Informační systémy 2 Informační systémy 2 Základní charakteristiky počítačových sítí Propojování počítačů, propojování sítí Přenosová média Přenosové protokoly Bezpečnost sítí IS2-14-08 1
2 Úroveň integrace počítačů Samostatné počítače nevylučuje vzájemnou komunikaci (např. víceuživatelské systémy) Počítačová síť skupina autonomních, navzájem propojených (komunikujících) počítačů Distribuovaný systém skupina počítačů, která se chová jako kompaktní celek vůči uživateli je existence jednotlivých strojů transparentní
3 Důvody a výhody zpřístupnit data na vzdáleném počítači, rozšířit kapacity běžného počítače (cloud computing) snadná komunikace mezi uživateli a programy distribuované aplikace sdílení drahých a unikátních technických zařízení a služeb vznik sociálních sítí, vyhledávače, úspora nákladů připojením jednodušších počítačů k výkonným serverům
4 Nevýhody počítačových sítí cenová náročnost nutnost vyškolení administrátorů i uživatelů sítě nutnost ochrany dat před neoprávněným zneužitím systému možnost poškození dat, technického či programového vybavení
Typy sítí Osobní sítě - PAN (Personal Area Network) velice malá počítačová síť propojení osobních elektronických zařízení typu mobilní telefon, PDA, notebook většinou nízká přenosová rychlost - nepřekračuje několik megabitů za sekundu cílem odolnost proti rušení, nízká spotřeba, snadná konfigurovatelnost velmi malý dosah, obvykle jen několik metrů nejčastěji je realizované pomocí technologie Bluetooth, Wi-Fi, ZigBee nebo IrDA 5
6 Lokální síť - LAN (Local Area Network) sítě v relativně omezené geografické oblasti (místnost až areál - příklad LIANE) jeden vlastník (a správce)!!! vlastní komunikační infrastruktura (kabeláž, bezdrátový přenos) nízká chybovost, vysoké přenosové rychlosti (až desítky GB) odděleny (či propojeny) od dalších počítačových prostředí (dalších sítí) rychlosti: 100 Gb/s Ethernet (Alcatel-Lucent)
Rozlehlé počítačové sítě - WAN (Wide Area Network) umožňují datové komunikace v geograficky rozlehlých oblastech (přesahují hranice států i kontinentů) pronajatá komunikační infrastruktura (optická vlákna, mikrovlnné trasy, satelity) velké rozpětí přenosových rychlostí (64 kb/s 100 Gb/s) chybovost závislá na technologii obsahují často nejrůznější druhy počítačové techniky, přenosových médií a protokolů (heterogennost) primárně určeny pro vzdálený přístup 7
8 Metropolitní sítě - MAN (Metropolitan Area Network) menší geografická rozloha, než WAN vyšší přenosové rychlosti, než WAN charakteristická je tzv. páteřní síť, propojující jednotlivá centra, do kterých jsou napojeny rychlými přípojkami jednotlivé sítě koncových účastníků
9 Struktura počítačové sítě Komponenty připojené počítače spoje (linky, kanály) aktivní přepojovací prvky Topologie vzájemné uspořádání jednotlivých prvků vychází z vlastností kanálů (dvoubodové/sdílené)
10 Topologie sítě (LAN) způsob rozmístění jednotlivých uzlů sítě a jejich vzájemné propojení ovlivňuje vlastnosti sítí, především rychlost a spolehlivost základní typy: sběrnicová topologie hvězdicová topologie kruhová topologie stromová topologie obecný graf
11 Sběrnicová topologie stanice, tiskárna terminátor server
12 Sběrnicová topologie jednotlivé uzly připojeny na společnou sběrnici vyslaná zpráva se šíří po sběrnici oběma směry na všechny uzly sítě každý uzel prověřuje všechny přenášené zprávy sítí, ale pouze v případě, že je uveden jako adresát, je předává ke zpracování operačnímu systému Ethernet na koaxiálním kabelu - zakončení vodiče terminátory 100 Gb/s Ethernet Alcatel-Lucent
13 Sběrnicová topologie Nevýhody: při přerušení vedení se zhroutí celá sběrnice relativně krátká délka jednotlivých segmentů (nutnost použití opakovačů (repeater) v daný okamžik lze přenášet pouze jednu zprávu Výhody: jednoduché a pružné málo vodičů obvykle nejlevnější rozšíření sítě o další stanice nemusí znamenat další náklady z hlediska spojů snadná realizace vysílání zpráv pro všechny stanice či pro skupinu stanic
14 Hvězdicová topologie stanice, tiskárna jednotlivé uzly připojeny do jednoho aktivního zařízení (přepínač, hub ), přes které probíhá veškerá vzájemná komunikace
15 Hvězdicová topologie Nevýhody: při selhání aktivního zařízení síť nefunkční náročné rozmístění v budovách, všechny spoje musí vést k aktivnímu zařízení velké množství kabeláže výpadek středu fatální vyšší náklady Výhody: výpadek jedné stanice nebo spoje vyřadí jeden počítač a neovlivní zbytek sítě lehká rozšiřitelnost někdy umožňuje i souběžný nezávislý přenos dat pro jednotlivé stanice - zvýšení rychlosti
16 Stromová topologie zobecnění hvězdy základem spousty středně velkých sítí reálný výkon závisí na topologii př. Ethernet na kroucené dvoulince Nevýhody: výpadkem uzlu či jediného spoje se rozpadne Výhody: lze oddělovat provoz
17 Obecný graf typický pro WAN Nevýhody: větší nároky na aktivní prvky (hledání optimální cesty, rozhodování) Výhody: zpravidla redundantní výpadek spoje nemá vliv na funkčnost
18 Síťové karty (adaptéry) Síťová karta je zařízení, které umožňuje připojení počítače nebo externího zařízení (tiskárna, scaner, ) do počítačové sítě Řídí tok dat mezi vnitřní datovou sběrnicí počítače (externího zařízení) a sériovým tokem dat v kabelovém rozvodu sítě Každé síťové médium se k síťové kartě připojuje pomocí specifického konektoru, který karta obsahuje
19 Přenosová média datových sítí (fyzická vrstva) kroucená dvoulinka (Twisted Pair - TP) nejstarší a nejrozšířenější přenosové médium původně telefonní kabel, kroucením sníženo rušení, eliminace parazitní kapacity a indukčnosti UTP ( Unshield Twisted Pair ) - nestíněná STP ( Shield Twisted Pair ) - tvořeny čtyřmi kroucenými páry vodičů + stínění
Přenosová média datových sítí (fyzická vrstva) Strukturovaná kabeláž Při realizaci sítě v rámci budovy se dnes poměrně často používá tzv. strukturovaná kabeláž, u které se pro horizontální rozvody (v rámci patra) používá kroucená dvojlinka a pro vertikální rozvody je použito optického vlákna: jednotná kabeláž pro telefony a data svedena do jednoho centra umožňuje pružně přepojovat a přizpůsobovat topologii zásuvka se může stěhovat s uživatelem 20
21 Přenosová média datových sítí (fyzická vrstva) koaxiální kabel vnitřní a vnější vodič odděleny dielektrickou izolací větší šířka pásma, nízký šum dražší, než TP, horší manipulovatelnost rychlosti kolem 100 Mb/s
22 Přenosová média datových sítí (fyzická vrstva) Optický kabel tenké skleněné vlákno dvě vrstvy z materiálů s vhodnými indexy lomu světlo se udrží uvnitř jádra uvádí se průměr jádra a jeho obalu data transformována do světelných pulsů vysílaných do vlákna laserem s rychlostí řádově Gb/s použití při přenosech na velké vzdálenosti či velkých objemech dat (páteřní sítě)
23 Přenosová média datových sítí (fyzická vrstva) Optický kabel typy vláken vícevidové (multimode, MM): světelným zdrojem LED paprsky různoběžné dochází k rozptylu dosah stovky metrů až kilometry jednovidové (singlemode, SM): světelným zdrojem laser paprsky rovnoběžné dosah až stovky kilometrů
24 Přenosová média datových sítí (fyzická vrstva) Wave Division Multiplexing - WDM přenos několika nezávislých signálů po jednom vlákně optický hranol smíchá/rozloží různé barvy znásobuje kapacitu vlákna
25 Přenosová média datových sítí radiové spoje používají obvykle pásem VKV, dosah do cca 30-50 km elektromagnetické vlny v pásmech VKV nesledují zakřivení zemského povrchu pozemní směrové spoje mikrovlnná pojítka => vzájemná viditelnost vysílače a přijímače parabolické antény
26 Přenosová média datových sítí satelitní spoje principiálně spojení do hvězdy pokrytí velkého území jedním satelitním vysílačem (z družice) zpoždění signálu (geostacionární družice) nevhodné pro interaktivní práci (42 170 km od středu Země, orbitální rychlost 3,075 km/s) potřeba vyššího výkonu pozemních vysílačů vhodné pro aplikace, prováděné formou dávkových přenosů dat Způsoby komunikace: jednokrokové spojení vícekrokové spojení - přes pozemní řídící stanici (země - satelit - řídící stanice - satelit - země) spojení point - to - multipoint (jedna stanice vysílá a několik stanic přijímá)
27 Přenosová média datových sítí nízkoorbitální satelitní spoje odstranění zpoždění vysílače s nižšími výkony komplikovaná synchronizace retranslačních družic laserové spoje nutnost přesného nasměrování velká šířka přenášeného pásma jednosměrná komunikace a potřeba přímé viditelnosti
Přenosová média datových sítí nízkoorbitální satelitní spoje odstranění zpoždění vysílače s nižšími výkony komplikovaná synchronizace retranslačních družic využití dronů Mark Zuckenberg vlastní Internet pro rozvojové země laserové spoje nutnost přesného nasměrování velká šířka přenášeného pásma jednosměrná komunikace a potřeba přímé viditelnosti 28
29 Přenosová média datových sítí Technologie ADSL (Asymmetric Digital Subscriber Line) využívá místní smyčku na maximum paralelně s telefonem, před ústřednou data odbočí rychlost stahování dat (downstream) až 40 Mb/s ADSL-2+ (závisí na kvalitě a délce vedení), ve druhém směru (odesílání dat - upstream) cca desetina vhodné pro koncové uživatele konzumenty dat
30 Přenosové protokoly Architektura sítě je zpravidla organizována do úrovní (vrstev) jedna vrstva řeší vymezenou část problému Přenosový protokol z důvodů spolupráce mezi počítači, zabezpečení přenosů dat - diferenciace funkcí, rozdělených do hierarchicky uspořádaných vrstev - standardizované referenční modely jsou vztažené k architektuře sítě - definuje, jak se domlouvají dva počítače na téže vrstvě (hlavičky, dotazy, odpovědi, příkazy, ) - definuje jak jsou vytvořené zprávy předávány k přepravě podřízené vrstvě
Přenosové protokoly Rozhraní vrstev definice služeb nabízených nadřízené vrstvě implementaci určuje zdejší protokol, nadřízená vrstva o ní nic neví rozhraní závisí na implementaci (např. OS) Autor: RNDr. Pavel Satrapa, Ph.D. 31
32 Přenosové protokoly Referenční modely: ISO-OSI (International Standards Organization-Open System Interconnect) hierarchické rozdělení komunikačního procesu na 7 vrstev - 1983 pro vrstvy definován účel funkce, které vykonává služby, které poskytuje vyšší vrstvě jednoznačná identifikace počítačů v síti adresou identifikace každého procesu jednotlivých aplikací transformace dat pro přenos od nejvyšší vrstvy k vrstvě nejnižší
vrstva Z pohledu služby Z pohled u účelu činnosti Z pohledu dat 7. APLIKAČNÍ (application) Zprostředkovává přístup ke komunikačním službám (el. pošta, přenos souborů, Telnet), obsahuje protokoly pro všeobecně používané služby 6. PREZENTAČNÍ (presentation) 5. RELAČNÍ (session) Zabývá se významem přepravovaných dat; transformuje data (formátuje, konvertuje) do/z tvaru srozumitelného aplikačnímu procesu; kódování, komprimace, šifrování Navazuje a udržuje spojení a konverzaci koncových procesů, řízení dialogu, přátelské ukončení spojení Uživatelsky orientované služby ZPRÁVA 4. TRANSPORTNÍ (transport) Implementována v koncovém počítači; zajišťuje spolehlivý přenos zpráv mezi procesy ve vysílacím počítači a procesem v přijímacím počítači; rozlišení aplikací; správa spojení 3. 2. SÍŤOVÁ (network) SPOJOVÁ (data link) Řídí směrování paketů v počítačové síti (hledání cest, vyrovnávání zátěže); řízení práce sítě (účtování),... Určuje rozdělení bitů do paketů (rámců), řídí tok rámců, provádí detekci chyb přenosu, přístup k médiu Přenosové služby PAKET RÁMEC 1. FYZICKÁ (physical) Přenos nestrukturovaných dat (bitů) přenosovým médiem; mechanické, elektrické a procedurální záležitosti; konektory, kabely, napětí, kódování signálu, BITY Inf_Sys2-11-08 33 Z
34 Přenosové protokoly TCP/IP (Transmission Control Protocol/Internet Protocol) obsahuje 4 komunikační vrstvy konkrétně nespecifikuje, která přenosová technologie má být využita na vrstvě síťového rozhraní možnost propojování sítí vybudovaných na odlišných principech a různých přenosových technologiích síťová vrstva zabezpečuje co nejrychlejší přenos bez ohledu na spolehlivost Zajištění spolehlivosti je úkolem vrstvy transportní (TCP) - rozdělí zprávu do segmentů o max. délce 64 kb (z nich se skládají pakety), nesoucích své pořadové číslo pro správné seřazení a kontrolu úplnosti. přenos se uskutečňuje po paketech, skládajících se ze záhlaví a dat
Přenosové protokoly Spojované/nespojované služby Spojované služby (connection oriented) naváže spojení, které je nutné ukončit; jím pak protékají data (à la telefon) dodržuje pořadí paketů potřeba ošetřit nestandardní situace (výpadek spojení) Nespojované služby (connectionless) každý paket (datagram) je přepravován samostatně (jako dopisy nebo román na pokračování) optimální cestou každý datagram nese adresu příjemce neřeší nestandardní situace a pokračují v přenosu reagují na změny v síti nezachovávají pořadí datagramů, přenos jednotlivých bloků je vzájemně nezávislý 35
Přenosové protokoly TCP/IP (Transmission Control Protocol/Internet Protocol) Bližší info např. http://www.pdf-info.upol.cz/tps/prednasky/pred%202.htm 36
37 Přenosové protokoly Architektura Internetu Síťová vrstva Internet Protocol (IP) nespojovaný, bez záruk drží pohromadě celý Internet (interoperabilita) Transportní vrstva přizpůsobuje služby potřebám aplikace Transmission Control Protocol (TCP) spojovaný, spolehlivý User Datagram Protocol (UDP) nespojovaný, bez záruk Aplikační vrstva protokoly konkrétních aplikací
38 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí - přehled ve vztahu k vrstvám referenčního modelu ISO-OSI
39 Propojování počítačů a datových sítí Aktivní a pasivní zařízení počítačových sítí Opakovač (repeater) - na úrovni fyzické vrstvy Most (bridge) - na úrovni spojové vrstvy, přenášející bloky dat (spojová vrstva) Přepínač (switch) - použití obdobně jako mosty (store and forward) Koncentrátor (hub) - přijímá data z každého svého portu a vysílá je na ostatní porty, umožňuje spojit skupinu síťových uzlů, které vzájemně izoluje od problémů jiných segmentů Směrovač (router) - pracuje na úrovni síťové vrstvy referenčního modelu OSI, umožňuje připojení lokálních sítí do veřejných datových sítí zamezuje průniku dat do vnitřní či do vnější sítě práce se síťovými pakety a jejich adresami, podpora různých protokolů Brána (gateway) - inteligentní aktivní uzel, propojení na nejvyšší (aplikační) úrovni
40 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí Opakovač (repeater) - na úrovni fyzické vrstvy - spojuje dva segmenty jedné lokální počítačové sítě (zesiluje signály) nemá vnitřní paměť zvyšuje rozsah sítě
Inf_Sys2-11-08 41 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí Most (bridge) - na úrovni spojové vrstvy, přenáší bloky dat dokáže rozpoznat potřebu odeslání, resp. zadržení dat prevence zahlcení sítě o propojování segmentů sítě o rozdělení sítě na segmenty za účelem zvýšení propustnosti (ochrana proti zahlcení sítě) o propojení různých LAN, používajících na nejnižších dvou vrstvách shodného přenosového protokolu
42 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí Koncentrátor (hub) - viz přepínač, ale více vstupních a výstupních portů (přijímá data z každého svého portu a posílá je na porty ostatní) umožňuje realizaci strukturované kabeláže
43 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí Směrovač (router) - pracuje na úrovni síťové vrstvy referenčního modelu OSI, umožňuje připojení lokálních sítí do veřejných datových sítí zamezuje průniku do vnitřní sítě a úniku dat do vnější sítě práce se síťovými pakety a jejich adresami, podpora různých protokolů směrovače musí umět mezi sebou komunikovat
44 Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí Brána (gateway) - inteligentní aktivní uzel, propojení na nejvyšší (aplikační) úrovni umí vyrovnat rozdíly, dané použitím různých síťových architektur Musí být schopna reagovat na: rozdílné požadavky na kontrolu toku dat různé způsoby adresování odlišnou velikost paketů požadavek různých přenosových rychlostí v různých sítích
Bezpečnost sítí Nebezpečí: odposlechu, modifikace přenášených dat, neoprávněného přístupu do lokální sítě Je třeba chránit: data (zajistit, aby je nemohl nikdo získat, měnit či mazat); výpočetní kapacity jednotlivých uzlů; omezování funkčnosti či narušení provozu některých služeb +
Bezpečnost sítí Pasivní útoky: "odposlouchávání" dat - cílem je získat nezveřejňované informace, které lze zneužít monitorování provozu - analýzy takto provozovaných kontaktů Aktivní útoky: modifikace dat vytváření falešných dat Aktivním útokům nelze stoprocentně zabránit, ale na rozdíl od pasivních útoků je lze snadněji detekovat.
Bezpečnost sítí Cíle bezpečnostních služeb: zajištění důvěrnosti dat - pomocí šifrování celého komunikačního kanálu, nebo jen vybraných citlivých dat zajištění autentizace uživatelů sítě (odhalování maskovaného narušitele) zajištění integrity dat zajištění neodmítnutelnosti zpráv zajistit, aby odesilatel nemohl popřít odeslání zprávy a příjemce nemohl popřít přijetí zprávy přiřazování přístupových práv - cílem je omezit (a řídit) přístup k počítači, datům a aplikacím, součástí je identifikace a autentizace toho, kdo žádá o přístup zabezpečení dostupnosti síťových služeb - útokům na dostupnost služeb lze zabránit autentizací a šifrováním +
Firewall je soubor opatření (realizovaný určitým HW a SW), která zabezpečují síť proti neoprávněnému přístupu zvenčí a proti úniku informací umožňuje např.: řízení přístupu uživatele z vnější i vnitřní sítě nastavení přístupových práv odfiltrování nebezpečných služeb soustředění bezpečnosti do jednoho komunikačního uzlu zablokování nepřátelského mapování vnitřní sítě audit legálních a nelegálních operací aj. zajišťuje bezpečnost při vstupu nebo výstupu do/ze sítě, nezajištuje však bezpečnost dat během přenosu plní funkci filtru, který rozhoduje o tom, co a kam bude přes něj propuštěno +
Firewall + 49