Mhazir4 bk zr informasiya thlksizliyi obyekti v elemenlri
Mühazirə-4 Şəbəkə üzrə informasiya təhlükəsizliyi obyekti və elemenləri
Mühazirə-4. Şəbəkə üzrə informasiya təhlükəsizliyi obyekti və elemenləri 1. 2. 3. 4. 5. Mühazirənin planı Kommunikasiya vasitələri. Şəbəkə topologiyası və texnologiyaları. İnformasiya verilişi mühiti Açıq informasiya sistemləri OSI modelinin səviyyələri üzrə şəbəkə hücumları 2
Kommunikasiya Mühazirə-5
Telekomunikasiya şəbəkələri – aralıq daşıyıcı istifadə etmədən informasiya mübadiləsi və resusrların birgə istifadə olunması üçün terminalların rabitə vasitələri ilə əlaqələndirilməsini təmin edir.
Şəbəkə təhlükəsizliyi anlayışı Şəbəkə təhlükəsizliyi termini informasiyanın itki, korlanma və oğurlanmadan mühafizə proseduraları ilə yanaşı, şəbəkədə mümkün imtinaların aradan qaldırılması üzrə tədbirlər kompleksini də özündə əks etdirir. Imtina halları isə tətbiq olunan kommunikasiya vasitələrindən, rabitə mühitindən, topologiya və texnologiya növlərindən, ümümilikdə şəbəkənin məntiqi strukturundan asılı ola bilər. Mühazirə-5 7
Şəbəkə təhlükəsizliyi Informasiya mənbəyi Informatiya Qəbul edən a) Normal hal b) Kəsilmə halı d) Dəyişdirmə c) Oğurlanma e) Korlanma
Şəbəkəni normal fəaliyyəti § Müəllif § Rabitə kanalı § Müsahib Müəllif Rabitə kanalı Original Mətn Təhlükəsiz Müsahib Original Mətn Qeyri-təhlükəsiz Təhlükəsiz
Şəbəkə təhlükəsizliyi § Oğurlanma § Dəyişdirmə Original Mətn
Şəbəkə təhlükəsizliyi § Oğurlanma § Dəyişdirmə Original Mətn DəyişOriginal dirilmiş message mətn intercepted Dəyişdirilmiş mətn
Xidmətdən imtina Hücum Hədəf Stop services
Şəbəkə təhlükəsizliyi anlayışı İnformasiya-hesablama şəbəkələri təşkil zamanı kompyuteri rabitə kanalına qoşmaq üçün şəbəkə kartı (Network Interface Card, NIC) adlanan xüsusi plata və müxtəlif növ kabellər istifadə edirlər. . Mühazirə-5 13
Konsentrator (Hub) vasitəsilə çoxlu sayda kompyuterlər bir şəbəkəyə qoşulur ( Konsentrator müxtəlif sayda (adətən 8 -dən 32 -ə qədər) əlaqə - repeater portuna malik olur. Sxemdə əks etdirilən kompyuter şəbəkəsinin konsentrator bazasında təşkil edilmiş fiziki strukturunda bütün seqmentləri vahid infrastruktura malik mühit kimi təsvir olunur. Konsentratorun iş məntiqinə görə onun bir oyuğuna (portuna) daxil olmuş məlumat (kadr) budaqlanmış strukturla əlaqələnmiş işçi stansiyaların hər birinə göndərilir. Mühazirə-5 14
Konsentrator Şəbəkə HUB Mühazirə-5
REPEATER VƏ TERMINATORLAR 111 Repeater şəbəkənin ümumi miqyasının genişləndirilməsi məqsədilə müxtəlif şəbəkə seqmentlərininn fiziki olaraq əlaqələndirilməsi üçün istifadə edilir. Terminallar arasında məsafə üzərinə qoyulmuş məhdudiyyət bu rabitə mühitində yayılan siqnalın zəifləşməsi ilə bağlıdır. Repeater, gücünü və amplidudunu bərpa etməklə zəifləyən siqnalın keyfiyyətini yüksəldərək, məlumatın korlanması halının qarşısını almaqla yanaşı, rabitə xəttinin üzərinə qoyulmuş məsafə məhdudiyyətini də qismən aradan qaldırır. Siqnalın kabelin uclarında söndürülməməsi informasiyanın korlanmasına səbəb ola bilər. Bunun qarşısını almaq üçün rabitə xətlərinin uclarında xüsusi uzlaşdırıcı qurğu terminator istifadə edilir .
REPEATER VƏ TERMINATORLAR
Router, Switch, Hub, Modem, …
Ethernet hub Hub
Körpülər Böyük və orta saylı informasiya-hesablama şəbəkələrinin konsentrator bazasında yaradılan fiziki strukturu məsafənin və etibarlılığın artırılması üçün faydalı olsa da məlumatın (kadrın) təyin olunduğu ünvana çatdırılması müddətində digər kompyuterləri məlumat mübadilə etmək imkanından məhrum edir. Ona görə də şəbəkənin məntiqi strukturlaşdırılması zərurətini yaranır. Bu məqsədlə körpü, şlüz, kommutator, marşrutlayıcı kimi kommunikasiya avadanlıqlarından istifadə olunur. Mühazirə-5 20
KÖRPÜ Körpü (Bridge) şəbəkənin rabitə mübadilə məkanını elə məntiqi hissələrə bölür ki, bir tərəfin məlumatı yalnız ünvanlandıqda digər seqmentlərə (şöbə və ya işçi qruplara) mübadilə olunur. . Bununlada körpü bir seqmentin trafikini digərlərindən təcrid etmiş olur. Trafikin bu cür lokallaşdırılması rabitə vasitələrinin (kabellərin) buraxıcılıq qabiliyyətinə qənaət etməklə yanaşı, məlumatların təhlükəsizlik problemlərinin həll olunmasını da asanlaşdırır. 21
KÖRPÜ 22
Şəbəkənin körpü vasitəsilə seqmentləşdirilməsi 23
Kommutator (Switch, switching hub) iş prinsipinə görə hər bir portu məlumatları digərləri ilə paralel olaraq körpü alqoritmi ilə emal edir. . 24
Kommutator (Switch, switching hub) iş prinsipinə görə hər bir portu məlumatları digərləri ilə paralel olaraq körpü alqoritmi ilə emal edir. Müxtəlif növ sistem və proqram təminatına malik şəbəkəlrin əlaqələnməsi üçün Şlüz (Gateway) istifadə edilir. Bu məqsədlə şlüz müxtəlif formatlı verilənləri və nəqliyyat protokollarını translyasiya edir. Protokol informasiyanın şəbəkə üzrə mübadiləsi üçün çevrilməsi üsulunu və formatını təyin edən qaydadır. Bu qaydaların pozulması şəbəkədə müxtəlif növ informasiya təhlükəsizliyi problemləri yaradır. 25
Kommutator 26
Kommutator 27
Kommutator
Kommutator
Kommutator
Marşrutlayıcı • Marşrutlayıcı (Router) informasiyahesablama şəbəkəsində mübadilə olunacaq məlumatın yolunu təyin edir. Router şəbəkə strukurturunun seqmentlərə ayrılmasında kompyuterlərin aparat (MAC) ünvanlarından deyil aşkar ədədi ünvandan istifadə edilir. Bir neçə hissədən ibarət həmin ünvanlarda altşəbəkə (subnet) adlandırılan seqmentlərin nömrələri əks etdirilir və bu nömrələri eyni olan kompyuterlərin bir altşəbəkəyə mənsubluğünu bildirir. Ona görə də marşrutlayici trafikin lokallaşdırılması üçün daha effektli və etibarlı hesab olunur. 172. 16. 3. 0 172. 16. 1. 0 172. 16. 2. 0 31
Router
Router
• Marşrutlayıcının vacib funksiyalarından biri də müxtəlif şəbəkə texnoligiyaları ilə yaradılan altşəbəkələrin vahid şəbəkədə qarşılıqlı əlaqələrini təmin etmək imkanına malik olmasıdır. 223. 1. 1. 0/24 223. 1. 3. 0/24 223. 1. 2. 0/24 34
Router Operator A Operator B Operator C Local SW
A Route Redistribution C B D
BRANDMAUER • Şəbəkənin mümkün hücumlardan ən trivial mühafizə üsulu onun kənar şəbəkələrə qoşulmamasıdır. Lakin şəbəkə sahibləri onun imkanlarını aratırmaq üçün müxtəlif miqyaslı şəbəkələr qoşulsada, təhlükəsizlik məqsədilə kənar istifadəçilərin öz şəbəkələrinə daxil olmasının qarşısını almalıdırlar. Bu halda mühafizə fuksiyasını yerinə yetirən şlüz brandmauer adlanır. Təhlükəli trafiklərin təcridləşdirilməsi üçün şəbəkələr arasında brandmauerlər yerləşdirilir. 37
BRANDMAUER Internet Ekran LAN 39
Şəbəkələrin əsas topologiya növləri İşçi stansiyaları və kommmunikasiya vasitələrinin fiziki yerləşdirilməsindən asılı olaraq informasiya-hesablama şəbəkələri xətti, şinvari (bus), üzükvari (star), ulduzvari (ring) və onların müxtəlif kombiasiyalarını konfiqurasiya edən topologiyaya malik olur. Xətti topologiya, “nöqtə ” prinsipilə yalnız iki kompüteri birləşdirmək üçün tətbiq olunur. Şinvari Ulduzvari «Üzükvari»
LANs
Şəbəkələrin şinvari topologiyası 42
Şəbəkələrin şinvari topologiyası
Şəbəkələrin şinvari topologiyası
Şəbəkələrin üzükvari topologiyası 46
Şəbəkələrin üzükvari topologiyası
Şəbəkələrin üzükvari topologiyası
Şəbəkələrin ulduzvari topologiyası 50
Şəbəkələrin ulduzvari topologiyası
Şəbəkələrin ulduzvari topologiyası
Şəbəkələrin topologiyası • Hal-hazırda lokal və qlobal şəbəkələrin qurulmasında iyerarxik-ulduzvari şəbəkə topologiyasından geniş istifadə olunmaqdadır 54
Şəbəkələrin topologiyası Üzükvari topologiyada hər hansı bir kompüterin sıradan çıxması və ya kabel seqmentinin hər hansı bir yerində zədələnməsi halında marker əks istiqamətdə hərəkət edərək şəbəkə öz fəaliyyətini davam etdirir. Passiv şinvari topologiyadan fərqli olaraq üzükvari konfiqurasiya növündə siqnal keçən kompüter onu bərpa edib (gücləndirib) növbəti stansiyaya göndərir. Şinvari topologiyada bir kompüterin sıradan çıxması halında şəbəkə öz fəaliyyətini davam etdirir. Şini təşkil edən magistralın hər hansı bir yerində korlanması zamanı şəbəkədə imtina halı baş verir, kompüterlər yalnız avtonom rejimdə fəaliyyət göstərə bilir. 55
Şəbəkə texnologiyaları • Texnologiya şəbəkənin fəaliyyət göstərməsi qaydasını təsvir edir. Bu protokol növlərinə Ethernet (şinvari, ulduzvari), Token Ring (üzükvari), Arc. Net (şinvari, ulduzvari) texnologiyaları aid edilir. Qeyd etmək lazımdır ki, ümumi olaraq bu texnologiyaların hər birində konsentratorlar siqnalların təkrarlanması prinsipi ilə işləyir. Onları fərqləndirən cəhət siqnalların hansı portda təkrarlanmasından ibarətdir. Token Ring texnologiyası konsentratora daxil olan siqnalı yalnız dairəvi olaraq növbəti kompüterin birləşdiriliyi portda təkrarlayır. Ethernet texnologiyası konsentratorda siqnalı daxil olduğu portdan başqa qalan portların hər birində təkrarlıyır. Ethernet texnologiyasının əsas prinsipi rabitə mühitinə təsadüfi daxilolma qaydasıdır. Bu qaydanın mahiyyətin görə kompüter yalnız şəbəkənin boşluğunu təyin etdikdə, yəni, digər işçi stansiyaların məlumat mübadiləsi ilə məşqul olmadığı halda rabitə xəttini “zəbt” edib kadr göndərə bilər. Kadr Ethernet şəbəkəsində mübadilən olunan informasiya vahididir. Kadr sabit ölçüyə malik olub faydalı informasiya ilə yanaşı xüsusu xidmətçi məlumatları (məs. kompüterlərin ünvanlarını) da özündə 56 əks etdirir.
Şəbəkələrdə kolleziya hadisəsi • İki müxtəlif kompüter eyni vaxtda siqnal göndərdikdə, onlar gec-tez magistralda “toqquşacaqlar”. Həmin hadisə kolleziya adlanır. Kolleziya təhrif (kadr pozuntusu) yaratdığı üçün, onun baş verməsini işçi stansiyalardan tərəfindən dərhal “eşidilir”. Bu halda məlumat göndərən kompüterlər mübadilə prosesini dayandırır və şəbəkənin boşalmasını gözləyir. Şəbəkədə intensifv trafika mübadiləsi zamanı kolleziya halları çoxalır. Informasiya-hesablama şəbəkələrində mübadilə olunan məlumatların korlanması (siqnalların toqquşması nəticəsində kadrların kolliziyası) hallarının azaldılması və ya aradan qaldırılması şəbəkədə tətbiq olunan texnologiyadan asılıdır. 57
Token Ring və ARCNET texnologiyaları • • Token Ring texnologiyası IBM şirkəti tərəfindən marker dövr edən üzükvari topologiya əsasında yaradılmışdır. Bu texnologiyaya görə şəbəkənin hər bir kompüteri aşağıdakı prinsiplə işləyir: kompüter boş markeri gözləyərək ona göndərəcəyi məlumatı əlavə edir. Əks halda bu kompüterdən keçən markerdəki məlumatın surətini götürüb, onu növbəti kompüterə göndərir. ARCNET texnologiyası Datapoint Corporation şirkəti tərəfindən Token Ring texnologiyasına analoji olaraq marker hərəkət edən şinvavari (koaksial kabel istifadə edildikdə) və ulduzvari (hörüklənmiş cütlüklər istifadə edildikdə) topologiyalar əsasında yaradılmışdır. 58
Birranqlı və «müştəri-server» şəbəkələri İşçi stansiyalarını idarəetmə üsullarına görə şəbəkələri iki qrupa bölünür: a) Birranqlı b) «Müştəri-server» 59
Birranqlı şəbəkələr • Birranqlı - şəbəkələrdə bütün işçi stansiyalar eyni hüquqlu olduqlarına görə hər bir kompyuter həm möştəri, həm də server funksiyalarını yerinə yetirə bilər. Ümumi istifadəli resurslar hər bir işçi stansiyada yerləşə bilər. Bu cür şəbəkələrdə informasiya mühafizəsi məslələrini hər bir istifadəçi müstəqil olaraq həll edir. 60
«Müştəri-server» şəbəkələri «Müştəri-server» texnologiyalı şəbəkələrdə idarəediçi və ya xüsusi xidmət funksiyalarını yerinə yetirən bir və ya nejə server adlı kompyuter (dedicated) ayırırlar, qalan kompyuterlər müştəri - işçi stansiyası kimi abunəjilərin istifadəsinə verilir. Server (ing. -xidmətçi qurğu) - öz resurslarını şəbəkənin istifadəçiləri arasında bölüşdürən kompyuterdir. Müştəri xidmət üçün sifariş edən, server isə bu xidməti təqdim edən kompyuter hesab olunur. Adətən serverdə yüksək məhsuldarlıqlı və ya çoxsaylı tranzal prosessorlar, böyük tutumlu əməli və xarici yaddaş quraşdırılır və bu kompyuterdə şəbəkənin administratoru (inzibatçısı) serverin ümumi istifadəli resurslarını, informasiyanın təşkili, saxlanması və mühafizəsi üsullarını, müştərilərə bu resurslardan istifadə olunması protokollarını və səlahiyyətlərini mərkəzləşdirilmiş müəyyən edir. Işçi stansiyaların yeganə (unikal) şəbəkə ünvanına malik olmasına da administrator nəzarət edir. Müştəri-server» - texnologiyalı şəbəkələrdə ümumi istifadə olunması qaydasına görə müxtəlif növ - Faks, Print, Poçt, Verilənlər bazası serverləri tətbiq edilir. Fayl-server adlanan komyuterdə birgə istifadə olunuan fayllar və (və ya) 61 proqramlar yerləşdirilir.
«Müştəri-server» şəbəkələri Server Sorğu Müştəri İnformasiya 62
Şəbəkə resursları • • Şəbəkə resursları lokal və ümümi istfadəli qruplara bölünür: Şəbəkə resurslarının istfadə olunması: Yalnız oxu: şəbəkə istifadəçilərinə fayl və ya qovluğu açmaq və ya köçürməyə imkan verir. Tam istifadə: fayl və ya qovluq üzərində bütün mümkün əməliyyatları yerinə yetirməyə imkan verir. Parol ilə istifadə: şəbəkə istifadəçilərinə informasiya resursları üzərində mümkün əməliyyatları parol ilə səlahiyyətlərinə uyğun yerinə yetirməyə imkan verir. 63
Rabitə xətləri ATS İlk Ethernet Adi naqilli optovolokon sputnik
Network Devices n Wireless
Şəbəkələrin miqyasa görə təsnifatı • İnformasiya-hesablama şəbəkələri işçi stansiyalar arasındakı məsafəyə görə müxtəlif qruplara bölünür. 1 2 3 Lokal Regional Qlobal 67
• LOKAL KOMPÜTER ŞƏBƏKƏLƏRI • Lokal kompüter şəbəkələri (Local Area Network, LAN)- məhdud ərazinin əhatəsində yerləşən kompüterləri birləşdirir. Adətən bu cür şəbəkələr bir-birindən 100 metr, bəzi hallarda isə 1. . . 2 km qədər uzalıqda yerləşən kompüterləri arasında əlaqə yaratmaq üçün tətbiq olunur. SHARED ETHERNET 10/100 MB TOP ` ` 001100100111011010111100 Server 0011 0 0 1 1 1 0 Wiresh 68
Şəbəkələrin miqyasa görə təsnifatı • Regional kompüter şəbəkələri (Metropolitan Area Network, MAN) regional (şəhər) miqyaslı problemlərin həlli üçün kompüterləri və lokal şəbəkələri 10 km-ə qədər əhatədə əlaqələndirir. . 69
Şəbəkələrin miqyasa görə təsnifatı • Korporativ kompüter şəbəkələr (müəssisə miqyaslı) - müəssisə ərazisini əhatə edən sahədə yerləşən kompüterləri və lokal kompüter şəbəkələrini əlaqələndirir. İnternet prinsipi ilə təşkil edilmiş korporativ şəbəkələrə Intranet adlandırılır. Autonomous system Internet Autonomous system 70
MAN
• • Şəbəkələrin miqyasa görə təsnifatı Qlobal kompüter şəbəkələri (Wide Area Network, WAN və ya Global Area Network, GAN) dünya informasiya resurlarından istifadə etmək üçün olduqca uzaq məsafələrdə belə yerləşən kompüterləri və lokal şəbəkələri əlaqələndirir. Məhdud sayda istifadəçiləri əhatə etdiyi üçün LAN, MAN və korporativ (Intranet) qapali tipli şəbəkələr hesab olunur. 72
WAN
• • Şəbəkələrin miqyasa görə təsnifatı Qlobal kompüter şəbəkələri (Wide Area Network, WAN və ya Global Area Network, GAN) 74
Şəbəkələrin ierarxiyası GAN MAN 1 LAN MAN 2 LAN LAN
Kabelsiz lokal şəbəkələr • Kabelsiz lokal şəbəkələrin (Wireless Local Area Net, WLAN) təşkil edilməsi üçün kommunkasiya vasitələri radiorejimdə istifadə olunan avadanlıqlarla əvəz olunur. Wi-Fi (Wireless Fidelity) texnologiyası daxilolma nöqtəsi adlanan (Access Point, AP) radio-konsertratorlar vasitəsilə kompyuterlər arasında kabelsiz rabitə yaratmağa imkan verir. Radio-repaeterlər infraqırmızı şuaların və radiotezlkili dalğaların yayılma radiusunun böyüməsini təmin edir. Wi-Fi texnoligiyası güclü radiokörpülər vasitəsi ilə aralarındakı məsafə 25 km-ə qədər olan lokal şəbəkələri əlaqəlndirməyə imkan verir. Portativ (noutbuk) kompyuter və kommunikatorlarda Wi-Fi kontrollerin quraşdırılması bu texnologiyanın istifadəsini asanlaşdırır. Əhatə dairəsində yerləşən kənar istifadəçilərin kabelsiz şəbəkənin iş stansiyalarına müdaxiləsinin qarşısını almaq üçün mühafizə mexanizmi istifadə olunmalıdır. 76
Kabelsiz lokal şəbəkələr 77
Kabelsiz lokal şəbəkələr Point-to-Point PTP (WDS with AP) Radio Körpü İNTERNET Central Router/ Bridge, x. DSL Modem DWL-2700 AP Bina A Remote Router/ Bridge, DWL-2700 AP Bina B 78
Kabelsiz lokal şəbəkələr Repeater AP Repeater Screen Monitor II Server Screen Monitor II 79
Kabelsiz lokal şəbəkələr Screen Monitor II Virtual lokal şəbəkələr 80
Easy Key Management k base station k networ k k k Making key management easy: global shared keys
Kommutasiya üsulları • • Telekommunikasiya şəbəkələrində informasiyanın paylanması, ünvana uyğun olaraq onların istifadəçilərə çatdırılması üçün marşrutların seçilməsi mühüm əhəmiyyət kəsb edir. Kommutasiya dedikdə informasiyanın ötürüldüyü kanalın dəyişkən olaraq şəbəkəninin müxtəlif məntəqələrinin istifadə etmək mümkünlüyü başa düşülür. Belə şəbəkələrdə müxtəlif növ kommutasiya üsullarından istifadə olunur. Kanalların kommutasiyası - iki və ya daha jox stansiyanın son qurğularını birləşdirərək ifnormasiya verilişi kanalının rabitə seansının sonuna qədər monopol istifadəsini təmin edir Bu da şəbəkə resurslarının istifadə effektivliyini çox aşağı salır. Kanal kommutasiyası şəbəkəsi üzrə ünvan və abunəçi məlumatı ayrı-ayrılıqda ötürülür. Rabitə seansının yaradılması prosesində şəbəkənin növbəti rabitə sahəsini məşğul etmək mümkün olmadıqda imtina halı baş verir. 84
Kommutasiya üsulları • Paketlərin kommutasiyası üsuluna görə məlumat paketlərə bölünərək virtual kanal ilə göndərilir. Bu zaman paketin bütövlüyü pozulmadan ötürülərkən kanal məşğul olur və bu prosesin sona jatan kimi başqa paketlərin mübadiləsi üçün sərbəstləşir. Birinci paket kommutasiyası qovşağına daxil olan məlumat ünvanla birgə standart hissələrə - paketlərə bölünür. Bu paketlərə sıra nömrəsi və göndərilən məlumatın ünvanı əlavə edilir. Sonra isə bir məlumata aid paketlər şəbəkənin müxtəlif sahələri üzrə mübadiləyə məruz qalırlar. Şəbəkənin sonuncu qovşağında paketlərdən məlumat yığılır və ünvana çatdırılır. 85
Paketlərin kommutasiyası Məlumatlar kiçik hissələrə PAKET-lərə bölünür Məlumatın yoxlanması və MƏ-LU -MA toplanması -TL-AR Növbə ilə ötürülür, ki eyni vaxtda müxtəlif abunəçilərə təqdim etməklə kanalın səmərəli istifadə olunmasına imkan yaradır Və s. . .
Paketlərin kommutasiyası A B
Queue A. B
Boston L. A. NYC SF
- Slides: 90