Понятие Локальных вычислительных сетей
Локальная вычислительная сеть (ЛВС) представляет совокупность компьютеров, расположенных на ограниченной территории и объединенных каналами связи для обмена информацией и распределенной обработки данных.
Организация ЛВС позволяет решать следующие задачи:
- обмен информацией между абонентами сети, что позволяет сократить бумажный документооборот и перейти к электронному документообороту;
- Поддержка принятия управленческих решений, предоставляющая руководителю и управленческому персоналу организации, достоверную и оперативную информацию, необходимую для оценки ситуации и принятия правильных решений;
- Организация собственных информационных систем, содержащих автоматизированные банки данных;
- Коллективное использование ресурсов, таких, как высокоскоростные печатающие устройства, запоминающие устройства большой емкости, мощные средства обработки информации, прикладные программные системы, базы данных, базы знаний.
- временем реакции на запросы клиентов ЛВС;
- пропускной способностью, равной количеству данных, передаваемых за единицу времени;
- задержкой передачи пакета данных устройствами сети.
- Прием и передача данных;
- Буферизация;
- Формирование пакета данных;
- Доступ к каналу связи;
- Идентификация адреса;
- Кодирование и декодирование данных;
- Передача и прием импульсов.
2.1 Основные компоненты ЛВС
ЛВС включает следующие основные компоненты, представленные на рис.5. Рис.5. Основные компоненты локальной вычислительной сети.
2.1.1 Рабочая станция
— персональный компьютер, подключенный к сети, через который пользователь получает доступ к ее ресурсам. Рабочая станция сети функционирует как в сетевом, так и в локальном режиме. Она оснащена собственной операционной системой (MS DOS, Windows и т.д.), обеспечивает пользователя всеми необходимыми инструментами для решения прикладных задач.
2.1.2 Сервер
— компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами. Серверы могут осуществлять хранение данных, управление базами данных, удаленную обработку заданий, печать заданий и ряд других функций, потребность в которых может возникнуть у пользователей сети. Сервер — источник ресурсов сети. Выделяют следующие виды серверов представленные в таблице 1. Таблица 1. Особое внимание следует уделить одному из типов серверов — файловому серверу (File Server). В распространенной терминологии для него принято сокращенное название- файл-сервер. Файл-сервер хранит данные пользователей сети и обеспечивает им доступ к этим данным. Это компьютер с большой емкостью оперативной памяти, жесткими дисками большой емкости и дополнительными накопителями на магнитной ленте (стриммерами). Он работает под управлением специальной операционной системы, которая обеспечивает одновременный доступ пользователей сети к расположенным на нем данным, Файл-сервер выполняет следующие функции: хранение данных, архивирование данных, синхронизацию изменений данных различными пользователями, передачу данных. Для многих задач использование одного файл-сервера оказывается недостаточным. Тогда в сеть могут включаться несколько серверов. Возможно также применение в качестве файл-серверов мини-ЭВМ.
2.1.3 Сетевой адаптер (сетевая карта)
2.1.4 Повторители и концентраторы
Основная функция повторителя – повторение сигналов, поступающих на его порт. Повторитель улучшает электрические характеристики сигналов и их синхронность, и за счет этого появляется возможность увеличивать общую длину кабеля между самыми удаленными в сети узлами. Многопортовый повторитель часто называют концентратором или хабом, что отражает тот факт, что данное устройство реализует не только функцию повторения сигналов, но и концентрирует в одном центральном устройстве функции объединения компьютеров в сеть. 2.1.5. Мосты и коммутаторы делят общую среду передачи данных на логические сегменты. Логический сегмент образуется путем объединения нескольких физических сегментов (отрезков кабеля) с помощью одного или нескольких концентраторов. Каждый логический сегмент подключается к отдельному порту моста или коммутатора. При поступлении кадра на какой-либо из портов мост или коммутатор повторяет этот кадр, но не на всех портах, как это делает концентратор, а только на том порту, к которому подключен сегмент, содержащий компьютер-адресат. Основное отличие мостов и коммутаторов состоит в том, что мост обрабатывает кадры последовательно (один за другим), а коммутатор — параллельно (одновременно между всеми парами своих портов). 2.1.6. Маршрутизаторы обмениваются информацией об изменениях структуры сетей, трафике и их состоянии. Благодаря этому выбирается оптимальный маршрут следования блока данных в разных сетях от абонентской системы-отправителя к системе-получателю. 2.1.7. Шлюз является наиболее сложнойретрансляционной системой, обеспечивающей взаимодействие сетей с различными наборами протоколов всех семиуровней модели открытых систем. Шлюзы оперируют на верхних уровнях модели OSI (сеансовом, представительском и прикладном) и представляют наиболее развитый метод подсоединения сетевых сегментов и компьютерных сетей. Необходимость в сетевых шлюзах возникает при объединении двух систем, имеющих различную архитектуру, т.к. в этом случае требуется полностью переводить весь поток данных, проходящих между двумя системами. В качестве шлюза обычно используется выделенный компьютер, на котором запущено программное обеспечение шлюза и производятся преобразования, позволяющие взаимодействовать нескольким системам в сети. 2.1.8. Каналы связи позволяют быстро и надежно передавать информацию между различными устройствами локальной вычислительной сети. 2.1.9. Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам – протоколам. В узком смысле сетевая ОС – это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети. Рис. 7.1 Структура сетевой ОС В соответствии со структурой, приведенной на рис. 7.1, в сетевой операционной системе отдельной машины можно выделить несколько частей. 1. Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами, управления периферийными устройствами и другие функции управления ресурсами локальных ОС. 2. Средства предоставления собственных ресурсов и услуг в общее пользование – серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам. 3. Средства запроса доступа к удаленным ресурсам и услугам – клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо. 4. Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., т. е. является средством транспортировки сообщений.
2.2 Структура лвс и расположение элементов лвс в помещении
Компьютеры в ЛВС предприятия физически соединены по топологии “звезда”, т.к. каждый из компьютеров подключен сегментом кабеля, исходящим из концентратора (hub). Но, исходя из того, что в качестве центрального узла присутствует hub, то в данном случае логической топологией сети будет “общая шина”. Концентратор повторяет данные, пришедшие с любого порта, на всех остальных портах, и они появляются на всех физических сегментах сети одновременно, как и в сети с физической общей шиной. Но “пассивная звезда” дороже обычной шины, однако она предоставляет целый ряд дополнительных возможностей, связанных с преимуществами “звезды”, в частности, упрощает обслуживание и ремонт сети, такую сеть легко модифицировать, добавляя новые компоненты, а также выход из строя одного компьютера не влияет на работоспособность сети. Но выход из строя центрального узла выводит из строя всю сеть, поэтому особое внимание уделяется концентратору. В целях обеспечения безопасности его следует поместить в отдельную комнату, тем самым физически ограничив к нему доступ.
Также недостатком топологии звезда является ограничение количества портов концентратора. Обычно к центральному узлу может подключаться не более 8—16 периферийных абонентов. В этих пределах подключение новых абонентов довольно просто, но вне пределов оно просто невозможно. В “звезде” допустимо подключение вместо периферийного еще одного центрального абонента, в результате чего получается топология из нескольких соединенных между собой звезд. Данный способ подключения применяется в отделе, где в качестве центральных узлов используются 2 хаба Catalist 1900, к каждому из которых можно подключить по 12 компьютеров, и 1 хаб Catalist 2820, к которому можно подключить 24 компьютера (рисунок 2.1).
Как видно из структурной схемы ВС предприятия, представленной на рисунке 2.1, ВС структурно состоит из четырех независимых контуров (обмена с АС, адресования, доставки, УТК (Удаленный Телекоммуникационный Контур)), при этом контур адресования связан с контурами обмена и доставки через межсетевые экраны, контур доставки и контур обмена взаимодействуют только через контур адресования, УТК через мультиплексные каналы связан с контуром доставки. Такая структурная схема была разработана согласно ТЗ предприятия, а также с точки зрения защиты от НСД. Также для обеспечения физической защиты от НСД все серверы ЛВС, МЭ, патч-панели с концентраторами, модемами, мультиплексором, маршрутизатором и другим коммуникационным оборудованием расположены в отдельной охраняемой комнате.
2.3 Информационные потоки
Как уже говорилось выше, структурно предприятие разделяется на независимые контуры (доставки, адресования, обмена с АС), каждый из которых решает свои функциональные задачи и реализуется в отдельном сегменте ЛВС. Информационный обмен между контурами происходит через средства защиты информации – межсетевые экраны (МЭ), при этом: первый межсетевой экран (МЭ1) разделяет контуры доставки и адресования, а второй (МЭ2) – контуры адресования и обмена с АС.
Контур доставки представляет собой DMZ (“демилитаризованную зону”), поскольку к ее ресурсам возможен доступ извне. В DMZ входит Телекоммуникационный сервер, предназначенный для обмена информацией с Удаленным телекоммуникационным контуром (УТК) по выделенной линии, а также по телефонной линии местной АТС или АТС г. Москвы; Сервер электронной почты, который служит для обмена сообщениями и хранения электронной почты; и Рабочее место вызова (РМ вызова), служащее для предоставления доступа к ресурсам Internet. В Контур доставки круглосуточно поступает почта от Удаленного контура, и поэтому отделу необходим постоянный доступ к сети Internet. Также обмен информацией осуществляется посредством модемного соединения. Так, УТК через Телекоммуникационный контур, на котором установлена служба RAS, может получить доступ к некоторым файлам, расположенным на серверах в Контуре доставки. Этот контур является самым незащищенным в ВС отдела.
Схема информационных потоков представлена на рисунке 2.2.
Рисунок 2.2 – Информационные потоки
Связь Контура адресования с внешней сетью возможна только через Контур доставки. Это определяется настройками МЭ 1, разделяющего эти два контура. В контуре адресования расположен центральный сервер БД, который является контроллером домена. На этом сервере хранится оперативная конфиденциальная информация, несанкционированная модификация которой может привести к нарушению работы отдела. В Контуре обмена с АС на Локальном сервере установлен локальный сервер БД, на котором хранится строго конфиденциальная информация. Поэтому данный контур отделен от Контура адресования межсетевым экраном (МЭ 2), и только Контур обмена с АС может являться инициатором обмена информацией.
Информация, поступающая от Удаленного телекоммуникационного контура в Контур доставки, скапливается на Сервере электронной почты. Затем она поступает в Контур адресования, где обрабатывается и сохраняется на Сервере БД. Далее эта информация запрашивается Контуром обмена с АС, где она проходит последнюю стадию обработки и сохраняется на Локальном сервере.
Аналогично информация, предназначенная для Удаленного телекоммуникационного контура, из контуров обмена с АС и адресования поступает в DMZ, а затем доставляется адресату.
В этой главе дипломного проекта были рассмотрены состав и структура ЛВС отдела, а также информация, циркулирующая в данном отделе. Исходя из этих данных, необходимо проанализировать угрозы, характерные для ВС отдела.