий протокол з маршрутизацією майже всіма системами. Крім того, майже всі великі мережі засновані на TCP/IP;

• ця технологія дозволяє з'єднати різнорідні системи. Ви можете використовувати багато стандартних утиліт зв'язку для доступу і передачі даних між різнорідними системами. У Windows XP Professional входять деякі з цих стандартних утиліт;

• надійне, розширюване інтегроване середовище на основі моделі Ѐклієнт - серверЀ, що працює на різних платформах. TCP/IP підтримує інтерфейс Microsoft Windows Sockets який ідеально підходить для розробки застосувань Ѐклієнт -

серверЀ на стеках Winsock;

• отримання доступу до ресурсів Інтернету.

 Набір протоколів TCP/IP надає ряд стандартів для зв'язку комп'ютерів і мереж. Набір протоколів TCP/IP заснований на концептуальній моделі, що складається з чотирьох рівнів: рівень мережевого інтерфейсу, рівень Інтернету, транспортний рівень

застосування.

 

Четыре уровня набора протоколов TCP/IP

Рівень мережевого інтерфейсу

У підставі моделі рівень мережевого на якому передаються і приймаються самі пакети.

Рівень Інтернету

Протоколи на рівні Інтернету формують пакети в дейтаграмми Інтернету і виконують всі алгоритми маршрутизації. Тут працюють чотири протоколи -

Internet Protocol (IP)

Address Resolution Protocol (ARP)

Internet Control Message Protocol (ICMP) і

Internet Group Management Protocol (IGMP)

 

IP

Забезпечує доставку пакетів для всіх інших протоколів в наборі. Не гарантує доставку пакету або правильну послідовність пакетів. Не виправляє помилки, такі, як втрачені пакети, пакети, доставлені в послідовності, дубльовані пакети або затримані пакети. передачі пакетів і повторна передача втрачених пакетів на протокол вищого рівня, такий, як TCP. IP в основному відповідає за правильну адресацію і маршрутизацію пакетів між вузлами

ARP

Забезпечує відображення адрес в адресу підрівня управління доступом до середовища (MAC) для зіставлення фізичної адреси MAC одержувача. Дозвіл адрес IP потрібен, оскільки пакети IP передаються на основі широкомовної мережевої технології з доступом, такий, як Ethernet. За допомогою широкомовного запиту IPпередается спеціальний пакет запиту ARP, IP-

 адреса системи одержувача. Система, яка має цей IP-отвечает, відправляючи свою фізичну адресу

 Підрівень MAC з'єднується з мережевою картою і відповідає за безпомилкову доставку даних між

 двома комп'ютерами в мережі

ICMP

Забезпечує з'єднання між вузлами, дозволяючи

 їм спільно використовувати інформацію про помилки мережі і про її стан. Протоколам вищого рівня ця інформація дозволяє виправляти проблеми передачі даних. Мережеві адміністратори використовують цю інформацію для виявлення мережевих несправностей. Утиліта ping використовує для визначення наявності пристрою із заданою IP-адресою в мережі. У єдиному випадку забезпечує спеціальне з'єднання між вузлами - коли не здатний доставити пакет в одержувача, ICMP посилає у вузол відправника повідомлення Destination (одержувач не розпізнаний)

IGMP

Забезпечує багатоадресну передачу, яка є обмеженою формою для з'єднання і інформацією всіма пристроями в групі багатоадресної передачі IP. Група багатоадресної передачі IP - це декілька вузлів, які прослуховують трафік IP, призначений для спеціальної адреси багатоадресної передачі IP. Трафік багатоадресної передачі IP посилається

 на один але обробляється декількома вузлами.

 IGMP інформує сусідні маршрутизатори багатоадресної передачі про членство вузла групи в конкретній мережі. Windows ХР Professional підтримує можливість багатоадресної

 передачі, яка дозволяє розробникам створювати програми багатоадресної передачі типу служби в Microsoft Windows 2000 Server

Транспортний рівень

За допомогою протоколів транспортного рівня реалізуються сеанси зв'язку між комп'ютерами. Переважний метод доставки даних визначає транспортний протокол. Протоколів транспортного рівня - два (таблиця 4-2): протокол управління передачею (Transmission Control Protocol, TCP) і протокол дейтаграмм користувача

(User Datagram Protocol, UDP).

 

TCP

Надає орієнтований на з'єднання надійний

спосіб комунікації для додатків, які звичайно

передають великі об'єми даних відразу або вимагають под-

твержденія після отримання даних. TCP заснований

неніях, тому з'єднання повинно бути встановлено раніше.

чим вузли зможуть обмінюватися даними. TCP забезпечує

надійні з'єднання, призначаючи послідовно номери каж-

будинку даних. Вони передаються щоб вузол полу-

чателя зміг послати підтвердження (АСЬК), що дані полу-

чени. Якщо не одержано, то дані передаються повторно

TCP гарантує пакетів, последова-

тільність і формує контрольну суму, яка

підтверджує коректність заголовка

пакета и данных

U DP

Забезпечує зв'язок, не встановлюючи з'єднання, і не

гарантує або правильну послідовність

передачі пакетів. Додатки, які звичайно використовують

UDP, передають об'єми даних за один раз. Надійна покладається на додаток

Про політику розподілу мережевих адрес

 Основна група мережевих протоколів, вживаних при побудові локальних мереж, це IP-протоколи, спочатку створені для організації мережі Інтернет, що і збереглося в їх назві - Internet Protocols. Розвиток мережевих технологій привів до повсюдного застосування цих протоколів

 при організації мереж будь-якого масштабу. Протоколи, що застосовувалися в локальних мережах до розповсюдження IP-технологій, тепер майже не зустрічаються в них. Виняток можуть становити дуже маленькі однорангові мережі

 Унікальність IP-адреси є однією з основ безперебійної роботи мережі.

 Проте кількість IP-адрес не безмежно. Це стосується як мережі Інтернет, так і локальної мережі. Для забезпечення кожного працюючого в мережі комп'ютера унікальною адресою застосовується динамічне привласнення адреси при вході в мережу. Ця технологія дозволяє забезпечити уникаль-

 ним адресою значно більше число комп'ютерів, чим їх може одночасно працювати в мережі, якщо періоди їх роботи не співпадають. У локальній мережі звичайно розраховують на те, що всі комп'ютери мережі можуть працювати одночасно. У зв'язку з цим вигода від застосування динамічного способу виділення мережевих адрес дещо зменшується. Але одна його перевага залишається. Адміністратору не потрібно стежити за унікальністю адреси кожного комп'ютера мережі. За нього це робить серверна опера-

 ционная система. На жаль, цей спосіб виділення IP-адрес застосовний не завжди. Не вдаючись в подробиці, можна сказати, що його застосування встановлює деякі обмеження для робочих станцій мережі. Тому нам доведеться вести "подвійну бухгалтерію" - частина адрес буде вида-

 ваться динамічно, інші ж (у тому числі і ваш при роботі в мережі) повинні бути статичними. За унікальністю цих адрес доведеться стежити вам.

 Для того, щоб не заплутатися в цій "бухгалтерії", важливо із самого початку визначити для себе правила, яким повинен підкорятися розподіл IP-адрес вашої мережі. Якщо до теперішнього часу це не зроблено і кількість комп'ютерів мережі невелика, не полінуйтеся визначитися з цими праві-

 ламі і виконати необхідні операції для їх дотримання.

 Перш за все слід приділити увагу вибору IP-адреси самої мережі. За умовчанням на серверах Windows 2000 Server і Windows Server 2003 для ЛВС пропонується адреса 192.168.0.0 з маскою підмережі 255.255.255.0. Відповідно для сервера пропонується адреса 192.168.0.1. Для найпростіших замкнутих на собі мереж це хороший вибір. Але якщо розраховувати на розширення мережі і взаємодія з іншими локальними мережами (застосовуючи, наприклад, маршрутизатори), то цей вибір приведе надалі до проблем

 які можна вирішити лише достатньо трудомістким способом. Як прімератакой проблему можна привести наступну ситуацію.

 Припустимо, потрібно підключитися до іншої локальної мережі. Сервер цієї локальної мережі має адресу 192.168.0.20. Ваш DNS-сервер містить запис з такою адресою для однієї з робочих станцій. Відповідно, DHCP-сервер вашої мережі видав цю адресу робочої станції і стежить за його унікальністю.

 але тут потрібно знайти комп'ютер в іншій мережі з адресою, яка відповідає одній з адрес вашої ЛВС. Спроба підключення до такого сервера приречена на невдачу. Ваш сервер не вирішить це підключення. Ні з одного комп'ютера вашої мережі ви не зможете виявити такий зовнішній

 сервер. Звичайно, існують шляхи рішення і такої проблеми, але вони достатньо трудомісткі. Все розв'язується значно простіше, якщо мережі мають різні адреси. Необхідність зміни адреси мережі може привести навіть до конфлікту між адміністраторами - в якій з двох мереж слід міняти

 адреса? Якщо ж ви відразу, поки мережа не велика, або навіть на стадії її первинної настройки виберіть іншу адресу, то вірогідність конфлікту різко знизиться. Яку ж адресу слід вибрати? Відповідь може підказати найменуванням вашого підприємства (вони часто містять номери), адресою будівлі, де організована мережа, або іншими асоціаціями. Знайдене "своє" число можна помістити в третьому блоці адреси. Припустимо, що це число- 115. Адреса вашої мережі в цьому випадку може виглядати так:

 192.168.115.0. Перші дві трійки чисел краще не змінювати. Причина цієї заборони полягає в тому, що всі можливі адреси розподілені по областях їх застосування. Одні для невеликих локальних мереж, інші - для Інтернету, треті - для крупних мереж, але ще не глобальних, четверті для експериментальних мереж, і т.д. Якщо яка-небудь мережа привласнить собі адресу, яка повинна належати іншій групі мереж... нічого страшного не відбудеться. Але можливі проблеми при контактах з іншими мережами.

 Краще, дотримуючи прийняті правила, привласнити мережі адреса 192.168.115.0. Якщо відбувається організоване створення декількох мереж, між якими передбачається взаємодія, то слід відразу домовитися про розподіл IP-адрес. Забезпечивши себе таким чином від можливих зовнішніх про-

 блем, можна приступити до внутрішнього розподілу адрес.

 Необхідно визначитися також з діапазонами адрес, які ви застосовуватимете для різних цілей. Працездатність мережі не залежить від того, як будуть розподілені адреси, якщо всі вони допустимі для цієї мережі. Але, як і в будь-якій системі, мережею управляти простіше, когдаона організована за правилами. Варіант, який можна запропонувати для розбиття всього доступного в мережі адресного простору на діапазони, показаний табл. 1.1.

 При такому розбитті адрес на діапазони у вашій мережі "є місце" для 170 комп'ютерів. Сорок дев'ять з них можуть мати фіксовані адреси, а сто двадцять один можуть одержувати адреси автоматично. Швидше за все, такої кількості робочих станцій (сервери не входять до цього числа) в нашій мережі

 поки немає, і вільних адрес достатньо для подальшого її розвитку. При необхідності ви можете декілька змінити запропонований порядок розподілу адрес. Але якщо конкретних планів розвитку мережі ще немає, то краще застосувати такий.

 

Протоколи мережі.

Протоколи мережі

 Транспортні протоколи

 Протокол (або стек2 протоколів) передачі даних відповідає за передачу даних і процеси які при цьому виконуються.. Протокол - сукупність правил і стандартів, що становлять модель, грунтуючись на якій комп'ютери можуть спілкуватися один з одним. Кожен рівень цієї моделі характеризується своїми протоколами: мережевого рівня, наприклад - TCP/IP або IPX, а також транспортного рівня - UDP і SPX і т.д.

 На транспортному рівні є два протоколи: UDP і TCP. Обидва вони працюють поверх IP. Це означає, що, коли пакет TCP або UDP опускається на рівень нижче для відправки в мережу, він потрапляє на рівень мережі прямо до протоколу IP. Тут пакету додається мережева адреса, TTL і інші атрибути протоколу IP. Після цього пакет йде далі вниз для фізичної відправки в мережу. Голий пакет TCP не може бути відправлений до мережі, тому що він не має інформації про одержувача, ця інформація додається до пакету з IP-заголовком на рівні мережі.

 Швидкий UDP

 Протокол UDP для передачі даних не встановлює з'єднання з сервером. Дані просто викидаються в мережу, і протокол навіть не піклується про доставку пакету. Якщо дані на шляху до сервера зіпсуються або взагалі не дійдуть, то відправляюча сторона про це не дізнається. Отже, по цьому протоколу, як і по голому IP, не бажано передавати дуже важливі дані.

 Завдяки тому, що протокол UDP не встановлює з'єднання, він працює дуже швидко (у декілька разів швидше за TCP). Із-за високої швидкості його дуже зручно використовувати там, де не потрібно піклуватися про цілісність даних. Таким прикладом можуть служити радіостанції в Інтернеті. Звукові дані просто випліскуються в глобальну мережу, і якщо слухач не одержить одного пакету, то максимум, що він відмітить - невелике заїкання в місці втрати. Але якщо врахувати, що мережеві пакети мають невеликий розмір, то ця затримка буде практично непомітна.

 Оскільки немає з'єднання між сервером і клієнтом, то немає ніякої гарантії в достовірності даних. Протокол UDP більше схильний спуфінгу (spoofing, підміна адреси відправника), тому побудова на ньому захищених мереж утруднена.

 UDP дуже швидкий, але його можна використовувати тільки там, де дані не мають високої цінності (можлива втрата окремих пакетів) і не секретні (UDP більше схильний до злому).

 Протокол TCP/IP

 TCP/IP - набір протоколів, використовуємий для обміну данімі через Інтернет/, а також в більшості сучасніх локальніх ятерах. Згідно концепції TCP/IP кожній хост, повинний маті візначеній ІР адреса. ІР адреса потрібен для функціонування всіх протоколів та служб стеку протоколів TCP/IP.

 IP (Internet Protocol) - Він працює на ятірному рівні і займається доставкою пакетів - основна завдання маршрутизація пакетів.

 Протокол TCP

 

На відміну від UDP-протокол TCP усуває недоліки свого транспорту (IP). У цьому протоколі закладені засоби встановлення зв'язку між приймачем і передавачем, забезпечення цілісності даних і гарантії їх доставки.

 Коли дані відправляються в мережу по TCP, то на відправляючій стороні включається таймер. Якщо протягом певного часу приймач не підтвердить отримання даних, то буде зроблена ще одна спроби відправки даних. Якщо приймач одержить зіпсовані дані, то він повідомить про це джерелу і попросить знову відправити зіпсовані пакети. Завдяки цьому забезпечується гарантована доставка даних.

 Коли потрібно відправити відразу велику порцію даних, що не вміщаються в один пакет, то вони розбиваються на декілька TCP-пакетів. Пакети відправляються порціями по декілька штук (залежить від настройок стека). Коли сервер одержує порцію пакетів, то він відновлює їх черговість і збирає дані разом (навіть якщо пакети прибули не в тому порядку, в якому вони відправлялися).

 Із-за зайвих накладних витрат на установку з'єднання підтвердження доставки і повторну пересилку зіпсованих даних протокол TCPнамного повільніше за UDP. Зате TCP можна використовувати там, де потрібна гарантія доставки і велика надійність. Хоча надійність не можна назвати сильною (немає шифрування, зберігається можливість злому), але вона прийнятна і набагато більше, ніж у UDP. Принаймні, тут спуфінг не може бути реалізований так просто, як у UDP, і в цьому ви переконаєтеся, коли прочитаєте про процес установки з'єднання. Хоча можливо все, і хакери уміють зламувати і TCP-протокол.

 надійність з'єднання TCP.

 Все починається ще на етапі спроби з'єднання двох комп'ютерів в наступній послідовності:

 Клієнт, який хоче з'єднатися з сервером, відправляє SYN-запит на сервер, указуючи номер порту, до якого він хоче під'єднатися, і спеціальне число (найчастіше випадкове).

 Сервер відповідає своїм сегментом SYN, що містить спеціальне число сервера. Він також підтверджує прихід SYN-пакету з боку клієнта з використанням аск-відповіді,  де  спеціальне число,  відправлене клієнтом, збільшене на 1.

 Клієнт повинен підтвердити прихід SYN від сервера з використанням АСЬК - спеціальне число сервера плюс 1.

 Виходить, що при з'єднанні клієнта з сервером вони обмінюються спеціальними числами. Ці числа і використовуються надалі для забезпечення цілісності і захищеності зв'язку. Якщо хтось інший захоче уклинитися у встановлений зв'язок (за допомогою спуфінга), то йому треба буде підроблювати ці числа. Але оскільки вони великі і вибираються випадковим чином, то таке завдання достатньо складне, хоча Кевін Мітник свого часу зміг вирішити її. Але це вже інша історія, і не йтимемо далеко убік.

 Варто ще відзначити, що прихід будь-якого пакету підтверджується аск-відповіддю, що гарантує доставку даних.

 Корпорація Microsoft реалізувала протокол TCP/IP в моделі OSI по-своєму (з невеликими відхиленнями від стандарту).

 У MS TCP/IP замість семи рівнів є тільки чотири. Але це не означає, що решта рівнів забута і позакидана, просто один рівень може виконувати все, що в OSI роблять три рівні. Наприклад, рівень додатку у Microsoft виконує все, що роблять рівень додатки, рівень уявлення і рівень сеансу, разом узяті.

 

Контрольні запитання.

  1.  Поясніть принцип розподілу мережених адрес.
  2.  Перелічіть класи мереж.
  3.  Поясніть призначення та принцип дії транспортних протоколів.

Тема: Гетерогенні мережі. Проблеми в гетерогенних мережах

Проблеми взаємодії операційних систем у гетерогенних мережах

Поняття "internetworking" і "interoperability"

Термін мережа може вживатися в широкому змісті (мережа - це сукупність зв'язаних між собою комп'ютерів) і у вузькому змісті (мережа - це сукупність комп'ютерів, з'єднаних між собою відповідно до однієї зі стандартних типових топологий - шина, зірка, кільце, і пакетів, що використовують для передачі, один із протоколів канального рівня, визначений для цієї топології).

Кожна мережа має свій номер, що використовується на мережному рівні при виконанні маршрутизації. Коли дві чи більш мережі організують спільну транспортну службу, то такий режим взаємодії звичайно називають міжмережевою взаємодією (internetworking інтермережа чи internet). Інтермережа забезпечує тільки передачу пакетів, не займаючись їхнім змістом.

При розгляді питань міжмережевої взаємодії часто використовується термін - interoperability. У той час як термін internetworking позначає взаємодія мереж на нижніх рівнях, безпосередньо зв'язаних із транспортуванням пакетів, у поняття interoperability входить забезпечення узгодження верхніх рівнів стека комунікаційних протоколів, реалізованих серверами і редиректорами операційних систем і деяких мережних додатків.

Гетерогенність

Тільки невелика кількість мереж має однорідність (гомогенностью) програмного й апаратного забезпечення. Однорідними частіше є мережі, що складаються з невеликої кількості компонентів від одного виробника.

Деякі організації мають мережі, складені з пристроїв, наприклад, тільки IBM чи DEC. Нормою сьогоднішнього дня є мережі неоднорідні (гетерогенні), що складаються з різних робочих станцій, операційних систем і додатків, а для реалізації взаємодії між комп'ютерами використовують різні протоколи. Розмаїтість усіх компонентів, з яких будується мережа, породжує ще більшу розмаїтість структур мереж, що виходять з цих компонентів.

Основні підходи до реалізації взаємодії мереж.

Основні проблеми при організації взаємодії різних мереж зв'язані з тим, що ці мережі використовують різні стеки комунікаційних протоколів

Мережі локальних комп'ютерів використовують найчастіше протоколи Novell NetWare, Banyan VINES, IBM LAN Server чи Microsoft LAN Manager з апаратурою Ethernet, Token Ring чи ARCnet.

Існування багатьох стеків протоколів не вносить ніяких проблем доти, поки не з'являється потреба в їхній взаємодії ( тобто потреба в доступі користувачів мережі NetWare до мейнфрейму IBM чи користувачів графічних робочих станцій UNIX до комп'ютера VAX). У цих випадках виявляється несумісність близьких по призначенню, але різних по форматах даних і алгоритмам протоколів.

Спільність різних стеків протоколів виявляється тільки на нижніх рівнях - фізичному і канальному. Тут у даний час майже немає проблем для взаємодії, тому що більшість стеков можуть використовувати загальні протоколи Ethernet, Token Ring, FDDI. Виключення складають тільки мейнфреймы IBM, що на нижньому рівні в основному використовують протоколи типу ведущий-ведомый із синхронною передачею даних, орієнтовані на ієрархічну супідрядну структуру мейнфрейм - груповий контролер - термінали. Та й з'єднання двох комп'ютерів, що використовують на нижньому рівні різні протоколи, а на верхніх - однакові не складає проблеми - ця задача зважується апаратно за допомогою моста, що транслює, чи маршрутизатора.

Складніше обстоїть справа зі сполученням мереж, що використовують різні протоколи верхніх рівнів, починаючи з мережного. Задачі узгодження протоколів верхніх рівнів вирішити сутужніше через більшу складність цих протоколів і їхньої розмаїтості - чим великим інтелектом володіє протокол, тим більше в нього аспектів і граней, по яких він може відрізнятися від свого побратима по функціональному призначенню. Складно здійснити трансляцію транспортних протоколів (таких, як IP і IPX), але набагато складніше сполучити протоколи верхнього, прикладного рівня, за допомогою яких клієнти одержують сервіс у серверів.

Якщо розглянути найбільше часто використовуваний у мережах сервіс, а саме, файловий сервіс, то розходження в протоколах файлового сервісу в першу чергу зв'язані з розходженнями структур файлових систем.

Для організації взаємодії різних мереж у даний час використовується два підходи.

Перший підхід зв'язаний з використанням  шлюзів, що забезпечують узгодження двох стеків протоколів шляхом перетворення (трансляції) протоколів.  Шлюз розміщується між взаємодіючими мережами і служить посередником, що переводить повідомлення, що надходять від однієї мережі, у формат іншої мережі.

Другий підхід полягає в тім, що в операційні системи серверів і робочих станцій убудовуються трохи мирно співіснуючих найбільш популярних стеков протоколів. Така технологія одержала назву мультиплексіровання стеків протоколів. За рахунок її використання  клієнтські запити використовують стек протоколів тієї мережі, до якої відносяться потрібні сервери, або сервери підключають стек протоколів, що відповідає клієнтському запиту, що надійшов.

Взаємодія комп'ютерів, що належать різним мережам, нагадує спілкування людей, що говорять на різних мовах. Для досягнення взаєморозуміння вони також можуть використовувати два підходи: запросити перекладача (аналог шлюзу), чи перейти на мову співрозмовника, якщо вони їм володіють (аналог мультиплексірованія стеків протоколів).

Шлюзи

Шлюз узгоджує комунікаційні протоколи одного стеку з комунікаційними протоколами іншого стеку. Програмні засоби, що реалізують шлюз, не встановлють на двох взаємодіючих комп'ютерах з різними стеками протоколів, набагато рациональнее розмістити їх на деякому комп'ютері-посереднику.

Шлюз, розміщений на комп'ютері 2, погоджує протоколи клієнтського комп'ютера 1 мережі А с протоколами серверного комп'ютера 3 мережі В.

Запит від прикладного процесу клієнтського комп'ютера мережі А надходить на прикладний рівень його стека протоколів. Відповідно до цього протоколу на прикладному рівні формуються відповідний пакет (чи кілька пакетів), у яких передається запит на виконання сервісу деякому серверу мережі В. Пакет прикладного рівня передається вниз по стеку комп'ютера мережі А, а потім відповідно до протоколів канального і фізичного рівнів мережі А надходить у комп'ютер 2, тобто в шлюз.

Тут він передається від самого нижніх до самого верхнього рівня стека протоколів мережі А. Потім пакет прикладного рівня стека мережі А перетвориться (транслюється) у пакет прикладного рівня серверного стека мережі В.

Алгоритм перетворення пакетів залежить від конкретних протоколів і, може бути досить складним.  Перетворений пакет від верхнього рівня стека мережі В передається до нижніх рівнів відповідно до правил цього стека, а потім по фізичних лініях зв'язку відповідно до протоколів фізичного і канального рівнів мережі В надходить в іншу мережу до потрібного сервера. Відповідь сервера перетвориться шлюзом аналогічно.

Мультиплексіровання стеків протоколів

Другим, що використовується в дійсний час на практиці підходом є використання в робочих станціях технології мультиплексирования різних стеків протоколів.

При мультиплексірованні стеків протоколів на один із двох взаємодіючих комп'ютерів з різними  протоколами міститься комунікаційний стек іншого комп'ютера. Для того, щоб запит від прикладного процесу був правильно оброблений і спрямований через відповідний стек, у комп'ютер необхідно додати спеціальний програмний елемент - мультиплексор протоколів. Мультиплексор повинний уміти визначати, до якої мережі направляється запит клієнта. Для цього може використовуватися служба імен мережі, у якій відзначається приналежність того чи іншого ресурсу визначеної мережі з відповідним стеком протоколів.

При використанні технології мультиплексирования структура комунікаційних засобів операційної системи може бути і більш складної. У загальному випадку на кожнім рівні замість одного протоколу з'являється цілий набір протоколів, а мультиплексорів може бути небагато, що виконують комутацію між протоколами різних рівнів . Наприклад, робоча станція може одержати доступ до мереж із протоколами NetBIOS, IP, IPX через один мережний адаптер. Аналогічно, сервер, що підтримує прикладні протоколи NCP, SMB і NFS може без проблем виконувати запити робочих станцій мереж NetWare, Windows NT і Sun одночасно.

Використання магістрального протоколу

Питання реалізації

При об'єднанні мереж різних типів у загальному випадку необхідно забезпечити двостороння взаємодія мереж, тобто вирішити дві задачі :

1. Забезпечення доступу клієнтам мережі A до ресурсів і сервисам серверів мережі B.

2. Забезпечення доступу клієнтам мережі B до ресурсів і сервисам мережі A.

У той час, як розташування програмних засобів, що реалізують шлюз, уже було визначено - вони повинні розташовуватися на комп'ютері, що займає проміжне положення між двома взаємодіючими машинами. Помітимо також, що шлюз реалізує взаємодію "многие-ко-многим" (усі клієнти можуть звертатися до всіх серверів).

Розглянемо всі можливі варіанти розміщення програмних засобів, що реалізують взаємодію двох мереж, що засновані на мультиплексировании протоколів. Уведемо деякі позначення: З - сервер, ДО - клієнт, ( - додатковий  протокол чи стік протоколів.

варианті односпрямованої взаємодії А®В:

а) шляхом додавання нового стека до клієнтів мережі А, або

б) шляхом приєднання "добавки" до серверів мережі В.

У першому випадку, коли засобу мультиплексирования розташовуються на клієнтських частинах, тільки клієнти, постачені засобами мультиплексирования протоколів, можуть звертатися до серверів мережі В, при цьому вони можуть звертатися до всіх серверів мережі В. В другому випадку, коли набір стеков розташований на якому-небудь сервері мережі В, даний сервер може обслуговувати всіх клієнтів мережі А. Очевидно, що сервери мережі В без засобів мультиплексіровання не можуть бути використані клієнтами мережі А.

Прикладом "добавки", що модифікує клієнтську частину, може служити популярний програмний засіб фірми Novell LAN Workplace, що перетворює клієнта NetWare у клієнта UNIX. Аналогічним прикладом для модифікації сервера можуть служити інші продукти фірми Novell: NetWare for UNIX, що уможливлює використання послуг сервера UNIX клієнтами NetWare, чи Novell NetWare for VMS, що служить для те ж цілей у мережі VMS.

Якщо ж потрібно реалізувати взаємодія в обидва боки одночасно, то для цього існує чотири можливих варіанти. Кожен варіант має свої особливості з погляду можливостей зв'язку клієнтів із серверами:

Засобу забезпечення взаємодії розташовані тільки на клієнтських частинах обох мереж. Для тих і тільки тих клієнтів обох мереж, що оснащені "добавками", гарантується можливість зв'язку з усіма серверами з "чужої" мережі.

Усі засоби забезпечення взаємодії розташовані на стороні мережі А. Усі клієнти мережі В можуть звертатися до серверів мережі А (не до всіх, а тільки до тих, що мають мережну "добавку").

Засобу межсетевого взаємодії розташовані тільки на серверних частинах обох мереж. Усім клієнтам обох мереж гарантується можливість роботи із серверами "чужих" мереж, але не з усіма, а тільки із серверами, що володіють мережними засобами мультиплексіровання протоколів.

Усі засоби межсетевого взаємодії розташовані на стороні В. Двосторонній характер взаємодії забезпечується модифікацією і клієнтських, і серверних частин мережі В. Усі клієнти мережі А можуть звертатися за сервісом до серверів мережі В, а всі сервери мережі А можуть обслуговувати клієнтів мережі В, позначених

Наявність програмних продуктів для кожного з розглянутих варіантів сильно залежить від конкретної пари операційних систем. Для деяких пар може зовсім не знайтися продуктів міжмережевої взаємодії, а для деяких можна вибирати з декількох варіантів. Розглянемо як приклад набір програмних продуктів, що реалізують взаємодію Windows NT і NetWare. В ОС Windows NT і в серверній частині (Windows NT Server), і в клієнтських частинах (Windows NT Workstation) передбачені убудовані засоби мультиплексіровання декількох протоколів. Отже ця операційна система може підтримувати двосторонню взаємодію (по варіанті 2) з NetWare без яких-небудь додаткових програмних засобів. Аналогічним образом реалізується взаємодія мереж Windows NT з UNIX-мережами.

Порівняння варіантів організації взаємодії мереж

Порівння двух основних підходів - мультиплексіровання протоколів і трансляцію протоколів (шлюзи).

Убудовані в мережну ОС засоби мультиплексіровання протоколів дають переваги:

  1.  Ці засоби не потрібно окремо здобувати;
  2.  Немає проблем їхньої сумісності з іншими продуктами.

Основним недоліком цього підходу є надмірність. Хоча засобу мультиплексіровання звичайно дозволяють завантажувати і вивантажувати за бажанням користувача різні стеки протоколів, але якщо потрібно одночасно працювати з трьома різними мережами, то в кожну робочу станцію необхідно завантажити всі три стеки одночасно.

Шлюз по своїй природі є виділеним сервіром, поділюваним усіма джерелами запитів до серверів іншої мережі.

Шлюз (Gateway) - средство соединения существенно разнородных сетей. В отличие от повторителей, мостов и маршрутизаторов, прозрачных для пользователя, присутствие шлюза заметно. Шлюз выполняет преобразование форматов и размеров пакетов, преобразование протоколов, преобразование данных, мультиплексирование. Обычно реализуется на основе компьютера с большим объемом памяти.

Використання шлюзів забезпечує наступні переваги:

  1.  Дозволяє зосередити усі функції узгодження протоколів в одному місці і розвантажити робочі станції від додаткового програмного забезпечення, а їхніх користувачів - від необхідності його генерації. Шлюз зберігає в локальній мережі її рідне середовище протоколів, що підвищує продуктивність, тому що стік протоколів був спеціально спроектований для даного операційного середовища і щонайкраще враховує її особливості.
  2.  Виникаючі проблеми легко локалізуються.
  3.  Обслуговуючий персонал працює в звичному середовищі, де можна використовувати наявний досвід по підтримці мережі. Шлюзи зберігають різні, несумісні мережі в їхньому первозданному виді. Якщо мається кілька різних мереж, то для їхньої спільної роботи може знадобитися значна кількість шлюзів. Для доступу користувачів мережі UNIX до мейнфрейму знадобиться шлюз UNIX-SNA, для підключення користувачів NetWare до комп'ютерів UNIX і мейнфрейму потрібно два шлюзи - NetWare-UNIX і NetWare-SNA.

Недоліки використання шлюзів:

  1.  Шлюзи працюють, як правило, повільно;
  2.  користувачі зауважують зменшення продуктивності при звертанні до іншої мережі через шлюз.
  3.  Шлюз як централізований засіб знижує надійність мережі.

Приклади шлюзів:
Fax: забезпечує доступ до вилученого факсу, преутворити дані у факс-формат;
E-mail: забезпечує поштовий зв'язок між локальними мережами. Шлюз звичайно зв'язує MHS, специфічний для мережної операційної системи з поштовим сервісом по X.400;
Internet: забезпечує доступ до глобальної мережі Internet

Такі мережні ОС, як Banyan Vines, Novell NetWare 4.x, IBM LAN Server, Sun NFS, Microsoft LAN Manager і Windows NT Server, можуть служити як операційні системи підприємства, у той час як ОС NetWare 3.x, Personal Ware, Artisoft LANtastic більше підходять для невеликих робочих груп.

Критеріями для вибору ОС масштабу підприємства є наступні характеристики:

  1.  Органічна підтримка многосерверной мережі;
  2.  Висока ефективність файлових операцій;
  3.  Можливість ефективної інтеграції з іншими ОС;
  4.  Наявність централізованої масштабируємої довідкової служби;
  5.  Гарні перспективи розвитку;
  6.  Ефективна робота вилучених користувачів;
  7.  Різноманітні сервисы: файл-сервіс, принт-сервис, безпека даних і отказоустойчивость, архивирование даних, служба обміну повідомленнями, різноманітні бази даних і інші;
  8.  Різноманітні програмно-апаратні хост-платформы: IBM SNA, DEC NSA, UNIX;
  9.  Різноманітні транспортні протоколи: TCP/IP, IPX/SPX, NetBIOS, AppleTalk;
  10.  Підтримка різноманітних операційних систем кінцевих користувачів: DOS, UNIX, OS/2, Mac;
  11.  Підтримка мережного устаткування стандартів Ethernet, Token Ring, FDDI, ARCnet;
  12.  Наявність популярних прикладних інтерфейсів і механізмів виклику вилучених процедур RPC;
  13.  Можливість взаємодії із системою контролю і керування мережею, підтримка стандартів керування мережею SNMP.
  14.  Звичайно, жодна з існуючих мережних ОС не відповідає в повному обсязі перерахованим вимогам, тому вибір мережний ОС, як правило, здійснюється з урахуванням виробничої ситуації і досвіду. У таблиці приведені основні характеристики популярних і доступних у даний час мережних ОС.

Контрольні запитання:

  1.  Поясніть поняття "internetworking" і "interoperability"
    1.  Назвіть основні підходи до реалізації взаємодії мереж.
    2.  Що означає спільність різних стеків протоколів
    3.  Що відбувається у мережі яка  використовує різні протоколи
    4.  Які підходи використовують для організації взаємодії різних мереж
    5.  Охарактеризуйте шлюзи
    6.  Охарактеризуйте мультиплексіровання стеків протоколів
    7.  Назвіть приклади шлюзів:
    8.  Вкажіть доцільність встановлення шлюзу або мультиплексора виходячи з проблем у мережі.
    9.  Поясніть недоліки та переваги методів узгодження протоколів.

Самостійна робота.

Тема: Топологія мережі.

Мета: Ознайомити з різними видами будови мереж.

Мережа ЕОМ — це сукупність ЕОМ, взаємозалежних каналами передачі даних, і необхідних для реалізації цього взаємозв'язку програмного забезпечення і (чи) технічних засобів, призначених для організації розподіленої обробки даних. У такій системі кожне з підключених пристроїв може використовувати її для чи передачі одержання інформації.

По розмірності розрізняють локальні і глобальні мережі.
Локальні мережі — мережі, що діють у межах деякої обмеженої території (довжина — від декількох метрів до декількох кілометрів). Ці мережі також називають ЛВС (Локальні Обчислювальні Мережі), чи LAN (Local Area Network). І звичайно вони охоплюють яке-небудь відділення підприємства і не виходять за межі одного будинку.
Глобальні мережі забезпечують з'єднання великого числа абонентів на великих територіях, що охоплює регіони, країни і континенти, що використовують для передачі даних оптоволоконні магістралі, супутникові системи зв'язку і телефонну мережу, що комутирується.
Об'єднання глобальних і локальних мереж в асоціації мереж складає інтермережа, яскравим прикладом якої є Internet.
Локальні мережі

Існує ряд вагомих причин для об'єднання окремих персональних комп'ютерів у ЛВС. По-перше, спільне використання ресурсів дозволяє декільком ПК чи іншим пристроям здійснювати спільний доступ до окремого диска (файлу-серверу), дисководу CD-ROM, стримеру, принтерам, плоттерам, до сканерів і іншого устаткування, що знижує витрати на кожного окремого користувача. По-друге, крім спільного використання дорогих периферійних пристроїв ЛВС дозволяє аналогічно використовувати мережні версії прикладного програмного забезпечення. По-третє, ЛВС забезпечують нові форми взаємодії користувачів в одному колективі, наприклад при роботі над загальним проектом. По-четверте, ЛВС дають можливість використовувати загальні засоби зв'язку між різними прикладними системами (комунікаційні послуги, передача даної і відеоданих, мови і т.д.). Особливе значення має організація розподіленої обробки даних. У випадку централізованого збереження інформації значно спрощуються процеси забезпечення її цілісності, а також резервного копіювання.

Архітектура ЛВС

Комп'ютер, підключений до локальної мережі, називають робочою станцією (workstation) чи сервером (server) — у залежності від задач, розв'язуваних на ньому. Кожен комп'ютер у ЛВС повинний мати мережний адаптер, що дозволяє йому взаємодіяти з іншими пристроями даної мережі.

Серед ЛВС на базі персональних комп'ютерів розрізняють мережі з виділеним сервером (централізованим керуванням) і так називані однорангові мережі (peer-to-peer). В останньому типі мереж при спільному використанні інформації кожна станція може виступати і як клієнт, і як сервер. Однорангові ЛВС досить дешеві і прості в обслуговуванні, однак не можуть забезпечити належного захисту інформації при великому розмірі мережі. ЛВС із виділеним сервером мають гарні засоби забезпечення безпеки даних і можливості для розширення, однак вимагають постійного кваліфікованого обслуговування.

Спосіб об'єднання комп'ютерів між собою в мережі називають топологією. Розрізняють три найбільш розповсюджені мережні топології, що використовують і для однорангових мереж, і для мереж з виділеним файлом-сервером. Це так називані шинна, кільцева і зіркоподібна структури.

Мережа з виділеним файлом-сервером

Під сервером розуміється комбінація апаратних і програмних засобів, що служить для керування мережними ресурсами загального доступу. Він обслуговує інші станції, надаючи загальні ресурси і послуги для спільного використання.
У мережах з виділеним сервером в основному саме ресурси сервера, найчастіше дискова пам'ять, доступні всім користувачам. Сервери, поділюваним ресурсом яких є дискова пам'ять, називаються файлами-серверами.
Однієї з важливих функцій сервера є керування чергою завдань роботи мережного принтера. Мережним принтером користатися можна з будь-якої робочої станції, незалежно від місця підключення його в мережі. Тобто кожен користувач при наявності на це прав може відправити на мережний принтер матеріали, призначені для печатки. Регулювати черговість доступу до мережного принтера будуть засобу мережної операційної системи. Комп'ютер, до якого підключений принтер, у цьому випадку називається принт-сервером.
Файловий і принт-серверы звичайно використовуються адміністратором мережі і не призначені для рішення прикладних задач. На цих серверах установлюється мережна операційна система.

Топологія "Шина"

У випадку реалізації шинної структури («Загальна шина») усі комп'ютери зв'язуються в ланцюжок за допомогою коаксіального кабелю. Якщо ж хоча б один із сегментів мережі із шинною структурою виявляється несправним, уся мережа в цілому стає непрацездатною. Справа в тім, що тоді відбувається розрив єдиного фізичного каналу, необхідного для руху сигналу.

 

  

 

Топологія "Кільце"


Кільцева структура використовується в основному в мережах Token Ring і мало чим відрізняється від шинної. Так само у випадку несправності одного із сегментів мережі вся мережа виходить з ладу. Оскільки всі комп'ютери попарно з'єднуються один з одним, відпадає необхідність у використанні термінаторів .

 

Топологія "зірка"

Для побудови мережі з зіркоподібною структурою необхідно розмістити в центрі мережі концентратор (хаб). Його основна функція — забезпечення зв'язку між комп'ютерами, що входять у мережу. Звичайно на основі зіркоподібної структури створюються ЛВС із виділеним сервером.Тобто всі комп'ютери, включаючи файл-сервер, не зв'язуються безпосередньо друг із другом, а за допомогою кабелю кручена пари приєднуються до концентратора. Дана структура переважніше, оскільки у випадку виходу з ладу однієї з робочих чи станцій кабелю, що зв'язує її з концентратором, всі інші зберігають працездатність.

Основними вимогами, яким повинна задовольняти організація ИВС, є наступні:

  1.  Відкритість - можливість включення додаткових абонентських, асоціативних ЕОМ, а також ліній (каналів) зв'язку без зміни технічних і програмних засобів існуючих компонентів мережі. Крім того, будь-які дві ЕОМ повинні взаємодіяти між собою, незважаючи на розходження в конструкції, продуктивності, місці виготовлення, функціональному призначенні.
  2.  Гнучкість - збереження працездатності при зміні структури в результаті виходу з ладу ЕОМ чи лінії зв'язку.
  3.  Ефективність - забезпечення необхідної якості обслуговування користувачів при мінімальних витратах.

Контрольні запитання:

  1.  Дайте характеристику локальній мережі
    1.  Дайте характеристику глобальні мережі
    2.  Охарактеризуйте архітектуру ЛВС
    3.  Дайте визначення топології мережі..
    4.  Охарактеризуйте топологію "Шина"
    5.  Охарактеризуйте топологію "зірка" 
    6.  Охарактеризуйте топологію "Кільце"
    7.  Які основні вимоги, яким повинна задовольняти організація ЛВС

Самостійна робота

Тема: Реєстр Windows

Мета: Охарактеризувати реєстр системи. Призначення реєстру та його функціонування.

Системний Реєстр є однієї з найбільш важливих складових операційної системи Windows. Ця велика і складна база даних в ієрархічній формі (подібною деревоподібною структурою папок Windows) зберігає всі конфігураційні установки ПО й устаткування. Щораз, коли користувач робить які-небудь зміни в параметрах системного настроювання в Панелі керування, чи в асоціаціях файлів, чи вносить зміни у встановленому програмному забезпеченні - усі ці зміни відбиваються і зберігаються в Системному Реєстрі.

Системний реєстр windows - це база даних, у якій зберігаються її настроювання. Фактично все це зберігається в двох схованих файлах у каталозі windows - system.dat і user.dat. Сам реєстр представлений у виді ієрархічної структури, що складається з гілок, що у свою чергу складаються з ключів. Усього в реєстрі мається 6 головних гілок.

Реєстр містить повний опис взаємодії системи Windows і апаратних засобів комп'ютера він містить не тільки настроювання апаратного і програмного забезпечення, воно також зберігає будь-яку інформацію про комп'ютер, що тільки можна собі представити.

Для того щоб запустити редактор реєстру відкрийте RegEdit.

Пуск\Виконати _набрати RegEdit_ enter.

У редакторі реєстру є дві панелі, у цьому він схожий на провідник Windows. Елементи, відображувані в лівій панелі, є ключами, а в правій панелі– значеннями. Значення– це вміст реєстру, подібно абзацам у книзі. Існує три типи значень: string(строкової тип), binary(двоїчний тип), і DWORD(значення типу DWORD). Строкової тип є єдиним типом, сприйманим людиною. Бінарні значення і значення типу DWORD містять дані, що сприймає комп'ютер. Значення цих типів відрізняються по розмірі.

Реєстр містить повний опис взаємодії системи Windows і апаратних засобів комп'ютера.

Реєстр являє собою ієрархічну сисему чи даних центральну базу системи, у якій зберігається інформація про систему.

При установці Windows створюються файли системного реєстру:

system.dat  - файл призначений для збереження інформації про систему(про устаткування, параметри Plug and Play, настроюваннях додатка.Системна копія зберігається у файлі  system.da0.   

user.dat – файл, що містить дані встановлювані користувачем(настроювання робочого столу, параметри клавіатури, миші і т.д. Записані дані про підключення до мережі і паролі. Системна копія зберігається у файлі user.da0

Для Windows 2000/XP файл ntuser.dat

Процес редагування файлів конфігурації, і особливо системного реєстру, є потенційно небезпечним з погляду можливості порушення правильної роботи системи.

Хоча RegEdit дозволяє підвищити продуктивність системи, при неправильному використанні цього редактора можуть вийти непередбачені результати. 

Реєстр має 6 основних гілок:

Розділ HKEY_CLASSES_ROOT
У розділі HKEY_CLASSES_ROOT містяться ключі двох головних типів. Перший тип ключів зберігає інформацію про розширення файлу. Другий тип ключів являє собою власне асоціацію. Асоціація містить інформацію про те, який значок виводити для даного типу файлу.

Розділ HKEY_CURRENT_USER

Розділ HKEY_CURRENT_USER містить безліч настроювань програмного забезпечення, у яких зберігається інформація про конфігурацію робочого столу і клавіатури. Крім того, у цьому розділі є інформація про параметри меню Пуск. У даному розділі зберігаються всі настроювання, специфічні для користувача.

Розділ HKEY_LOCAL_MACHINE
У розділі HKEY_LOCAL_MACHINE містяться основні зведення про апаратні засоби комп'ютера, включаючи драйвери пристроїв і конфігураційну інформацію.

Розділ HKEY_USERS
Розділ HKEY_USERS містить список усіх користувачів даного файлу реєстру. Необхідності в зміні інформації цього розділу ніколи не виникає, але його можна використовувати в довідкових цілях.

Розділ HKEY_CURRENT_CONFIG
Розділ HKEY_CURRENT_CONFIG являє собою найпростішу частину реєстру. Він містить два головних роздягнула: Display і System.для конфігурації монітора і принтера.
Розділ HKEY_DYN_DATA
Розділ HKEY_DYN_DATA містить два підрозділи: Config Manager і PerfStats.Переглянути статус ключа Config Manager можна за допомогою вкладки Пристрою (Device Manager) діалогового вікна властивостей системи. Значення ключів з розділу PerfStats відображаються в інтерфейсі утиліти System Monitor. Призначений для збереження даних реєстру в оперативній пам'яті і для збереження даних про продуктивність компонентів системи.

Типи використовуємі у реєстрі

REG_BINARY
Це бінарний (чи двоїчний) тип. Тобто сюди входять тільки дві цифри — 1 і 0. Він не дуже звичний для нас, але для комп'ютера типу кращого, чим цей, просто не знайти…:-)

REG_DWORD
Це цілий тип. Багато параметрів служб і драйверів пристроїв мають цей тип і відображаються в двїчному, шістнадцятирічному чи десятковому форматах.

REG_EXPAND_SZ
Це строковий тип.

REG_MULTI_SZ
Тип, схожий на попередній. Але, це не один рядок, а набір рядків.

REG_SZ
Те ж строковий тип, але на відміну від REG_EXPAND_SZ, це рядок фіксованої довжини.

Контрольні запитання:

Дайте визначення системного реєстру.

З яких файлів складається системний реєстр.

Якщо неправильно відредагований реєстр, чим це загрожує системі

З яких основних гілок складається реєстр

Охарактеризуйте основні типи використовуємі у реєтрі

Лекція №9

Тема: Безпека системи. Види атак на операційну систему.

Мета: Розяснити правила планування безпеки за допомогою трикутника безпеки. Надати уяву про послідовність атак і методи захисту від них.

При розробці безпеки системи потрібно шукати компроміс між захистом системи і функціональністю(працездатністю)

Трикутник безпеки:       Безпека

                                         Функціональність                Простота у використовуванні       

Послідовність атак.

Пасивна розвідка (назва, адреса фірми, аналіз мережаних пакетів, пасивний збір інформації)

Активна розвідка – активне сканування комп¢ютера для отримання інформації:

Доступні вузли

Розташування маршрутизаторів та брандмауерів

Встановлені ОС

Відкриті порти

Працюючі служби

Версії програмних продуктів

Взлом системи

отримання доступу до системи

атака на ОС – через відкриті служби і портами

взлом робочої програми – використовування недоробок програм, які створили програмісти

використовування сценаріїв автоматизації – використовування готових кодів програм для створення власних програм.

Через неправильне налагодження системи

Розширення повноважень – отримання прав адміністратора системи. Наприклад через доступ гістя.

Відказ в обслуговуванні – користувачі не можуть отримати доступ до системи.

Завантаження “вредоносных” програм – завантаження програм, які будуть використовуватися для розширення повноважень або для взлому інших систем. Наприклад взлому системи Б через систему А.

Несанкціоноване отримання даних – кража даних. Якщо винуватця не спіймано при копіюванні даних, знайти майже не можливо.

Збереження доступу.

через люки

додаванням користувача

заміною одного системного файлу іншим (наприклад переписати програму регістрації в системі)

встановлення програми, яка працює через визначений порт

через троянські програми – програми в яких сховані деякі функції

“Сокрытиe следов”

чистка регістрації файлів журналу. Захист: 1. Збереження файлів журнула на інших комп¢ютерах. 2. Зберігати файли журналів на пристроях , які дозволяють лише записувати.

Відключення регістрації після проникнення у мережу. Захист: факти проникнення відображаються у системі. У всіх айлах відмічається час останнього доступу і розмір. Потрібно уважно слідкувати за системою.

Контрольні запитання:

Поясніть трикутник безпеки:

Охарактеризуйте послідовність атак.

Самостійна робота.

Тема: Види атак на операційну систему.

Мета: Надати уяву про види атак і методи захисту.

Способи злому системи.

У загальному випадку програмне забезпечення будь-якої універсальної комп'ютерної системи складається з трьох основних компонентів: операційної системи, мережного програмного забезпечення (СПО) і системи керування базами даних (СУБД). Тому всі спроби злому захисту комп'ютерних систем можна розділити на три групи:

атаки на рівні операційної системи;

атаки на рівні мережного програмного забезпечення;

атаки на рівні систем керування базами даних.

Атаки на рівні систем керування базами даних

Захист СУБД є однієї з найпростіших задач. Це зв'язано з тим, що СУБД мають строго визначену внутрішню структуру, і операції над елементами СУБД задані досить чітко. Є чотири основних дії — пошук, вставка, видалення і заміна елемента. Інші операції є допоміжними і застосовуються досить рідко. Наявність строгої структури і чітко визначених операцій спрощує рішення задачі захисту СУБД. У більшості випадків хакери воліють зламувати захист комп'ютерної системи на рівні операційної системи й одержувати доступ до файлів СУБД за допомогою засобів операційної системи. Однак у випадку, якщо використовується СУБД, що не має досить надійних захисних механізмів, чи погано протестована версія СУБД, що містить помилки, чи якщо при визначенні політики безпеки адміністратором СУБД були допущені помилки, то стає цілком ймовірним подолання хакером захисту, реалізованої на рівні СУБД.

Крім того, маються два специфічних сценарії атаки на СУБД, для захисту від який потрібно застосовувати спеціальні методи. У першому випадку результати арифметичних операцій над числовими полями СУБД округляються в меншу сторону, а різниця сумується в деякому іншому записі СУБД (як правило, цей запис містить особистий рахунок хакера в банку, а заокруглювані числові полючи відносяться до рахунків інших клієнтів банку). В другому випадку хакер одержує доступ до полів записів СУБД, для яких доступної є тільки статистична інформація. Ідея хакерскої атаки на СУБД — так хитро сформулювати запит, щоб безліч записів, для якого збирається статистика, складалося тільки з одного запису.

Атаки на рівні операційної системи.

мистецтво хакера складається аж ніяк не в тім, щоб зламувати будь-яку саму "круту" комп'ютерний захист. Потрібно просто зуміти знайти слабке місце в конкретній системі захисту. При цьому найпростіші методи злому виявляються нітрохи не гірше самих витончених, оскільки чим простіше алгоритм атаки, тим більше імовірність її завершення без помилок і збоїв, особливо якщо можливості попереднього тестування цього алгоритму в умовах, наближених до "бойових", дуже обмежені.

Успіх реалізації того чи іншого алгоритму хакерскої атаки на практиці в значній мірі залежить від архітектури і конфігурації конкретної операційної системи, що є об'єктом цієї атаки. Однак маються атаки, яким може бути піддана практично будь-яка операційна система:

крадіжка пароля;

• підглядання за користувачем, коли той уводить пароль, що дає право на роботу з операційною системою (навіть якщо під час уведення пароль не висвічується на екрані дисплея, хакер може легко довідатися пароль, просто стежачи за переміщенням пальців користувача по клавіатурі);

• одержання пароля з файлу, у якому цей пароль був збережений користувачем, що не бажає утрудняти себе введенням пароля при підключенні до мережі (як правило, такий пароль зберігається у файлі в незашифрованому виді);

• пошук пароля, що користувачі, щоб не забути, записують на календарях, у записних чи книжках на зворотному боці комп'ютерних клавіатур (особливо часто подібна ситуація зустрічається, якщо адміністратори змушують користувачів застосовувати паролі, що важко запам'ятовуються,);

крадіжка зовнішнього носія парольної інформації (  дискети чи електронного ключа, на яких зберігається пароль користувача, призначений для входу в операційну систему);

повний перебір усіх можливих варіантів пароля;

Підбор пароля по частоті зустрічальності символів і биграмм, за допомогою словників найбільше часто застосовуваних паролів, із залученням  компаній про конкретного користувача — його імені, прізвища, номера телефону, дати народження і т.д., з використанням зведень про існування еквівалентних паролів, при цьому з кожного класу випробується всього один пароль, що може значно скоротити час перебору;

сканування твердих дисків комп'ютера (хакер послідовно намагається звернутися до кожного файлу, збереженому на твердих дисках комп'ютерної системи; якщо обсяг дискового простору досить великий, можна бути цілком упевненим, що при описі доступу до файлів і каталогів адміністратор допустив хоча б одну помилку, у результаті чого всі такі каталоги і файли будуть прочитані хакером; для приховання слідів хакер може організувати цю атаку під чужим ім'ям: наприклад, під ім'ям користувача, пароль якого відомий хакеру);

зборка "сміття" (якщо засобу операційної системи дозволяють відновлювати раніше вилучені об'єкти, хакер може скористатися цією можливістю, щоб одержати доступ до об'єктів, вилученим іншими користувачами: наприклад, переглянувши вміст їхній "сміттєвих" кошиків);

перевищення повноважень (використовуючи помилки в програмному чи забезпеченні в адмініструванні операційної системи, хакер одержує повноваження, що перевищують повноваження, надані йому відповідно до діючої політики безпеки);

• запуск програми від імені користувача, що має необхідні повноваження, чи як системну програму (драйвера, сервісу, демона і т.д.);

• підміна бібліотеки, що динамічно завантажується, використовуваними системними програмами, чи зміна перемінні середовища, що описують шлях до таких бібліотек;

• модифікація чи коду дані підсистеми захисту самої операційної системи;

відмовлення в обслуговуванні (метою цієї атаки є частковий чи повний висновок з ладу операційної системи);

• захоплення ресурсів (хакерська програма робить захоплення всіх наявних в операційній системі ресурсів, а потім входить у нескінченний цикл);

• бомбардування запитами (хакерська програма постійно направляє операційній системі запити, реакція на який вимагає залучення значних ресурсів комп'ютера);

• використання помилок у програмному чи забезпеченні адмініструванні.

Якщо в програмному забезпеченні комп'ютерної системи немає помилок і її адміністратор строго дотримує політики безпеки, рекомендовану розроблювачами операційної системи, то атаки всіх перерахованих п малоефективні. Додаткові заходи, що повинні бути предприняті  для підвищення рівня безпеки, у значній мірі залежачи конкретної операційної системи, під керуванням якої прііцює дана комп'ютерна система. Проте, приходиться визнати, що залежності від початих мір цілком усунути погрозу взлому  комп¢ютерної системи на рівні операційної системи неможливо. Політика забезпечення безпеки повинна проводитися так, щоб,  переборовши захист, створюваний засобами операційної системи, хакер не зміг нанести серйозного збитку.

Атаки на рівні мережного програмного забезпечення

СПО є найбільш уразливим, тому що канал зв'язку, по якому передаються повідомлення, найчастіше не захищене, і всякий, хто може мати доступ до цього каналу, відповідно, може перехоплювати чи повідомлення відправляти свої власні. Тому на рівні СПО можливі наступні хакерскї атаки:

прослуховування сегмента локальної мережі (у межах одного і того сегмента локальної мережі будь-який підключений до нього комп'ютер у стоянні приймати повідомлення, адресовані іншим комп'ютерам , а отже, якщо комп'ютер хакера приєднаний до деякого сегмента локальної мережі, то йому стає доступний  інформаційний обмін між комп'ютерами цього сегмента);

перехоплення повідомлень на маршрутизаторі (якщо хакер має привілейований доступ до мережного маршрутизатора, то він одержує можливість перехоплювати всі повідомлення, що проходять через цей маршрутизатор хоча тотальне перехоплення неможливе через занадто великий обсяг, надзвичайно привабливим для хакера є вибіркове перехоплення повідомлень, що містять паролі користувачів і їхню електронну пошту.

створення помилкового маршрутизатора (шляхом відправлення в мережу повідомлення спеціального виду, хакер домагається, щоб його комп'ютер став маршрутизатором мережі, після чого одержує доступ до всім минаючим через нього повідомленням);

нав'язування повідомлень (відправляючи в мережу повідомлення з помилковою зворотною мережною адресою, хакер переключає на свій комп'ютер уже встановлені мережні з'єднання й у результаті дістає права користувчів, чиї з'єднання облудним шляхом були переключені на комп'ютер хакера);

відмовлення в обслуговуванні (хакер відправляє в мережу повідомлення спеціально виду, після чого одна чи кілька комп'ютерних систем, підключених до мережі, чи цілком частково виходять з ладу).

Оскільки хакерскіе атаки на рівні СПО спровоковані відкритістю мережних з'єднань, розумно припустити, що для відображення цих атак необхідно максимально захистити канали зв'язку і тим самим утруднити обмін інформацією з мережі для тих, хто не є легальним користувачем. Нижче перераховані деякі способи такого захисту:

максимальне обмеження розмірів комп'ютерної мережі (чим більше мережа, тим сутужніше її захистити);

ізоляція мережі від зовнішнього світу (по можливості варто обмежувати фізичний доступ до комп'ютерної мережі ззовні, щоб зменшити імовірність несанкціонованого підключення хакера);

шифрування мережних повідомлень (тим самим можна усунути погрозу перехоплення повідомлень, щоправда, за рахунок зниження продуктивності СПО і росту накладних витрат);

електронний цифровий підпис мережних повідомлень (якщо всі повідомлення, передані по комп'ютерній мережі, забезпечуються електронним цифровим підписом, і при цьому непідписані повідомлення ігноруються, те можна забути про погрозу нав'язування повідомлень і про більшість погроз, зв'язаних з відмовленням в обслуговуванні);

використання брандмауерів (брандмауер є допоміжним засобом захисту, застосовуваним тільки в тому випадку, якщо комп'ютерну мережу не можна ізолювати від інших мереж, оскільки брандмауер досить часто не здатний відрізнити потенційно небезпечне мережне повідомлення від зовсім нешкідливого, і в результаті типової є ситуація, коли брандмауер не тільки не захищає мережа від хакерских атак, але і навіть перешкоджає її нормальному функціонуванню).

Захист системи.

Керуйтеся принципом розумної достатності: не прагнете побудувати абсолютно надійний захист. Адже чим могутніше захист, тим більше ресурсів комп'ютерної системи вона споживає і тем сутужніше використовувати її.

Зберігаєте в секреті інформацію про принципи дії захисних механізмів комп'ютерної системи. Чим менше хакеру відомо про ці принципи, тим сутужніше буде для нього організувати успішну атаку.

Постарайтеся максимально обмежити розміри комп'ютерної мережі, що захищається, і без крайньої необхідності не допускайте її підключення до Internet.

Перед тим як укласти кошти в покупку нового програмного забезпечення, пошукайте інформацію про нього, що мається на хакерских серверах Internet.

Розміщайте сервери в охоронюваних приміщеннях. Не підключайте до них клавіатуру і дисплеї, щоб доступ до цих серверів здійснювався тільки через мережу.

Абсолютно всі повідомлення, передані по незахищених каналах зв'язку, повинні шифруватися і забезпечуватися цифровим підписом.

Якщо комп'ютерна мережа, що захищається, має з'єднання з незахищеною мережею, то всі повідомлення, що відправляються в цю чи мережу прийняті з її, повинні проходити через брандмауера, а також шифруватися і забезпечуватися цифровим підписом.

Не зневажайте можливостями, що надає аудит. Інтервал між сеансами перегляду журналу аудита не повинний перевищувати однієї доби.

Якщо виявиться, що кількість подій, поміщених у журнал аудита, надзвичайно велико, вивчите уважно всі нові записи, оскільки не виключено, що комп'ютерна система піддалася атаці хакера, що намагається замести сліди свого нападу, зафіксовані в журналі аудита.

Регулярно робите перевірку цілісності програмного забезпечення комп'ютерної системи. Перевіряйте її на наявність програмних закладок.

Реєструйте всі зміни політики безпеки в звичайному паперовому журналі. Регулярно звіряйте політику безпеки з зареєстрованої в цьому журналі. Це допоможе знайти присутність програмної закладки, якщо вона була впроваджена хакером у комп'ютерну систему.

Створіть кілька пасток для хакеров (наприклад, заведіть на диску файл із привабливим ім'ям, прочитати який неможливо за допомогою звичайних засобів, і якщо буде зафіксоване успішне звертання до цього файлу, значить у комп'ютерну систему, що захищається, була впроваджена програмна закладка).

Регулярно тестируйте комп'ютерну систему за допомогою спеціальних програм, призначених для визначення ступеня її захищеності від хакерских атак.

Контрольні запитання:

Поясніть способи злому системи.

Яким чином відбуваються атаки на рівні систем керування базами даних

Яким чином відбуваються атаки на рівні операційної системи.

Яким чином відбуваються атаки на рівні мережного програмного забезпечення

Які методи захисту ви знаєте.

Лекція №11

Тема: Критерії оцінки систем безпеки. Парольний захист системи Windows NT/2000/ХР Правила встановлення паролю

Мета: Роз¢яснити парольну будову ОС Windows NT/2000/ХР. Вказати на слабкі місця парольного захисту.

За оранжевою книгою (Критерії оцінки надійних комп¢ютерних систем – випущеною 1983 року міністерством оборони США) можливо виділити 4 – рі групи безпеки комп¢ютерних систем D, C, B, A. Рівні С і В діляться на класи С (С1, С2) і три класи В(В1, В2, В3).

Спеціалісти пропонують використовувати 2 – а критерії:

Політика безпеки – Під політикою безпеки розуміють сокупність правил, регламентуючих доступ користувачів до системи і складових об¢єктів системи. Політика безпеки повинна враховувати усі можливі атаки зловмисників і передбачати відповідні дії.

Гарантованість – данний критерій дозволяє  оцінити ступінь відповідності засобів, як апаратних так і програмних , сформульованих політикою безпеки. Спеціалісти виділяють операціонну гарантованість, під якою розуміють перевірку архітектури системи і її реалізація, технологічну гарантованість, яка охоплює весь процес розгортання системи.гарантованість формується як слідство багатьох тестів та перевірок. Гарантованість це упевненість в тому, що система безпеки працює так як розраховували її творці.

Два самих уразливих ланцюга у безпеці компанії – це легкі паролі і неконтролюємі модеми віддаленого користування.

Пример: Знайдено телефонний номер компанії.

Запускається програма сканування телефонних ліній по базовому діапазону номеру (телефон фірми 555, базовиі 555**. Утиліта сканування потрібна, щоб знайти на другому кінці модем. Маючи список модемів, відбувається перевірка, після отримання запросу на введення імені та паролю, зловмисник проникає до системи.

Парольний захист системи.

Windows NT/2000/ХР зберігають паролі у зашифрованому виді, фкий називається мешем паролей. Хеші на локальній машині отримати достатньо легко, але засіб шифрування такий, що паролі не можливо отримати з хешів. Відновлення паролей заключається у обчисленні хешів по можливим паролям і порівнянні обчислених хешів з тими які маються в дійсності.

Усі зашифровані паролі зберігаються в базі данних SAMSecutity Account Manager. За мовчанням система Windows 2000/ХР використовує метод шифрування Syskey. Данные, необходимые для расшифровки информации после syskey, хранятся в файле system в той же папке. Но эта папка недоступна никому из пользователей. Доступ к ней имеет только сама операционная система во время своей работы. Получить доступ к файлам SAM и system можно только под управлением другой операционной системы или подключив диск к другому компьютеру с системой Windows.

Даний файл знаходиться в папці %System Root%system32/config і копія в  %System Root%/repair. З під самої системи доступ до цього файлу здобути неможливо, тому використовується завантаження альтернативних ОС. Захисту на даний файл не існує. Головна задача при захисті файлу – не допустити доступ до реєструі самого файлу SAM.

Алгоритм відновлення паролю

Взлом паролю з файлу SAM

Взлом Bios

Копіювання файлу System/SAM

Завантаження альтернативної ОС

використовування програми, яка дозволяє читати NTFS розділи

Дізнатися про проникнення можливо тільки при перегляді дати останнього доступу до файлів в їх атрибутах.

Розшифровування паролю в будь якій точці міста

Якщо пароль більше 14 символів – назначається власній учетной записи максимум прав або створення нового користувача з правами адміністратора – методом завантаження спеціального експлоіта.(2 хв)

Сброс паролю за допомогою спеціальних програм.

Захист системи, від несанкціонованого відновлення паролю

Виключення механічного сбросу паролей системи: опломбовування корпусу, встановлення спеціального замка на корпус.

Налагодження BIOS

Вимога вимагати пароль при завантаженні системи

Заборона зміни налагоджень, доступ запускати систему тільки з диска С

Відміна опції – автоматично визначати жорсткий диск

Заблокувати USB порт

Неможливість завантаження програмних взломщиків паролей Bios

Заборона використовування командного рядка

Виключити запуск будь – яких DOS програм на машині користувача

Видалити з диска копії файлу command.com

Дозволити запуск тільки, конкретних програм

Видалити з ПК дисководи, відказ від CD/DVDROM/RW

Заборона доступу до реєстру (ховання наслідків системи, запуск спец. Програм - експлоітів)

Захист від зняття дампу пам¢яті і копіювання реєстру – через дуже довгий пароль, більше 15 символів

Заборона передачі по мережі LM хешу і його збереження в реєстрі, через відключення.

Захист від підбору паролю по таблиці хешу через активне застосування в паролі національного алфавіту, дуже довгого паролю (цілі фрази)

Переіменування запису адміністратора і гостя, зміни параметрів Опис і повне ім¢я

Створення ловушок, за допомогою “ложной учетной записи”

Ввімкнення режиму блокування комп¢ютера, після декількох невдалих спроб введення паролю.

регулярно змінювати пароль

Використовувати шифрування дисків та папок.

 

Приблизні правила при встановленні паролю.

Змінюється кожні 45 днів

Мінімальна довжина 10 символів

Повинен містити букви, цифри і спец символи

Містити символи кожної з трьох наступних груп.

Опис

Приклади

Букви (прописні і рядкові)

A, B, C,...; a, b, c,...

Цифри

0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Символи (не стосовні ні до букв, ні до цифр)

` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

Усі символи задані у змішаному вигляді

Слово не з словаря

Не повторює попередні паролі

Мінімальний час до зміни 10 днів

Після невдалих спроб система блокується на декілька днів

Приклад: Мій день народження 3 травня 1987 року @ 2 години

Мдн3т1987р@2г

Паролі Windows 2000 можуть містити до 128 символів. Однак, якщо Windows 2000 використовується в мережі, де маються також комп'ютери з Windows 95 чи Windows 98, не використовуйте паролі, довжина яких перевищує 14 символів. Windows 95 і Windows 98 підтримують паролі довжиною до 14 символів. Якщо довжина пароля перевищує це обмеження, вхід у мережу з комп'ютерів з такими операційними системами може виявитися неможливим.

Контрольні запитання:

Які критерії оцінки надійних комп¢ютерних систем ви знаєте

Поясніть Гарантованість безпеки системи

Поясніть Політика безпеки системи

Яким чином здійснюється парольний захист системи

Поясніть алгоритм відновлення паролю

Які методи захисту системи, від несанкціонованого відновлення паролю ви знаєте

Які  правила при встановленні паролю слід дотримуватися.

Самостійна робота

Тема: Аналіз безпеки. Прийняття рішень при встановленні атаки.

Мета: Підвести підсумки. Пояснити яким чином слід аналізувати систему та яким відповідним діям на проникнення слід дотримуватися.

Тестування «наосліп»

Процедура аналізу починається з так називаного «сліпого» тестування, при якому проводиться вилучена перевірка досліджуваної системи без знань про її інфраструктуру. У цій стадії проводиться:

Сканування сайта. Почніть з виявлення інформації про мережу, потім проскануйте всі порти, знайдені при проведенні виявлення; проскануйте додатка з метою виявлення системних служб, що відносяться до виявлених портів, і перевірте пропускну здатність портів для одержання інформації про інтенсивність їхнього використання й ідентифікації можливих уязвимостей.

Вилучені перевірки. Перевірте настроювання, стабільність роботи, уразливість периферійних захищаючих пристроїв, зовнішніх служб провайдера й інших мережних служб, що функціонують як канали зв'язку через чи брандмауерів проксі-сервери.

Тестування на проникнення. Атакуйте й оціните фізичні засоби захисту, спробуйте проникнути в усі елементи, знайдені в стадіях сканування сайта, вилученої перевірки і тестування вихідних кодів сценаріїв . Ініціюйте перехоплення баз даних і т.д.

Тести чи пошти 1Р-трафіку на спам чи підміну повідомлень. Здійсните атаки, спрямовані на проникнення і переклад устаткування системи в небезпечні режими роботи і/чи утрату важливої інформації (наприклад паролів); перевірте можливість ушкодження електронної пошти . Займіть клієнтську смугу пропущення для передачі зовнішніх поштових відправлень.

Кожен процес має свій ізольований адресний простір, доступ до якого для інших процесів закритий. Кожен процес бачить системні ресурси і свій адресний простір, але не може бачити адресний простір інших процесів. А оскільки всі процеси займають ті самі адреси пам'яті, вони просто в принципі не можуть бачити один одного!

Принятие решений при обнаружении атаки

Для успішної протидії зловмисникам не обійтися без чіткого сценарію дій при виявленні атаки. Він залежить від специфіки мережі, що захищається, або системи, але декілька загальних дій необхідно зробити у будь-якому випадку:

 ? Призначити персонал, відповідальний за реагування на вироблювану атаку, і розподілити зони відповідальності.

 ? Визначити можливі заходи протидії атаці, сформулювати, за яких умов потрібно її блокувати, а при яких слід дозволити їй продовжуватися (наприклад, щоб зібрати максимум даних про зломщика і його дії для порушення кримінальної справи).

 ? Створити прозору і чітку схему аудиту мережевого захисту і моніторингу мережевої активності.

 ? Відпрацювати питання взаємодії із сторонніми організаціями: провайдерами, клієнтами вашої мережі, з відповідними підрозділами силових структур, публічними організаціями типу CERT, FIRST або RU-CERT .

 ? Стежити за відповідністю вживаних процедур по моніторингу, аудиту, протидії мережевим атакам, поточному стану систем, що захищаються, і мереж.

 Є і ще цілий ряд організаційних і технічних моментів, на які необхідно звернути увагу.

 Аудит захисту

Поза сумнівом, перед установкою пасток для зломщиків потрібно усунути всі відомі на даний момент слабкі місця в мережевому захисті. Інакше вона буде ненадійною і комічною.

 Фізична безпека устаткування

Слід вжити заходи по обмеженню допуску персоналу і сторонніх до устаткування. Небагато чого коштують зусилля по мережевому захисту, якщо хтось може легко вкрасти, наприклад, диск з даними.

 Робота з кадрами

Постулат Ѐкадри вирішують всеЀ завжди був і залишається актуальним. Ніяке устаткування і програмне забезпечення не замінить професійний персонал. Крім того, як показує статистика, більшість нападів здійснюються зсередини мережі (insider attack), а не ззовні (outsider attack).

 Брандмауери

Апаратно-програмні засоби міжмережевого захисту здійснюють контроль і фільтрацію трафіку на мережевому рівні (по моделі OSI). Фільтрація (дозвіл або заборона) базується на визначених користувачем правилах. Залежно від деталей розробки деякі види програмних персональних брандмауерів можуть контролювати мережеву активність на рівні додатків.

Необхідно враховувати, що брандмауер може не володіти функцією контролю вмісту мережевого трафіку. Як наслідок, в результаті атаки на уразливий мережевий сервіс, доступ до якого відкритий в брандмауері, система виявиться зламаною.

 Прослуховування мережевого трафіку

Прослуховування трафіку надає зломщику досить багато інформації. Деякі сервіси (FTP, TELNET, SMTP, HTTP, IMAP, POP, RSH і т. д.) передають по мережі між клієнтом і сервером незашифровані дані, які він може перехопити. Один з варіантів усунення цієї проблеми - установка сервісів, що підтримують криптозахист: для мережевого терміналу - SSH, для передачі файлів - SFTP, для Web-сервісів - SSL, для пошти - TLS. Інший варіант - використовувати VPN-технології або шифрування на рівні протоколу (проект IPSEC).

 Мережеві системи виявлення вторгнення (NIDS)

Система виявлення вторгнення функціонує на мережевому рівні (модель OSI), здійснює контроль встановлюваних з'єднань, аналіз структури і вмісту мережевих пакетів. NIDS може працювати як на окремому комп'ютері, контролюючи свій власний трафік, так і на виділеному сервері (шлюз, маршрутизатор, зонд), проглядаючи весь трафік, що проходить. При виявленні атаки NIDS (залежно від розробки) може зробити наступні дії: послати повідомлення на e-mail, консолі, пейджері, телефоні, факсі, SNMP; реконфігурувати брандмауер або маршрутизатор; блокувати облікові записи; завершити з'єднання.

Основними проблемами в роботі NIDS є точність визначення IP-адрес атакуючих при застосуванні деяких видів атак, а також грунтовні вимоги до обчислювальних ресурсів сервера, необхідні для обробки потоків даних.

 Сканери безпеки

Сканери безпеки - професійний інструмент вивчення мережевого захисту, останній етап в розвитку мережевих сканерів. Досліджуючи вибрану систему, сканер безпеки намагається визначити доступні мережеві сервіси. Потім, імітуючи хакреські атаки, аналізує стійкість сервісу до злому. При визначенні типу і версії сервісу сканер здійснює атаку, націлену на специфічні для даного сервісу вразливі місця.

За наслідками проведеного дослідження формується звіт з описом виявлених явних або потенційних слабких місць, їх аналізом і рекомендаціями по усуненню. Можливі випадки помилкового спрацьовування, коли сканер повідомляє про виявлення уразливості, якої насправді немає. Не виключена і зворотна ситуація. У будь-якому випадку для аналізу звіту потрібен компетентний фахівець .

 Настройки сервісів

Досить часто причиною нестійкості системи до злому є некоректні настройки використовуваних мережевих сервісів. Уважне вивчення документації, що поставляється, і рекомендацій комітету CERT допоможе подолати цю проблему.

Про такі нецікаві речі, як вибір паролів, контроль цілісності файлів, резервне копіювання, контроль доступу, знають багато, але чомусь частенько про них забувають.

 

Контрольні запитання:

  1.  Яким чином здійснюється тестування компютера
  2.  Яким відповідним діям на проникнення слід дотримуватися
  3.  Які методи захисту ви знаєте.

PAGE  1


 

А также другие работы, которые могут Вас заинтересовать

30872. Понятие о системах групп крови 45.5 KB
  Понятие о системах групп крови В настоящее время установлено что каждая клетка человеческого организма в том числе и эритроцит содержит на своей поверхности набор специфических белков Антигенов закрепленных генетически которые и обеспечивают её видовую и индивидуальную специфичность. Кроме антигенов существует и второй класс белков антитела к антигенам которые циркулируют в плазме крови и при взаимодействии с определенным антигеном расположенным на мембране клетки способны вызывать реакцию агглютинации образуя т....
30873. Понятие о гемостазе 47 KB
  Понятие о гемостазе Система гемостаза совокупность процессов направленных с одной стороны на предупреждение и остановку кровотечения а с другой на сохранение жидкого состояния циркулирующей крови. Задача поддержание адекватного состояния жидкостных характеристик крови. Плазменный собственно свертывание крови или гемокоагуляция обеспечивает остановку кровотечения из более крупных сосудов. Тромбоцитарный гемостаз: Тромбоциты Как лекоциты выполняют в основном защитную функцию так тромбоциты прежде всего участвуют в свертывании...
30874. Процесс свертывания крови 84.5 KB
  Процесс свертывания крови Гемокоагуляция собственно свертывание крови Основные положения теории свертывания крови А. Процесс свертывания крови стадийный. В современной теории свертывания крови различают 3 фазы свертывания: 1 фаза образование протромбиназного комплекса; 2 фаза образование тромбина; 3 фаза образование фибрина. Международный комитет по номенклатуре факторов свертывания крови обозначил плазменные факторы римскими цифрами в порядке хронологического открытия всего их по количеству тринадцать IXIII IIа ...
30875. Противосвертывающие факторы 26 KB
  Противосвертывающие факторы Противосвертывающая система обеспечивает поддержание крови в жидком состоянии. Механизмы обеспечивающие жидкое состояние крови: 1. В норме сосудистая стенка препятствует свертыванию крови: т. имеет одноименный электрический заряд с форменными элементами крови; адсорбирует активные факторы свертывания особенно тромбин; 2.
30876. Слуховой анализатор 29.5 KB
  Волоски рецепторных клеток омываются эндолимфой и покрыты текториальной покровной мембраной. Происходит деполяризация волосковых клеток и как следствие выделение медиатора ацетилхолин глютамат аспартат Воздействуя на постсинаптическую мембрану афферентного волокна который является дендритом ганглиозных нервных клеток спирального ганглия 1 нейрон. Аксоны этих нервных клеток несут звуковую информацию к кохлеарным ядрам слухового центра продолговатого мозга далее к верхним оливам ядрам латерального лемниска нижнему двухолмью...
30877. Биологическое значение боли 44 KB
  Болевые рецепторы ноцицепторы представляют собой свободные нервные окончания немиелинизированых волокон образующих сплетения в тканях кожи мышц некоторых органах. Ноцицепторы делятся на первый механоноцицепторы и второй хемоноцицепторы типы. Механоноцицепторы деполяризация происходит за счет механического смещения мембраны. Ноцицепторы кожи с афферентами Адельта волокон возбуждаются на механические стимулы почти не реагируют на термические раздражители и совсем не реагируют на химические раздражители.
30878. Условные рефлексы 44.5 KB
  Биологический смысл условного рефлекса Все условные рефлексы представляют одну из форм приспособительных реакций организма к изменяющимся условиям внешней среда это индивидуальная форма адаптации которая является более точной формой приспособления живых организмов к изменяющемуся окружающему миру. В процессе формирования условного рефлекса условный раздражитель приобретает СИГНАЛЬНЫЙ ХАРАКТЕР. УСЛОВНЫЙ РЕФЛЕКС помогает организму лучше приспосабливаться к действию БЕЗУСЛОВНОГО РАЗДРАЖИТЕЛЯ. Структурнофункциональной базой условного рефлекса...
30879. Корковое торможение 33.5 KB
  Сон и бодрствование Проявлением сна является понижение активности нервной системы выключение сознания понижение мышечного тонуса и всех чувств. Существует несколько видов сна: ежесуточный сезонный наркотический гипнотический патологический. Общая продолжительность суточного сна в среднем 7 8 часов в сутки. Активный сон по типу запредельного торможения В возникновении сна важную роль играют гипногенные структуры ствола мозга ретикулярная формация гипоталамус таламус.
30880. I и II сигнальные системы 48 KB
  система – это система связей и ассоциаций в коре больших полушарий ответственная за восприятие натуральных раздражителей. система –это система связей и ассоциаций в коре больших полушарий которая ответственна за восприятия смысла слова как раздражителя. Эта система сигнализации состоит в восприятии смысла слов слышимых произносимых и видимых. Эта система присуща только человеку.