Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ СЕТЯХ

Локальные сети как объект защиты информации

В широком смысле слова любой способ соединения двух и более компьютеров с целью распределения ресурсов — файлов, принтеров и т. п. — можно назвать сетью.

Локальная компьютерная сеть (локальная сеть) представляет собой особый тип сети, объединяющий близко расположенные системы, как правило, в пределах группы сотрудников или отдела предприятия. Эти компьютеры и другое оборудование соединены однотипными средствами коммуникаций — чаще всего витой парой проводов, коаксиальным или оптическим кабелем, беспроводными средствами связи (инфракрасного или радио- волнового диапазона).

Все устройства в локальных сетях способны обмениваться информацией друг с другом непосредственно. Отдельные локальные сети объединяются в глобальную вычислительную сеть WAN (wide area network). С помощью ее устройств, не относящихся к одной и той же физической локальной сети, устанавливаются соединения через специализированное оборудование.

Локальная сеть позволяет прозрачно распределять ресурсы, отсутствующие на рабочих станциях. Подсоединившись к таким ресурсам, можно распоряжаться ими как собственными. Тот факт, что многие пользователи сети имеют доступ к одним и тем же ресурсам, упрощает распространение информации в пределах локальной сети, так как не требует осваивать новые методы передачи данных.

Существуют особые сетевые программы, использующие локальную сеть для передачи информации: электронная почта, программы планирования, групповое программное обеспечение и т. п. Однако самое основное свойство локальной сети — простой доступ к сетевым ресурсам. Для доступа к сетевым ресурсам применяется целый ряд аппаратных и программных компонентов. Аппаратура — сетевая интерфейсная плата — электрически подсоединяет рабочую станцию к локальной сети. Она устанавливается в пустое расширительное гнездо персонального компьютера либо подключается к соответствующему порту мобильных компьютеров (или в гнездо PC MCI).

Сетевое программное обеспечение делится на три категории:

  • • программное обеспечение управления сетевой платой;
  • • программное обеспечение, выполняющее правила (или протокол) общения в сети;
  • • программное обеспечение сетевой операционной системы.

Первый компонент может состоять из одной или нескольких небольших программ. Он отвечает за наведение мостов между сетевой платой и стеком протокола. Стек протокола — это компонент, осведомленный о правилах движения данных по сети, он связывает интерфейсную плату с оболочкой. Оболочка, или сетевой клиент, знает особенности используемых в сети операционных систем и осуществляет связь между ними. Оболочка отвечает за передачу и удовлетворение запросов на сетевые ресурсы.

Операционная система рабочей станции — не единственная операционная система в локальной сети. На файловом сервере работает особая операционная система, называемая сетевой операционной системой.

Хотя сейчас уже все операционные системы наделены сетевыми свойствами, следует различать операционную систему рабочей станции, обеспечивающую ее работу в локальной сети, и операционную систему узловой станции — Сервера, обеспечивающей работу всей сети.

Информационные свойства локальной сети во многом зависят от состава поддерживаемых ею операционных систем, функционирующих на рабочих станциях и серверах. Если локальная сеть поддерживает только одну операционную систему, т. е. имеет однородный состав узлов (компьютер или сервер с установленными в них сетевыми адаптерами), то такая локальная сеть называется гомогенной (или однородной), в противном случае — гетерогенной (или разнородной).

Локальные сети бывают двух основных типов: равноправные (или одноранговые) и с выделенным сервером. В равноправной локальной сети все узлы равноправны: любая рабочая станция может выступать по отношению к другой как клиент или как сервер. В сети с выделенным сервером все клиенты общаются с центральным сервером.

Одноранговые сети обычно легко устанавливать и для их операционной системы не требуется выделять особый компьютер. С другой стороны, эти сети обладают меньшими функциональными возможностями по сравнению с сетями на основе выделенного сервера. В частности, проблемы централизованной защиты ресурсов и данных в таких сетях часто не разрешимы, так как каждый пользователь сам контролирует доступ к своей системе. По мере роста размеров таких сетей они быстро становятся неуправляемыми.

И все же простая сеть с равноправными узлами может стать оптимальным решением, если необходимо объединить всего несколько машин.

Равноправные сетевые операционные системы хороши для мелких сетей и идеальны в случае необходимости объединения лишь нескольких машин в целях коллективного применения специальных файлов и принтеров, когда не требуется централизованного администрирования. Но иногда доступ к некоторым ресурсам должен быть представлен лишь определенным пользователям и администратору требуется управлять такими ресурсами. Например, к определенному ресурсу должен быть организован централизованный доступ, в частности для организации пула модемов или принтеров. В этих случаях лучше обратиться к сети с выделенным сервером. В таких сетях один или несколько компьютеров организуют централизованный доступ к своим ресурсам. Все запросы от рабочей станции проходят через серверы. Компьютер, используемый в качестве сервера, должен быть более мощным и надежным.

Программное обеспечение сервера обеспечивает централизованное администрирование и защиту и управляет доступом к ресурсам с помощью реконфигурируемых бюджетов пользователей. Администратор сети контролирует эти бюджеты и определяет, что должен видеть и делать пользователь, зарегистрированный в сети. Локальные сети с выделенным сервером обычно сложнее в установке по сравнению с одноранговыми, но они мощнее, функционально многообразнее и поддерживают крупные сетевые системы.

Существует много разновидностей сетей. Те из них, что строятся на основе мэйнфреймов и мини-компьютеров, часто обеспечивают такие же возможности, как и локальные сети, но с некоторыми отличиями. Некоторые сети использует протоколы, обычно не применяемые в локальных сетях, и нередко выступают в качестве средства дистанционного доступа к базам данных.

Наибольшее распространение получили четыре модификации соединений персональных компьютеров в локальных сетях: Ethernet, Arknet, Token-Ring и FDDI.

Сети Ethernet (топология «общая шина») отличаются своими несомненными достоинствами: небольшой стоимостью и оптимальной производительностью (10 Мбит/с). Сети Ethernet реализуют недетерминированный метод множественного доступа с контролем несущей. Все сетевые компьютеры, подключенные к магистральному кабелю, являются равноправными и пытаются захватить канал, т. е. начать передачу. Каждый раз, когда узел готов передавать свой пакет, он должен проверить, занят канал или нет. Для этого проводится проверка несущей: ее отсутствие означает, что канал свободен. Если один из узлов начал передачу пакета, канал становится занятым, и все остальные узлы переходят в состояние приема. Пакеты, переданные сети одним из ее узлов, направляются всем остальным активным узлам, т. е. сеть является широковещательной. Узел назначения сам определяет, что информация предназначена именно ему, анализируя заголовок пакета, который содержит и адрес назначения, и адрес отправителя. Если они соответствуют его данным, происходит прием пакета информации.

При таком методе доступа к каналу следует предусмотреть ситуацию, когда несколько узлов начинают передачу одновременно, т. е. происходит коллизия — наложение сигналов. В этом случае передача прерывается, и каждый узел, попавший в коллизию, переходит в состояние задержки, в котором он находится в течение некоторого случайного промежутка времени. Его величина определяется самим узлом, что уменьшает вероятность попадания в новую коллизию сразу же после обработки предыдущей. Вышедший из коллизии узел повторяет передачу. В результате при больших нагрузках сетей с произвольным методом доступа пропускная способность сети резко падает и входит в насыщение. В сетях Ethernet насыщение предотвращается балансировкой нагрузки путем разделения сети на сегменты или выбором оптимальной технологии сети.

Локальные сети типа Ethernet используют топологии (способ объединения между собой узлов локальной сети) «звезда» и «общая шина». При необходимости можно объединять вместе несколько сетей с обеими топологиями, в результате этого получаются разветвленные конфигурации сети.

Построение сетей Ethernet определяется рекомендациями IEEE 802.3: спецификациями 10Base2, 10Base5, lOBase-T.

Спецификация 10Base2 (шинная топология), представляющая сеть Ethernet на тонком коаксиальном кабеле (типа RG — 58 A/U), использует легкие кабели и разъемы (BNC). Монтаж сети при этом предельно прост: соединения осуществляются прямо на задней стенке персонального компьютера с помощью Т-коннектора, подключаемого к разъему на сетевом адаптере. Протяженность сегмента ограничена длиной 185 м, при этом можно подключить до 30 сетевых узлов. Максимальная протяженность ограничена следующими требованиями:

  • • можно включить последовательно не более трех сегментов;
  • • между сегментами можно включить две соединительные линии без возможности включения в них рабочих станций;
  • • на всей сети должно быть не более 90 сетевых узлов;
  • • общая длина кабельной трассы сети должна быть не более 925 м.

Спецификация 10Base5 основана на специальном «толстом» кабеле и имеет топологию шины.

Основное отличие «толстого» Ethernet состоит в том, что все подключения к кабелю должны выполняться через внешние транссиверы. Все сетевые узлы должны иметь AUI-порт и соответствующий кабель, длина которого не должна превышать 50 м, а длина сегмента — 500 м.

Максимальный размер сети определяют следующие параметры:

  • • максимальное число объединяемых сегментов (без межповторительных), как и у «тонкого» Ethernet, — 5;
  • • максимальная длина сети — 2500 м;
  • • максимальное число станций на сегмент — 100.

Сети этого типа реализуются в последнее время в небольших количествах и только там, где требуется большая протяженность кабельной трассы, или используются в качестве базовой сети.

Спецификация 10Base-T предлагает использовать кабели с неэкранированными витыми парами (UTP) категории не ниже третьей. В отличие от упомянутых выше сетей элементарная сеть Ethernet на витых парах имеет топологию «звезды».

Рабочие станции с помощью сегментов из витых пар подключаются к концентратору (hub). Такая конфигурация упрощает подключение новых рабочих станций и делает их независимыми друг от друга.

Рабочие группы могут объединяться в более сложные конфигурации локальных сетей соединениями между концентраторами, а также подключением сегментов на толстом или тонком коаксиальном кабеле.

Для рекомендации 10Base-T на витой паре предусматриваются ограничения:

  • • между рабочими станциями может быть до 5 сегментов и не более 4 концентраторов;
  • • длина сегмента — не более 100 м.

В локальных сетях возможно возникновение такой ситуации, когда несколько рабочих станций пытаются получить доступ к одному файл-серверу. В этом случае узким местом становится канал связи между коммутатором и сервером, а рабочим станциям по-прежнему приходится конкурировать за этот канал с пропускной способностью 10 Мбит/с.

Мы рассмотрели базовые рекомендации для локальных сетей. Для более подробного изучения данных вопросов рекомендуем обратиться к соответствующей специальной и учебной литературе.

Отказоустойчивость локальных сетей в значительной мере обусловлена особенностями их топологии, способом доступа к информации и данным, а также встроенными системами диагностики и устранения сбоев.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>