rozdz. 3 s.82-87] Ahuja, rozdz. 1

Informatyka ekonomiczna
III. Sieci komputerowe1
Spis treści
1. Podstawowe elementy sieci [Clark, rozdz. 8, 9]
2. Topologia sieci LAN [Niedzielska, rozdz. 3.3]
3. Łączenie sieci
4. Internet, intranet, ekstranet
5. ZagroŜenia bezpieczeństwa danych w sieciach informatycznych [Ahuja,
rozdz. 1 s. 17-22; rozdz. 3 s.82-87]
6. Usługi podnoszące poziom bezpieczeństwo danych [Ahuja,
rozdz. 1
s.23-30, rozdz.2, rozdz.3 s. 88-98]
7. Firewall (zapora sieciowa) [Ahuja, rozdz. 7]
Słowa kluczowe: firewall, karta sieciowa, okablowanie sieciowe, polityka
bezpieczeństwa, rodzaje sieci, sieć komputerowa, topologia sieci, usługi
bezpieczeństwa, zagroŜenia danych
Podstawowe elementy sieci
Sieć komputerowa jest to zbiór wzajemnie połączonych autonomicznych systemów
komputerowych w celu wymiany informacji (danych, programów) lub korzystania z
zasobów sprzętowych (drukarek, dysków, faksu itd.). Sieć komputerowa zapewnia
uŜytkownikowi dostęp do wszystkich programów, danych i innych zasobów niezaleŜnie
od jego fizycznej lokalizacji. Dzięki utworzeniu alternatywnych dróg dostępu do
zasobów mocy obliczeniowej uzyskuje się duŜą niezawodność działania systemów
komputerowych. Sieć pozwala takŜe na aktualizację danych w odległych bazach
danych, a zatem takŜe dostęp do zawsze aktualnej informacji. Wykorzystywana jest
takŜe przez ludzi do porozumiewania się (chat, mail, VoIP – Voice over IP,
wideokonferencje).
1
Opracował zespół pracowników Katedry Informatyki ekonomicznej UŁ
1
Informatyka ekonomiczna
W sieciach mogą być wymieniane dane w trybie dialogowym, pliki graficzne, sygnały
mowy zakodowane cyfrowo, komunikaty sterujące i organizacyjne itp.
W latach 80-tych zaczęły powstawać sieci typu klient-serwer (zobacz rysunek 1),
pozwalające uŜytkownikiem na dostęp z ich miejsca pracy do róŜnorodnych funkcji i
usług komputerowych. Sieć tego typu składa się z wielu stacji roboczych i jednego lub
więcej serwerów (np. plików, wydruku).
Serwer jest to komputer ze specjalnym systemem operacyjnym, który pozwala
zdalnym komputerom na dostęp do plików. Serwer odpowiada jedynie na zapytania
lub Ŝądania pochodzące od klientów, nie inicjuje transmisji, chodź moŜe Ŝądać dostępu
do innego serwera.
Klient jest jednostką, która ma swój system operacyjny i programy, które wykonują
określone funkcje np.:2
−
współpraca z uŜytkownikiem za pomocą interfejsu graficznego,
Rysunek 1. Struktura sieci klient-serwer3
•
rozproszone
usługi,
•
interfejs
klienta,
•
interfejs
komunikacyjny.
serwer
•
interfejs końcowy
uŜytkownika,
•
•
interfejs serwera,
interfejs
komunikacyjny.
klient
klient
klient
−
przygotowywanie zapytań i Ŝądań uŜytkownika związanych z dostępem do
serwera w oparciu o standardowy interfejs,
−
komunikowanie się z serwerem za pomocą interfejsu komunikacyjnego,
−
wykonywanie analiz danych otrzymanych z serwera, przeznaczonych do
przedstawienia uŜytkownikowi.
2
Ahuja V. (1996) Bezpieczeństwo w sieciach, MIKOM, Warszawa, s. 14
opracowanie własne na podstawie Ahuja V. (1996) Bezpieczeństwo w sieciach,
MIKOM, Warszawa, s. 14
3
2
Informatyka ekonomiczna
Sieci typu klient-serwer, dzięki moŜliwości ograniczenia dostępu uŜytkowników tylko
do wyznaczonych części obszaru dyskowego i ochrony dostępu do kluczowych
informacji związanych z organizacją plików, tworzą bezpieczne środowisko pracy i
zapewniają wysoki stopień integralności danych.
Sieć komputerowa nie mogłaby powstać bez takich elementów (oprócz komputerów i
sieciowego systemu operacyjnego) jak: karty sieciowe, okablowanie sieciowe,
urządzenia do komunikacji bezprzewodowej.
Karta sieciowa posiada wyspecjalizowany procesor i oprogramowanie, które
wykorzystuje do przesyłania danych z/do pamięci komputera oraz nadawania i
odbierania danych przesyłanych pomiędzy komputerami. Realizuje takie funkcje jak:
konwertowanie danych do postaci sygnału elektrycznego (i odwrotnie), sprawdzenie,
czy dane są adresowane do danego komputera, sterowanie przepływem danych przez
kabel sieciowy.
Karta jest instalowana w gniazdach rozszerzeń na kaŜdym komputerze oraz serwerze
w sieci i musi posiadać gniazdko do uŜywanego w sieci okablowania. Karta jest
obsługiwana przez system operacyjny komputera. Przesyła dane w postaci pakietów.
KaŜda karta posiada adres fizyczny (zwany teŜ adresem MAC), który jest unikalny, a
zatem identyfikuje komputer w sieci.
Okablowanie sieciowe (zobacz tabela 1) umoŜliwia połączenie wszystkich komputerów
w sieci. Dane mogą być przesyłane równieŜ bezprzewodowo. Systemy bezprzewodowe
obejmują wszelkiego rodzaju transmisje sygnałów elektromagnetycznych bez udziału
kabla przewodzącego elektryczność lub światło. Obecnie wykorzystuje się takie
rodzaje transmisji bezprzewodowej jak:
−
transmisja mikrofalowa - polega na przesyłaniu sygnałów o częstotliwościach
rzędu kilku - kilkunastu GHz pomiędzy parabolicznymi antenami i
wykorzystywana jest do wymiany informacji pomiędzy odległymi budynkami;
−
transmisja satelitarna realizowana jest za pomocą anteny pośredniczącej
znajdującej się na satelicie geostacjonarnym;
−
transmisja laserowa – wykorzystuje promień światła, generowany przez laser,
do przenoszenia danych powietrzem. Ma podobne zastosowanie jak
mikrofalowa, ale charakteryzuje się większą szybkością przesyłu danych i
brakiem konieczności uzyskania licencji na pasmo częstotliwości uŜywanej w
transmisji;
−
transmisja w podczerwieni – zapewnia duŜą szybkość, moŜe być
wykorzystywana na małe odległości np. w hali biurowej. Promienie generowane
przez diody nadawcze trafiają do fotodiod odbiorników bezpośrednio lub po
3
Informatyka ekonomiczna
odbiciu od płaszczyzn ścian i sufitu. MoŜliwe jest zbudowanie całej sieci na
bazie transmisji w podczerwieni. Wymaga generowania bardzo silnego sygnału,
a kaŜda przeszkoda na drodze sygnału zakłóca komunikację;
−
transmisja radiowa wymaga uzyskania przydziału częstotliwości, lecz pozwala
na włączenie w sieć mobilnych stacji roboczych (na statkach, samolotach).
Systemy lokalne mogą uŜywać fal ultrakrótkich, a do łączności globalnej
stosowane są fale krótkie. Transmisja za pomocą fal radiowych jest niezbyt
szybka i mało odporna za zakłócenia (np. zakłóca ją stal i zbrojone ściany).
Wąskopasmowa transmisja radiowa wymaga nastrojenia na określoną
częstotliwość nadajnika i odbiornika.
Często łączy się róŜne rodzaje okablowania w jednej sieci po to, aby lepiej
wykorzystać moŜliwości sprzętu i sprostać potrzebom uŜytkowników.
Tabela 1. Okablowanie sieciowe
Nazwa okablowania
Rysunek
Uwagi
Ten rodzaj okablowania
stosowany jest do przesyłania
danych na duŜe odległości z duŜą
szybkością; jest niewskazany,
gdy wymagany jest wysoki
poziom ochrony sygnału przed
sygnałami
elektromagnetycznymi.
Ten rodzaj okablowania ma
zastosowanie wtedy, gdy dane
mają być transmitowane na
większe odległości bez uŜycia
drogiego okablowania; jest
niewskazany, gdy układ
okablowania jest często
zmieniany ze względu na zmianę
lokalizacji.
Ten rodzaj okablowania
stosowany jest wtedy, gdy dane
muszą być bezpiecznie
transmitowane na duŜe
odległości z duŜą prędkością; nie
jest wskazany, gdy firma posiada
mały budŜet.
Skrętka
(związane razem
dwie pary skręconych
przewodów)
Kabel koncentryczny
(jeden lub więcej
koncentrycznych
przewodników)
Światłowód
(szklana nić w
plastikowej oprawie,
po której przesyłany
jest sygnał świetlny
wysyłany przez laser)
Ze względu na zasięg działania sieci dzieli się na:
−
lokalne (LAN – Local Area Network),
−
miejskie (MAN – Metropolitan Area Network),
−
rozległe (WAN – Wide Area Network).
4
Informatyka ekonomiczna
Sieci lokalne są najmniejszymi sieciami, obejmują swoim zasięgiem obszar kilku
kilometrów (zobacz rysunek 2). Najczęściej usytuowane są w jednym lub kilku
sąsiadujących budynkach danej firmy.
Rysunek 2. Sieć lokalna4
Komentarz [ZM1]: niestety
rysunek nie oddaje istoty
komunikacji w sieci LAN;
sugeruje on konieczność
pośredniczenia jednego komputera
przy wymianie informacji z innym
Sieci miejskie powstają na terenie duŜych miast i łączą sieci LAN znajdujące się na
terenie danego miasta. Mają zasięg do kilkuset kilometrów.
Sieci rozległe (zobacz rysunek 3) mogą być rozwinięte na dowolnym obszarze – swoim
zasięgiem obejmują róŜne kraje, kontynenty.
Rysunek 3. Sieć rozległa
LAN
LAN
Podział na sieci LAN, MAN i WAN nie jest w pełni rozdzielny, nie obejmuje sieci
korporacyjnej, która składa się z wielu sieci LAN połączonych przez sieć WAN z
centralą przedsiębiorstwa. NajwaŜniejsze znaczenie mają dla uŜytkownika sieci LAN,
gdyŜ MAN i WAN są właściwie narzędziem pozwalającym na ich połączenie.
Topologia sieci LAN
Topologia sieci określa układ komputerów, okablowania i innych urządzeń w sieci.
Wybór topologii ma wpływ na rodzaj i moŜliwości urządzeń sieciowych, zarządzanie
nimi oraz moŜliwości przyszłej rozbudowy. WyróŜnia się topologię fizyczną i logiczną.
Topologia fizyczna opisuje, w jaki sposób fizyczne urządzenia są połączone w sieci,
natomiast topologia logiczna opisuje sposób przesyłania danych przez fizyczne
połączenia sieciowe. WyróŜnia się następujące topologie sieci LAN:
4
−
magistrala,
−
gwiazda,
Ahuja V. (1997): Bezpieczeństwo w sieciach, Mikom, Warszawa, s. 13
5
Informatyka ekonomiczna
−
pierścień,
−
topologia pełnych połączeń,
−
mieszana.
W topologii magistrali (zobacz rysunek 4) wszystkie komputery podłączone są do
jednego kabla, którego końce zamknięte są przez urządzenia zwane terminatorami (ze
względu na sposób transmisji sygnału elektrycznego). Sygnał wysyłany jest do
wszystkich komputerów, ale odbiera go tylko ten, do którego adres podany jest w
komunikacie. Komputer, który odebrał informację sprawdza jej poprawność i wysyła
potwierdzenie do nadawcy.
Rysunek 4. Topologia magistrali
W topologii gwiazdy (zobacz rysunek 5) wszystkie komputery podłączone są do
centralnego urządzenia, tzw. koncentratora. Sygnał przesyłany jest przez dowolny
komputer do koncentratora, działającego w sposób zapobiegający kolizji, który
przesyła go do wszystkich komputerów w sieci. Awaria koncentratora powoduje
unieruchomienie całej sieci.
Rysunek 5. Topologia gwiazdy
koncentrator
6
Informatyka ekonomiczna
W topologii pierścienia (zobacz rysunek 6) wszystkie komputery połączone są w
zamkniętą pętlę. Sygnał przesyłany jest od komputera do komputera, aŜ trafi do
adresata. KaŜdy komputer pełni rolę wzmacniaka, który regeneruje sygnał przed
przesłaniem go do następnego komputera. W danym momencie w pojedynczym
pierścieniu moŜe nadawać tylko jeden komputer, ten, który posiada Ŝeton dostępu –
sekwencję bitów określającą informację kontrolną.
Rysunek 6. Topologia pierścienia
Ŝeton
W topologii pełnych połączeń komputery połączone są kaŜdy z kaŜdym za pomocą
oddzielnego okablowania. W takiej topologii istnieje kilka ścieŜek połączeń, zatem jeśli
jeden kabel będzie uszkodzony, to sygnał zostanie przesłany innym kablem.
Topologia mieszana łączy podstawowe topologie, np. moŜna utworzyć topologię
gwiazda-magistrala czy gwiazda-pierścień.
Transport sieciowy
Wykorzystywane dzisiaj środki techniczne umoŜliwiają dwa rodzaje transmisji:
-
transmisję w paśmie podstawowym (baseband system),
-
transmisję szerokopasmową (broadband system).
Transmisja w paśmie podstawowym polega na przesyłaniu do ośrodka sygnału
niemodulowanego tak, Ŝe w dowolnej chwili istnieje tylko jeden sygnał
informacyjny. Transmisja szerokopasmowa polega na przesyłaniu do ośrodka
zmodulowanego sygnału informacyjnego, wskutek czego w tej samej chwili w
ośrodku moŜe istnieć wiele niezakłócających się wzajemnie sygnałów
informacyjnych. Znacznie łatwiejsze i tańsze w realizacji są systemy transmisji w
paśmie podstawowym i tą techniką realizuje się większość sieci lokalnych.
Zasady przydzielania medium danej stacji zwane są regułami lub protokołami
dostępu, które dzielą się na dwie podstawowe grupy:
- przydział losowy (CSMA/CD - Carrier Sense, Multiple Access with Collision
Detect),
- przydział na Ŝądanie (token passing).
CSMA/CD realizuje dostęp jednoczesny z wykrywaniem kolizji, który polega na
śledzeniu przez kaŜdy komputer stanu sieci i nadawaniu informacji tylko wtedy,
7
Informatyka ekonomiczna
gdy nie odbywa się aktualnie Ŝadna transmisja. Jeśli dwa komputery
rozpoczynają transmisję równocześnie, następuje kolizja sygnałów wykrywana
przez nadające komputery. W przypadku kolizji wszystkie transmisje zostają
wstrzymane. Próba nadawania powtarzana jest po pewnym losowym odcinku
czasu.
Głównym załoŜeniem dla przydziału na Ŝądanie jest traktowanie wszystkich
aktualnie pracujących stacji roboczych jako elementów pierścienia logicznego,
niezaleŜnie od ich architektury fizycznej i przypisanie kaŜdej ze stacji unikalnego
numeru identyfikacyjnego. Metoda transmisji polega na przekazywaniu Ŝetonu
(token) kolejno do kaŜdej stacji. Ta, która otrzymała Ŝeton, wysyła
potwierdzenie odbioru i jeśli posiada dane do wysłania, rozpoczyna transmisję.
Po zakończeniu transmisji lub, gdy nie ma danych do wysłania, przekazuje Ŝeton
do kolejnej stacji. Sieć musi realizować funkcję samoczynnej rekonfiguracji,
która inicjowana jest automatycznie przez układy sterowników w przypadku
przyłączenia nowej stacji do sieci, wyłączenia lub awarii którejś ze stacji, czy w
sytuacji zagubienia Ŝetonu na skutek np. silnych zakłóceń.
Technologie sieciowe róŜnią się m. in. metodą dostępu, czyli zestawami reguł
uŜywanymi w celu umieszczenia danych w kablu sieciowym oraz usuwania z niego
danych. NajwaŜniejszym elementem technologii sieciowej jest protokół transmisji,
który określa format przesyłanych danych, sposób nawiązania, przebiegu i
zakończenia połączenia oraz metodę dostępu do łącza. Do najpopularniejszych
protokołów transmisji zaliczane są:
−
Ethernet,
−
Token Ring,
−
ATM,
−
FDDI,
−
Frame Relay.
Ethernet jest stosowany najczęściej w topologii magistrali. Stosuje metodę dostępu
CSMA/CD. Jest jednym z najtańszych rozwiązań.
Token Ring stosuje metodę dostępu przydziału na Ŝądanie. Stosowanie tego
rozwiązania jest efektywniejsze od Ethernetu dla sieci o duŜym natęŜeniu ruchu, ale
jest od niego droŜsze. Token Ring wykorzystywany jest w sieciach o topologii
pierścienia lub magistrali, jeśli ustalono tzw. logiczny pierścień komputerów w sieci
(kolejność przekazywania Ŝetonu).
8
Informatyka ekonomiczna
ATM (zobacz rysunek 7) umoŜliwia tworzenie sieci LAN i WAN, zapewniających
przesyłanie informacji w róŜnych postaciach (dane cyfrowe, głos, dźwięk
wysokiej jakości, zeskanowane obrazy, filmy czy sygnały wizyjne wysokiej
rozdzielczości) z duŜą prędkością. Podstawowym medium komunikacyjnym są
światłowody, a metodą dostępu metoda punkt-punkt - transfer pakietów o
stałym rozmiarze z jednego komputera do drugiego za pomocą przełączników
ATM. Logiczne połączenie nadawcy z odbiorcą w ATM tworzy kanał wirtualny, a
zbiór kanałów – ścieŜkę wirtualną, przełączaną w razie potrzeby (awaria,
przeciąŜenie) na inną trasę sieci. Sieci ATM są droŜsze niŜ sieci realizowane przy
uŜyciu innych technik.
Rysunek 7. Sieć z przełącznikami ATM
ATM
ATM
ATM
FDDI (zobacz rysunek 8) wykorzystuje jako medium transmisyjne podwójną
pętlę światłowodu: jeden kabel jest uŜywany do przesyłania sygnału w jednym
kierunku w pętli (pierścień podstawowy), a drugi w przeciwnym (pierścień
zapasowy), co zapewnia niezawodność transmisji, gdyŜ w razie uszkodzenia
kabla moŜliwe jest utworzenie pojedynczej pętli. W sieciach FDDI stosuje się
metodę dostępu token passing.
Rysunek 8. Sieć FDDI
Ŝeton
pierścień podstawowy
pierścień zapasowy
9
Informatyka ekonomiczna
Głównym zastosowaniem protokołu Frame Relay jest łączenie sieci lokalnych za
pośrednictwem łączy telekomunikacyjnych. Stosowaną metodą dostępu jest
metoda punkt-punkt – przesyłane są pakiety o zmiennej długości z jednego
komputera bezpośrednio do drugiego (zobacz rysunek 9).
Rysunek 9. Sieć Frame Relay
Oddział
Centrala
Sieć Frame Relay
Oddział
Łączenie sieci
Sieci mogą być rozbudowywane dzięki wykorzystywaniu specjalnych urządzeń typu:
−
wzmacniak - transmituje dane do wszystkich
podłączonych komputerów, przy czym oba segmenty sieci muszą uŜywać tej
samej metody dostępu,
−
koncentrator - transmituje dane do wszystkich podłączonych komputerów
w topologii gwiazdy,
−
most - przesyła pakiety danych między segmentami sieci uŜywającymi tego
samego protokołu komunikacyjnego, zawiera tabelę adresów pamiętającą
adres MAC kaŜdego komputera i jego lokalizację w segmentach sieci.
−
przełącznik - przełącznik przesyła odebrany pakiet danych jedynie do
komputera przeznaczenia w oparciu o informację zawartą w nagłówku pakietu,
−
ruter - przesyła dane między róŜnymi segmentami sieci sprawdzając nagłówek
pakietu w celu określenie najlepszej drogi przesyłania pakietu. Wykorzystuje
tabelę rutingu, w której przechowuje informacje o wszystkich segmentach sieci,
dzięki temu zna ścieŜki do tych segmentów. Dzięki ruterowi moŜliwe jest
współdzielenie przez wszystkich uŜytkowników pojedynczego łącza do sieci
Internet lub WAN,
10
Informatyka ekonomiczna
−
brama - łączy dwie sieci uŜywające róŜnych protokołów komunikacyjnych,
struktur danych, języków i architektur.
MoŜna korzystać z sieci w sposób zdalny, wykorzystując metody zdalnego dostępu
takie jak:
−
publiczna sieć telefoniczna PSTN,
Komentarz [ZM2]: Odesłanie
do obszaru zawierającego
rozwinięcie skrótu
−
cyfrowa sieć telefoniczna ISDN,
Komentarz [ZM3]: j.w.
−
sieć pakietowa X.25.
Internet, intranet, ekstranet
Internet jest ogólnodostępną siecią opartą na protokole TCP/IP (Transmission Control
Protocol/Internet Protocol)– zbiorze zasad dotyczących przesyłania danych. W ramach
tej sieci realizowane są takie usługi jak:
•
WWW (World Wide Web)- ogólnoświatowy system łączący ze sobą serwery z
informacjami w formacie hipertekstu,
•
poczta elektroniczna - wysyłanie i odbieranie komunikatów w formie
elektronicznej,
•
FTP (File Transfer Protocol) - system wymiany plików,
•
listy dyskusyjne - elektroniczna forma biuletynu,
•
Telnet - standard umoŜliwiający zdalne przyłączenie komputera jako terminala,
•
elektroniczny handel - dokonywanie zakupów drogą elektroniczną.
Intranet jest równieŜ siecią oparty na technologii internetowej, ale obwarowany jest
zabezpieczeniami tak, aby mogli z niego korzystać wyłącznie pracownicy firmy.
Wykorzystywanie intranetu przynosi firmie wiele korzyści, m.in. znaczną redukcję
kosztów łączności, dostęp do baz firmowych dla pracowników w dowolnym czasie i
miejscu, usprawnienie obiegu informacji i zarządzanie nią, obsługa poczty, tworzenie
grup dyskusyjnych. Przeznaczony jest dla średnich i duŜych firm. UmoŜliwia wszystkim
pracownikom wspólne korzystanie z dokumentów i kontrolowanie dostępu grup
pracowników do określonych informacji.
Intranet moŜe być łatwo połączony z Internetem, dzięki temu moŜna wybranym
uŜytkownikom Internetu umoŜliwić dostęp do określonych zasobów intranetu danej
firmy. Tymi uŜytkownikami są najczęściej klienci i kontrahenci firmy. Taki
udostępniony na zewnątrz intranet nazywany jest extranetem. UmoŜliwia on firmie
komunikowanie się z klientami i partnerami gospodarczymi. Styk intranetu z siecią
zewnętrzną musi być bardzo dobrze zabezpieczony.
11
Informatyka ekonomiczna
ZagroŜenia bezpieczeństwa danych w sieciach informatycznych
Rozwój technologiczny końca 20 wieku spowodował powstanie szeregu nowych zjawisk
patologicznych oraz zdarzeń, które z uwagi na swe społeczne niebezpieczeństwo i
szkodliwość są ścigane jako przestępstwa lub wykroczenia. Jednym z tych zjawisk jest
przestępczość komputerowa, będąca wynikiem ogromnego postępu technicznego w
zakresie przetwarzania i przechowywania informacji. Zaistniała ona w okresie, gdy
komputery przestały być ściśle strzeŜoną domeną zamówień rządowych i stały się
dostępne dla instytucji o charakterze gospodarczym. Rozwój światowych sieci
komputerowych, stała obniŜka cen oraz powstawanie programów przyjaznych dla
uŜytkownika i nie wymagających specjalistycznej wiedzy sprzyjają coraz szerszemu
uŜywaniu tych urządzeń. Stały się one przedmiotem działalności sprzecznej z prawem,
która została uznana za jedną z form przestępczości transgranicznej i stała się
przedmiotem badań prowadzonych z inicjatywy ONZ nad przestępczością
zorganizowaną. Stwierdzono, Ŝe okoliczności do naduŜyć komputerowych zwiększają
się proporcjonalnie do postępu technicznego. Rozwój globalnych sieci komputerowych
potęguje skalę tych zagroŜeń.
Przestępczość
komputerowa
związana
jest
z
atakami
na
urządzenia
systemu
informatycznego, włamaniami do systemu, z popełnianiem oszustw i fałszerstw z
wykorzystaniem komputerów, rozpowszechnianiem zabronionych prawem treści (np.
nazistowskich, pornografii), wykorzystywaniem komputerów przez zorganizowane
grupy przestępcze.
Z kaŜdym z elementów systemu komputerowego związane są określone
niebezpieczeństwa, które moŜna podzielić na trzy kategorie:5
−
naruszenie tajności danych, które występuje wtedy, gdy osoba nieupowaŜniona
uzyska dostęp do przechowywanych i przetwarzanych danych, np. posługując
się podsłuchem połączenia sieciowego i zapisując przesyłane dane. Zdobytą w
ten sposób informację moŜe wykorzystać ze szkodą dla jej właściciela (np.
szpiegostwo przemysłowe);
−
nieautoryzowany dostęp do systemu związany jest z nieautoryzowaną
rejestracją w systemie, moŜliwą w wyniku wykorzystania skradzionego lub
odgadniętego hasła. Bardzo istotne zatem jest zachowanie właściwej procedury
weryfikacji toŜsamości osoby lub programu (serwera). Napastnik (tzw. hacker)
po włamaniu się do systemu moŜe wyrządzić znaczne szkody niszcząc dane,
przesyłając wiadomości w imieniu prawowitego uŜytkownika systemu, kasując
programy itp.;
5
Ahuja V. (1997) Bezpieczeństwo w sieciach, MIKOM, Warszawa, s.17-18
12
Informatyka ekonomiczna
−
zablokowanie usługi powoduje wymuszoną przerwę w pracy systemu
(uszkodzenie aplikacji, programu operacyjnego lub samego sprzętu
komputerowego), obniŜenie jego wydajności lub zajęcie jednego z zasobów
(np. pamięci). Wskutek ataku uŜytkownicy nie mogą korzystać z systemu
komputerowego lub jego określonych zasobów. Ataki takie sprowadzają się
często do zainfekowania systemu komputerowego programami typu badware
(np. wirusy, robaki, bomby czasowe).
Innym kryterium podziału zagroŜeń jest miejsce ich powstawania. Według tego
kryterium zagroŜenia moŜna podzielić na:6
−
zewnętrzne wynikające za szkodliwego wpływu otoczenia systemu (np. dym,
kurz, wilgoć, insekty, zakłócenia elektryczne) i niewłaściwych zabezpieczeń
fizycznych (złamanie fizycznych blokad dostępu do systemu komputerowego),
−
zagroŜenia wewnętrzne (świadome lub nieświadome działania pracowników
naruszające bezpieczeństwo systemu komputerowego),
−
zagroŜenia ze strony Internetu (zainfekowanie programem typu badware, ataki
na serwery).
Internet stał się najgroźniejszym niebezpieczeństwem dla systemu komputerowego,
tym bardziej, Ŝe bardzo trudno ścigać przestępców internetowych. ZagroŜenia ze
strony Internetu dzielone są na dwie grupy:
−
programy zagraŜające systemowi komputerowemu:
o
robak - powiela się w komputerach w całej sieci. Niezliczona liczba kopii
tego programu powoduje przepełnienie pamięci i w efekcie
dezorganizację pracy całego systemu,
o
wirus - najczęściej jest przenoszony przez róŜne aplikacje lub pliki. Jest
nieszkodliwy, póki nie zostanie uruchomiony (pozostaje w ukryciu). Po
aktywacji atakuje system osłabiając go. Ilość wirusów krąŜących w sieci
jest ogromna, znajdują się wśród nich i te niegroźne (ograniczające się
do wypisywania dziwnych komunikatów na ekranie) i te bardzo
niebezpieczne, które niszczą programy,
o
koń trojański - stwarza wraŜenie uŜytecznego programu, choć w
rzeczywistości jest pułapką. Uruchamiany jest przez określone dane lub
kluczowe słowo i słuŜy włamywaczowi do zdobywania informacji (np.
haseł uŜytkowników),
6
Kukulaka K., Schmidt A. Bezpieczeństwo systemów komputerowych – wykład
udostępniony w Internecie
13
Informatyka ekonomiczna
o
bomba logiczna - podprogram, który uruchamia się w pewnym
określonym czasie (np. dzień urodzin Leonarda da Vinci) i atakuje
system dokonując zniszczeń,
o
wrogi applet Javy - program napisany w języku JAVA, który jest
podstawowym narzędziem programowania w Internecie, moŜe zawierać
w sobie podprogram o działaniu podobnym do konia trojańskiego.
−
ataki na serwery:
o
zgadywanie haseł – odgadnięcia hasła metodą kolejnego podstawiania
słów słownikowych z wykorzystaniem specjalnego programu,
o
maskarada - metoda stosowana przez doświadczonych włamywaczy.
Polega na podszyciu się włamywacza pod jeden z ze znanych serwerowi
komputerów poprzez podanie jego numeru IP,
o
podsłuch
-
polega
niezaszyfrowanych
na
przechwytywaniu
informacji,
przesyłanych
umoŜliwiając
przez
zdobycie
sieć
poufnych
informacji np. hasła uŜytkownika,
o
szukanie luk – polega na wyszukiwaniu błędów w oprogramowaniu
(szczególnie systemu operacyjnego), jest podstawą ataku kaŜdego
włamywacza,
o
blokowanie serwisów - polega na wysłaniu duŜej partii informacji, które
doprowadzają do przeładowania pamięci serwera, a w efekcie do jego
zablokowania,
o
terroryzm
sieciowy
-
uprawiany
głównie
przez
organizacje
terrorystyczne, które wykorzystując słabe zabezpieczenia systemu np.
szantaŜują firmy groŜąc zniszczeniem danych.
Przeciwdziałać zagroŜeniom moŜna stosując odpowiednie usługi i sprzęt, choć
całkowicie wyeliminować się ich nie da.
Usługi podwyŜszające poziom bezpieczeństwa danych
KaŜda organizacja musi wypracować własną politykę ochrony zasobów w sieci. Przez
politykę bezpieczeństwa rozumie się zbiór przyjętych zasad określających stanowisko
firmy wobec problemu bezpieczeństwa. Głównym celem polityki bezpieczeństwa jest
ochrona zasobów przedsiębiorstwa.
Bezpieczeństwo sieci teleinformatycznych jest zagadnieniem systemowym, które
wymaga opracowania dokładnego i spójnego programu bezpieczeństwa. Dzięki niemu
unika się zagroŜeń związanych z nieświadomością uŜytkowników. Program ten musi
14
Informatyka ekonomiczna
być spójny, poprzedzony analizą potencjalnych zagroŜeń związanych z róŜnymi
sposobami wymiany danych oraz skutków przejęcia informacji przez nieuprawnione
osoby. Ustalenia polityki bezpieczeństwa powinny znaleźć wyraz w dokumencie zasad
bezpieczeństwa, zawierającym m.in. opis:
−
struktury systemu komputerowego,
−
analizy zagroŜeń i metody zabezpieczeń,
−
procedur bezpieczeństwa systemu komputerowego (backup, hasła dostępu,
plan ciągłości działania, metodyka postępowania z nośnikami, metodyka
postępowania ze starymi wydrukami, procedury antywirusowe, tworzenie
oprogramowania),
−
zasilania awaryjnego,
−
kontroli dostępu do systemu,
−
metod śledzenia działania systemu pod kątem bezpieczeństwa,
−
metodyki naprawy sprzętu komputerowego,
−
metod egzekwowania wprowadzonych reguł ochrony,
−
programu szkoleń.
Poszczególne elementy programu bezpieczeństwa muszą ze sobą współpracować, gdyŜ
jakość zabezpieczeń jest taka, jak jakość najsłabszego ogniwa w programie
bezpieczeństwa.
W celu zwiększenia bezpieczeństwa danych wykorzystywane są najczęściej usługi takie
jak:
−
uwierzytelnienie - weryfikacja toŜsamości podmiotu albo źródła danych,
−
autoryzacja uŜytkownika - przydzielenie odpowiednich praw dostępu do
informacji,
−
integralność - zapewnienie wykrycia modyfikacji danych,
−
poufność – zapewnienie tajności danych,
−
kontrola dostępu – ochrona przed nieupowaŜnionym wykorzystaniem systemu,
−
niezaprzeczalność – nadawca lub odbiorca nie będą w stanie wyprzeć się faktu
nadania lub odebrania informacji.
W proces zabezpieczeń zaangaŜowany jest zarówno nadawca, jak i odbiorca
informacji. Nadawca jest stroną, która zabezpiecza komunikat przed rozpoczęciem
transmisji, zaś odbiorca jest stroną, która dokonuje sprawdzenia otrzymanego
15
Informatyka ekonomiczna
komunikatu. Do realizacji powyŜszych usług wykorzystywane są algorytmy
kryptograficzne. Do najczęściej wykorzystywanych naleŜą algorytmy symetryczne,
asymetryczne i jednokierunkowej funkcji skrótu.
Algorytmy symetryczne wykorzystują do szyfrowania i deszyfrowania informacji ten
sam klucz. Klucz ten jest poufny, nie moŜe zostać ujawniony. Problem, który naleŜy
rozwiązać dotyczy uzgodnienia klucza i bezpiecznego sposobu dostarczenia klucza do
odbiorcy. Algorytm symetryczny stosowany jest dla zapewnienia integralności i
autentyczności komunikatu. Zaletą tych algorytmów jest ich duŜa szybkość,
szczególnie wtedy, gdy bazują na rozwiązaniach sprzętowych.
Algorytm asymetryczny wykorzystuje parę kluczy: publiczny i prywatny. Klucz
publiczny jest kluczem jawnym, natomiast klucz prywatny jest kluczem tajnym.
Informacja zaszyfrowana jednym kluczem moŜe zostać rozszyfrowana drugim
kluczem. Obydwa klucze generowane są razem. Stosowane są dla zapewnienia
niezaprzeczalności (podpis cyfrowy) i poufności. W usłudze poufności do szyfrowania
wiadomości wykorzystywany jest klucz publiczny odbiorcy, a deszyfrowania – jego
klucz prywatny. Zatem jeśli firma A chce wysłać zaszyfrowaną wiadomość do firmy B
musi pobrać jej klucz publiczny (z repozytorium lub certyfikatu) i tym kluczem
zakodować informację. Firma B po odebraniu informacji uŜyje swojego klucza
prywatnego do jej odkodowania. Podstawą działania tego algorytmu jest załoŜenie, Ŝe
na podstawie klucza publicznego nie moŜna odgadnąć (wygenerować) klucza
prywatnego.
Algorytm asymetryczny wykorzystywany jest takŜe w mechanizmie podpisu
cyfrowego. Podpis cyfrowy jest rodzajem pieczęci (w postaci ciągu bitów), która jest
przyłączona do danych i umoŜliwia ich adresatowi uwierzytelnienie źródła danych oraz
potwierdzenie integralności danych. Podpis cyfrowy, jak wszystkie inne procedury
bezpieczeństwa, wymaga udziału obydwu stron wymieniających informację – nadawca
generuje podpis cyfrowy, zaś odbiorca go weryfikuje. Podpis cyfrowy musi być
powiązany z podpisywaną wiadomością, Ŝeby niemoŜliwe było jego kopiowanie do
innej wiadomości. Realizację tego wymogu zapewnia jednokierunkowa funkcja skrótu,
która przekształca podpisywany dokument do ciągu bitów o ustalonej długości.
Nadawca, który chce podpisać wiadomość tworzy najpierw skrót wiadomości z
wykorzystaniem funkcji skrótu, a następnie koduje ten skrót za pomocą swojego
klucza prywatnego. Otrzymany w ten sposób ciąg bitów jest podpisem cyfrowym
nadawcy. Nadawca wysyła do odbiorcy wiadomość i podpis cyfrowy. Odbiorca
odkodowuje otrzymany podpis z wykorzystaniem klucza publicznego nadawcy.
Poprawne odkodowanie oznacza, Ŝe nadawca jest tą osobą, za którą się podaje
(uwierzytelnienie nadawcy). Po odkodowaniu otrzymuje skrót wiadomości utworzony
16
Informatyka ekonomiczna
przez nadawcę. Następnie tworzy z otrzymanej wiadomości skrót za pomocą tej samej
funkcji co nadawca. Porównuje ze sobą obydwa skróty – jeśli są identyczne to znaczy,
Ŝe treść wiadomości nie uległa modyfikacji podczas transmisji. Działanie procedury
tworzenie i weryfikacji podpisu cyfrowego pokazuje rysunek 10.
W sytuacji, gdy o toŜsamości uŜytkownika (a więc takŜe o dostępie do poufnych
danych) decyduje jego cyfrowy podpis pojawia się konieczność upewnienia, Ŝe klucz
publiczny, który wykorzystywany jest do weryfikacji podpisu rzeczywiście naleŜy do
osoby, za którą uŜytkownik się podaje. Z drugiej strony konieczne jest odpowiednie
zarządzanie kluczami – uniewaŜnianie kluczy skompromitowanych (publikowanie ich
listy), wydawanie nowych. Powinna równieŜ istnieć moŜliwość potwierdzania na
Ŝądanie toŜsamości uŜytkownika. Te same wymagania odnoszą się do serwerów
sieciowych, do których uŜytkownicy wysyłają poufne dane. Rozwiązanie wymienionych
problemów (i nie tylko) powierzono urzędom certyfikacji (CA - Certificate Authority).
CA jest stroną, do której inni uczestnicy wymiany mają uzasadnione zaufanie i która
rozstrzyga wątpliwości co do autentyczności przesyłanych informacji na podstawie
posiadanych certyfikatów uŜytkowników. Urzędy certyfikacji działają w ramach tzw.
infrastruktury kluczy publicznych (PKI - Public Key Infrastructure).
W większości rozwiązań odbywa się to w ten sposób, Ŝe kaŜdy uŜytkownik, który chce
brać udział w bezpiecznej wymianie danych, musi się zwrócić do CA o wystawienie
certyfikatu, potwierdzającego jego toŜsamość. Najczęściej procedura wydania
certyfikatu wymaga osobistego udania się do punktu rejestracji i przyniesienia
papierowych dokumentów potwierdzających toŜsamość. Następnie na tej podstawie CA
generuje klucze publiczny i prywatny, którymi uŜytkownik będzie się posługiwał oraz
wystawia certyfikat. W samym CA pozostaje klucz publiczny dla celów późniejszego
potwierdzania toŜsamości uŜytkownika wobec innych uczestników wymiany danych.
W przypadku podejrzenia o np. wykradzenie klucza prywatnego lub zmiany danych
osobowych zawartych w kluczu, uŜytkownik zwraca się do CA o uniewaŜnienie
dotychczasowego certyfikatu i wystawienie nowego.
Usługę tę moŜna takŜe uzyskać poprzez WWW. Protokół SSL (Secure Sockets Layer)
zaimplementowany w przeglądarkach WWW czołowych producentów opiera się właśnie
na istnieniu CA.
17
Informatyka ekonomiczna
Rysunek 10. Procedury podpisu cyfrowego7
Firma A
Skrót
wiadomości 1
Wiadomość 1
dla firmy B
Podpisy
cyfrowy
Funkcja
skrótu
klucz prywatny firmy A
sieć
Wiadomość 1
dla firmy B
Skrót
wiadomości 1
=?
Skrót
wiadomości 1
Podpisy cyfrowy
do wiadomości 1
Funkcja
skrótu
Firma B
klucz publiczny firmy A
Firewall (zapora sieciowa)
W przypadku podłączenie lokalnej sieci firmy do sieci rozległej istnieje konieczność
zabezpieczenia wewnętrznej sieci przed nieuprawnionym dostępem z zewnątrz.
Najlepszą metodą zabezpieczenia styku obydwu sieci jest wykorzystanie Firewall’a.
Firewall jest dedykowanym urządzeniem (grupą urządzeń), które realizuje dwa
podstawowe zadania:
−
zabezpiecza sieć wewnętrzną przed nieuprawnionym dostępem z zewnątrz,
−
zapewnia kontrolowany dostęp uŜytkowników wewnętrznych do sieci rozległej.
Jako jedyny punkt styku obydwu sieci Firewall zapewnia przestrzeganie ustawionych
na nim zasad korzystania z sieci. Na nim odbywa się uwierzytelnianie uŜytkowników
chcących skorzystać z zasobów znajdujących się po drugiej stronie Firewall’a.
Jednoczesne zapewnienie łączności oraz rozpoznanie i blokowanie prób
nieuprawnionego dostępu do lub z sieci wewnętrznej nie jest łatwym zadaniem.
Firewall’e wykorzystują w tym celu poniŜsze techniki:
7
opracowanie własne
18
Informatyka ekonomiczna
−
filtrowanie pakietów - najprostszy sposób kontrolowania ruchu, polega na
niezaleŜnej analizie adresów poszczególnych pakietów. Na podstawie
zapisanych reguł Firewall odrzuca pojedyncze pakiety, nie wnikając w to, jaki
jest ich kontekst. Ten typ Firewall jest bardzo szybki, ale teŜ stanowi niezbyt
dobre zabezpieczenie;
−
proxy – w tej technice wszelkie transmisje muszą najpierw trafić do tzw. proxy
(specjalnej aplikacji działającej na Firewall), które zazwyczaj Ŝąda od
uŜytkownika potwierdzenia swojej toŜsamości i sprawdza jego uprawnienia do
danej operacji. Następnie, jeśli ten etap będzie pozytywny, proxy realizuje
połączenie na zewnątrz i od tej chwili przekazuje w sposób przezroczysty dane
pomiędzy uŜytkownikiem a zdalnym serwerem. Ten typ Firewall jest bardzo
bezpieczny, ale znacznie wolniejszy od poprzedniego;
−
analiza stanu połączeń - stanowi kompromis pomiędzy poprzednimi
rozwiązaniami. Firewall bada poszczególne pakiety, ale w szerszym kontekście,
pamiętając stan logicznego połączenia, którego częścią są dane pakiety. To
rozwiązanie zapewnia duŜą przezroczystość dla uŜytkowników oraz dobrą
wydajność.
Firewall jest częścią polityki bezpieczeństwa w firmie. Nie moŜna traktować go jako
panaceum na wszystkie problemy związane z transmisją danych, gdyŜ moŜe to
spowodować rozluźnienie zasad ochrony danych i doprowadzić do naruszenia ich
bezpieczeństwa.
Zastosowanie przedstawionych usług i technologii pozwoli na stworzenie bezpiecznej
sieci firmy, która:
−
będzie miała bezpieczne połączenie z Internetem (Firewall),
−
realizowała uwierzytelnienie za pomocą centralnego serwera uwierzytelniania
(dla Telnet i FTP),
−
wykorzystywała urząd certyfikacyjny w celu zapewnienia bezpiecznej poczty w
firmie,
−
wykorzystywała szyfrowanie dla zapewnienia poufności wiadomości
przesyłanych po publicznych łączach.
19