ny it bog 4 - di digital infrastruktur.pdf · nettets infrastruktur, som man har kunnet tilegne sig...
TRANSCRIPT
H.C. Andersens Boulevard 18
1787 København V
Tlf. 3377 3344
Fax 3377 3920
itek.di.dk
EN
DE
L AF D
AN
SK
IND
USTR
I
I T E K – B R A N C H E F Æ L L E S S K A B F O R I T- , T E L E - , E L E K T R O N I K - O G K O M M U N I K AT I O N S V I R K S O M H E D E R
ELEKTRONISK
INFRASTRUKTURVIRKSOMHEDENS IT-SIKRE PLACERING
EN
DE
L AF D
AN
SK
IND
USTR
I
EL
EK
TR
ON
ISK
INF
RA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT
-SIK
RE
PL
AC
ER
ING
Elektronisk infrastrukturVirksomhedens IT-sikre
placeringEN
DEL A
F DA
NSK
IND
USTR
IEN
DEL A
F DA
NSK
IND
USTR
I
Januar 2005
Udgivet af ITEK og DI
Redaktion: Henning Mortensen
Tryk: Kailow Graphic
ISBN: 87-7353-547-8
1000.1.05
Enhver virksomhed er i dag en del af den elektroniske infrastruk-tur, som er bundet sammen via internettet. Det er blevet en be-tingelse for at drive og udvikle forretningen. På trods af dette er kendskabet til, hvordan elektroniske netværk fungerer, ikke særlig udbredt. Dette er uheldigt – især set i lyset af, at infrastrukturen har stor betydning for virksomhedernes muligheder for at have høj grad af IT-sikkerhed. Med dette hæfte ønsker vi at give de ansatte i danske virksomheder, som har ansvaret for virksomhedens IT-sy-stemer, en indføring i, hvordan en kommunikationsinfrastruktur fungerer på et overordnet plan.
I hæftet gennemgås det, hvordan protokoller, kabler og apparater fungerer sammen for at bringe data fra en computer til en anden. Desuden indeholder hæftet eksempler på, hvordan virksomhederne kan konfigurere deres netværk. Endelig er der række anbefalinger til, hvilke overvejelser virksomheden bør gøre sig, hvis den vælger at få varetaget nogle af opgaverne af professionelle leverandører uden for virksomheden.
ITEK og DI har igennem flere år beskæftiget sig med IT-sikker-hed. Arbejdet har været centreret om at bringe eksperter i IT-sik-kerhed hos leverandørvirksomhederne sammen med brugere af IT-sikkerhedsløsninger med det formål at forbedre IT-sikkerheden i industriens virksomheder. Som et vigtigt led i disse bestræbelser har IT-sikkerhedsudvalget besluttet at udgive en serie publikatio-ner om IT-sikkerhed, hvor nærværende er nummer fire.
Januar 2005
Tom TogsverdBranchedirektørITEK
FOR
OR
D
Forord
4IN
DH
OLD
5
Indhold
FORORD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
INDHOLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
VIRKSOMHEDENS PLACERING I NETTETS
INFRASTRUKTUR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
NETTETS INFRASTRUKTUR . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Gennerelt om net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Net-terminologi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Begreber relateret til nettrafik . . . . . . . . . . . . . . . . . . . . 38
OPBYGNING AF NETVÆRK . . . . . . . . . . . . . . . . . . . . . . . . . 49
Det helt lille netværk . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Det lidt større netværk . . . . . . . . . . . . . . . . . . . . . . . . . 51
Det store netværk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Koncernløsningen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
OUTSOURCING . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Markedet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Overvejelser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Hvad kan outsources? . . . . . . . . . . . . . . . . . . . . . . . . . 67
CHECKLISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
NOTER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6
6
Næsten alle virksomheder er i vore dage koblet på internettet, og man-ge har også et lokalt netværk inden for virksomhedens vægge. Alligevel mener de fleste virksomheder, at de ikke har behov for at vide noget om, hvordan de er placeret i det globale elektroniske netværk. Så længe man er på, og det hele virker, er der sådan set heller ikke noget galt i denne holdning. Man bruger den elektroniske infrastruktur og kon-centrerer kræfterne om at drive og udvikle forretningen.
Men når et eller andet går galt – og det gør det før eller siden – kan det være af afgørende betydning for forretningen at genetablere sine IT-systemer inden for en kort tidsho-risont. Hvad koster det f.eks. virk-somheden i penge og troværdighed, hvis kunderne ikke kan anvende de sædvanlige elektroniske kanaler? Hvad koster det virksomheden, hvis den i en periode ikke kan be-stille råvarer elektronisk? Hvad
det koster det virksomheden i løn-ninger, når de elektroniske produk-tionssystemer ikke kan kommuni-kere med hinanden? Der kan derfor være gode forretningsorienterede begrundelser for at beskæftige sig med virksomhedens placering i den elektroniske infrastruktur.
Når noget går galt, vil virksom-hedens ledelse og personale som regel kontakte den person, der har ansvaret for virksomhedens IT-sy-stemer. Man vil stille spørgsmål af typen: Hvorfor kan min mail ikke komme frem? Hvorfor har jeg ikke adgang til mit netværksdrev? Hvorfor kommer der ikke nogen udskrift på min netværksprinter? Hvorfor har jeg ikke adgang til en given hjemmeside? Hvorfor får jeg en databasefejl, når jeg køber varer på vores leverandørers sædvanlige hjemmesider? For at kunne svare på disse spørgsmål og for at kunne løse dem er det vigtigt, at virksom-heden har en person ansat, der ved
Virksomhedens placering i nettets infrastruktur
VIR
KS
OM
HE
DE
NS
PLA
CE
RIN
G I N
ET
TE
TS
INFR
AS
TR
UK
TU
R7
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
noget om virksomhedens placering i den elektroniske infrastruktur. Denne person skal kunne finde ud af, om fejlen ligger inden for det netværk, der er virksomhedens eget, om fejlen ligger på et netværk, som virksomhedens internetudby-der (Internet Service Provider, ISP) har indflydelse på, eller om fejlen ligger helt uden for virksomhedens indflydelse. Ved at have viden om dette område kan virksomheden reducere eventuelle tab og forøge sandsynligheden for ikke at miste kunder eller data.
Dette hæfte behandler fire for-hold.> For det første vil det på objek-
tiv vis blive beskrevet, hvordan ”nettet” er bygget op. ”Nettet” omfatter i denne sammenhæng ikke kun internettet, men også virksomhedens interne net samt det net, der giver adgang til in-ternettet. På nettet sidder en række forskellige apparater, og vi vil beskrive, hvordan disse vir-ker. Desuden vil vi også beskrive de protokoller, som anvendes til at skabe kommunikation – f.eks. i form af at hente en hjemmeside på internettet. Endelig er der til nettet relateret en række forskel-lige begreber, som vi ligeledes vil beskrive.
> Nettet og dets tilhørende appara-ter – såvel indenfor som udenfor virksomhedens kontrol – udgør på hver deres måde et potentielt svaghedspunkt, som man kan
forsøge at udnytte med henblik på at ødelægge det eller sætte det ud af drift. Dette vil forstyrre eller afbryde nettets funktion, og i dette lys udgør det en potentiel IT-sikkerhedstrussel. Vi vil be-skrive hvilke svagheder, der kan udnyttes i de forskellige appa-rater, og beskrive hvordan, man kan minimere risikoen for et suc-cesfuldt angreb.
> På baggrund af den viden om nettets infrastruktur, som man har kunnet tilegne sig i de før-ste kapitler i dette hæfte, vil vi komme med nogle normative be-tragtninger om, hvordan en virk-somhed ideelt set bør indrette sin egen elektroniske infrastruktur. Der bliver givet anbefalinger til fire størrelser af netværk:– Det lille netværk– Det lidt større netværk– Det store netværk– Koncernløsningen
> Mange af de forskellige former for funktionalitet, som virk-somheden har brug for, behøver virksomheden ikke drive selv. Vi vil derfor slutte af med nogle overvejelser om IT-outsourcing og belyse, hvornår det kan være relevant, og hvornår man slet ikke bør gøre det.
Det overordnede formål med dette hæfte kan sammenfattes til en oplysning af de IT-ansvarlige om virksomhedens placering i nettets infrastruktur – suppleret med en
8
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
9
De andre hæfter i serien
Ledelse af IT-sikkerhed – for forretningens skyld
I dette hæfte understreges det, at ledelsen har en forpligtelse til at tage hånd om IT-
sikkerheden i virksomheden som en del af den almindelige ledelse. Ledelsen skal bl.a.
gennem fokus på IT-sikkerheden sikre virksomhedens økonomiske grundlag, minimere
den risiko, virksomheden står overfor, og sikre, at virksomheden er en troværdig forret-
ningspartner. I hæftet skitseres en model, som ledelsen kan anvende til at iværksætte en
proces, der sikrer virksomhedens aktiver og fastholder denne sikkerhed på sigt.
Trusler mod virksomhedens IT-sikkerhed
I dette hæfte gives en ikke teknisk beskrivelse af, hvad det er for nogle trusler,
virksomheden står overfor. Truslerne grupperes ud fra kategorierne: Personrelaterede
trusler, Systemmæssige trusler og Trusler udenfor virksomhedens kontrol. Indenfor disse
hovedkategorier falder bl.a. orme, vira, brand og opgradering. Det er formålet, at denne
liste over trusler skal kunne anvendes af virksomheden som inspiration til at sikre sig bedre.
Forøg virksomhedens IT-sikkerhed
I dette hæfte beskrives det, hvordan virksomheden skal beskytte sig mod truslerne. Det
gennemgås funktion for funktion, hvilke initiativer der skal tages i virksomheden. Herunder
berøres: Risikovurdering, IT-sikkerhedspolitik, Sikkerhedsimplementering, IT-aktiver,
Personaleforhold, Fysisk sikring, Styring af drift, Adgangskontrol, Nyt IT-udstyr, Beredskab,
Love og kontrakter.
E-business og IT-sikkerhed og ledelse
Dette hæfte indeholder en gennemgang af forskellige e-business systemers funktionalitet
i forhold til eksterne partnere. Det gennemgås, hvilke nye åbninger disse systemer skaber i
forhold til virksomhedens interne systemer, hvilke forholdsregler virksomheden skal tage for
at sikre sine data samt sin information og viden og endelig, hvilke krav en virksomhed bør
stille til sine samarbejdspartnere.
anbefaling af, hvordan man mest hensigtsmæssigt kan planlægge og implementere egen IT-infrastruk-tur på en IT-sikkerhedsmæssig for-svarlig måde.
Dele af hæftet er således på et vist teknisk niveau. I det andet-kapitel gennemgås protokoller, netværk og apparater på nettet. I næste kapitel gennemgås, hvor-
dan virksomheden kan sætte ap-parater og kabler sammen til at udgøre virksomhedens netværk. I det fjerde kapitel gennemgås det, hvilke overvejelser virksomheden skal gøre sig, hvis den planlæg-ger at outsource dele af opgaveløs-ningen til eksterne leverandører.Hæftet afsluttes med en checkliste.
VIR
KS
OM
HE
DE
NS
PL
AC
ER
ING
I NE
TT
ET
S IN
FR
AS
TR
UK
TU
R
10
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
11
Det er især kapitlet om nettets in-frastruktur, som kræver visse tek-niske forudsætninger. Man skal derfor have en vis interesse i emnet eller være uddannet og/eller have en vis erfaring indenfor IT-områ-det, hvis man skal få glæde af dette kapitel.
Hæftet er det fjerde i en serie af hæfter om IT-sikkerhed, som udgi-ves af ITEK og Dansk Industri. I de øvrige hæfter er der bl.a. fokuseret på, hvorfor ledelsen i virksomheden bør beskæftige sig med IT-sikker-hed, samt hvordan ledelsen kan iværksætte og fastholde en proces,
der øger IT-sikkerheden i virksom-heden. Hæfterne indeholder også informationer om, hvordan virk-somheden sikrer sig mod en række trusler, hvordan virksomheden på systematisk vis kan beskæftige sig med IT-sikkerhed, og hvordan man skal indtænke IT-sikkerhed i sine e-business løsninger. Hæfterne kan læses uafhængigt af hinanden, men udgør tilsammen en helhed, som viser, hvordan virksomhederne kan beskytte sig.
Helheden er tænkt således, at de fem hæfter besvarer hvert sit grundlæggende spørgsmål:
> Hvordan kommer man i gang?
> Hvad er det for nogle trusler, virksomhederne står overfor?
> Hvordan tager man initiativer mod disse trusler?
> Hvordan indgår virksomheden i nettets helhed?
> Hvilke overvejelser skal virk-somheden gøre sig i forhold til egne IT-systemer, der åbnes ud ad til?
10
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
11
Når vi i dette hæfte taler om nettet, skal det forstås i bredeste forstand. Et net er en forbindelse mellem to eller flere computere. Forbindelsen betyder, at de computersystemer, der er på nettet, kan kommunikere med hinanden. Net bliver hermed en forbindelse, som muliggør kom-munikation mellem computersy-stemer. Eksempler på net inklude-rer to computere, der er forbundet med et kabel imellem sig med det formål, at to brugere kan spille det samme spil. Eksempler inkluderer også mange computere forbundet til en server, hvorfra man har ad-gang til sine filer eller sine mails. Eksempler inkluderer også forbin-delser mellem to computere, hvor forbindelsen er trådløs som f.eks. bluetooth og WAP.
Når vi taler om net i dette hæfte, tænker vi imidlertid ikke blot på de fysiske forbindelser i form af kabler og apparater mellem nettene. Vi tænker også på den software, som muliggør kommunikationen mel-lem apparaterne. Vi vil derfor se på noget af den mest almindeligt an-vendte software – nemlig nogle få af de mest udbredte protokoller.
Generelt om netAt få en fundamental forståelse af, hvordan net hænger sammen, er af afgørende betydning for de beslut-ninger, der skal tages for at opti-mere en virksomheds IT-sikkerhed. Det er tæt forbundet til nettenes in-frastruktur, der i vores terminologi inkluderer:1. En række computere2. De fysiske forbindelser mellem
disse3. Den software som muliggør kom-
munikationen
ComputerneNår en person ønsker at kommu-nikere med en anden person via en netværksforbindelse, er det en minimumsbetingelse, at der i hver ende findes en enhed – som f.eks. en computer. Den ene com-puter kan f.eks. være en server, der indeholder en hjemmeside, som personen fra sin egen computer – kaldet klienten – gerne vil have adgang til. I dette tilfælde laves en klient/server forbindelse mellem de to computere. En anden mulighed er, at to klienter gerne vil kommu-nikere med hinanden. Dette sker f.eks. via mail, hvor to brugere
Nettets infrastruktur
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
12
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
13
sender mails fra hver deres klient til hinandens servere. Det kan også ske i et såkaldt peer-to-peer net-værk, hvor to klienter forbinder sig direkte til hinanden for at udveksle informationer. Uanset hvilke ek-sempler vi fremhæver, foregår kom-munikationen via applikationer hos de to parter. Hvis man f.eks. skal hente en hjemmeside, starter man en klientapplikation kaldet en ”browser” (f.eks. Internet Explorer eller Netscape) på klienten, og den kommunikerer så med et program på serveren.
De fysiske forbindelserDe to computere, der skal kommu-nikere med hinanden, skal natur-ligvis være forbundet på en eller anden måde. Dette kan f.eks. ske ved, at de er forbundet med et ka-bel, men kan lige så godt ske via forskellige trådløse forbindelser (Infrarød, Bluetooth, GPRS m.m). Internettet kan anskues som en stor samling kabler (fysiske og vir-tuelle), der forbinder de forskellige internetudbydere. Virksomheder og privatpersoner er så forbundet til en eller flere af disse internet-udbydere.
Software som muliggørkommunikationKommunikationen mellem to com-putere muliggøres af en masse for-skellig software, der kører på alle de fysiske enheder, som udgør kom-munikationskanalen. Softwaren
kan være af mange forskellige ty-per og er i mange tilfælde afhængig af det apparatur, man har opsat i virksomheden. Vi kalder sådant software for proprietært. Propri-etært software kan kun anvendes imellem identiske enheder fra samme fabrikant. Andet software er standardiseret gennem interna-tionale organer som IEEE (Insti-tute of Electrical and Electronics Engineers), W3C (World Wide Web Consortium), IETF (Internet Engi-neering Task Force), ICANN (Inter-net Corporation of Assigned Names and Numbers) m.v. Vi kalder dette software for åbent, idet det anven-der åbne standarder. Denne type software kan anvendes mellem forskellige enheder af varierende fabrikat. Den afgjort vigtigste type software er det, vi kalder protokol-lerne. Protokollerne har til formål at sikre, at de data, som man øn-sker kommunikeret mellem to ap-plikationer, kan sendes gennem de forskellige appa-rater. Protokol-lerne har hver deres servicemodel, som er bestemmende for, hvordan de lever op til deres formål. Disse inkluderer elementer som error control, flow control, multiplexing og demultiplexing samt connection setup. Vi vil se på nogle af disse ser-vices senere i bogen.
ProtokollerneEn protokol kan defineres som et internationalt anerkendt format til transmission af data mellem to en-
12
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
13
heder. Når man afsender data, sker det ved at nedbryde informationer-ne i små pakker, som løber gennem kablerne eller transmitteres i luften via radiobølger. Når data modtages, skal det sikres, at alle pakkerne er modtaget, og at de er samlet rigtigt. Protokoller sikrer bl.a., hvilken fejl-korrektion der sker i løbet af trans-missionen, hvilken kompression der anvendes, hvordan den afsendende enhed viser, at den har afsluttet transmissionen af data, og hvordan den modtagende enhed indikerer, at den har modtaget data. Der er mange forskellige typer af protokol-ler, der hver især har deres fordele og ulemper, hvorfor de typisk har hvert deres anvendelsesområde. De kan eksempelvis være simple, sta-bile eller hurtige, og disse ting fore-tager den enkelte programmør så en afvejning af, når der skal vælges en protokol. Ud fra et brugersyns-punkt er det udelukkende afgøren-de, at man har de rigtige protokoller installeret på sin computer til at foretage netop de typer af kommu-nikation, som man ønsker.
Som nævnt findes der nærmest uendeligt mange forskellige pro-tokoller, og vi kan ikke gennemgå
dem alle. I stedet vil vi se på de hyppigst anvendte protokoller og deres formål. Når data skal afsen-des i et netværk, opdeles de i min-dre stykker. Hvis man f.eks. skal hente en hjemmeside, henter man ikke hele siden på én gang. I stedet opdeles siden af afsenderen i små stykker kaldet pakker. Pakkerne modtages så af klienten og sættes sammen igen, således at siden kan vises i sin helhed. Dette sker for at sikre den mest effektive transport af siden. Noget tilsvarende sker, når man sender eller modtager en mail – og ved alle andre former for kommunikation over net. Kun hvis datamængden er så lille, at den kan være i én pakke, sker der ikke en opdeling. Hvis en hjemmeside i øvrigt har billeder eller andet mul-timedie tilknyttet (f.eks. lyd), er hver af disse dele gemt i hver sin fil – kaldet objekter. Objekterne opde-les hver for sig i pakker.
Protokollerne har til formål at opdele data i pakker og sende dem videre. I praksis ligger der en ræk-ke protokoller oven på hinanden i en ”stak”. Vi kalder dette for proto-kolstakken – eller blot stakken1.
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
14
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
15
Der er følgende lag2:
Pakkerne kaldes noget forskelligt afhængig af, hvilket lag de befinder sig på. Formålet med dette er, at vi kan sondre mellem hvilken type pakke, der er tale om. Vi vil bruge pakkernes navne gennem resten af dette hæfte. Lagene har hvert deres navn. Applikationslaget er f.eks. det lag, som er synligt for bruge-ren. På dette lag kalder brugeren protokollen direkte. F.eks. kalder brugeren http-protokollen, når der bedes om at få vist en hjemmeside. Tilsvarende kalder brugeren f.eks. SMTP-protokollen, når han beder om at afsende en mail. Andre appli-kationer kalder andre protokoller, når der skal kommunikeres. I ap-plikationslaget er den mest kendte protokol nok http, der står for hyper text transfer protocol, som bruges til at kalde dokumenter af typen hyper text markup language (HTML) m.fl. Desuden simple mail transfer protocol, SMTP, som bruges til at overføre mail fra af-sender til modtagers mailserver og file transfer protocol, FTP, som bruges til at sende data mellemFTP-servere og klienter3.
Når en applikation startes op, startes en proces på computeren. I virkeligheden er det disse proces-ser, som kommunikerer, og ikke selve applikationerne. Applikatio-nen vil ved opstart igangsætte en proces. Denne proces laver så en socket (også kaldet API, Applica-tion Programmers Interface), der er en slags dør ind til processen. Formålet er, at processen via døren kan lytte, om der er nogen, som vil i kontakt med den – om der er nogen, ”der banker på døren”. På den måde lytter processen på en bestemt port. På en webserver lytter processen f.eks. på port 80 for at se, om der er nogen, der banker på med et ønske om at få en hjemmeside vist. Døren har også til formål at sikre, at pro-cessen (og dermed applikationen) kan kommunikere med transport-laget, som er det lag, der ligger lige under applikationslaget.
Transportlaget har til formål at sikre kommunikation mellem pro-cesserne på de forskellige hosts. Når en message modtages gennem en socket fra applikationslaget til-føjes en header, der bl.a. indeholder
Lag Eksempel på protokol Pakkens type
Applikationslag HTTP, SMTP, FTP Message
Transportlag TCP, UDP Segment
Netværkslag IP Datagram
Linklag Frame
Fysisk lag 1. level PDU (protocol data unit)
14
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
15
TCP modtager fra den afsendende applikation i ovenstående figur pak-ker på højre side. I den buffer, som TCP har til rådighed for afsendelsen af pakker, er der kun plads til de to midterste grupper – idet vi siger, at TCP har et vindue af størrelsen N. TCP laver altså pakker og sender dem af sted. Når en pakke ryger ud af vinduet til venstre, er der plads til en ny pakke til højre. Den gruppe pakker, som er sendt af sted, udgøres af de to grupper til venstre i figuren. Når klienten modtager pakkerne, returnerer den en pakke (en acknowledgement, ACK), som bekræftelse på, at den har modtaget en pakke med data. TCP på klienten vil efter at have modtaget et ACK smide denne pakke væk fra sin buf-fer. Når en pakke smides væk, bliver der automatisk plads til en ny, som modtages fra applikationslaget. På den måde glider TCP’s vindue mod højre, efterhånden som flere og flere pakker modtages af klienten.
Flow control er også en funktiona-litet, som sikrer, at data kommer frem på en effektiv måde, når de transporteres med TCP. Når for-bindelsen mellem klient og server etableres, afsætter begge sider af forbindelsen buffere til at modtage
kilde- og destinations portnummer. Disse bruges til at sikre, at det er de rette processer på server og kli-ent, der taler sammen. Skabelsen af segmenter og afsendelse til net-værkslaget kaldes multiplexing, og modtagelse fra netværkslaget plus levering til den rette socket kaldes demultiplexing. De vigtigste pro-tokoller på transportlaget er TCP og UDP. UDP vil ikke blive gen-nemgået i noget væsentligt omfang her. TCP tilbyder foruden levering fra socket til socket også en række services. De vigtigste er Reliable Data Transfer (RDT), Flow Control og Congestion Control. RDT har til formål at sikre, at data, der ved af-sendelse omsættes til 0’er og 1’tal-ler, ikke vendes om (0 bliver til 1 og omvendt), mistes eller leveres i en anden rækkefølge end den, i hvil-ken de blev sendt.
For at forstå hvordan RDT sikres i TCP må vi se på et billede af, hvad det er TCP laver:
Transportlagets TCP-protokol mod-tager en række messages fra appli-kationslaget, som det skal lave til segmenter og sende videre til net-værkslaget – og samtidig vil TCP sikre RDT. Det sker ved, at TCP er en såkaldt sliding window protocol.
Har modtaget ACK Afsendt, men ikke ACK’et Anvendelige, men endnu ikke afsendt
Ikke anvendelige
Window med størrelsen N, der glider mod højre
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
16
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
17
data. Hvis der kommer for mange data til disse buffere, vil de blive overfyldte med TCP-segmenter, og dermed tabes pakker. Flow control har til formål at sikre, at afsende-ren ved, hvor megen plads der er ledig i bufferen, således at der ikke laves overflow i modtagerens buffer. I praksis får afsenderen denne infor-mation ved, at modtageren – hver gang den kvitterer for en modtaget pakke (sender et ACK) – fortæller hvor meget ledig plads, der findes i bufferen. På denne baggrund vil af-senderen ikke sende flere data, end modtageren kan nå at læse.
Congestion Control sikrer, at der ikke sker overflow i de buffere, som routerne har på deres links. En rou-ter kan modtage pakker fra mange forskellige kilder og skal også vide-resende dem til mange forskellige modtagere. Til dette formål findes der en buffer på hvert link, som routeren har. Hvis dette link bliver overbelastet, smider routeren de pakker væk, som ikke kan være i bufferen. Dette finder afsenderens TCP ud af, fordi den ikke modta-ger et ACK for de afsendte pakker indenfor for et givent tidsinterval – eller modtager tre ACK for en tidligere afsendt pakke4. Hvis en af disse ting sker, vil afsenderen gætte på, at en router er overbelastet og derfor vil den sænke hastigheden, hvormed den afsender pakker.
Netværkslaget har til formål at sikre kommunikation mellem de forskellige enheder på nettet. Dette
sker ved, at segmenter modtages fra transportlaget og tilføjes en header, der blandt andet indeholder kilde- og destinations IP-adressen. IP-protokollen specificerer, hvor-dan pakkerne skal se ud, men den flytter ikke selve pakkerne. Net-værkslaget er implementeret i alle routere, og det er routerne, som via deres routningstabeller sikrer, at datagrammerne kommer i den rig-tige retning på vejen fra afsender til modtager. Routningstabellerne opdateres ved hjælp af forskellige routningsprotokoller, der igen er baseret på forskellige routningsal-goritmer. Det er disse routnings-protokoller, som flytter pakkerne – de mest kendte er nok RIP, OSPF og BGP. Vi vil vende tilbage til rou-terne senere i denne bog.
Den nuværende generation af IP-protokollen kaldes sommeti-der IPv4. En nyere version kaldet IPng (next generation) eller IPv6 er imidlertid under udvikling med henblik på at sikre, at der også i fremtiden vil være tilstrækkeligt med IP-adresser i verden og sam-tidig afhjælpe en række problemer med IPv4, som efterhånden er ved at være en gammel protokol. Ud-viklingsarbejdet er placeret hos den ene af de to store internet standardiseringsorganisationer, Internet Engineering Task Force, IETF, http://www.ietf.org, (den an-den er Word Wide Web Consortium, w3c, http://www.w3c.org). I TCP/IP netværk kan den nye protokoltype
16
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
17
implementeres, når der købes nye routere, som er udstyret med såvel en IPv4-adresse som en IPv6-adres-se. Når der så skal kommunikeres over disse nye routere, sker der det, at et IPv6-datagram pakkes ind i et IPv4-datagram og sendes igen-nem en IPv4-tunnel mellem to IPv4 routere.
Linklaget sørger for at transpor-tere frames mellem to netværksen-heder (noder). Det er linklaget, der f.eks. sørger for at flytte pakkerne mellem netværkskortet i en given computer og hen til ISP’erens rou-ter. Linklaget er implementeret i alle netværkskomponenter. Trans-porten sker ved, at hver netværks-enhed – f.eks. repeater, hub, bridge, switch og router – har en eller flere unikke fysiske adresser, som man kan transportere fra og til. I prak-sis foregår det ved, at hver node har en unik adresse, som kaldes LAN-, MAC- eller Ethernet-adressen. Adresserne på det lokale netværk holder hver node styr på gennem en ARP-tabel, som indeholder alle de IP- og MAC-adresser, som noden har kommunikeret med indenfor en given tidsenhed. Hvis en node skal kommunikere til en anden på samme netværk, slår den op i ARP-tabellen og finder MAC-adressen på den node, den vil kommunikere med. Hvis adressen ikke findes, fordi noden ikke har kommunike-ret med modtagernoden indenfor et givent tidsrum, sendes en bestemt ARP-pakke til alle noderne på net-
værket, og den rigtige node svarer så tilbage med MAC- og IP-adresse, mens alle de øvrige noder dropper pakken. MAC-adresserne betyder altså, at den afsendende node kan sende sin frame til netop den mod-tager, som den ønsker. Hvis noden skal kommunikere med en node på et andet netværk – f.eks. over inter-nettet – sender noden sin pakke til routeren, som så sender pakken vi-dere til det fremmede netværk.
Det fysiske lag sørger for at flytte de enkelte bit i den pakke, der skal sendes. Hvordan det sker, og hvilke protokoller der anvendes, afhænger af, hvad det er for en forbindelse, der er mellem to hosts. F.eks. kan der være tale om twisted pair kob-berkabel, coaxial kabel, fiber og radiobølger.
Kommunikationen på den en-kelte klient går altså hele vejen ned i gennem protokolstakken, inden pakkerne forlader compu-teren. Hver gang man går et lag ned i stakken, tilføjes pakken en header, der indeholder forskellige informationer, som protokollerne i de forskellige lag skal bruge for at sende pakken videre. Alle lagene i stakken er implementeret i compu-terne i begge ender. De apparater, som pakkerne møder undervejs på internettet, implementerer lagene nedefra i større eller mindre grad: F.eks. implementerer en bridge det fysiske lag og linklaget, mens en router foruden disse to lag også im-plementerer netværkslaget. Dette
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
18
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
19
er illustreret i ovenstående figur.Vi kan opsummere det hele således:> Applikationslaget sikrer, at ap-
plikationerne kan transportere data til hinanden over et net-værk
> Transportlaget sikrer, at kom-munikationen kan ske mellem server- og klientproces (port-numre)
> Netværkslaget sikrer, at data flyttes mellem hosts (IP-adres-ser)
> Linklaget sikrer transport mel-lem noderne på vej mellem af-sender og modtager (MAC-adres-ser)
> Det fysiske lag transporterer de enkelte bit mellem to noder (pro-tokol afhængig af forbindelse)
Et eksempel – at hente en hjemmesideEt godt eksempel på en praktisk anvendelse af den ovenfor skitse-
rede model er at gennemgå, hvad der sker, når en bruger forsøger at hente en hjemmeside på internet-tet. Vi forestiller os simplificeret en situation, hvor en bruger er koblet direkte op til en ISP (og altså ikke sidder på et virksomhedsinternt netværk). Skridtene er som følger:
1. På en webserver et sted på nettet er der startet en proces op, som har til formål at lytte efter hen-vendelser om at få vist en side. Processen har initieret en socket, der lytter på port 80, hvortil hen-vendelser fra http-protokollen kommer.
2. En bruger starter sin bruger-klient i form af en browser op. Herefter indtastes hjemmeside-adressen på den side, som bruge-ren ønsker at se. Implicit betyder det, at applikationslaget fortæl-ler transportlaget, at det vil lave
�����������������
������
������������������
����������
������
��������������������������������������
�����������������
��������������������������������������
�����������������
������������
������������
18
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
19
en forbindelse til en proces på en server. Applikationslaget infor-merer transportlaget ved at lave en ny socket med hostname og portnummer på den webserver, man vil besøge. Portnummeret bruges til at identificere proces-sen på webserveren. Hostnamet oversættes til en IP-adresse ved opslag i DNS (Domain Name Sy-stem, som gennemgås senere5). Herefter laver transportlaget TCP-forbindelsen.
3. Når ønsket om at se en hjemme-side er sendt fra transportlaget, vil man, hvis der er installe-ret en cacheserver, først se, om hjemmesiden er lagret her (gen-nemgås senere). Hvis det ikke er tilfældet, fortsætter ønsket direkte til den pågældende web-server. Når klienten henvender sig til webserveren, laver ser-veren en connection socket, og kommunikationen sker så gen-nem klientens socket og webser-verens connection socket. For-bindelsen mellem disse sockets bliver til i løbet af et såkaldt threeway handshake: a) Klien-ten sender en SYN-pakke for at fortælle serveren, at klienten øn-sker at oprette en forbindelse til serveren, b) Serveren allokerer buffere til forbindelsen og retur-nerer derefter en ACK-pakke til klienten for at fortælle, at den er klar til at oprette forbindelsen ogc) Herefter allokerer klienten
selv buffere og sender en ACK-pakke til serveren. Identifikatio-nen af SYN og ACK pakker sker ved, at bestemte variable i trans-portlagets TCP-header får tildelt bestemt værdier. Forbindelsen er dermed etableret, og serve-ren kan begynde at sende data i form af de forskellige objekter på siden til klienten. Det, at for-bindelsen sættes op ved hjælp af et three way handshake, betyder, at vi siger, at TCP er connection oriented. Den anden vigtige pro-tokol til kommunikation over in-ternettet er UDP, og i den sendes der bare data mellem klient og server, og afsenderen håber så på, at de kommer frem – UDP er dermed connectionless6.
Det skal bemærkes, at forbindelsen mellem klient og server kan være persistent eller nonpersistent. Non-persitent vil sige, at server eller klient kan lukke TCP-forbindelsen, hver gang et objekt er afsendt, og persistent betyder, at forbindelsen vedligeholdes, indtil samtlige ob-jekter i en anmodning er afsendt. Desuden kan forbindelse ske med eller uden pipelining. Uden pipeli-ning betyder, at klienten først kan ønske at få en ny pakke, når den foregående pakke er blevet aner-kendt (ACK’ed). Pipelining betyder, at klienten løbende kan anmode om nye pakker.
Det skal desuden bemærkes, at vi ovenfor har ladet som om, pak-
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
20
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
21
kerne blev sendt direkte mellem de to TCP-forbindelser. I virkelig-heden sker der det, at applikations-lagets message sendes ned gennem klientens socket til transportlaget, hvor TCP laver et segment, der sen-des ned til netværkslaget, hvor der laves et IP-datagram, der sendes ned til linklaget, hvor der laves en frame, der sendes ned på det fysiske lag, hvor der laves en 1. level PDU, som afsendes fra netværkskortet. På server siden glider pakkerne til-svarende op gennem stakken.
Net-terminologiOrdet net bruges i mange forskel-lige sammenhænge – og net er i sandhed også mange forskellige ting og kan klassificeres på mange forskellige måder. Vi vil i denne sammenhæng lave en sondring mellem infrastrukturnet og service net.
Ved infrastrukturnet forstår vi de net, som udgør selve grundlaget for kommunikationen. Det vil sige:> Virksomhedsinterne netværk
(LAN, WAN, VPN, trådløse net-værk og metropolitan area net-works)
> Accessnet> Transportnet
Ved de service betonede net forstås de net, som har fået et navn, fordi de har et bestemt serviceformål, men disse net kører på infrastruk-turnettene> Intranet> Ekstranet> Internet
Sammenhængen mellem de forskel-lige net kan illustreres som i figu-ren nedenfor:
Firewall
�����������
������
����������������������������
��������������
���������
�������������
�������������
������������
��������������
��������������
����������������
��������
���������������������������������������������������������������������
��������������������������������������������������������������������
���������������������������������������������������������������������
��������������
����������������������������������������������������
��������������������������������������������������������������
������������������������������������
20
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
21
Det skal fremhæves, at der er man-ge forskellige måder at opbygge et net på, og at ovenstående blot er et eksempel på, hvordan det kan gøres.
Infrastruktur netInfrastrukturnet kan lettest ansku-es som kabler eller radiobølger, der forbinder nettets forskellige compu-tere. Typisk er der tale om et lokalt netværk inde i virksomheden, et accessnet mellem virksomheden og den nærmeste ISP/telefoncentral, samt et transportnet fra ISP og ud i resten af verden. Vi vil nu først se lidt mere på infrastruktur nettene.
Virksomhedens netI virksomheden ligger et eller flere net, som forbinder de enkelte kli-ent-PC’er og eventuelle servere. Disse net er typisk af typen LAN, local area network. Nettene sikrer, at den enkelte medarbejder har adgang til eksempelvis printer, net-værksdrev og databaser. Disse net bruges f.eks. til, at medarbejderne kan dele filer og information med hinanden, kan lægge filer på ste-der, hvor der kan tages tape-backup og kan adskilles fra personer, som ikke har brugernavn og password og dermed ikke kan få adgang til informationer på virksomhedens servere.
Udgangspunktet er, at der i en virksomhed sidder en medarbej-der og arbejder ved en klient-PC. Han har på virksomhedens eget net adgang til en række forskellige funktioner og services. Typisk skal han angive et brugernavn og pass-word for at logge ind (hvilket f.eks. administreres af en server, der har status af at være Domain Control-ler). Herefter har han adgang til en række services som f.eks. en prin-ter (der administreres af en print-server), et netværksdrev hvor han kan dele filer med sine kolleger (fil-server), et mailprogram (der henter mails fra en mailserver), en inter-netforbindelse (der giver adgang til internettet), redigering af firmaets hjemmeside (som ligger på en web-server), adgang til et intranet med informationer om virksomheden
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
22
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
23
(på en intranetserver), oplysninger om kunder, leverandører og medar-bejdere (i en database), oplysninger om firmaets økonomi (i et server-drevet økonomisystem) og endelig afvikling af forskellige andre appli-kationer, som afvikles fra en server (f.eks. statistikprogrammer).
Den enkelte medarbejder har ty-pisk kun viden om, hvor de enkelte informationer og applikationer, som han skal bruge, ligger på den lokale PC, og hvordan han bruger dem. Alt, hvad der ligger nedenunder, betragtes som værende ligegyldigt for den enkelte. Det er noget, som IT-afdelingen tager sig af. Det sam-me gør sig gældende for virksomhe-dernes ledere. Men disse ledere er ansvarlige for at prioritere, hvad det er, virksomhedens IT-afdeling skal beskæftige sig med – herunder i særdeleshed, hvilke forretnings-mæssige krav der er til netværket, hvilke økonomiske rammer der kan stilles til rådighed for etablering og vedligeholdelse af netværket, samt hvilken prioritet sikringen af net-værket og netværksforbindelserne
skal have. Hver eneste af disse netværksfunktioner kan på den ene side effektivisere arbejdet, men ud-gør på den anden side en potentiel trussel mod virksomhedens sikker-hed. Uden at vide, hvilke net der bruges, udfører den enkelte med-arbejder altså sit eget job ganske problemfrit.
LAN er, som det næsten frem-går af navnet, et netværk med be-grænset geografisk udstrækning – typisk til en enkelt bygning. Net-værket består principielt set af et kabel, hvortil de enkelte klienter og servere er forbundet. For enden af kablet kan der være en router, som giver LAN-et adgang til en ISP og dermed internettet. På kablet kan der også være monteret nogle Ac-cess Points, som bruges til trådløs opkobling til LANet.
Der er mange måder at organise-re sit netværk på, og vi har neden-for gennemgået et par af disse. Må-den som noderne er forbundet på og måden, hvormed de kommunikerer med hinanden, kaldes netværkets topologi.
22
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
23
Fiskenetstopologi– Enhver node på netværket er
forbundet med en masse andre noder – evt. alle andre noder.
Stjernetopologi– Noderne er forbundet til en cen-
tral node – f.eks. en hub eller en switch.
Bustopologi– Alle noderne er forbundet til et
centralt kabel kaldet en bus eller et backbone.
Backbone
Ringtopologi– Enhver enhed er forbundet til
netop de to enheder, som er nær-mest.
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
24
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
25
Trætopologi– En kombination af stjerne- og
bus topologi, hvor alle stjernerne er forbundet til en central bus.
Når der er mange hosts på nettet, der typisk kommunikerer samtidig, er det vigtigt, at pakkerne ikke stø-der sammen på netværket – for når det sker, bliver pakkerne (de elek-triske impulser) viklet sammen og går tabt og skal derfor genfremsen-des. Dette forhold styres af proto-kollerne i link-laget. LANet har en række forskellige mulige protokol-
ler til at organisere dette. En type protokoller deler kablet op i mindre dele, og hver kommunikerende part får så sin egen del at kommunikere
i. Opdelingen af kablet kan ske på baggrund af frekvens, tid eller ved at tildele pakkerne en bestemt kode, som er unik for hver node på netværket. En anden type protokol-ler er baseret på tilfældighed. Hvis en node opdager en kollision, venter den et tilfældigt tidsrum, inden den sender framen igen. Hvis alle noder gør dette, vil de forskellige frames
Backbone
24
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
25
ikke blive afsendt samtidig, og de vil derfor med en vis sandsynlighed glide igennem.
De mest kendte af denne type protokoller er ALOHA og CSMA/CD protokollerne (Carrier Sensing Multiple Access / Collision Detec-tion). Sidstnævnte implementerer den omtalte tilfældige forsinkelse i afsendelse. Men hertil kommer for det første, at protokollen lytter på netværket for at høre, om der er an-dre, der er i gang med at sende – og for det andet, at hvis noden afsen-der, og der efter afsendelse allige-vel viser sig at være andre pakker på netværket (f.eks. fordi to noder transmitterer pakker netop samti-dig), vil noden, så snart den opda-ger dette, afbryde sin transmission. Ethernet, som er den mest anvend-te protokol til LAN i dag, er af ty-pen CSMA/CD. En tredje og sidste type protokoller er baseret på, at de forskellige hosts på skift får lov til at sende, hvis de har noget at sende. Dette kan organiseres en-ten ved, at en master node tildeler transmissiontilladelse til et givent antal frames, som noden må sende, inden den skal give retten videre til den næste node eller ved, at de for-skellige hosts sender et token rundt imellem sig og kun kan sende fra-mes så længe, de er i besiddelse af det pågældende token.
Hvis der er brug for en udstræk-ning, som er større end en enkelt bygning, kan man evt. anvende et WAN, Wide Area Network. Et WAN
består af to eller flere LAN. Her-med kan LANene godt være geogra-fisk adskilt og være forbundet via offentlige forbindelser.
AccessnetNår virksomhedens computere skal have adgang til deres omverden, foregår dette altid via access-nettet. Access-nettet er det infrastruktur net, der går fra den enkelte virk-somhed til det nærmeste knude-punkt – f.eks. en telefoncentral. Fra centralen fortsætter trafikken videre gennem transportnettet. Centralen kan betragtes som en telefondame, der ved at forbinde mange forskellige kabler muliggør, at trafikken kan kanaliseres den rigtige vej. Centralen er således et knudepunkt for mange forskellige kabler, hvoraf to h.h.v. er virksom-hedens accessnet og transportnet-tet. Det skal bemærkes, at forbin-delsen til den nærmeste telefoncen-tral i dag kun er en af flere mulige forbindelser ud af virksomheden eller hjemmet. Flere og flere hjem har fået installeret andre kabelfor-bindelser ud af huset – f.eks. i for-bindelse med modtagelse af fjern-synssignaler. Disse forbindelser kan også bruges til at få adgang til internettet.
TransportnettetTransportnettet anvendes fra den lokale telefoncentral og frem til den fjerne telefoncentral, som fører ind til den server, hvorpå de infor-
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
26
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
27
mationer, man er ude efter, ligger. Afstanden mellem den fjerne cen-tral og den fjerne server kan igen betragtes som et accessnet. Trans-portnettet er det net, som binder knudepunkterne sammen, og det kan således betragtes som ét stort net. I daglig tale siger man dog, at der er flere transportnet – nemlig et transportnet mellem hver cen-tral. Transportnettet i sin helhed er den kvantitativt største del af internettet og benævnes nogle gange med ordet backbone.
Hardware som udgør nettetEn række forskellige hardware-komponenter udgør tilsammen et infrastrukturnet. Mest indlysende findes der klienterne, serverne, kablerne og adapteren. Men des-uden findes der repeatere, hubs, bridges, switches og routere.
Servere og klienter har vi allere-de gennemgået. Vi har også omtalt adapteren og klientens ARP-tabel, som er grundlaget for, at pakkerne kan komme fra klient til klient og fra klient til router på et LAN. Vi vil derfor nu se på kabler, re-peatere, hubs, bridges, switches og routere.
Kabler og radiobølgerDer er en række forskellige typer af net, og disses funktionsmåde betyder meget lidt for brugerne. Vi kan sondre på flere forskellige må-der – bl.a. jordbaseret/luftbåret og elektroner/bølger – og vi ser kun på de forbindelser, der er mulige i for-bindelse med Ethernet. Dette giver os følgende muligheder:
De fire jordbaserede muligheder er standardiseret af IEEE som 802.3. De luftbårne net er standardiseret af IEEE som 802.11, hvoraf 802.11g er den mest udbredte.
I tilfældet med kobberkabler fun-gerer transmissionen ved, at elek-troner bevæger sig gennem kablet og qua deres bevægelse får pakken til at gå fra afsender til modtager.
10Base2 coaxialkabel betyder, at kablet kan overføre 10Mbps (10 Mega bit i sekundet). Kablet kan desuden række 185 meter, inden signalet bliver så svagt, at det må regnes for tabt. Teknologien bru-ges hyppigt i forbindelse med en bustopologi som vist i figuren næ-ste side.
Jordbaseret Luftbårent (trådløs)
Elektroner10Base2 coaxial kabel10BaseT twisted pair kobber10 BaseT twisted pair kobber
Ikke muligt
BølgerGigabit Ethernet som fiber (lysledere)
Radiobølger
26
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
27
10BaseT og 100BaseT kan trans-mittere henholdsvis 10 og 100 Mbps og er i dag de mest udbredte Ether-netteknologier. At de er twisted pair betyder, at de faktisk består af to kabler, hvor det ene bruges til at afsende, og det andet bruges til at modtage. Kablerne bruges typisk i en stjerne topologi, som det ses i ne-denstående figur:
Gigabit Ethernet kan transmittere data med 1000 Mbps og derover.
I tilfældet med bølger, som vi kender fra lysledere og radiobølger, er situationen lidt mere kompli-ceret. En signalbølge bærer vær-dierne 0 (en negativ halvperiode) og 1 (en positiv halvperiode), og dermed transmitteres pakken som signalbølgetoppe og -dale. Når man
Terminator TerminatorTee connectors
Hub Router
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
28
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
29
får brug for at sende binære signa-ler, kan det være relevant at vende fasen 180 grader, således at man kan få flere 0’er eller 1’er umiddel-bart efter hinanden. For at sikre, at bølgen kan adskille sig fra bag-grundsstøjen og ikke i for høj grad bliver degraderet af modstand, rejser signalbølgen på en såkaldt bærebølge. Dette betyder, at man kan afsende et signal med mindre effekt end ellers krævet, og dermed kan transmissionen finde sted over større afstand og med større sikker-hed. I praksis foregår det således, at man afsender en signalbølge, der har fast frekvens (konstant antal bølgetoppe i sekundet og dermed konstant afstand mellem toppene). Det er denne frekvens, man ta-ler om, når man eksempelvis skal indstille sine digitale radiokanaler. Oven i denne lejres signalbølgen. Måden, hvorpå dette sker, afhæn-ger af hvilken kodning, der er brugt (frekvensmodulering, fasemodu-lering, amplitudemodulering eller kombinationer af fase- og ampli-tudemodulering (QPSK)), hvilken effekt eller frekvensbånd der er til rådighed, samt hvilken bitrate (ha-stighed) man ønsker at sende med. Afsender (transmitter) og modtager (receiver) skal være enige om en protokol og om et starttidspunkt for at skære bærebølgen af og dermed aflæse signalbølgen.
Radiobårne net er karakteriseret ved at sende bølger ud fra det sted,
de er placeret. Bølgerne sendes ikke i en bestemt retning, men udbredes symmetrisk fra det sted afsenderen befinder sig. Bølgerne har meget vanskeligt ved at rejse igennem forskellige materialer – f.eks. vil et bjerg kunne hindre bølgernes ud-bredelse. Til gengæld kan bølgerne godt gå gennem husvægge m.v. At bølgerne kan afskæres af f.eks. et bjerg, er en meget væsentlig forskel fra de faste netværk, vi har gen-nemgået. Bølgerne dør også relativt hurtigt ud, således at signalet bli-ver for svagt til at kunne blive op-fattet af modtageren. Endelig kan to klienter godt sende til en tredje klient, uden at signalet er stærkt nok til, at de to afsendende klienter kan mærke hinandens signaler – jf. nedenstående figur:
Disse forhold stiller nogle helt an-dre krav til de trådløse protokoller end protokollerne i de faste net-værk.
28
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
29
Arkitekturen i et trådløst netværk er illustreret i nedenstående figur:
Vi har et fast LAN netværk, hvortil der er forbundet to såkaldte access points. Disse bruges til at transmit-tere og modtage radiobølger fra de mobile stationer i området. Når flere access points er forbundet, kaldes det samlet set et distribu-tionssystem. Som i et fast netværk skal der ske en koordination af den transmission, der sker fra klienter-ne til et access point således, at der ikke sker kollision. Dette foretages igen af LAN-protokollen (MAC-pro-tokollen). Men hvor denne for faste netværk var af typen CSMA/CD, er den nu af typen CSMA/CA, hvor CA
betyder collision avoidance. Klien-ten undersøger, om kanalen er op-
taget af at sende en anden frame. Det sker ved, at det fysiske lag må-ler energiniveauet på radiofrekven-sen. Hvis der er ledigt, afsender klienten sine frames. Modtageren sender så ved modtagelsen en be-kræftelse af, at den har modtaget den. Det sker, fordi afsenderen ikke selv kan føle, om framen er kom-met korrekt frem. Man anvender derfor i stedet kollision avoidance, hvor afsenderen først sender en RTS-pakke (Request To Send), og herefter udsender modtageren en CTS-pakke (Clear To Send). Alle andre klienter, der hører denne
Acces pointAcces point
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
30
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
31
CTS pakke, vil så afholde sig fra at transmittere i det tidsrum, det er antaget, at forsendelsen finder sted.
Som nævnt har vi kun omtalt Ethernet teknologier. Der findes flere andre trådløse standarder – f.eks. Bluetooth – men disse vil ikke blive gennemgået her.
Apparater på netværket – repeatere, hubs, bridges, switches og routereMellem kablerne sidder en række forskellige apparater, som har til formål at sikre, at signalerne ikke bliver for svage og sendes den rig-tige vej gennem kablerne.
RepeaterRepeatere har til formål at sikre, at signalerne i kablerne ikke bliver for svage. F.eks. kan 10Base2 coaxial kablet kun række 185 meter. Hvis der er behov for mere, kan man sætte en repeater ind, som genska-ber signalet (bit for bit), forstærker signalets energi/styrke og sender det videre. Hvis der f.eks. ankom-mer en bit med værdien 0 – genska-bes 0’et med forøget energi, hvoref-ter den sendes videre. Repeaterens eneste formål er at forøge den muli-ge geografiske udbredelse af et net-værk. Da repeateren kun har med bits (og altså ikke f.eks. frames) at gøre, siger vi, at den kun har det fy-siske lag implementeret. Repeatere kan ikke forbinde forskellige tekno-logier – d.v.s. at f.eks. 10baseT ikke kan forbindes til 100BaseT.
HubEt andet apparat, som er meget lig en repeater, er en hub. En hub gen-skaber også et signal, forstærker dets energi og sender det videre. Hubs har også kun implementeret det fysiske lag. Hubs kan lige som repeatere kun forbinde den samme teknologi – d.v.s. at f.eks. 10baseT ikke kan forbindes til 100BaseT. Hubs kan imidlertid bruges til at opbygge netværk. En hub, som mod-tager et signal på et interface (hvor kablet sættes til), vil sende signalet videre til alle sine andre interfaces. Hermed modtager alle klienter, som er tilsluttet hubben, samme signal. De modtagere, som signa-let ikke var bestemt for, vil smide det bort. I figuren næste side har vi en backbone hub, som forbinder tre andre hubs. Fordelen ved dette de-sign er, at man kan segmentere sit netværk i flere dele. Hver del udgør sit eget kollisionsdomæne – d.v.s. at den kollision af bits, der måtte finde sted, isoleres til den enkelte lavere stående hub. Hubs kan dog generelt ikke gøre noget ved kol-lisioner – et helt netværkssegment kan altså blive ubrugeligt. Backbo-ne hubben kan automatisk opdage en situation, hvor en af de andre hubs har en fejl, og vil så koble den fra. Ulem-pen ved dette design er, at hvis backbone hubben går i styk-ker, vil de tre lavere stående hubs være isolerede.
30
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
31
BridgeBridges adskiller sig fra repeatere og hubs ved, at de kan kombinere forskellige link teknologier (kabler) og ved, at de opererer på link laget og ikke kun det fysiske niveau. Det betyder, at de kan en lang række ekstra ting. Vigtigst er det, at bridgen kan filtrere pakkerne, og dermed kan man segmentere sit netværk i flere dele. Hver del ud-gør sit kollisionsdomæne – d.v.s. at de kollisioner af pakker, der måtte finde sted, isoleres til den enkelte lavere stående hub. Bridgen kan automatisk opdage, hvis en af de lavere stående hubs har en fejl, og vil så koble den fra. Hvor hubs blot sendte indgående pakker videre på alle udgående links (kabler), stude-rer bridgen modtager informationen placeret på linklaget og sender kun pakken videre på det rette udgåen-de link/interface. Dette kan bridgen gøre ved at vedligeholde og konsul-
tere sin bridge table. Tabellen inde-holder bl.a. nodernes LAN-adresse og det bridge interface, som fører til noderne. Det fungerer således, at når en bridge modtager en frame på et interface, undersøger den, om modtageren sidder på samme inter-face. Hvis det er tilfældet, droppes/ignoreres pakken, fordi modtageren så allerede vil have modtaget den. Hvis modtageren befinder sig på et link bag et andet interface, videre-sender bridgen framen via det rette udgående interface. Afsendelsen er baseret på CSMA/CD, som vi gennemgik i forbindelse med net-værksskort. Tabellen holdes ved lige på den måde, at hver gang en frame modtages, opdateres bridge-tabellen. Hvis en modtager endnu ikke kan findes i bridge tabellen, registrerer bridgen afsenderen i tabellen og sender bridgen framen videre til alle udgående links. På den måde er en bridge selvlærende.
Backbone hub
Hub HubHub
Afdeling A Afdeling CAfdeling B
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
32
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
33
Bridges kan anvendes i nedenstå-ende topologi.
I ovenstående tilfælde er der tale om et backbone. Et backbone er for-bundet til alle LAN-segmenter.
De figurer, vi har set på ovenfor, har alle organiseret netværket ef-ter en hierarkisk topologi. Det kan være uhensigtsmæssigt, fordi kom-
munikation på netværket så er sår-bar overfor, at en enkelt komponent fejler. Derfor kan det være relevant at lave en topologi som vist i figu-ren næste side.
I dette tilfælde kan netværket fortsat fungere, selvom den ene bridge fejler. Imidlertid er der så den ulempe, at den samme frame kan blive sendt rundt i netvær-ket uendeligt mange gange, og til sidst vil nettet bryde helt sammen. Bridgen bør derfor gøre anven-delse af en spanning tree protocol, der muliggør, at man kan anvende ovenstående topologi, uden at man risikerer cykler. Det sker ved, at bridgene temporært spærrer nogle af linierne (som angivet på figuren) og kun åbner dem, hvis der er be-hov for det.
��� ������
���������� ��������������������
�������
� �
32
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
33
SwitchSwitchen har i høj grad i vore dage overtaget bridgens rolle. Switchen kan helt det samme som bridgen – og adskiller sig primært fra den ved at have væsentlig flere interfaces. Den er hurtigere, og der kan for-bindes mange flere klienter direkte til den. Desuden kan switchen også køre i full duplex mode – altså både sende og modtage frames på det samme interface på én gang. Det betyder, at når adapteren kan for-bindes direkte til switchen, og der i twisted pair kablet er én forbindel-se til afsendelse og én forbindelse til modtagelse, kan der ikke ske pakkekollision. Hermed behøver man ikke CSMA/CD-protokollen i netværkskortet, og transmissionen vil derfor ske hurtigere. Nedenfor
findes en figur, der viser, hvordan klienterne forbindes direkte til switchen.
En af de ting der også gør switches hurtigere, er det faktum, at de un-
��� ������
���������� ��������������������
������
������
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
34
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
35
derstøtter cut through switching. Det betyder, at hele pakken ikke behøver at ankomme til det ind-gående interface, inden starten af pakken bliver sendt af sted på det udgående link.
RouterRoutere er den eneste af de kompo-nenter, der sidder ude på netvær-ket, som foruden at implementere det fysiske lag og linklaget også im-plementerer netværkslaget. Når de andre komponenter videresender pakker fra afsender til modtager, baserer de sig på pakkernes LAN-adresser. Når routerne derimod forwarder pakker, baserer de sig på pakkernes IP-adresser. Routerne kan dermed anvendes på internet-tet.
Routerne forwarder på baggrund af deres routningstabeller, som dannes og vedligeholdes af en rou-ting protokol. Routningstabellerne indeholder bl.a. oplysninger om, hvilke omkostninger der er på de forskellige links mellem to routere – herunder opdaterer de løbende in-formation om, hvor belastningen er størst (og dermed hvilke veje gen-nem nettet der skal udgås). Der er mange måder, dette kan ske på, af-hængig af routerens protokol. Pro-tokollerne kan klassificeres på tre måder, nemlig efter om de er:> globale, og dermed har global vi-
den om netværket, eller er decen-trale og dermed ikke har viden om omkostningerne på alle links
> statiske, og dermed ændrer sig meget langsomt – som regel efter menneskelig intervention – eller om de er dynamiske og dermed ændrer sig automatisk i takt med trafik og topologi
> load-sensitive, og dermed ændrer sig i takt med trafikken – eller om de ikke ser på omkostningerne og dermed er load-insensitive
De algoritmer, der ofte anvendes på internettet, er dels en dynamisk global link-state algoritme og dels en dynamisk decentraliseret di-stance vektor algoritme. Link-state algoritmen fungerer ved, at den enkelte router oplyser alle routere på netværket om sin identitet og link omkostninger til alle links, den selv har tilknyttet. På den måde kan hver eneste router hele tiden danne sig et perfekt billede af om-kostningerne fra én router til en anden fjern router. Distance vector algoritmen fungerer ved, at hver router kun får omkostninger fortalt af de routere, der sidder i direkte forbindelse med den selv. Disse rou-tere får så deres naboroutere til at angivere deres omkostninger o.s.v. Distance vector algoritmen er såle-des langsommere til at opdatere sin routnings-tabel end link state algo-ritmen. Links state beregner også alene omkostningerne i sin egen routningstabel – under distance vector kan en fejlagtig router spre-de fejlen over hele netværket. Disse to algoritmer er typisk baggrunden
34
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
35
for de protokoller, som så foretager routningen på netværk. De mest kendte protokoller er nok Routing Information Protocol (RIP), Open Shortest Path First (OSPF) og Bor-der Gateway Protocol (BGP), hvor det er sidstnævnte, der typisk an-vendes på internettet i dag.
Vi har sammenlignet de forskelli-ge netværkskomponenter nedenfor.
ServicenetEn række servicebetonede net kø-rer på infrastruktur nettene. Det gælder f.eks. intranettet, som kører indenfor virksomheden, ekstranet-tet, som kører mellem virksomhe-den og en række dedikerede bru-gere, som f.eks. medarbejdere uden for huset, kunder, leverandører og endelig også internettet.
IntranetIntranettet er service, som virk-somhedens ansatte kan få adgang til, på virksomhedens eget net. Ad-gangen til denne service sker altså på det, vi har kaldt LAN ovenfor. Servicen består af en række hjem-mesider, der kun er adgang til i
forbindelse med virksomhedens net – det er altså hjemmesider, som ikke er en del af world wide web. Udvekslingen af de data, som hjem-mesider udgør, sker under anven-delse at de samme protokoller, som vi gennemgik ved adgangen til en hjemmeside. Intranettet giver såle-des en virksomhed mulighed for at dele information på en hjemmeside
med alle medarbejdere. Dele af in-tranettet kan lukkes af, således at informationerne kun er tilgænge-lige for bestemte grupper af med-arbejdere – eksempelvis i form af forskellige net for afdelinger eller filialer. Intranettet indeholder ty-pisk informationer, der har til for-mål at sikre vidensdeling i form af beskrivelser af produkter, procedu-rer og kalendere.
Intranettets informationer vil ty-pisk være placeret på en eller flere centrale servere, som man kobler op til via sin browser. Serverne vil ligesom klient-maskinerne befinde sig bag virksomhedens firewalls og er derfor et vanskeligt tilgængeligt mål for ondsindet kode og hackere.
Repeater Hub Bridge Switch Router
Isolerede kollisionsdomæner Nej Nej Ja Ja Ja
Administration/konfiguration påkrævet Nej Nej Nej Nej Ja
Optimal routning Nej Nej Nej Nej Ja
Cut-through Ja Ja Nej Ja Nej
Kombination af forskellige teknologier Nej Nej Ja Ja Ja
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
36
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
37
Serveren behøver ikke at være de-dikeret til denne service, og intra-netservicen kan således udmærket køre på en af de andre servere. Der kan udmærket integreres databa-ser på intranettet.
Ekstranetog andre lukkede netEkstranettet kan forstås som den del af virksomhedens intranet, der er åben for autoriserede samar-bejdspartnere placeret geografisk uden for virksomheden. Ekstranet-tet giver derved virksomhederne mulighed for at dele information om bl.a. bestilling af produkter, le-veringstid m.v. med kunder.
Ekstranet kan være flere forskel-lige ting. Typisk vil nettet bestå af en fast og lukket opkobling mellem to virksomheder eller to filialer af samme virksomhed. Ingen andre end de to virksomheder vil have adgang til denne linie, som således ikke er en del af internet. Adgangen mellem de to parter skal desuden autentificeres i form af bruger-navn og password. Ekstranettet er beskyttet af både hardware og software og må betragtes som den mest sikre form for lukket net. Det er imidlertid også det dyreste fordi der mellem de parter, der vil kom-munikere, skal trækkes et kabel, som er dedikeret til udveksling af informationer mellem disse. Dette kaldes en fast linie.
Ekstranet kan dog også med en vagere definition forstås som et
net, der på baggrund af forskellige sikkerhedsniveauer og forbindel-seslinier giver adgang for eksterne parter til dele af virksomhedens in-formationer.
Et eksempel på denne type net er de såkaldte VPN-opkoblinger (Virtual Private Network). VPN-op-koblinger er baseret på, at der – når behovet opstår – dannes et virtuelt privat netværk, hvori der foretages krypteret udveksling af informatio-ner mellem to virksomheder eller to filialer. Men i modsætning til til-fældet med ekstranet går datatra-fikken ikke gennem et dedikeret kabel. I stedet anvendes internet som transportvej. Dette foregår ved, at man via routerne åbner en krypteret tunnel henover trans-portnettet. Denne tunnel bruges udelukkende til trafik mellem de to virksomheder. Data er kryp-teret, så kun de to parter selv kan afkode de sendte data. Til krypterin-gen i VPN-netværk benyttes typisk IPSec protokollen (IP Security), der er en sikker overbygning på den traditionelle (og ikke sikre) IP-protokol. IPSec stiller udover den allerede nævnte kryptering også en række andre sikkerhedsfacili-teter til rådighed, herunder sik-kerhed for at afsender virkelig er den han giver sig ud for at være, samt sikkerhed for at data hverken er blevet læst eller ændret undervejs til modtageren. Udvekslingen af kommunikation fungerer, som det er illustreret i figuren næste side:
36
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
37
Virksomhed 1 og virksomhed 2 har indgået en aftale om at udveksle be-stemte typer af informationer med hinanden. De laver derfor et net mellem hinanden. Men i stedet for at lægge et nyt kabel mellem virk-somhederne bruges en bestemt an-del af de eksisterende kabler. Nettet mellem de to virksomheder kan så-ledes bruges af andre virksomheder, når der ikke transmitteres mellem virksomhed 1 og 2. Dette gør løsnin-gen billig. Samtidig er nettet lukket af hardware i form af en router i begge ender, således at ingen andre kan få adgang, mens der transmit-teres. Deraf navnet Virtuelt Privat Netværk. Ideen med, at et netværk bruger et andet netværk, kaldes tunneling, fordi det er som om, der lægges en lukket tunnel ind i det første netværk.
En anden type forbindelse, som også udnytter tunneling, er den så-kaldte MPLS-opkobling. MPLS står for Multi Protocol Label Switch-ing og er et initiativ under IETF (www.ietf.org), der ved at integrere informationer fra transportlaget med informationer fra netværksla-get har til formål at simplificere og forbedre IP-udveksling. Dette sker ved, at ISP’eren har bedre mulig-hed for at styre datastrømmene og basere dem på prioritets- og ser-viceprincipper. Pakker kommer ind på netværket via kantroutere (Label Edge Routers), som hver især indeholder information fra både routeren (routningstabeller), transportlaget og netværkslaget og får påsat et label, som identificerer pakken. På baggrund af disse in-formationer kan kantrouteren lave
������������
������������
������������
������������
����������
������
����
���
������
����������
����
����
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
38
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
39
en tunnel på internettet, som pak-kerne transmitteres igennem. Hver udgående pakke får af en Label Switch Router påsat et label med den sti den skal følge (Label Switch Paths). Tunnelen er lukket på beg-ge sider af en kantrouter.
InternetInternet defineres i IT-Sikker-hedsrådets publikation ”IT-Sikker-hedsrådets udredning om Internet sårbarhed” (p. 19) som ”et antal datanetværk, der er forbundet med fysiske og radiobølgebaserede net-forbindelser, og som kommunike-rer med hinanden ved hjælp af et fælles sprog for dataudveksling, de såkaldte Internet-protokoller, også kaldet TCP/IP-protokolsuiten.”. Dette kan fortolkes således, at det er netværksforbindelserne mellem virksomhedernes netværk og an-dre, vi kalder internettet.
Ideen bag internettet er, at der skal kunne udveksles data mel-lem computere, som er forbundet via net, uden at det på forhånd er bestemt, hvilken vej gennem nettet trafikken skal gå. Denne idé stam-mer fra den kolde krig, hvor det amerikanske forsvar vurderede, at der var behov for mange forskellige kommunikationslinier for datatra-fik, således at trafikken ikke kunne lammes ved bombning af et eller få mål. Det betyder, at internettet er decentralt i sin struktur og derfor forholdsvis anarkistisk.
Internettet er altså kun i sig selv
et net. Men dette net kan anvendes til en lang række forskellige ser-vices – herunder f.eks. e-business, digital forvaltning og e-læring.
Begreber relateret til nettrafikSom supplement til de helt grund-læggende ting, der er gennemgået overfor, er der endnu nogle få funk-tioner på nettet, vi ikke har berørt.
ISPEn ISP er det firma, som sørger for, at en virksomhed eller en privat bruger kan få adgang til internettet. ISP står for Internet Service Provi-der eller på dansk: internetudbyder. Typisk ringer brugeren på en virk-somhed via sit lokale modem op til sin ISP. Her gennemløber man først access-nettet og når så knudepunk-tet, der dirigerer opkaldet videre til virksomhedens ISP. Knudepunktet kan evt. være ejet af virksomhedens ISP. Når man så er i kontakt med sin ISP, kan man indtaste en hjem-meside adresse, og så hentes hjem-mesiden ned som skitseret ovenfor.
Blandt de danske ISP’ere kan nævnes TDC, Get2net, Cybercity, Tiscali, Telia, STOFA, flere elsel-skaber og DSB.
De fleste internetudbydere har deres eget transportnet, som består af egne kabler. Men hertil kommer, at der findes internetudbydere, som lejer transportnet af andre udbyde-re. F.eks. er mange boligforeninger internetudbydere, men de lejer net-tet hos andre udbydere.
38
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
39
ISP’ere cacher ofte trafikken, hvilket betyder, at de midlertidigt gemmer data hentet for én bruger i håbet om, at andre brugere vil hente de samme data. Fordelen ved dette er, at trafikken reduceres, og det betyder dels, at brugerne op-lever at nettet bliver hurtigere og dels, at der spares på anvendelsen af de noget dyrere forbindelser til udlandet. Med udbredelsen af dy-namiske web-sider er denne bespa-relse dog ikke så stor som tidligere.
IXIX står for Internet eXchange og er det sammenkoblingspunkt, hvor flere transportnet mødes. På hjem-mesiden http://www.dix.dk kan man se, hvor mange og hvilke ISP’ere der har koblet deres transportnet på den danske udgave af IX’en, DIX. Private virksomheder kan også
blive koblet på i det omfang, de er villige til at betale. Der er typisk én IX pr. land, men enkelte større lande har flere. DIX drives af den statsejede ISP, UNI-C, der har til formål at ”implementere under-visningsministeriets IT-politiske målsætninger og fremstå som ud-dannelses- og forskningssektorens IT-spydsspidsorganisation”7.
Det skal fremhæves, at DIX’ens udlandsforbindelse kun anvendes til at udveksle trafik til og fra de offentlige Forsker- (højere lære-anstalter og andre forskningsin-stitutioner) og Sektornet (øvrige uddannelsesinstitutioner o.a.). Of-fentlige og private virksomheders samt privatpersoners trafik foregår via de respektive ISP’eres udlands-forbindelser (egne kabler eller peer-to-peer forbindelser) eller ved, at en ISP har indgået en aftale med en anden ISP om, at denne varetager udlandstrafikken. Det betyder, at ISP’ernes egne net knyttes direkte sammen.
For at sikre at en virksomhed kan komme på nettet, kan den lave aftaler med flere ISP’er. Hvis den ene så skulle gå ned, virker den anden fortsat, og herved undgås det såkaldte Single Point of Failure problem. I større perspektiv bety-der det, at nettet kun er begrænset sårbart, hvis DIX eller en større danske ISP’ere går ned.
Gennem bilaterale aftaler kan der være oprettet peer-to-peer for-bindelse imellem de enkelte trans-
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
40
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
41
portnet eller via såkaldte transit-net frem til det modtagende trans-portnet. Trafik mellem to ISP’ere skal således ikke runde DIX’en.
DNS, IP-adressering og routingHver computer er i besiddelse af et IP-nummer, og det er ved hjælp af disse numre, at to computere på nettet kan finde hinanden. IP-num-rene (IPv4) består af fire grupper af tal adskilt fra hinanden med et punktum. Hver gruppe indeholder maksimalt tre tal. Et eksempel er 195.215.15.66. Disse tal er imid-lertid vanskelige at huske, hvorfor man har givet numrene en navne-overbygning. Denne navneoverbyg-ning hedder Domain Name System (DNS), og den anvendes til navn-givning af computere (f.eks. web-servere) og routning af e-mail. Med DNS får hver computer altså både et IP-nummer og et DNS-navn. Forbindelsen mellem nummer og navn varetages af internettets navneservere, der er selvstændige maskiner, som rummer et kartotek over DNS-navne med tilhørende IP-numre. Eksempelvis vil navne-serveren oversætte www.di.dk til 195.215.15.66.
DNS håndteres af flere forskel-lige typer servere:> De lokale navneservere, der en-
ten står hos den enkelte virk-somhed eller hos virksomhedens ISP
> Rod navne serverne, der er pla-ceret ca. et dusin steder i verden
> Autoritative navne servere, som er en navneserver, der altid kan oversætte en hosts hostnavn til dens IP-adresse. Disse servere står typisk hos virksomhedens ISP
Når man slår en computers navn op i DNS, kan der ske tre ting. Det mest simple tilfælde er, at den loka-le DNS server kan oversætte nav-net til IP-adressen på baggrund af sin egen lokale DNS database. Hvis den lokale DNS server ikke kan klare opgaven, kan den få adres-sen på to måder. I det ene tilfælde spørger den lokale DNS server en rodserver. Hvis rodserveren ikke kan give svar, kender den i hvert fald vejen til en mellemliggende DNS server, som kan bede den autoritative server om at oversætte hostname til IP-adresse. Rodserve-ren kan enten selv indhente svaret og sende det til den lokale DNS ser-ver – eller den kan give den lokale DNS server navnet på den mellem-liggende DNS server, og så kan den lokale DNS server selv indhente svaret herfra. De to muligheder er skitseret nedenfor. Rodserveren gi-ver altså aldrig selv et direkte svar tilbage, men peger på en mellemlig-gende server – f.eks. en server der er ansvarlig for et top level domæne (.com, .biz eller lignende).
40
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
41
Håndtering af navne, domæner og IP-adresserEnhver computer på nettet skal som nævnt have en IP-adresse. ISPerne har derfor fået tildelt en række IP-numre, og når en com-puter kontakter sin ISP, vil ISP’en tildele den konkrete computer et IP-nummer. Nogle computere (ty-pisk web- og mailservere) vil dog altid have en eller flere egne faste IP-adresser.
Navnene er inddelt i forskellige dele. Eksempelvis er www.di.dk sammensat af www, som er et host-navn og di.dk, som er et domæne-navn. ”.dk” er et såkaldt top level domæne, og disse findes dels som geografisk betingede med ét for hvert land (country code, ccTLD) og dels som fagligt fordelte (gene-
riske, gTLD) på bl. a. forretninger/virksomheder (.com) og organi-sationer (.org). I nogle lande har man foretaget en underopdeling af det geografiske topdomæne. Eksempelvis er co.uk britiske fir-maer og org.uk britiske organisa-tioner. I Danmark har man ikke foretaget en sådan opdeling. Det betyder, at virksomheden typisk vil kunne erhverve sig hjemmesi-deadressen, virksomhedsnavn.dk. Hvis man i stedet vil have navnet virksomhedsnavn.com, kan ISP’en undersøge, om det er muligt at er-hverve sig dette navn.
TLD’erne administreres af den amerikanske virksomhed, The In-ternet Corporation for Assigned Names and Numbers, ICANN,http://www.icann.org. Denne orga-
�������������������������
����������������
��������������
����������������������
�������� ��������
�
�
�
��
�
�
�
�������������������������
����������������
��������������
����������������������
�������� ��������
�
�
�
�
�
�
��
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
42
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
43
nisation tager sig af koordinationen af protokol parametre, styringen af domæne navne- og rodserversyste-merne og fordeling af IP–adresser. Organisationen støttes af tre hjæl-peorganisationer, som giver specifik teknisk vejledning indenfor hver deres fagområde. I praksis er allo-keringen af IP-adresser organiseret ved, at den lokale ISP kontakter en national organisation (i Danmark DK-Hostmaster, http://www.dk-hostmaster.dk), hvis der er tale om registrering af et ccTLD, som så kontakter en af de tre regionale organisationer, der tager sig af IP-adresseallokering. ISPén kan, hvis der er tale om et gTLD, selv kontak-te de regionale organisationer. Det er for Amerika, American Registry for Internet Numbers (ARIN), for Asien, Asia-Pacific Network Infor-mation Center (APNIC) og for Euro-pa, Réseaux IP Européens (RIPE NCC). Disse organisationer melder så deres registreringer tilbage til In-ternet Assigned Numbers Authority (IANA), http://www.iana.org, der tidligere varetog alle de områder, som ICANN nu sidder med. IANA er nu den organisation, der på en lang række områder udfører de praktiske beslutninger, som ICANN tager.
I det omfang der opstår tvister i forbindelse med allokering af navne fra DK-Hostmaster, afgøres disse af Dansk Internet Forum (DIFO),http://www.difo.dk, som er en for-ening, der er er stiftet af bl.a. DI, og som 100 pct. ejer DK-Hostmaster.
DIFOs bestyrelse udpeges af Forsk-ningsministeren, og det skal tilstræ-bes, at private brugere, erhvervsli-vet og internetbranchen er ligeligt repræsenteret.
For den enkelte virksomhed er det imidlertid kun vigtigt at vide, at det er ISP’en, som tager sig af denne re-gistrering af IP-adresser.
TidsstyringStyringen af DNS, routerne og an-dre internet-services er afhængig af tiden, idet tiden er afgørende for, hvordan en service fungerer og/eller, hvordan data behandles. Dermed bliver ekstern påvirkning af ure i hosts et middel til at påvirke drifts-stabiliteten af routere og navneser-vere. Tiden får desuden i stigende grad betydning, fordi korrekte tids-angivelser kan være afgørende for efterforskning af datakriminalitet – eksempelvis i forbindelse med gen-nemgang af log-filer. I forbindelse med kryptering af data (IPSec) er det ligeledes meget vigtigt, at der er styr på tiden. Hvis en pakke mod-tages, inden den er afsendt (hvilket kan ske, hvis modtagerens ur er bagud i forhold til afsenderens ur), vil modtageren ikke kunne afkode de krypterede pakker.
For at råde bod på disse proble-mer benyttes tidssynkronisering mellem hosts. Dette kan enten ske ved at udnævne en bestemt host til at være primær tidsserver eller ved at bruge tidsservere, som er tilgæn-gelige over internettet. Kommuni-
42
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
43
kation med disse tidsservere over internettet sker via Network Time Protocol, som er en overbygning på TCP/IP-protocollen.
Gratis tidsservere, der kan kontaktes via internettet, ud-bydes bl.a. via University of Mi-chigan, og de nærmere tekniske detaljer kan findes på adressen:http://www.umich.edu/~rsug/services/ntp.html.
Web cache En webcache – også kaldet en proxy server – er en netværksenhed, der kan besvare ønsker om at se en hjemmeside på vegne af den ser-ver, som den ønskede side ligger på. Webcachen virker dermed som mellemmand for virksomhedens computere ud mod internettet. For-delen ved dette er, at den server, som måske er den egentlige vært for siden, er placeret på den anden side af jorden, mens cache serveren typisk står i virksomheden eller hos ISP’en. Webcaches anvendes fordi:
> Det kan reducere svartiden på at hente en hjemmeside betydeligt, fordi den skal transporteres kor-tere
> Trafikken på internettet reduce-res betydeligt
> Trafikken på meget eftertragtede hjemmesider reduceres betyde-ligt, således at den institution, der udbyder hjemmesiden, ikke skal opgradere servere og båndbredde for at følge med efterspørgslen
> De lægger sig imellem en klient og en webserver således, at disse ikke kommunikerer direkte med hinanden og dermed forbedrer sikkerheden på det interne net-værk. I denne betydning anven-des proxy serveren som en fire-wall, hvad der bliver set mere på nedenfor.
En webcache fungerer på følgende måde:1. Klientens browser er konfigu-
reret således, at når brugeren beder om at etablere en TCP-forbindelse til en hjemmeside, laves der i virkeligheden først en forbindelse til webcache med henblik på at finde ud af, om si-den er lagret her
2. Webcachen undersøger, om den har lagret en kopi af hjemmesi-den. I bekræftende fald returne-res denne til browseren
3. Hvis webcachen ikke har det pågældende objekt lagret, laver webcachen en TCP forbindelse til den server, hvis hostadresse er angivet af browseren. Dette sker via et http ønske om at lave en TCP-forbindelse – præcis som hvis det var en almindelig bru-ger, der fremsatte ønsket. Den webserver, som modtager ønsket, returnerer så objektet til webca-chen – idet det jo er den, som overfor webserveren har fremsat ønsket.
4. Når webcachen modtager objek-tet, gemmer det en kopi i sit eget
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
44
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
45
lager og forwarder desuden en kopi i en http meddelelse til den klientbrowser, der oprindeligt la-vede TCP-forbindelsen til webca-chen
GatewayEn gateway er en node på et net-værk, der fungerer som indgangen til et andet netværk. En gateway er dermed mere en funktion af et stykke hardware, end det er et be-stemt stykke hardware i sig selv. I de fleste virksomheder er det enten proxy-serveren eller firewallen, der fungerer som gateway. For en pri-vat bruger er det ISP’en, som udgør gatewayen. Det er gatewayen, som router trafikken fra en klient vi-dere ud på f.eks. internettet. Hvor serveren og arbejdsstationen er hosts, gør dette sig ikke gældende for gatewayen. Gatewayen er as-socieret med både en router – som via pakkernes headere og sin egen routningstabel bestemmer, hvor pakkerne sendes hen – og en switch – som angiver stien ind og ud af gatewayen.
FirewallFirewallen filtrerer trafikken mel-lem to netværk – typisk et lokalt netværk og internettet – og sikrer, at der kun kommer de pakker igen-nem de porte, som man på forhånd har besluttet sig at tillade8. Fire-wallen er et af de vigtigste appara-ter til at sikre sig mod angreb fra personer udenfor virksomhedens
netværk – f.eks. fra internettet. Udfordringen ved firewalls er at få tilpasset den rette sikkerhed dels uden at begrænse de interne brugere på netværket for meget og dels uden at få for høj grad af kom-pleksitet forbundet med at styre firewallen.
Firewallen er kun til nytte, hvis man sikrer sig, at man har lukket
44
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
45
for al anden adgang end netop den, man har behov for. Det er derfor vig-tigt at evaluere de forretningsmæs-sige behov for hvilke applikationer, der skal kunne kommunikere via internettet og dermed skal have en port stående åben i firewallen. Det er også vigtigt at vurdere, hvilke typer af pakker, man har brug for til en given kommunikation – f.eks. TCP eller UDP. Når de beslutninger er taget, er det vigtigt, at firewallen konfigureres rigtigt således, at det også i praksis kun er de nødvendige porte, der står åbne. Denne opgave kan eventuelt outsources, hvis virk-somheden ikke har personale med tilstrækkelig viden på dette punkt. Det er også vigtigt på længere sigt at undersøge, om de til enhver tid gældende regler fortsat gør sig gæl-dende i praksis. I visse tilfælde vil en medarbejder ved at installere en applikation komme til at åbne et hul i virksomhedens forsvar udad til. Derfor bør der jævnligt foretages penetrationstest, som bl.a. bestem-mer, om firewallen har de korrekte porte åbne og resten lukket. Fire-wallen må under alle omstændighe-der selv være sikret, så hackere ikke kan få adgang til netværket ved at tage kontrol over firewallen.
Det skal bemærkes, at firewallen er et apparat på netværket. Det er ikke en magisk ting, som løser alle sikkerhedsproblemer. Firewallen bruges til at lave restriktioner til netværket mod personer, der forsø-ger at trænge ind på det udefra. Den
bruges ikke til at begrænse mulig-hederne for, at virksomhederne kan få virus ind på systemet via en diskette!
Firewalls kan fås enten som hard-ware eller software. Hardwaremo-dellen er en boks, hvor firewallen sættes op lige efter den router, som router trafikken til virksomheden (typisk ”den sidste router” hos ISP’en – og firewallen bliver derfor typisk det første apparat, en pakke møder på virksomhedens egen IT-infrastruktur). Firewallen kan dog også enten integreres med routeren eller med proxyserveren. Der er der-med tre typer hardware-firewalls. Den anden type er en personlig fire-wall, som er et stykke software, der installeres på den enkelte klient. Dette vil typisk være nyttigt for private brugere. Endelig er det mu-ligt at få routet sin trafik igennem eksterne leverandørers firewall. Fordelen ved dette er, at trafikken overvåges løbende af personale med spidskompetencer indenfor netop at kunne afsløre, om en virksomhed er under angreb ude fra internettet. Vi vil sidst i denne publikation se lidt nærmere på outsourcing af IT-sik-kerhedsløsninger.
Firewalls kan også rubriceres ef-ter, hvilken specifik funktionalitet de har. De forskellige typer firewalls fungerer nemlig på forskellig måde. Vi sondrer mellem fire typer, der dog ikke er sammenfaldende med, om der er tale om hard- eller soft-warebaserede firewalls.
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
46
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
47
Routere med elementer af firewallsikkerhedRoutere har i stigende grad fået indbygget elementer af firewall-sikkerhed – men det er vigtigt at understrege, at der er stor forskel i funktionaliteten af de enkelte produkter, og man skal derfor – før man køber en firewall eller en rou-ter – gøre sig helt klart, hvilken funktionalitet apparaterne har. Det ene firewall-agtige element, routere ofte har, er Access Control Lists (ACL), som er lister over tilladte eller forbudte adresser baseret på deres oprindelse eller destina-tion, som man kan kommunikere med. Det andet element er, at de interne IP-adresser på netværket ofte bliver gemt bag en enkelt fæl-les offentlig IP-adresse, som så er synlig for modtageren. Dette gør, at modtageren ikke kan få direkte at se, hvilken computer der har været afsender.
Proxy servermed firewallreglerNår en klient beder om få vist en hjemmeside, vil den bede proxyser-veren hente den for sig. Proxyserve-ren kan så på baggrund af de reg-ler, som den skal efterleve, beslutte om den vil hente sidens indhold. Hvis indholdet hentes, pakkes det om, førend klienten modtager det. Det betyder, at klienten og webser-veren aldrig taler direkte sammen, men i stedet taler gennem proxy-serveren. Dette øger sikkerheden
betydeligt, fordi webserveren ved meget lidt om klienten. Samtidig vil pakker, der bliver dømt ulovlige på grund af indhold eller ulovligt forsøg på adgang til proxyserveren, aldrig nå frem til klienten.
Man kan også beskytte services på det interne netværk ved at sætte begrænsninger på de anvendelses-muligheder og kommandoer, man kan give en applikation udefra. Denne kontrol sker på applikati-onsniveau, og derfor kaldes proxy-serveren nogle gange en application level gateway.
46
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
47
Statisk pakke filtreringFirewallen kan på baggrund af en række regler filtrere på de enkelte pakker. Reglerne kan opstilles på baggrund af alle informationerne i pakkens header – f.eks. modta-ger- og afsenderadresser, kilde- og destinationsporte og den anvendte protokoltype. Dette er vigtigt fordi, som vi har set ovenfor, vil en række applikationer lytte på bestemte porte for at høre, om der er nogle andre programmer, der vil kommu-nikere med dem. Hver gang man starter sådan en applikation med tilhørende proces op, risikerer man også at åbne en port ud til internet-tet. Firewallen kan sikre, at kun de porte, som man har et reelt (f.eks. forretningsmæssigt begrundet) be-hov for at bruge, står åbne.
Statefull inspectionEn sidste måde, en firewall kan fungere på, er ved at sikre, at al ingående transmission af data er et svar på en henvendelse inde fra netværket. De individuelle forbin-delser, der åbnes mellem en klient og en webserver (sessions), overvå-ges og tildeles deres egen port i fire-wallen, der bruges til den bestemte forbindelse, hvorefter den lukkes igen. Enhver pakke får kun lov til at passere igennem firewallen, hvis den er tilknyttet en bestemt forbindelse, der er initieret inde fra netværket. Dette er meget vig-tigt, fordi et angreb udmærket kan startes ved, at en medarbejder har
set sig sur på virksomheden eller ved, at en medarbejder i uvidenhed kommer til at dobbeltklikke på en vedhæftet fil i en mail og dermed starter et virusudbrud i virksom-heden.
Som det fremgår af ovenståen-de, virker firewallen både i forhold til ind- og udgående trafik. Man kan altså pålægge begrænsninger fra begge veje. Dette er nyttigt, hvis man skal undgå et angreb indefra netværket.
I forbindelse med administration af firewallen er der to forhold, der er værd at nævne. Når firewallen skal installeres, er den ofte fra fa-brikkens side blevet tildelt et stan-dardpassword9. Det er vigtigt at ændre dette password således, at en hacker fra internettet ikke kan tilegne sig kontrol med firewallen. Firewallen genererer en logfil, som viser hvilken trafik, der er løbet igennem den. Det er væsentligt at have faste rutiner for gennem-gang af sådanne logfiler således, at det hurtigst muligt afsløres, om virksomheden er – eller har været – udsat for angreb. Der findes en række programmer, som kan gøre gennemgangen af logfilen lettere – og evt. kombinere den med gen-nemgang af logfiler fra andre syste-mer. Det findes også programmer, som løbende overvåger log-filen, og gør opmærksom på det – f.eks. via en mail eller en SMS – hvis noget, der minder om et angreb, er ved at ske.
NE
TT
ET
S IN
FRA
ST
RU
KT
UR
48
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
49
BokseSom det allerede er nævnt, er markedet for bokse med forskellig funktionalitet konvergeret betyde-ligt gennem de senere år. Dette er kombineret med, at man har set et betydeligt prisfald for disse produk-ter. Desuden er en række løsninger, som tidligere typisk var software-løsninger, kommet ud at ligge på en selvstændig boks eller er blevet in-tegreret i andre eksisterende bokse. Vi må forvente, at denne udvikling fortsætter således, at man på sigt vil kunne erhverve sig bokse, der kan fungere som både routere, fire-walls og switches kombineret med, at de har spamfiltre, antivirus-, antispyware og intrusion detection software installeret10. Det er meget vigtigt, at virksomhederne i stigen-de grad er opmærksomme på, præ-cis hvad det er, de køber, og tilegner sig viden om, hvordan det konfigu-reres, således at det: 1. virker efter hensigten, 2. er i overensstemmelse med virksomhedens forretning og 3. i overensstemmelse med virk-somhedens sikkerhedskrav.
Central styringDet skal bemærkes, at mange af de apparater, der findes på virk-somhedens netværk, kan styres
og overvåges centralt. Tilsvarende afgiver mange af apparaterne rap-porter om de ting, der sker på net-værket. Disse rapporter – kaldet logfiler – kan typisk anvendes til at give alarmer til den systemansvar-lige, hvis en given hændelse skulle indtræffe. Da disse forhold ikke di-rekte har noget at gøre med, hvor-dan nettet virker (når alt går som det skal), vil vi ikke gennemgå dem her. Blot skal det pointeres, at det er yderst nyttigt for virksomheden at styre så meget fra centralt hold som muligt, og at man på systema-tisk vis bør gennemgå de rapporter, der genereres fra apparaterne på netværket.
48
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
49
Vi vil nu beskrive fire typer net-værk, som man kan implementere i sin virksomhed afhængig af, hvil-ken størrelse virksomheden har. Anbefalingerne er baserede på, at læseren har kendskab til den net-værksterminologi, der er gennem-gået ovenfor. Vi beskriver fire typer netværk – alle med forbindelse til internet:
1. Det helt lille netværk> Lille produktionsvirksomhed> Enkelte funktionærer> Få arbejdsstationer> Netværket er seriel forbinding af
maskiner – eller et LAN baseret på en hub
> Få computere med internetad-gang og én ISP’er
> Én fysisk lokation
2. Det lidt større netværk> Medium produktionsvirksomhed> Nogle funktionærer> Nogle arbejdsstationer> LAN baseret på bridge eller
switch> Servere: Domain controller, fil-
server, økonomistyring> Mail og internet outsourcet og én
ISP’er> Én lokation
Opbygning af netværk
3. Det store netværk> Stor produktionsvirksomhed> En del funktionærer> Udviklingsafdeling> En hel del arbejdsstationer> Segmenteret LAN baseret på
switch> Servere: En række servere til for-
skellige formål – herunder en til økonomistyring og en proxyser-ver
> Mail, internet og ekstranet i DMZ og to ISP’ere
> Én lokation
4. Koncernløsningen> Stor produktionsvirksomhed> Mange funktionærer> Mange nationale og internatio-
nale afdelinger> Mange arbejdsstationer> WAN, central serverpark og de-
centrale servere> Trådløse netværk> Opkobling fra hjemmearbejds-
pladser (trade-off mellem familie og sikkerhed)
> Opkobling fra rejsende medar-bejdere
> Anvendelse af gadgets og mobil-telefoner
> Servere: mange med alle mulige tænkelige formål
OP
BY
GN
ING
AF N
ET
VÆ
RK
50
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
51
> Monitorering af serverpark og produktionsudstyr via internet-tet
> Mail og internet fra mange ISP’ere i forskellige lande samt flere DMZ og DNS
> Mange lokationer
Man kan få god inspiration til at opbygge sin IT-infrastruktur ved at kigge på denne hjemmeside:http://www.ciscoretail.com/sbnd/child/1.0/wizard.asp?qid=1&langid=1&configid=43308&dmrid=1.
Det helt lille netværkDet helt lille netværk består af dis-se komponenter:> Lille produktionsvirksomhed> Enkelte funktionærer> Få arbejdsstationer> Netværk er seriel forbinding af
maskiner eller et LAN baseret på en hub
> Få computere med internetad-gang og én ISP’er
> Én fysisk lokation
Et netværk af denne størrelse pas-ser til en virksomhed, der har en di-rektør, to mellemledere og to sekre-tærer, der har hver deres computer. Desuden kan virksomheden bestå af en produktionsafdeling, der ikke har adgang til computerfaciliteter, men som udelukkende anvender maskiner til fremstilling af virk-somhedens produkter.
Internt i virksomheden skal de enkelte computere kunne kom-
munikere med hinanden. Dette sker ved, at hver computer har et netværkskort (en adapter), der er forbundet med de andre compu-tere. En sådan forbindelse kan ske serielt, hvor netkortene forbindes direkte med hinanden. Mere hen-sigtsmæssigt er det at forbinde alle netkortene til en hub, fordi det går langt hurtigere og kræver færre netkort. Man kan også anvende en bridge eller en switch i stedet for en hub. Hubs udmærker sig ved at være meget billige. Hvis man regner med at udvide sit netværk inden for kortere tid, er det mest hensigtsmæssigt at købe en switch, fordi disse giver bedre driftsstabi-litet og efterhånden også er blevet rimeligt billige. Bridges bruges i praksis stort set ikke mere – netop fordi mange switches er blevet re-lativt billige og har bedre funktio-nalitet.
For at forbinde virksomhedens netværk til internettet kræves der et modem for at få adgang til at kunne sende datatrafik igennem telefonstikket. Imidlertid må det for selv små virksomheder anbefa-les at få en bredbåndsadgang og en router. Det er routeren, som sender datatrafik ind og ud af virksomhe-den fra og til internetudbyderen og videre ud på internettet. Typisk vil routeren kunne blive leveret fra in-ternetudbyderen.
For at beskytte virksomheden mod uautoriseret indtrængen ude fra internettet må det anbefales
50
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
51
at sætte en firewall op. Firewal-len sikrer, at uvedkommende (eller vedkommende) ikke kan få adgang til virksomhedens data ude fra in-ternettet. Dette sker ved at blokere for kommunikation på alle de porte (og dermed alle de programmer), som virksomheden ikke anvender i sin forretning. I det konkrete til-fælde bør der lukkes for alle andre porte end port 80, som anvendes til internettrafik, og port 25, som anvendes til e-mail. Eventuelt kan man også lade port 443, som anven-des til sikker internettrafik – f.eks. netbank – stå åben. Ovenstående virksomhed er meget lille i med, at den ikke har nogle egentlige servere. Det betyder f.eks., at virksomhedens økonomi-styringssystemer kører på en en-kelt PC (der jo så optræder som ser-ver). Det er ikke hensigtsmæssigt i større virksomheder, hvor flere personer skal have adgang til data. Det er heller ikke særlig sikkert,
fordi den enkelte PC, der typisk bruges til mange forskellige ting, ofte har betydeligt lavere driftssta-bilitet end en server. Vi vil derfor se på, hvad der kan anbefales for en lidt større virksomhed.
Det lidt større netværkDet lidt større netværk antages at bestå af disse komponenter:> Medium produktionsvirksomhed> Nogle funktionærer> Nogle arbejdsstationer> LAN baseret på bridge eller
switch> Servere: Domain controller, fil-
server, økonomistyring> Mail og internet outsourcet og én
ISP’er> Én lokationI den lidt større virksomhed anta-ges det, at der er ti computere, der nu er forbundet i et internt net-værk. Alle computerne antages at anvendes til administrative opga-ver således, at der ikke er en orga-
��������������
����������������������������
���
��������
�������
OP
BY
GN
ING
AF N
ET
VÆ
RK
52
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
53
nisatorisk grund til at segmentere i flere netværk. Vi antager desuden, at de administrative opgaver er så store, at det er hensigtsmæssigt at introducere flere servere. Domain controlleren bruges til at holde styr på, hvilke brugere der er på syste-met, hvornår de logger på, samt hvilke IP-adresser den enkelte com-puter får på netværket. Filserveren bruges til at lagre data, der er vig-tige for virksomhedens drift. Dette kan f.eks. ske ved, at hver bruger får adgang til et bestemt netværks-drev, hvor alle kan dele data med hinanden. Hvad, der opleves som et fælles netværksdrev for brugerne, er oprettet som en fælles share på filserverens harddisk. Desuden sker det ved, at hver bruger får et personligt netværksdrev, der lige-ledes er en share på filserveren. Fordelen ved at have en sådan cen-
tral server til at lagre data er bl.a., at man let kan dele filer på denne måde og desuden, at der kan tages central backup af alle data, når de ligger på en central server. Endelig antager vi, at der en central server, som anvendes til økonomistyring. Fra de forskellige klienter kan data så lagres centralt på denne server, og der kan udtrækkes samlede re-sultater for virksomheden via den-ne centrale økonomistyringsserver.Internt i virksomheden skal com-putere og servere forbindes. Men grundet det større antal klienter og introduktionen af de tre servere må vi nu entydigt anbefale, at forbin-delsen sker via en switch. Switchen er hurtigere, idet den kun sender pakker til den rette modtager, og idet den enkelte klient både kan af-sende og modtage på samme tid.
��������������
����������������������������
������
��������
�������
���������
��������������
����������������
52
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
53
Virksomhedens forbindelse ud på internettet kræver den samme net-værkskonfiguration som tidligere, idet virksomheden fortsat ikke ho-ster nogle servere, der har med in-ternetfunktionalitet at gøre – f.eks. web-, mail, ftp- eller streamingser-ver. Derfor skal virksomheden blot have en router og en firewall for at få adgang til internettet.
Ovenstående virksomhed er sta-dig ikke specielt stor. Vi vil derfor nu se, hvad der sker, hvis vi intro-ducerer segmenter internt i virk-somhedens netværk, lader virk-somheden have transaktioner med omverdenen gennem et ekstranet og desuden lader den hoste sin egen mail-, web og proxyserver.
Det store netværk> Stor produktionsvirksomhed> En del funktionærer> Udviklingsafdeling> En hel del arbejdsstationer> Segmenteret LAN baseret på
switch> Servere: En række servere til
forskellige formål – herunder en til økonomistyring og en proxy-server
> Mail, internet og ekstranet i DMZ + to ISP’ere
> Én lokation
I en virksomhed der kan betegnes som stor, er det ofte nødvendigt at opdele netværket i flere segmenter. Dette kan f.eks. ske på en organi-satorisk baggrund således, at de,
der tilhører den samme funktion i organisationen, kommer på samme netværk. Selv om netværkene er segmenterede, kan der udmærket kommunikeres mellem dem. Seg-menteringen sker for det første, fordi det er begrænset, hvor mange mennesker der effektivt kan være placeret på det samme netværk. For det andet – fordi segmenterin-gen medfører opdeling i kollisions-domæner, og dermed kan en del af netværket gå ned, uden at samtlige funktioner i virksomheden berøres heraf. Hvert segment kan have egne servere, og der kan desuden være adgang til servere placeret udenfor segmentet. Endelig – for det tredje – fordi det ofte kan være hensigtsmæssigt at adskille de computere, der skaber en masse netværkstrafik. Herved undgår virksomheden, at f.eks. regnskabs-afdelingens svartider på netværket forøges i negativ grad, hvis udvik-lingsafdelingen er ved at overføre en stor mængde data imellem to servere.
I dette tilfælde har virksomheden ikke kun én, men to ISP’ere. Det kan være hensigtsmæssigt, hvis virksomheden er meget følsom i for-hold til at have adgang til internet eller mail. Hvis den ene internet-udbyder får tekniske vanskelighe-der, går i betalingsstandsning eller hvis der opstår et kabelbrud, kan virksomheden fortsat få adgang til nettet ved at benytte den anden ISP’er.
OP
BY
GN
ING
AF N
ET
VÆ
RK
54
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
55
Vi har også i den store virksom-hed introduceret en proxyserver. Proxyserveren har til formål at lette klienternes adgang til inter-net ved at lagre hjemmesider, som hyppigt anvendes i virksomheden. Proxyserveren har også til formål at sikre, at de virksomhedsinterne IP-adresser ikke eksponeres uden for virksomheden. Hvis en klient f.eks. sender en anmodning om at få vist en hjemmeside, vil den an-mode proxyserveren om at foretage anmodningen i forhold til webser-veren. Webserveren ser så kun, at det er proxyserveren, der anmoder om at få vist hjemmesiden, og får aldrig direkte adgang til klienten. Proxyserveren kan så, inden den sender hjemmesiden videre til kli-enten, kontrollere hjemmesiden
for, om den er i overensstemmelse med virksomhedens IT-sikkerheds-politik. F.eks. kan proxyserveren konfigureres, så den ikke må vise sider, der indeholder streaming, og dermed kræver meget båndbredde. Den kan også konfigureres til ikke at vise hjemmesider, der indehol-der porno. Endelig kan en række skadelige programmer sorteres fra via proxyserveren. Proxyserveren aflaster dermed firewallen på en række områder.
Endelig har den store virksom-hed også introduceret en demilita-riseret zone (DMZ). Denne zone er introduceret, fordi virksomheden ikke længere har outsourcet sin hjemmeside og mailserver til en ekstern leverandør. I stedet har virksomheden nu taget disse serve-
��������������
����������������������������
������
��������
�������
�����������������������������������������������������������
�������
�������������
������������������������������
������������
��������������������������������
�����������������������������
���
���
�����������
����������
���������������
��������������
���
������
54
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
55
re ind på sit eget netværk. Serverne er imidlertid afhængige af, at man kan kommunikere med dem ude fra internettet – ved at sende mails til mailserveren og hente virksom-hedens hjemmeside, der ligger på webserveren. Sådanne anmodnin-ger, der kan komme fra personer, som er fuldstændig fremmede for virksomheden, bør kun ske til et segment af netværket, som er iso-leret fra virksomhedens øvrige net-værk. Virksomheden tillader derfor trafik af bestemte typer (http på port 80, og smtp på port 25) ind på dette afgrænsede segment. Men en person udefra må aldrig kunne få adgang til andre dele af netværket. Inde i virksomheden findes derfor andre servere, som kommunikerer med de servere, der står i DMZ. F.eks. står der inde i virksomhe-den en mailserver, som trækker de mails, der er skubbet til mailserve-ren i DMZ, til sig og lægger dem i den relevante postkasse. Klien-terne kan derefter kigge i postkas-sen på den interne mailserver og få adgang til indholdet i de forskellige mails. På tilsvarende vis fungerer den ekstranetserver, der er placeret i DMZ’en. Her logger en kunde ind på sin konto og afleverer en ordre. Indlogningen sker ved, at en server på et segment internt i virksomhe-den checker, om der er nogen, der vil logge ind. Herefter afleverer kunden sin ordre på ekstranetser-veren i DMZ’en, og virksomhedens økonomistyringsserver trækker
den ind i virksomheden. Ekstranet-serveren er en såkaldt front-end-server – en server hvor data afle-veres. Økonomistyringsserveren, som lagrer og bruger data, kaldes en back-end-server.
Når virksomheden skal opdatere sin hjemmeside, sker dette typisk ved at opdatere en webserver, der står inde i virksomheden. Denne server skubber så informationerne ud til webserveren i DMZ’en. In-ternt fra virksomheden kan man altså skubbe eller trække informa-tioner ud til serverne i DMZ’en. Ude fra internettet kan man kun skubbe eller trække en meget be-grænset mængde informationer til serverne i DMZ’en.
Hvis det skønnes nødvendigt, kan hver enkelt server i DMZ’en have sin egen firewall installeret. Det betyder, at man helt præcist kan definere hvilke informationer, der kan trækkes eller skubbes af hvem på et givent tidspunkt. Dette vil øge sikkerheden betydeligt.
Vi kan opsummere dette til, at DMZ’en i kombination med firewal-len har følgende roller:
> Ude fra internettet kan der foregå en stærkt begrænset kom-munikation ind i DMZ’en. Det er firewallen, som sætter begræns-ningen.
> Ude fra internettet kan der over-hovedet ikke foregå nogle former for kommunikation med de øv-rige segmenter af virksomhedens
OP
BY
GN
ING
AF N
ET
VÆ
RK
56
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
57
interne netværk. Det er igen fire-wallen, der bestemmer dette.
> Internt i virksomheden trækker de relevante servere informatio-ner ind fra de relevante servere i DMZ’en, der selv har fået in-formationerne skubbet til sig fra brugere på internettet.
Vi har hermed identificeret fire ni-veauer af sikkerhed, som kan ind-bygges i virksomhedens netværk, i forhold til kommunikation med an-dre computere på internettet: > Routeren
Routeren foretager den første, overordnede filtrering af data. Routerens aktiviteter er på in-gen måde tilstrækkelige til, at man kan føle sig sikker – med mindre routeren også har andre indbyggede funktionaliteter.
> FirewallenFirewallen står for en betydelig filtrering af ind - og udgående pakker. Filtreringen er baseret på den politik, virksomheden har valgt, der skal gælde.
> Firewalls i DMZ’enHver enkelt server i DMZ’en kan have en personlig firewall, som yderligere specificerer præcis hvilken kommunikation, der kan ske med den pågældende server.
> ProxyserverenProxyserveren sørger for, at der ikke kan foregå direkte kommu-nikation mellem klienterne på det virksomhedsinterne netværk og servere på internettet.
Vi vil nu udvide netværket med rej-sende medarbejdere, afdelinger der fysisk er placeret på andre lokatio-ner og trådløse netværk.
Koncernløsningen> Stor produktionsvirksomhed> Mange funktionærer> Mange nationale og internatio-
nale afdelinger> Mange arbejdsstationer> WAN + central serverpark og de-
centrale servere> Trådløse netværk> Opkobling fra hjemmearbejds-
pladser (trade-off mellem familie og sikkerhed)
> Opkobling fra rejsende medar-bejdere
> Anvendelse af gadgets og mobil-telefoner
> Servere: mange med alle mulige tænkelige formål
> Monitorering af serverpark og produktionsudstyr via internet-tet
> Mail og internet fra mange ISP’ere i forskellige lande, samt flere DMZ og DNS
> Mange lokationer
Vi ser nu på, hvordan en lille kon-cern kunne vælge at bygge sit net-værk op. Den væsentlige organisa-toriske forskel er, at virksomheden nu har to fysiske lokationer og des-uden har medarbejdere, der rejser rundt i verden og dermed har behov for at koble sig op fra hoteller, in-ternetcafeer eller hjemmet.
56
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
57
På den tekniske front har vi nu in-troduceret trådløse netværk, DNS, WAN og opkobling til virksomhe-den fra forskellige lokationer uden for virksomhedens fysiske udstræk-ning.
Den væsentligste ændring er introduktion af et Wide Area Net-værk (WAN). Dette netværk har til formål at binde virksomhedens to fysiske lokationer sammen.
I det konkrete tilfælde består vores WAN af to LANs, men der kan sag-tens være mange LANs. Når virk-somheden skal etablere et sådant WAN, er der behov for tre ting: rou-tere på kanten af alle involverede LAN’s, forbindelser mellem disse routere og en sikkerhedsstrategi for WAN’et.
OP
BY
GN
ING
AF N
ET
VÆ
RK
��������������
����������������������������������������
������
��������
�������
�����������������������������������������������������������
�������
�������������
������������������������������
������������
��������������������������������
����������������������������
���
���
�����������
����������
����������������
���
������
�����������
��������������������������������������
��������������������������������������������������
��������������������
��������������
���
���������������
�������������� ������
�������
�����������������������������������������������������������������
�������
�������������
���������������������������
������������
�������������������������������������
������������������������
���
���
�����������
����������
���
������
�����������
���������������������������������
��������������
�����������������������������������������������
58
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
59
Vi har gennemgået routeres funk-tionalitet tidligere. En sammenbin-ding af LANs kan ske på følgende måder:
Dedikeret forbindelseDen mest logisk simple mulighed er, at man trækker et kabel eller opsætter en satellit forbindelse mellem de to lokationer. Hvis der er lang afstand imellem disse lokatio-ner, er det imidlertid en urealistisk dyr løsning, og man vil derfor stort set altid se sig nødsaget til at an-vende eksisterende infrastruktur.
Lejede linierStort set al den infrastruktur, der er behov for, eksisterer i forvejen. Det er derfor en typisk anvendt mulighed at leje sig ind på denne eksisterende infrastruktur og beta-le for forbindelsen ud fra f.eks. den mængde af trafik, som to lokationer udveksler. Løsningen kaldes ofte en punkt-til-punkt forbindelse. I dette tilfælde lejer man typisk linien af sin ISP’er og sikrer sig, at ISP’eren har kontrakter med de øvrige ISP’er, man har brug for på sin vej mellem de to lokationers routere. Det kan også være meget centralt at sikre, at der eksisterer en alter-nativ sti mellem de to systemer, hvis den ene sti skulle bryde ned.
Offentlige netværkAnvendelse af offentlige netværk er den typiske måde, man i dag opsætter et WAN på. Fordelen
ved denne metode er entydigt, at det er den billigste. Årsagen er, at virksomheden ikke lejer en fast forbindelse til sig selv alene. I stedet anvendes de netværk, som trafikken skal gennemløbe under-vejs, til masser af anden trafik, og dermed kan der komme optimal udnyttelse af forbindelserne. En række forskellige teknologier kan anvendes til dette formål. Den før-ste er såkaldte switched circuits, hvor routerne forbinder sig til og autentificerer hinanden, når de har behov. Herefter udveksles data, og forbindelsen lukkes igen. En anden løsning er packet switching (frame relay, ATM, MPLS, PPP m.fl.), hvor brugerne på nettet deler en fælles kommunikationsressource – f.eks. et kabel. Dette sker typisk i for-bindelse med den tredje løsnings-model, hvor virksomheden opretter et virtual circuit mellem sine to lo-kationer. Der er her to muligheder: Enten et switched virtual circuit, hvor forbindelsen er dynamisk og baseret på behov – eller et perma-nent virtual circuit, hvor forbindel-sen mellem de to lokationer er op-rettet permanent. Uanset hvilken løsning der vælges, får pakkerne en label på sig i headeren, der betyder, at de hører til en kommunikations-strøm mellem to bestemte parter – og ikke andre!
Sikkerhedsstrategien for LAN’et afhænger meget af den teknologi-ske løsning, der ligger i routere og de forbindelser, der er lavet mellem
58
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
59
disse. Ofte vil sikkerheden være hængt op på, at de to lokationers firewalls og routere kender hinan-dens IP-adresser og åbne porte og derfor ved præcist, hvem de må kommunikere med – og dermed også implicit, at de ikke må kom-munikere med nogen andre. Dette bør forstærkes med autentifice-ring af brugerne i forhold til de toLANer. Desuden kan det yderligere sikres ved, at de to lokationer hver især kun må aflevere data på hertil specielt dedikerede servere i DMZ. Endelig kan man også oprette VPN forbindelser mellem de to LANer.
Et andet element, som er inklu-deret i koncernens infrastruktur, er, at medarbejderne har behov for at koble op fra mange forskellige lo-kationer – i hjemmet eller fra hotel-værelser med en dedikeret arbejds-PC. Dette vil typisk ske gennem en VPN (Virtual Private Network) forbindelse. I dette tilfælde skal der på forhånd være installeret en VPN-klient på medarbejderens PC. Firewallen vil så genkende
den bærbare PC’s indstillinger, og brugeren skal autentificere med brugernavn og password. Men det er vigtigt at understrege, at ingen af metoderne ATM, MPLS m.fl. gør kommunikationen sikker i betyd-ningen af, at pakkerne ikke ændres (integritet), uautoriseret adgang til pakkerne (fortrolighed) eller identi-ficerer parterne, der indgår i kom-munikationen (autentifikation). Dette skal sikres med andre midler – bl.a. kryptering.
Rejsende medarbejdere kan også få behov for at koble op til virksom-hedens netværk fra en fremmed computer ude i verden – f.eks. fra en internet-café. Hvis der er behov for dette, kan virksomheden etab-lere en løsning, hvor medarbejderen får adgang virksomhedens netværk via en browser. Dette sker typisk ved, at medarbejderen på forhånd skal være givet: 1.) et brugernavn, 2.) et password og 3.) et token med en pinkode, der kan give et en-gangs-password. Medarbejderen vil så kontakte en front-end-webserver
OP
BY
GN
ING
AF N
ET
VÆ
RK
60
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
61
i virksomhedens DMZ. Denne vil kommunikere med en intern server, der kan autentificere brugeren, som efter autentificering får adgang til alt, hvad brugernavnet normalt gi-ver adgang til. Det er meget vigtigt, at virksomheden fastlægger præcise politikker for, hvornår noget sådant må ske, hvilke medarbejdere det må ske for og desuden, om medarbejde-ren skal have adgang til alle sæd-vanlige data fra denne type adgang.
På koncernens eget net har vi desuden installeret en DNS-server og et trådløst netværk. DNS-ser-veren bruges til, at virksomheden selv kan foretage navneopslag og dermed gøre sig uafhængig af en ekstern leverandør. Desuden kan virksomheden også selv administre-re sit eget domæne. I sidstnævnte tilfælde er det hensigtsmæssigt at sikre, at domænet er tilknyttet en IP-adresse på en back-up DNS-ser-ver, som er placeret på en lokation uden for virksomheden.Virksomhedens har desuden fået installeret et trådløst netværk
(WLAN). I praksis er dette sket ved, at virksomheden har sat et ac-cess point på sit faste LAN. Trådlø-se enheder kan så kommunikere via dette access point. Hvis virksomhe-den ønsker at benytte en sådan ser-vice, skal den sikre, at punktet ikke er offentligt tilgængeligt – der skal kun kunne opnås adgang, hvis man kan autentificere sin computer på virksomhedens netværk. Desuden bør virksomheden sikre, at den kommunikation, der sker via ac-cess pointet, er krypteret således, at den ikke kan opsnappes af uved-kommende. Rådet for IT-sikkerhed har skrevet en god pjece om Tråd-løse netværk, der kan hentes her:http://www.rfits.dk.
Mange af de løsninger, som virk-somhederne kan vælge, kan det være meget vanskeligt at admini-strere på egen hånd. Der kan der-for være god grund til at se på de muligheder, man kan opnå ved at henvende sig til eksterne servicele-verandører.
60
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
61
Flere af de løsninger, der er skitse-ret i dette hæfte, kan outsources til eksterne leverandører i det omfang, det er i overensstemmelse med for-retningens drift. Virksomheden bør overveje, om den med fordel bør koncentrere sig om sine faglige kompetencer og så outsource hele eller dele af driften af netværket eller IT-sikkerheden til en ekstern leverandør. Dette er af nogle blevet kaldt e-sourcing.
MarkedetOutsourcing er ikke noget, der er fremmed for danske virksomheder. Ifølge undersøgelsen: ”Globale mu-ligheder og vækst”, som ITEK og DI foretog i starten af 2004, har 68 pct. af alle virksomheder outsourcet. Stort set alle store virksomheder har outsourcet, og over halvdelen af de mindre og mellemstore virk-somheder har også outsourcet. Det er fortrinsvis produktion, der out-sources. Men også aktiviteter som logistik og administration bliver i stigende grad outsourcet. En væ-sentlig del af outsourcingen sker typisk til lavtlønslande. Men ad-ministration outsources fortrinsvis indenfor landets grænser. Lavere omkostninger, sparede investe-
ringer og effektivisering er gode grunde til at outsource. Ser man på forventningerne til outsourcing for de kommende tre år, er det faktisk administration, som er det område, der vil blive outsourcet næstmest gennem de kommende tre år. Det er samtidig det område, hvor vi kan forvente den største vækst i out-sourcing. Endelig er det det områ-de, hvor vi kan forvente at se mest outsourcing inden for Danmarks grænser.
Undersøgelser, der konkret ana-lyserer IT-området i forhold til outsourcing, peger til gengæld i ret-ning af, at det for nuværende er be-grænset, hvad der outsources. Uni2 fik i 2004 foretaget en ”Marknads-analys”. Ifølge denne undersøgelse ønsker 37 pct. af alle virksomheder ikke at outsource nogle dele af de-res IT. Men 10 pct. af dem, der i dag ikke outsourcer nogle dele af deres IT, vil gøre det indenfor de nærme-ste år. Desuden er der 33 pct. af virksomhederne, der allerede out-sourcer dele af deres IT, som ikke har planer om at outsource mere end dette i de kommende år, mens 12 pct. har planer om at outsource mere. I alt vil 22 pct. af virksom-hederne altså outsource mere i
Outsourcing
OU
TS
OU
RC
ING
62
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
63
fremtiden. Det er meget få virk-somheder, som outsourcer al IT i dag. Blandt de virksomheder, som i dag outsourcer, var der 22 pct., der outsourcede serverdrift (fil, print, database eller applikationer) og 20 pct., som havde hostet virksomhe-dens hjemmeside ude i byen.
Ifølge UNI2’s undersøgelse er det især i forhold til spam, firewall, disaster recovery, lagring af data, virus, trådløst LAN og netværk, at der er fordele ved at købe hjælp udefra. Dette skal ses i sammen-hæng med den betydelige vækst, der vil ske på området, hvor næsten halvdelen af alle virksomheder vil forøge investeringerne i IT.
CSI/FBIs årlige ”Computer Crime and Security Survey” 2004 viser, at der i USA er 37 pct. af virk-somhederne, som for nuværende outsoucer nogle af de dele af IT, der vedrører IT-sikkerhed. Det må be-tragtes som en væsentlig andel.
OvervejelserOutsourcing bør kun overvejes, i det omfang det kan understøtte forretningen. Virksomhederne bør derfor gøre sig grundige strategiske overvejelser, inden de kaster sig ud i outsourcing af IT og IT-sikkerhed. Følgende forhold bør som minimum overvejes, hvis man påtænker at outsource hele – eller dele af – sit IT-system:> Outsourcingens begrænsninger
Ansvaret for virksomhedens IT-systemer ligger altid hos virk-
somhedens ledelse og kan ikke outsources. Det er kun funktio-naliteten samt driften af syste-merne, der kan outsources.
> KerneforretningVirksomheden kan koncentrere sig om at drive sin kerneforret-ning og dermed ikke bruge tid og ressourcer på alle de ting, der kun skal fungere som støtte/hjælpemidler for forretningsdrif-ten.
> Risikobilledet ændresOutsourcing af IT ændrer risi-kobilledet. Uden outsourcing er det virksomheden, der bærer den fulde risiko ved, at systemer eventuelt måtte gå ned eller blive kompromitteret. Ved at outsour-ce flytter man denne risiko til en specialistvirksomhed. Til gen-gæld bliver virksomhedens risiko så, at den virksomhed, der løser opgaven, kan have manglende driftsstabilitet, blive kompromit-teret eller gå i betalingsstands-ning. Man må dog forvente, at der er mindre sandsynlighed for, at specialistvirksomheden får tekniske problemer, og dermed reduceres risikoen.
> Langsigtet risiko minimeringHvis man har indkøbt et system, som ikke længere kan anvendes grundet tekniske problemer, el-ler fordi forretningen ændres, har man tabt alle pengene. Så-
62
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
63
danne tab oplever man (afhæn-gigt af kontraktens udformning) normalt ikke ved outsourcing. Dermed reduceres risikoen ved fejlindkøbt IT-infrastruktur.
> Sparede omkostningerTypisk burde der være penge at spare ved at outsource, fordi specialistvirksomheden bør have specifikke kompetencer og IT-udstyr, der er dedikeret til at løse en bestemt funktionalitet. Specialistvirksomheden burde derfor kunne drive funktionen med lavere omkostninger end virksomheden selv. Hvis der skal spares penge, skal virksomheden dog være opmærksom på ikke at købe mere funktionalitet fra spe-cialisterne, end det netop er for-nuftigt i forhold til forretningen.
> OmkostningsspredningOmkostningerne til at få en be-stemt funktionalitet skal i til-fældet, hvor virksomheden selv afholder dem, betales på en gang af virksomheden. I tilfældet, hvor man outsourcer, kan disse omkostninger spredes ud over varigheden af kontakten mellem virksomheden og specialistvirk-somheden.
> OmkostningskontrolVed outsourcingaftaler ved man altid, hvilke omkostninger der venter næste måned for at få en given opgave udført. Dette er ikke tilfældet, hvis man løser opgaven selv, idet der sagtens kan forekomme eksogene stød til omkostningerne i form af uforud-sete udgifter – f.eks. manglende systemstabilitet, opgradering el-ler kompromittering.
> Fremtidige udfordringerVirksomheden kan typisk lettere møde fremtidige udfordringer ved at have outsourcet dele af sine IT-systemer. Dette skyldes, at specialistvirksomhedens sy-stemer og kompetencer typisk er helt up-to-date – det er jo netop specialistvirksomhedens kerne-kompetence. Derfor vil det typisk være meget let for virksomheden at tilkøbe ny funktionalitet og samtidig være sikret mod nye typer af trusler. Dette vil give virksomheden fordele, idet den langt hurtigere kan komme til at markedsføre et nyt produkt eller markedsføre på en ny måde via en ny type system (Time-to-mar-ket fordele).
OU
TS
OU
RC
ING
64
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
65
> Nye behovTypisk vil specialistvirksomhe-den også forholdsvis let kunne udvide en eksisterende løsning med nye typer forretningsbehov. Hvis man f.eks. har outsourcet en e-handelsløsning og får be-hov for at lave datamining på de kunder, der køber ind via si-tet, kan man forholdsvis let få
udvidet løsningen med et CRM-modul (Customer Relations Ma-nagement). Virksomheden kan simpelthen få en ny evne langt hurtigere, end hvis den skulle ud og undersøge markedet for at an-skaffe et nyt system, der skulle integreres med eksisterende sy-stemer.
> Skalerbar infrastruktur kan tilpasses markedsændringer
De fleste outsourcingkontrak-ter indeholder aftaler om, at virksomheden kan skrue op og ned for aktiviteterne med rela-tivt kort varsel. Virksomheden kan dermed reagere hurtigt på fluktuationer i markedet (f.eks. e-business on demand). Dette ville ikke være tilfældet, hvis virksomheden har købt egen IT-infrastruktur dimensioneret til et bestemt markedsbehov. Ved at outsource konverteres faste omkostninger til variable om-kostninger, og man kan (afhæn-gigt af kontraktens udformning) til ethvert tidspunkt maksimere nytten ved en given løsning, for-di man betaler efter forbrug.
> KompetencerSpecialistvirksomheden har ty-pisk alle de kompetencer, der skal til for at løse en given opga-ve. Dette er til gengæld sjældent tilfældet for den virksomhed, der skal have løst en opgave. Den skal derfor enten ud at hyre ny
64
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
65
arbejdskraft, efteruddanne ek-sisterende arbejdskraft eller affinde sig med, at den eksiste-rende arbejdskraft ikke løser opgaven så godt og så hurtigt, som det ellers kunne være gjort – samtidig med den eksisterende arbejdskraft ikke kan varetage de opgaver, man ellers vareta-ger. Virksomheden skal derfor beslutte i hvor høj grad, det er ønskværdigt, at IT-afdelingen bruger tid på drift af systemerne kontra innovation af systemerne. Virksomheden skal også være opmærksom på graden af inno-vation i egen IT-afdeling kontra innovation hos specialistvirk-somheden.
> SikkerhedOutsourcede systemer vil i man-ge tilfælde typisk være bedre sikrede end egne systemer, fordi specialisterne følger med i netop deres egen niche, mens de fleste in-house IT-afdelinger typisk bruger den meste tid på at sup-portere brugere. Man kan derfor (afhængig af kontraktens ud-formning) være sikker på, at spe-cialistvirksomheden sørger for at have opdateret sine systemer hurtigst muligt, og at den garan-terer oppetid for sine systemer.
> ServiceDet er de færreste virksomheder, som har døgnservice på sine IT-systemer, da det ofte kræver me-
get store udgifter til personale. Men de systemer, der er outsour-cet, vil typisk bliver overvåget 24x7x365. Der vil også typisk være mange andre former for services tilknyttet – afhængigt af kontraktens udformning.
> Individuel tilpasning kontra standardprodukter
Når virksomheder indkøber nye systemer, er der ofte behov for individuelle tilpasninger. Det samme gør sig gældende, når man vælger at få outsourcet en løsning. Men ofte vil nogle af de arbejdsbaserede tilrettede ser-vices, der leveres, kunne erstat-tes af automatiserede standar-diserede services via netværk. Dette gælder f.eks. back-up, hvor den daglige rutine med at skifte bånd og placere det i brandsikker boks langt fra virksomheden kan erstattes af back-up via internet-tet hos specialistvirksomhed.
> KontrolVirksomheden mister en kontrol med egne systemer ved outsour-cing. Men virksomheden skal tage stilling til, om dette kon-trolbehov er forretningsmæssigt relevant, eller om det blot er en psykisk barriere for en potentielt mere effektiv drift.
> TillidDet er af afgørende betydning, at man har tillid til den virksom-
OU
TS
OU
RC
ING
66
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
67
hed, man vælger at outsource til. Specialistvirksomheden bør have et godt ry, have de rette kompetencer og systemer, give en god service, stille garanti for oppetid for funktionaliteten, have en sund økonomi, have et beredskab der indeholder afta-ler med en tredjepart, som kan springe til, hvis virksomheden går i betalingsstandsning eller
får tekniske problemer, til en-hver tid kunne retablere data el-ler funktionalitet, behandle data med fortrolighed og endelig have en plan for tilbagelevering af data, hvis outsourcingforholdet opsiges fra en af parterne.
Vi har opsummeret nogle af forde-lene og ulemperne i nedenstående figur.
Intern løsning
Fordele Ulemper
• Optimal kontrol • Uddannelse af personale
• Direkte adgang til ændringer • Udgifter/løn til personale
• Uafhængighed af 3. parts leverandører • Licensstyring
• 100 pct. tilpasning til bruger • Daglig vedligeholdelse – døgnet rundt
• Eget valg af hardware/software • Udgifter til hardware
• Virksomheden kan selv trimme systemerne løbende • Kompliceret konfigurering / opsætning af software
• Sikkerheden er overladt til personale, der også laver mange andre opgaver, og derfor vil reaktionstiden ty-pisk være længere
Ekstern løsning
Fordele Ulemper
• Ingen uddannelse af personale • Ansvaret kan alligevel ikke outsources
• Ingen udgifter/løn til personale • Afhængig af ekstern leverandør
• Ingen licensstyring • Kontrollen afgivet til leverandør
• Ingen daglig vedligeholdelse • Tillid til ekstern leverandør
• Ingen kompliceret konfigurering / opsætning af software
• Ændringer foretages af leverandør
• Ingen udgifter til hardware
• Mulighed for højere sikkerhed (leverandørafhængig)
• Mulighed for mere avancerede systemer (leverandørafhængig)
• Leverandøren har 100 pct. fokus på kunden – han lever jo af det
66
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
67
Hvad kan outsources?Der er næsten ingen grænser for, hvad der kan outsources. Neden-for har vi lavet en liste over nogle af de IT-tiltag, der kan outsources. Hvis virksomheden er i tvivl om, hvorvidt en bestemt ting kan out-sources, kan man konsultere sin IT-leverandør eller ITEKs hjemmeside på http://www.itek.di.dk/.> Antivirus-styring> E-mail sikkerhedsstyring – her-
under spam og virusfiltrering> Firewall> Rapportering om hændelser/
overvågning> Bedre kriseberedskab – disaster
recovery
OU
TS
OU
RC
ING
> Intrusion detection> Sårbarhedsskanning> Lagring af data> Backup> Hosting af hjemmesider> Server hosting> Medieserver> Diverse e-business løsninger> Hosting af applikationer> Vedligehold – patch> Support> Helpdesk> Databaseadministration> Opgradering> Brugeradministration> Change management> Performance målinger> Netværksdrift
68
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
69
Checkliste
Dette hæfte har haft til formål at belyse, hvordan virksomhedens netværk er bygget op og desuden, hvordan dette netværk indgår i samspil med virksomhedens elek-troniske omverden. Efter at have læst dette hæfte håber vi, at læse-ren er bibragt viden om:
Netværk> Hvordan virksomheden er place-
ret på internettet> Hvad der sker, når virksomhe-
den henter eller sender en hjem-meside eller en mail
> Hvordan virksomhedens eget netværk fungerer
> Hvilken rolle henholdsvis appa-rater og protokoller spiller for kommunikationen
> Hvordan DNS virker> Hvilken topologi et internt net-
værk kan have Fiskenetstopologi Stjernetopologi Bustopologi Ringtopologi Trætopologi
> Typer af netværk Intranet Ekstranet Internet Trådløst net LAN WAN
Funktionalitet af hardware> Repeater> Hub> Bridge> Switch> Router> Proxy> Gateway> Firewall> Betydningen af korrekt konfigu-
ration af hardware
OutsourcingAt virksomheden bør overveje:> Omkostninger> Kompetencer> Tekniske muligheder > Forretningsmæssige
muligheder
68
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
69
1 Man kan illustrere ideen om en stak ved et eksempel fra den fysiske ver-den:
Når mennesker kommunikerer, starter A med en tanke, som han omsæt-ter i et sprog. Dette oversætter hans hjerne til nogle mundbevægelser og lyde, der sætter luften i bevægelse. Modtageren oversætter på samme vis tilbage igen.
På level 1 udveksler de altså luftbølger. På level 2 udveksler de lyde. På level 3 udveksler de sproget. På level 4 udveksler de ideer. Information pakkes altså ind mellem hvert lag hos afsenderen og pakkes
ud igen hos modtageren. Dette svarer til, at data går ned gennem stakken hos afsender og op igen hos modtager.
2 Vi vil kalde denne model for TCP/IP-modellen. Den er en forenkling af OSI-modellens 7 lag. OSI modellen blev udviklet i 1983, som et samlede protokolsæt alle producenter og udviklere kunne benytte. Selve protokol-len blev aldrig rigtigt benyttet, men modellen bag OSI benyttes til at ind-dele og beskrive forskellige lag i data kommunikationen. Hvert lag har sine særlige funktioner og formål.
3 Det skal bemærkes, at protokollerne også kan opdeles i henholdsvis push og pull protokoller. Push protokollerne skubber beskeder fra sig, som f.eks. når en mail afsendes fra en brugers mail-klient til en anden brugers mail-server (SMTP: Single Mail Transfer Protocol). Pull protokollerne trækker information til sig, som f.eks. når http trækker en hjemmeside til sig, eller når IMAP (Internet Mail Application Protocol og POP (Post Office Proto-col) protokollerne trækker en mail ned fra mailserveren til modtagerens klient.
4 Afsenderen kan modtage tre ACK for den samme pakke, fordi modtage-ren kun sender ACK for den sidste pakke, den har modtaget i rækkeføl-ge. Hvis vi antager, at der sendes en række pakker, hvoraf den første når frem, den anden tabes ved en router, og den tredje når frem, vil modtage-ren ved modtagelse af den tredje pakke stadig kun sende et ACK for den første pakke.
5 DNS gennemgås senere. Kort fortalt svarer IP-adressen til et telefonnum-
Noter
NO
TE
R
70
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
mer, og DNS svarer til nummeroplysningen: Nummeroplysningen oplyser om sammenhængen mellem en persons navn og telefonnummer; DNS op-lyser om sammenhængen mellem en hosts navn og dens IP-adresse.
6 For en meget pædagogisk og visuel gennemgang af hvordan en hjemmesi-de hentes, kan der henvises til http://www.warriorsofthe.net/movie.html.
7 Formålet er hentet på uni-c’s hjemmeside, http://www.uni-c.dk. 8 Firewallen er typisk placeret således, at den sidder i punktet mellem på
den ene side internettet og på den anden side den del af netværket, som er virksomhedens eget. Virksomhedens eget netværk bør dog opdeles i en del, som er helt lukket af for omverdenen og en del, som er placeret i en demi-litariseret zone (DMZ). DMZ bliver berørt senere i dette hæfte, men kan betragtes som en del af virksomhedens netværk, hvortil der fra omverde-nen er begrænset adgang. F.eks. står virksomhedens webserver i denne zone, således at omverdenen kan få adgang til de informationer, der er lag-ret her. Firewallen sidder derfor principielt ikke kun med to forbindelser – men med tre, idet DMZ bør regnes med.
9 Det skal bemærkes, at næsten alle apparater – ikke kun firewalls - på netværket faktisk er udstyret med et standardpassword. Det er vigtigt, at man ændrer dette password!
10 Intrusion Detection Software anvendes på baggrund af en række opstil-lede regler til automatisk at vurdere, om der er ved at ske en ulovlig ind-trængen på virksomhedens netværk. I givet fald vil systemet give en auto-matisk besked til systemets administrator.
70
ELE
KT
RO
NIS
K IN
FRA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT-S
IKR
E P
LAC
ER
ING
H.C. Andersens Boulevard 18
1787 København V
Tlf. 3377 3344
Fax 3377 3920
itek.di.dk
EN
DE
L AF D
AN
SK
IND
USTR
I
I T E K – B R A N C H E F Æ L L E S S K A B F O R I T- , T E L E - , E L E K T R O N I K - O G K O M M U N I K AT I O N S V I R K S O M H E D E R
ELEKTRONISK
INFRASTRUKTURVIRKSOMHEDENS IT-SIKRE PLACERING
EN
DE
L AF D
AN
SK
IND
USTR
I
EL
EK
TR
ON
ISK
INF
RA
ST
RU
KT
UR
– V
IRK
SO
MH
ED
EN
S IT
-SIK
RE
PL
AC
ER
ING