· web view7.1.1 vrste računalniških virusov in njihovi načini širjenja v splošnem velja, da...

IZDELAVA KOMUNIKACIJSKIH INŠTALACIJ

2010

ROMAN REHBERGER

IZDELAVA KOMUNIKACIJSKIH INŠTALACIJ 2010

KAZALO

UVOD...............................................................................................................................71. ISO/OSI referenčni model..........................................................................................7

1.1 Fizična plast...........................................................................................................................81.2 Povezovalna plast..................................................................................................................91.3 Mrežna plast...........................................................................................................................91.4 Prenosna plast......................................................................................................................101.5 Plast seje..............................................................................................................................101.6 Predstavitvena plast.............................................................................................................101.7 Aplikacijska plast.................................................................................................................10

2. Uvod v računalniška omrežja..................................................................................122.1 Koncept omreževanja..........................................................................................................13

2.1.1 Zakaj uporabiti računalniško omrežje?.........................................................................132.1.2 Izmenjava informacij (ali podatkov)............................................................................14

2.2 Delitev programske in strojne opreme.................................................................................142.3 Sestavni deli omrežja...........................................................................................................15

2.3.1 Omrežja vsak z vsakim.................................................................................................162.3.2 Lastnosti omrežij vsak z vsakim...................................................................................17

2.4 Strežniška omrežja...............................................................................................................182.5 Specializirani strežniki.........................................................................................................192.6 Vloga programske opreme v strežniških omrežjih..............................................................20

2.6.1 Prednosti strežniškega omrežja.....................................................................................202.7 Računalniška omrežja po velikosti......................................................................................21

2.7.1 Lokalna omrežja...........................................................................................................212.7.2 Prednosti računalnikov povezanih v krajevna omrežja................................................222.7.3 Zahteve za krajevno omrežje........................................................................................22

2.8 Mestna omrežja....................................................................................................................222.9 Prostrana omrežja................................................................................................................232.10 Omrežna topologija...........................................................................................................24

2.10.1 Načrtovanje omrežne topologije.................................................................................242.10.2 Izbira topologije..........................................................................................................26

2.11 Vodilo................................................................................................................................262.11.1 Komunikacija na vodilu..............................................................................................272.11.2 Pošiljanje signala........................................................................................................272.11.3 Razširitev omrežja......................................................................................................28

2.12 Zvezda................................................................................................................................282.13 Obroč.................................................................................................................................302.14 Multistation access unit.....................................................................................................322.15 Token ring..........................................................................................................................32

2.15.1 Značilnosti arhitekture token ring...............................................................................322.15.2 Osnove token ringa.....................................................................................................33

| 2


2.15.3 Zgradba paketa token ring..........................................................................................332.15.4 Delovanje omrežja token ring.....................................................................................342.15.5 Nadzorovanje sistema.................................................................................................342.15.6 Strojne komponente....................................................................................................34

2.16 Polna topologija.................................................................................................................353. Vozlišče.....................................................................................................................37

3.1 Mrežni vmesnik...................................................................................................................373.2 Most.....................................................................................................................................373.3 Razdelilnik (HUB)...............................................................................................................383.4 Stikalo..................................................................................................................................393.5 Usmerjevalnik......................................................................................................................40

4. Internetni protokol...................................................................................................424.1 Naslov IP.............................................................................................................................43

4.1.1 Naslavljanje razredov IP...............................................................................................434.1.2 Javni in zasebni naslovi IP............................................................................................444.1.3 Maska podomrežja........................................................................................................46

5. Požarni zid................................................................................................................505.1 Izvor izraza 'požarni zid'......................................................................................................505.2 Protokoli..............................................................................................................................505.3 Vrste požarnih zidov............................................................................................................51

5.3.1 Paketni filter..................................................................................................................525.3.2 Nadomestni strežnik.....................................................................................................535.3.3 Vmesni strežnik............................................................................................................535.3.4 Analiza stanja................................................................................................................53

5.4 Izvedbe požarnih zidov........................................................................................................546. Sistemi za zaznavanje in preprečevanje vdorov...................................................55

6.1 Zaznavanje vdorov...............................................................................................................556.1.1 Zaznavanje znanih napadov..........................................................................................556.1.2 Zaznavanje neznanih napadov......................................................................................55

6.2 Preprečitev vdora.................................................................................................................566.2.1 Spreminjanje politike (pasivno spremljanje prometa)..................................................566.2.2 TCP reset (pasivno spremljanje prometa).....................................................................566.2.3 Zavračanje prometa (aktivno spremljanje prometa).....................................................57

6.3 Varnost omrežja...................................................................................................................576.3.1 IEEE 802.1X.................................................................................................................586.3.2 EAP – razširljivi avtentikacijski protokol.....................................................................596.3.3 EAP-MD5.....................................................................................................................596.3.4 LEAP............................................................................................................................606.3.5 EAP-TLS......................................................................................................................606.3.6 PEAP.............................................................................................................................616.3.7 Avtorizacija in obračunavanje......................................................................................616.3.8 Krmiljenje dostopa do omrežja.....................................................................................62

6.4 Vohljanje (Sniffing), pretvarjanje (spoofing) in prevzemanje terminalskih povezav (hijacking)..................................................................................................................................63

| 3


7. Zlonamerni programi...............................................................................................657.1 Računalniški virusi..............................................................................................................65

7.1.1 Vrste računalniških virusov in njihovi načini širjenja..................................................667.1.2 Škodljivo delovanje virusov.........................................................................................677.1.3 Načini zaščite pred računalniškimi virusi.....................................................................687.1.4 Nevarnost virusov v prihodnosti...................................................................................69

7.2 Vohunski programi..............................................................................................................707.2.1 Čisti vohunski programi...............................................................................................707.2.2 Oglasni programi..........................................................................................................707.2.3 Klicni programi.............................................................................................................707.2.4 Ugrabitelji in vsiljevalci orodnih vrstic........................................................................717.2.5 Zaščita...........................................................................................................................717.2.6 Napad na DNS strežnike...............................................................................................71

8. Brezžično omrežje....................................................................................................738.1 Arhitektura brezžičnega omrežja.........................................................................................788.2 Načini povezovanja – topologija.........................................................................................808.3 Varnost in nadzor brezžičnih omrežij..................................................................................808.4 Tipi nepooblaščenega dostopa v omrežja............................................................................818.5 Varnostni ukrepi..................................................................................................................828.6 Strojna oprema.....................................................................................................................86

8.6.1 Kartica za brezžično povezavo.....................................................................................868.6.2 Dostopna točka – Access Point.....................................................................................868.6.3 Brezžični usmerjevalnik – Wireless Router.................................................................86

9 Prenosni mediji.........................................................................................................889.1 Koaksialni kabli...................................................................................................................899.2 Optični kabli in vlakna.........................................................................................................89

9.2.1 Zgradba optičnega vlakna.............................................................................................899.3 Parični kabli.........................................................................................................................91

9.3.1 Nezaščitena sukana parica............................................................................................929.3.2 Zaščitene sukane parice................................................................................................92

10. Načrtovanje in kabliranje omrežij.........................................................................9310.1 Kabliranje LAN/WAN omrežij.........................................................................................9310.2 Ethernet in krajevna omrežja.............................................................................................9310.3 Zahteve konektorjev in prenosnih medijev tehnologije Ethernet......................................9410.4 Razlikovanje med konektorji.............................................................................................9510.5 Razločevanje vezav medomrežnih in končnih povezav....................................................96

11 Literatura...................................................................................................................98

| 4


Kazalo slikSlika 1: Referenčni model ISO/OSI..............................................................................................................8Slika 2: Fizični sloj OSI določa konektorje...................................................................................................8Slika 3: Fizični sloj OSI določa strojno opremo, foto MW.............................................................................9Slika 4: Samostojno okolje.........................................................................................................................12Slika 5: Ali je to omrežje?..........................................................................................................................12Slika 6: Enostavno računalniško omrežje..................................................................................................13Slika 7: Računalniško omrežje...................................................................................................................14Slika 8: Tiskalnik v samostojnem okolju.....................................................................................................15Slika 9: Delitev tiskalnika v omrežju...........................................................................................................15Slika 10: Običajni elementi v omrežju........................................................................................................16Slika 11: Omrežje vsak z vsakim...............................................................................................................16Slika 12: Komunikacija med računalnikoma..............................................................................................16Slika 13: Omrežja vsak z vsakim in strežniška omrežja.............................................................................18Slika 14: Strežniško omrežje.....................................................................................................................18Slika 15: Komunikacija med računalnikoma..............................................................................................19Slika 16: Strežniki podjetja IBM................................................................................................................. 19Slika 17: Specializirani strežniki................................................................................................................. 20Slika 18: En administrator upravlja z omrežno varnostjo...........................................................................20Slika 19: Lokalno omrežje.......................................................................................................................... 21Slika 20: Primer lokalnega omrežja...........................................................................................................22Slika 21: Izvedba z koaksialnimi kabli (T členi, terminatorji)......................................................................22Slika 22: Izvedba z UTP kabli (HUB).........................................................................................................22Slika 23: Mestno omrežje pogosto temelji na CATV..................................................................................23Slika 24: Prostrano omrežje....................................................................................................................... 23Slika 25: WAN omrežje (komunikacija poteka po telefonskih žicah in preko satelitov in povezuje lokalna omrežja)..................................................................................................................................................... 24Slika 26: Topologija zvezde....................................................................................................................... 25Slika 27: Omrežna topologija vodila...........................................................................................................26Slika 28: Zaključni člen.............................................................................................................................. 27Slika 29: Prekinitev omrežja......................................................................................................................27Slika 30: Pasivno podaljševanje................................................................................................................28Slika 31: Aktivno podaljševanje................................................................................................................. 28Slika 32: Prenos paketov........................................................................................................................... 29Slika 33: Izpad uporabnika ne predstavlja posledic za ostale....................................................................30Slika 34: Izpad zvezdišča onemogoči vso komunikacijo............................................................................30Slika 35: Omrežje obroč............................................................................................................................ 31Slika 36: Omrežje zvezda – obroč.............................................................................................................31Slika 37: Multistation access unit...............................................................................................................32Slika 38: Logični obroč, fizična zvezda......................................................................................................33Slika 39: Zgradba paketa token ring (velikost delov je v bajtih).................................................................33Slika 40: Token ring................................................................................................................................... 34Slika 41: Notranji obroč v MAU..................................................................................................................35Slika 42: Polna topologija ima redundantne povezave..............................................................................36Slika 43: Omrežna kartica..........................................................................................................................37Slika 44: Most............................................................................................................................................ 38Slika 45: Razdelilnik................................................................................................................................... 38Slika 46: Stikalo Linksys SRW224 24-Port 10/100 Gbit.............................................................................40Slika 47: Usmerjevalnik............................................................................................................................. 40Slika 48: Zgradba paketa IP......................................................................................................................42

| 5


Slika 49: Osnovna oblika naslova IP..........................................................................................................43Slika 50: Primer naslova IP........................................................................................................................ 43Slika 51: Zasebni naslovi IP....................................................................................................................... 45Slika 52: Privzeta maska omrežja..............................................................................................................45Slika 53: Primer izračuna omrežja in maske..............................................................................................46Slika 55: Naslovi IP z maskami.................................................................................................................. 46Slika 56: Podomreževanje.........................................................................................................................47Slika 57: Požarni zid.................................................................................................................................. 50Slika 58: Arhitektura krmiljenega dostopa do omrežja (NAC)....................................................................62Slika 59: Širjenje računalniških črvov.........................................................................................................67Slika 60: Brezžična krajevna omrežja (WLAN)..........................................................................................73Slika 61: Elektromagnetni spekter.............................................................................................................74Slika 62: Primer brezžične dostopne točke v LAN (Cisco Aironet) in v industrijskem okolju (Neteon).......78Slika 63: Nosilne frekvence možnih kanalov standarda IEEE 802.11b......................................................79Slika 64: Proces šifriranja sporočila z WEP...............................................................................................84Slika 65: Avtentikacija WPA v celovitem načinu........................................................................................85Slika 66: Koaksialni kabel..........................................................................................................................89Slika 67: Deli optičnega kabla....................................................................................................................90Slika 68: Enorodno in mnogorodno vlakno................................................................................................90Slika 69: Neoklopljena in vklopljena parica................................................................................................91Slika 70: Tipični simboli povezav v krajevnih omrežjih...............................................................................93Slika 71: Najpogostejši simboli povezovalnih in končnih naprav krajevnih omrežij....................................93Slika 72: Tipični vmesniki LAN na usmerjevalnikih....................................................................................94Slika 73: Omrežna kartica s tremi različicami vmesnikov..........................................................................95Slika 74: Različice tipičnih vmesnikov usmerjevalnika...............................................................................96Slika 75: Neposredna in križna vezava UTP kablov..................................................................................97Slika 76: Konzolni kabel - zrcalni UTP.......................................................................................................97

| 6


UVOD Predmet izdelava komunikacijskih inštalacij obsega temeljna znanja inštalacij računalniških omrežij. Učbenik je namenjen teoretičnemu delu predmeta, kjer bomo spoznali osnovne OSI/ISO modela, računalniška omrežja, vozlišča, Internetne protokole in podomrežja, varnost omrežij, sistemi za zaznavanje in preprečevanje vdorov, zlonamerne programe, brezžična omrežja, prenosne medije in načrtovanje in kabliranje omrežij.

Komunicíranje je sporazumevanje, občevanje, sistem izmenjevanja simbolov ali informacij med informacijskim virom in sprejemnikom.

Beseda komuniciranje izhaja iz latinske besede communicare, kar pomeni posvetovati se, razpravljati o nečem, vprašati za nasvet. Komuniciranje je prenos sprejetih simbolov med ljudmi. Ko komunicirajo, ljudje med seboj prenašajo sporočila s pomočjo različnih simbolov (besed, kretenj, govorice telesa, slik…)

Komuniciranje je sestavni del vsakdanjega življenja. Nihče ne more živeti, ne da bi komuniciral z drugimi ljudmi. S komuniciranjem človek spoznava svet, v katerem živi, druge ljudi in sebe samega (spreminja svoja stališča, navade, vrednote, vedenje…). Ljudje se naučijo govoriti in komunicirati s svojimi bližnjimi že v prvih letih življenja. Večina ljudi misli, da se nauči sporazumevati že s tem, ko se nauči govoriti in poslušati. A žal ni tako. Uspešno sporazumevanje med ljudmi ne poteka avtomatično.

V grobem delimo električne inštalacije na nizkonapetostne elektroenergetske in informacijske. Nizkonapetostne elektroenergetske inštalacije so inštalacije za moč in razsvetljavo, komunikacijske inštalacije pa so inštalacije za telefonijo, protivlomno zaščito, protipožarno zaščito, klimatizacijo, antenske sisteme, računalniške mreže, domofone in drugo. Sodobne tehnologije so del našega vsakdanjika; ne samo na delovnem mestu in v javnih objektih, sodobne komunikacijske tehnologije in njihovi proizvodi so danes vstopili tudi v naše domove. Koristne uporabniške novosti nastajajo iz dneva v dan in čez nekaj let bodo internetna televizija in storitve, ki si jih zdaj niti ne predstavljamo, že tako običajne, kakor je na primer mobilni telefon, ki je še pred kratkim veljal za neverjetno novost.

1. ISO/OSI referenčni modelReferenčni model ISO/OSI je sestavljen iz sedmih plasti. Na vsaki plasti so določene posamezne omrežne funkcije. Model je bil razvit leta 1984 in velja za osnovni arhitekturni model za komunikacijo med računalniki. Model OSI je sistematičen in konceptualno zasnovan, vendar je le referenčni model, ki v celoti ni nikoli zaživel.

7. APLIKACIJSKA PLAST

6. PREDSTAVITVENA PLAST

5. PLAST SEJE

4. PRENOSNA PLAST

3. MREŽNA PLAST

2. POVEZAVNA PLAST

1. FIZIČNA PLAST

| 1. ISO/OSI referenčni model 7


Slika 1: Referenčni model ISO/OSI

1.1 Fizična plastFizična plast definira električne in mehanske lastnosti vodnikov in konektorjev. Definirane so prenosne frekvence in napetostni nivoji, načini kako se še zapisujejo podatki v obliko, ki je primerna za prenos po izbranem mediju.Mediji: bakreni vodniki (koaksialni, utp. optika...)Konektorji: BNC, RJ45...

Najnižji sloj referenčnega modela OSI je fizični sloj. Ta sloj prenaša nezgrajene, nepredelane bitne toke preko fizičnega posrednika (kot so omrežni kabli). Fizični sloj je čisto strojno usmerjen in se ukvarja z vsemi vidiki ustanavljanja in vzdrževanja fizične povezave med komuniciranjem računalnikov. Fizični sloj tudi prenaša signale, ki prenašajo podatke, ki jih ustvarjajo vsi zgornji sloji.

Slika 2: Fizični sloj OSI določa konektorje

Fizični sloj je na dnu modela OSI in kot že ime pove, nadzoruje omrežno strojno opremo, na primer katero omrežno kartico/vmesnik naj omrežje uporablja, kako je omrežje nameščeno, in vrsto signalov, ki se prenašajo preko omrežja. Ta sloj nam tudi pove kakšne vrste morajo biti kabli in pa kakšna zvezdišča (stikala) naj omrežje uporablja. Fizični sloj je neposredno pod slojem podatkovne povezave. Ko se izbira protokole na sloju podatkovne povezave, je potrebno gledati tudi na to, da bo ta protokol podpiral tudi določen fizični sloj.



Na primer, ethernet je protokol na sloju podatkovne povezave, ki podpira več različnih medijev na fizičnih slojih. Z ethernetom lahko uporabljamo le dve vrsti koaksialnega kabla, več vrst paričnega kabla ali pa optični kabel. Specifikacije vsebujejo veliko število natančnih informacij o zahtevah fizičnega sloja kot so tipi kablov, konektorji, dolžina kablov, število razdelilnikov in še veliko število drugih činiteljev. Te specifikacije so potrebne za pravilno delovanje omrežja. Na primer, če je dolžina segmenta predolga, se v Ethernetu ne morejo zaznati trki in tako so podatki izgubljeni.

Slika 3: Fizični sloj OSI določa strojno opremo, foto MW

Čeprav je večina lastnosti fizičnega sloja določena s protokoli sloja podatkovne povezave, je veliko značilnosti dodanih še v drugih standardih. Ena od najbolj pogostih specifikacij je Commercial Building Telecommunications Cabling Standard, ki so jo izdali pri American National Standards Institute (ANSI), Electronics Industry Association (EIA) in Telecommunications Industry Association (TIA) kot EIA/TIA 568A. Ta dokument vključuje podrobno opisane postopke za namestitev kablov za delovanje podatkovnega omrežja, vključuje zahtevane razdalje od elektromagnetnih izvorov in druga pravila. Izdelava omrežja LAN se lahko zaupa strokovnjakom, ki poznajo standard EIA/TIA 568A.

Drug komunikacijski element, ki deluje na fizičnem sloju, je poseben tip signalizacije, uporabljen za prenos podatkov preko omrežnega medija. Za bakrene žice je to električna napetost, za optične kable pa svetlobni pulz. Drugi tipi lahko uporabljajo tudi radijske signale, infrardeče signale in/ali še katerega drugega izmed številnih. Na vrsto signalov pa vliva še oblika in zaporedje signalov, ki jih ustvari računalnik. Ta shema je zaporedje, ki ga računalnik uporablja in ga sosednji razume. Tako se ne pojavljajo napake. Eternet sistemi uporabljajo vrsto kodiranja, imenovano Manchester encoding, sistemi token ring pa uporabljajo kodirno shemo Differential Manchester.

1.2 Povezovalna plastPovezovalna plast skrbi za:

določanje enote sporočil (znake, bloke, pakete), način ugotavljanja napak med dvema sosednjima vozliščema, odpravo napak, omrežno topologijo, mehanizme dostopa do prenosnega medija. kontrolo pretoka

Protokoli so Ethernet, FDDI, PP; MAC, LLC

1.3 Mrežna plastMrežna plast skrbi za pravilno potovanje paketov različnih dolžin in po različnih poteh. Zagotavlja pravilno fagmentacijo in defragmentacijo, pravilen vrstni red pošiljanja in prejemanja paketov. Zagotavljanje kvalitete servisa je prav tako naloga te plasti. Protokoli so IP, IPX, DecNet.



1.4 Prenosna plastTransportna plast zagotavlja višje ležečim plastem povezavo med končnima računalnikoma. Na prenosni poti poskrbi za pravilen in zanesljiv prenos podatkov. Med drugim določa:

razstavljanje dolgih sporočil na pakete (fragmentacija) ob oddajanju in sestavljanje sporočil iz paketov (defragmentacija) ob sprejemanju. Pri tem je pomembna urejenost zaporedja paketov, saj lahko paketi prispejo v drugačnem vrstnem redu, kot so bili poslani;

odkrivanje in odpravljanje napak: transportna plast odkriva napake in o tem obvesti plast, na kateri je do napake prišlo.

1.5 Plast seje Plast seje določa:

vzpostavitev, vzdrževanje in prekinitev seje, to je komunikacije med končnimi računalniki; vrsto komunikacije:

o enosmerna (angl. Simplex): na eni strani je postaja, ki oddaja sporočilo, na drugi strani pa ena ali več postaj, ki sporočilo sprejemajo;

o izmenično dvosmerno (angl. Half Duplex): postaja lahko sprejema in oddaja podatke, vendar jih lahko istočasno samo oddaja ali samo sprejema

o dvosmerno (angl. Full Duplex): postaja lahko istočasno sprejema in oddaja podatke.

1.6 Predstavitvena plastPredstavitvena plast skrbi za uskladitev različnih načinov predstavitve podatkov:

kompresijo in dekompresijo podatkov (kodiranje ali zamenjava pogostih funkcij ali besed z zelo kratko kodo, z namenom povečanja učinkovitosti prenosa);

nabor znakov in kod (ASCII, EBCDIC), šifriranje podatkov za potrebe zaščite podatkov, ki so v ta namen ob prenosu kodirani, da jih

lahko razume le uporabnik, kateremu je sporočilo namenjeno, podatkovne formate, ki omogočajo uporabo standardnih predstavitvenih, zvočnih in video

formatov za potrebe uporabe aplikacij na različnih računalniških sistemih.

1.7 Aplikacijska plastAplikacijska plast je vmesnik med uporabnikom in komunikacijskim omrežjem. Določa protokole, ki omogočajo elektronsko pošto, izdelavo predstavitvenih strani, prenašanje datotek in podobno. Skladno z razvojem OSI modela so se razvijale tudi aplikacije OSI, ki pa se niso širše uveljavile. Primeri: File Transfer, Access and Management (FTAM), Virtual Terminal Protocol (VTP).

POVZETEK V tem poglavju je opisan model OSI, ki ga je razvila organizacija ISO (angl. International Standard Organization) leta 1984 in velja za osnovni arhitekturni model za komunikacijo med računalniki.

OSI referenčni model določa, kako se informacija iz aplikacije na enem računalniku preko omrežja prenese v aplikacijo na drugem računalniku. Sestavljen je iz sedmih plasti. Na vsaki plasti so definirane posamezne mrežne funkcije. Vsaka plast predstavlja zaključeno celoto, kar pomeni, da se opravila na posamezni plasti izvršujejo neodvisno od drugih plasti.

Model OSI lahko delimo tudi na 'zgornjo' in 'spodnjo' plast. Zgornja plast predstavljajo zgornje tri plasti in se imenuje aplikacijska plast, medtem ko tvorijo spodnje štiri plasti spodnjo plast, ki se imenuje tudi transportna plast.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kdaj je ISO pričel s standardizacijo protokolov?2. Kaj določa OSI?



3. Zakaj je potrebna razdelitev na sloje?4. Kakšen je odnos med sloji?5. Napišite sloje v protokolnem skladu ISO/OSI od zgoraj navzdol!

| 11


2. Uvod v računalniška omrežjaV najbolj preprostem primeru računalniško omrežje predstavljata dva računalnika, ki sta povezana en z drugim preko medija, ki omogoča izmenjavo podatkov. Vsa računalniška omrežja, ne glede na to kako visoko so razvita, temeljijo na tem enostavnem principu. Ideja, povezati dva računalnika preko medija, se mogoče ne zdi nič posebnega. Vendar je izkušnja dokazala, da je to eden največjih dosežkov v komunikacijah.

Slika 4: Samostojno okolje

Računalniška omrežja nastajajo kot odgovor na potrebo po izmenjavi podatkov. Osebni računalniki so močna orodja, ki lahko hitro obdelajo in upravljajo z velikimi količinami podatkov hitro, vendar ne dopuščajo, da bi se podatki učinkovito izmenjavali. Preden so izumili omrežja, so uporabniki morali dokument natisniti ali kopirati na medij, da so ga lahko posredovali drugim. Če so drugi želeli spremenili dokument, ni bilo enostavne poti, da bi vsi imeli najaktualnejšo različico dokumenta. Takšno okolje je bilo in še vedno je znano pod imenom samostojno okolje.

Slika 5: Ali je to omrežje?

Kopiranje podatkov na diskete ali CD in dajanje le-teh drugim z namenom, da bi si ti kopirali podatke na svoj računalnik, je bilo nekdaj znano pod vzdevkom sprehajalno omrežje (angl. Sneakernet). Ta zgodnja oblika računalniškega omrežja je še vedno obstaja in še danes se veliko uporablja. Mogoče bo komu priklicala kakšen prijeten spomin.

Ta sistem deluje dobro v določenih situacijah in ima svoje prednosti, saj se lahko ustavimo na kavi ali se pogovorimo s prijateljem, ko si ta presnemava podatke. Vendar je ta sistem izjemno počasen in neučinkovit, da bi bil v koraku s potrebami današnjih uporabnikov računalnikov. Velikost prenesenih podatkov in razdalj, ki naj bi jih prepotovali, presega kapacitete takšnih omrežij.

Kljub razvoju računalniških omrežij pa je pošiljanje magnetnih in optičnih medijev z "navadno" pošto še vedno najcenejše in najzanesljivejše pri pošiljanju več terabajtov podatkov. V kocko s stranico 60 cm lahko vstavimo 1000 magnetnih trakov s kapaciteto 300 GB. To pomeni skupaj 300 TB ali 2400 Tb. S hitro pošto lahko pošljemo te trakove in v 24 so verjetno že na cilju. V tem primeru je potekal prenos s hitrostjo 27 Gb/s, česar ne zmore nobeno računalniško omrežje. Zavarovalnice morajo shranjevati varnostne kopije iz varnostnih razlogov na več mestih in prenos kasete je pogosto bolj učinkovit kot

| 2. Uvod v računalniška omrežja 12


pošiljanje po omrežju.

Slika 6: Enostavno računalniško omrežje

Če prenašamo podatke po klasični pošti, merimo čas prenosa v urah in minutah in ne v milisekundah. Pogosto je potrebna čim manjša zakasnitev pri prenosu podatkov. Če že ne prenašamo velikih količin podatkov, je verjetno boljša rešitev povezava računalnika z drugimi računalniki s prenosnim medijem. Potem bi lahko izmenjevali podatke z drugimi računalniki in pošiljali dokumente tiskalniku. Te povezave med računalniki skupaj s povezava do drugih naprav imenujemo računalniška omrežja, koncept povezanih računalnikov, ki izmenjuje vire, se imenuje omreževanje.

2.1 Koncept omreževanjaRačunalniško omrežje lahko definiramo kot sistem med seboj neodvisnih računalnikov, ki so povezani za izmenjavo podatkov in delitev perifernih enot, kot trdi diski ali tiskalniki. Ključni besedi v definiciji sta izmenjava in deljenje. Izmenjava je namen računalniških omrežij. Računalniško omrežje sestavljajo tako strojne kot tudi programske komponente. Zmožnost učinkovite izmenjave informacije je tisto, kar daje računalniškim omrežjem svojo moč in privlačnost. In ko pride do izmenjave informacij, smo ljudje v mnogih pogledih podobni računalnikom. Kot so računalniki nekaj več kot zbirke informacij, ki so jim bile podane, tako smo mi, v velikem delu, zbirka izkušenj, ki so nam dane. Če si želimo razširiti znanje, raztegnemo naše izkušnje in zbiramo več informacij. Na primer, da se naučimo več o računalnikih, se ali obrnemo na prijatelje, ki so v računalniški industriji, ali gremo v šolo in se tam izobražujemo ali pa se sami izobražujemo preko knjig in spleta, kot je v tem primeru. Vseeno je katero rešitev izberemo, če iščemo informacije in svoje znanje in izkušnje delimo z drugimi, kakor tudi drugi z nami, se na nek način omrežujemo.

Računalniško omrežje omogoča delitev svojih virov. Vsakemu uporabniku ni potrebno kupiti svojega tiskalnika, saj ga ne potrebuje ves čas. Zadostuje že, da je v omrežju en tiskalnik, ki si ga uporabniki med seboj delijo. Če se želi preveriti, da je neka knjiga v knjižnici, ni potrebno iti v knjižnico. Dovolj je, da z računalnikom v obrazcu izvršimo poizvedbo v zbirki podatkov knjižnice in preverimo, ali nam je knjiga na voljo.

2.1.1 Zakaj uporabiti računalniško omrežje?Zaradi velike učinkovitosti in procesorske moči današnjih osebnih računalnikov se bo morda kdo vprašali, zakaj so omrežja sploh potrebna. Od najzgodnejših omrežij do današnjih izjemno močnih osebnih računalnikov je odgovor ostal enak: omrežja zvišujejo učinkovitost in zmanjšujejo stroške. Računalniška omrežja dosegajo te prednosti v treh osnovnih točkah:

izmenjava informacij (ali podatkov), izmenjava programske in strojne opreme, centralizacija administracije in pomoči.

Bolj določeno, računalniki, ki so del omrežja, lahko izmenjujejo: dokumente, poštna sporočila, ilustracije, slike in avdio-video datoteke, avdio-videokonference, tiskalnike, faksirne naprave, modeme,



pogone CD, pogone DVD in vse ostale enote, kot so disketniki in pogoni zip, trde diske.

In še več možnosti obstaja. Zmožnosti omrežji se enakomerno razširjajo kot nove možnosti za izmenjavo in komunikacijo preko navadnih računalnikov.

Slika 7: Računalniško omrežje

2.1.2 Izmenjava informacij (ali podatkov)Zmožnost hitre in poceni izmenjave informacij je dokazano ena od najbolj priljubljenih omrežnih storitev. Dokazano je bilo, da je elektronska pošta ena izmed najbolj pomembnih razlogov, da ljudje uporabljajo internet. Veliko podjetij je investiralo v omrežja, ki se uporabljajo za elektronsko komunikacijo (elektronska sporočila, skupinsko delo), ki temelji na omrežjih.

S tem, ko spravimo informacije v obliko za izmenjavo, lahko omrežja znižajo potrebo po "papirni" komunikaciji, zvišajo učinkovitost, in naredijo katerokoli informacije ali podatke dosegljive skoraj istočasno vsem, ki jih potrebujejo. Menedžerji uporabljajo informacijsko komunikacijsko tehnologijo, da hitro in učinkovito komunicirajo z velikim številom ljudi in da organizirajo in planirajo srečanja z ljudmi. Danes je to precej bolj enostavno, kot je bilo nekoč.

2.2 Delitev programske in strojne opremePred izumom računalniških omrežij so uporabniki računalnikov morali imeti lastne tiskalnike, risalnike in druge periferne naprave. Edini način, kako so si uporabniki lahko delili tiskalnik, je bil, da so izmenjujoče sedeli za računalnikom, ki je bil povezan z eno samo napravo. Slika prikazuje tipično samostojno okolje z računalnikom, na katerega je priključen tiskalnik.



Slika 8: Tiskalnik v samostojnem okolju

Omrežja so omogočila veliko ljudem izmenjavo podatkov in hkratno delitev perifernih enot. Če več uporabnikov želi uporabljati tiskalnik, ga lahko vsi uporabljajo, če je vsem na voljo v omrežju. Slika prikazuje tipično omrežje, v katerem si več računalnikov deli en tiskalnik.

Slika 9: Delitev tiskalnika v omrežju

Omrežje se lahko uporablja za delitev in standardizacijo aplikacij, kot razni urejevalniki besedila, zbirke podatkov in drugo, za zagotovitev, da vsak v omrežju uporablja aplikacijo, ki ustreza istemu standardu. To dovoljuje, da se dokumenti hitro in enostavno izmenjujejo in zagotavlja večjo učinkovitost – uporabnike je enostavneje specializirati se za en urejevalnik besedila, kot da jih poznajo več (in običajno slabo).

Centralizirana administracija in pomočZa tehnično osebje je enostavneje podpirati eno različico operacijskega sistema in aplikacij in postaviti vse računalnike v isti način, kot pa podpirati več različnih sistemov in platform.

2.3 Sestavni deli omrežjaRačunalniška omrežja se med seboj razlikujejo po velikosti, po namenu uporabe, po vrsti operacijskega sistema in še po drugem. Za omrežja pa so značilni določeni sestavne deli, določene funkcije in lastnosti. Računalniška omrežja sestavljajo:

Strežniki To so računalniki, na katerih so v skupno rabo dani viri za uporabnike v omrežju. Odjemalci To so računalniki, ki dostopajo do virov, ki so v skupni rabi. Mediji To so kabli in druga strojna oprema, ki omogočajo fizično povezavo delov

omrežja. Dokumenti v skupni rabi To so dokumenti, ki so dani v skupno rabo na strežnikih in so na

voljo v omrežju. Tiskalniki in ostale periferne naprave v skupni rabi To so dodatne naprave, ki so dane v

skupno omrežno rabo. Viri To je katera koli storitev ali naprava, kot recimo datoteke, tiskalniki, ali drugačne

naprave, ki so bile omogočene za uporabo uporabnikom v omrežju.



Slika 10: Običajni elementi v omrežju

Kljub temu da imajo omrežja skupne značilnosti, pa so omrežja razdeljena v dve široki skupini, kot je prikazano na sliki:

omrežja vsak z vsakim (angl. Peer-To-Peer Network), strežniška omrežja (angl. Server Based Network).

2.3.1 Omrežja vsak z vsakim

Slika 11: Omrežje vsak z vsakim

V omrežjih vsak z vsakim, ni posebnih računalnikov za strežnike ali odjemalce in tudi ni nobene hierarhije računalnikov. Vsi računalniki so enakovredni. Vsak računalnik je po svoji funkciji tako strežnik kot tudi odjemalec, zato tudi ni administrativnih nalog za celotno omrežje.

Vsak uporabnik na svojem računalniku določa, kateri viri so v skupni rabi in na voljo drugim uporabnikom v omrežju. Slika prikazuje omrežje vsak z vsakim, v katerem računalniki delujejo kot strežniki in odjemalci.

Slika 12: Komunikacija med računalnikoma

V omrežjih vsak z vsakim ni hierarhije, zato lahko vedno komunicirata katerakoli sistema med seboj. Za medsebojno komunikacijo ne potrebujeta nobenega posrednika ali dovoljenje tretjega.



2.3.2 Lastnosti omrežij vsak z vsakim Velikost Omrežja vsak z vsakim imenujemo tudi delovne skupine (angl. Workgroups).

Izraz delovna skupina se uporablja za majhno skupino ljudi. Običajno je v omrežju vsak z vsakim 10 ali manj računalnikov.

Cena Omrežja vsak z vsakim so po svoji zgradbi zelo enostavna. Ker vsak računalnik deluje kot strežnik in odjemalec, ni potreben zmogljiv centralni strežnik. Omrežja vsak z vsakim so lahko cenejša kot strežniška omrežja.

Operacijski sistem V omrežju vsak z vsakim omrežni programi ne potrebujejo istih standardov, zmogljivosti in stopnje varnosti kot programi za namenske strežnike. Namenski strežniki delujejo samo kot strežniki in ne kot odjemalci.Omrežja vsak z vsakim je možno zgraditi z različnimi operacijskimi sistemi. V takih primerih ni potrebne nobene dodatne strojne ali programske opreme za vzpostavitev omrežja vsak z vsakim. Večina današnjih operacijskih sistemov dopušča omrežja vsak z vsakim (na primer Windows XP, Linux).

Delitev virov Vsak uporabnik lahko deli svoje vire na kakršen koli način želi. Ti viri vsebujejo datoteke, deljene imenike, tiskalnike in drugo.

Zahteve strežnikov V okolju vsak z vsakim mora vsak računalnik uporabiti visok odstotek svojih virov za uporabnika na računalniku, ki mu pravimo lokalni uporabnik (angl. Local User). Prav tako mora uporabiti dodatne vire, kot so prostor trdem disku ali prostor v pomnilniku za podporo uporabnikom, ki dostopajo do virov po omrežju, tem uporabnikom pravimo oddaljeni uporabniki (angl. Remote User).

Varnost V računalniškem omrežju pomeni varnost ustvariti geslo na viru, na primer na določenem imeniku, ki je v skupni rabi v omrežju. Vsi omrežni uporabniki vsak z vsakim nastavijo svojo varnost in viri, ki so v skupni rabi, se lahko nahajajo na vseh računalnikih in ne samo na centralnem računalniku; pravzaprav je centraliziran nadzor zelo težko vzpostaviti. Ta varnostna luknja je zelo velikega pomena v omrežni varnosti, saj določeni uporabniki ne poskrbijo dovolj za varnost in lahko druge uporabnike v omrežju. Če je varnost potrebna, je strežniško omrežje boljša odločitev.

ImplementacijaV običajnih omrežjih vsak z vsakim so naslednje ugodnosti:

računalniki se nahajajo na mizah uporabnikov, uporabniki se obnašajo kot administratorji na svojih računalnikih in sami odločajo o svoji

varnosti, računalniki v omrežju so povezani z vidnim kablom.

Omrežja vsak z vsakim so dobra izbira v naslednjih situacijah: Kadar je 10 ali manj uporabnikov. Kadar si uporabniki delijo določene datoteke in tiskalnike, vendar ne obstajajo namenski

strežniki. Kadar varnost ni pomembna. Kadar se ne predvideva rast omrežja.

AdministracijaOmrežna administrativna dela vsebujejo:

upravljanje z uporabniki in varnostjo, upravljanje z viri v skupni rabi, upravljanje z aplikacijami in podatki, namestitev in nadgradnja aplikacij in operacijskega sistema.

V tipičnem omrežju vsak z vsakim ni nihče administrator celotnega omrežja. Namesto tega je vsak uporabnik administrator na svojem računalniku.



Slika 13: Omrežja vsak z vsakim in strežniška omrežja

2.4 Strežniška omrežjaStrežniki so računalniki, ki dajo v skupno rabo svoje vire za vse uporabnike v omrežju. Pomembno v tej definiciji je, da lahko samo strežniki dajo svoje vire v skupno rabo in da jo dajo v skupno rabo vsem odjemalcem.

Slika 14: Strežniško omrežje

V okolju z več kot 10 uporabniki bi bilo omrežje vsak z vsakim brez pomena. Zato ima večina omrežij strežnik. Namenski strežnik deluje samo kot strežnik in se ne uporablja kot odjemalec ali delovna postaja. Strežniki so označeni kot namenski, ker niso odjemalci in zato ker so optimizirani, da hitro ustrežejo odjemalcem in poskrbijo za potrebno varnost datotek in imenikov. Strežniška omrežja so postala standardni model omrežij.



Slika 15: Komunikacija med računalnikoma

V strežniških omrežjih ne moreta med seboj komunicirati katerakoli sistema. Komunicirata lahko samo strežnik in odjemalec. Dva odjemalca potrebujeta za medsebojno komunikacijo posrednika – strežnik. Ko omrežja naraščajo (število priključenih računalnikov v omrežje, fizična razdalja med njimi in naraščajoč promet med njimi), je potreben več kot samo en strežnik.

2.5 Specializirani strežnikiStrežniki morajo opravljati različna in kompleksna opravila. Strežniki za velika omrežja so postali specializirani, da lahko zadovoljijo potrebe posameznih uporabnikov. Načrtovanje specializiranih strežnikov postane pomembno pri naraščajočih omrežjih. Načrtovalec mora upoštevati možnost naraščanja omrežja tako, da omrežje ne bo moteno, če pride do menjave strežnikov. Sledijo primeri različnih tipov specializiranih strežnikov vključenih v velika omrežja.

Slika 16: Strežniki podjetja IBM

Datotečni in tiskalniški strežniki Datotečni in tiskalniški strežniki omogočajo uporabnikom dostop do datotek in tiskalnikov. Na primer, če uporabljate aplikacije za delo z besedilom, se te aplikacije zaganjajo na vašem računalniku. Dokument, ki je shranjen na datotečnem ali tiskalniškem strežniku, lahko naložite v pomnilnik računalnika in ga nato lokalno urejate. Datotečni in tiskalniški strežniki se torej uporabljajo za shranjevanje podatkov.

Aplikacijski strežniki Aplikacijski strežniki so odgovorni za strežniško stran v aplikacijah odjemalec/strežnik, kot tudi podatke, ki so dosegljivi za odjemalce. Na primer, strežniki shranjujejo goro podatkov, ki je organizirana tako, da lažje dobimo te podatke. Aplikacijski strežnik se razlikuje od datotečnega in tiskalniškega strežnika po tem, da datotečni in tiskalniški strežniki naložijo podatke na računalnik, aplikacijski strežniki pa sami izvedejo operacije, tako



ostane baza podatkov na strežniku in se odjemalcu se pošlje samo rezultat zahteve. E–poštni in faksirni strežniki E–poštni strežniki delujejo kot aplikacijski strežniki, ker so ločene

strežniške in odjemalske aplikacije. Odjemalec selektivno naloži podatke s strežnika. Faksirni strežniki upravljajo s faksirnim prometom v omrežju in upravljajo s skupno rabo enega ali več faks modemov.

Domenski strežnikiDomenski strežniki omogočajo uporabnikom, da varno shranjujejo in lokalizirajo informacije v omrežju. Uporabniki so razdeljeni v logične skupine, ki dovoljujejo uporabnikom dostop do določenih virov v omrežju.

Slika 17: Specializirani strežniki

2.6 Vloga programske opreme v strežniških omrežjihStrežnik in operacijski sistem delujeta skupaj kot celota. Ni pomembno, kako močan je lahko strežnik, brez operacijskega sistema nič ne koristi. Določeni operacijski sistemi so narejeni tako, da iztisnejo najboljše iz strojne opreme strežnika.

2.6.1 Prednosti strežniškega omrežja

Čeprav ga je težje namestiti, konfigurirati, in upravljati ima strežniško omrežje več prednosti pred omrežji vsak z vsakim.

Skupna raba virovStrežniki so načrtovani zato, da omogočajo dostop do mnogih datotek in tiskalnikov in pri tem zagotavljajo ustrezno varnost. Podatki v strežniku, ki jih le–ta da v skupno rabo, so centralno upravljani in bolje nadzorovani. Ker so dokumenti v skupni rabi centralizirano locirani, jih lahko lažje najdemo in z njimi oskrbujemo posamezne računalnike.

Varnost

Slika 18: En administrator upravlja z omrežno varnostjo

Varnost je primarni razlog za odločitev za strežniško omrežje. V strežniškem omrežju, en



administrator skrbi za varnost celotnega omrežja in določa pravila za vsakega uporabnika v omrežju. Slika prikazuje skrb za varnost v omrežju.

Varnostne kopijeVarnostne kopije se lahko ustvarijo večkrat na dan, enkrat na mesec, pač odvisno od pomembnosti podatkov. Strežniške varnostne kopije, se lahko naredijo avtomatično, tudi če se strežnik nahaja na drugih delih omrežja.

RedundancaPoleg uporabe varnostnih kopij se uporabljajo tudi redundantni sistemi. Podatki na enem strežniku se kopirajo na drugega in tam tudi ostanejo. Tudi če se karkoli zgodi primarni hrambi datotek, se lahko uporabi varnostna kopija in podatki se lahko obnovijo.

Število uporabnikov v omrežjuStrežniško omrežje lahko vsebuje tisoče uporabnikov. Takšen tip omrežja bi bilo nemogoče upravljati, če bi bilo to omrežje vsak z vsakim, ampak določeni programi omogočajo delo s strežniškimi omrežji pri tako velikem številu.

Strojna opremaRačunalniki odjemalcev imajo manjše strojne zahteve, saj ne potrebujejo dodatnega pomnilnika in trdih diskov, za strežniške namene.

Strežniška omrežja so dobra izbira: Kadar je v omrežju 10 ali več uporabnikov. Kadar si uporabniki delijo določene datoteke in tiskalnike, ki jih lahko shranimo na strežnik. Kadar je varnost pomembna in se zahteva centralizirana administracija. Kadar se predvideva rast omrežja.

2.7 Računalniška omrežja po velikostiRačunalniška omrežja so uvrščena v eno od skupin v odvisnosti od velikosti, od funkcije in od tehnologije prenosa podatkov. Pogosta delitev je na lokalna (LAN), mestna (MAN) in prostrana (WAN), pojavljajo pa se še delitve na šolska omrežja (CAM, angl. Campus Area Network), globalna (svetovna) omrežja (GAM, angl. Global Area Network) in druga.

2.7.1 Lokalna omrežja Lokalno omrežje (LAN) je osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje lahko sega od enostavnega (dva računalnika, ki sta povezana preko medija) do kompleksnega (na stotine povezanih računalnikov in perifernih enot). Značilnost lokalnih omrežij je v tem, da so to zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V lokalnih omrežjih je tudi malo napak pri prenosu podatkov. Večinoma se uporabljajo za skupno rabo datotek in tiskalnikov. Pogosto pa tudi za skupno administracijo (domena), za zaščito pred zunanjim omrežjem, za sporočanje.

Slika 19: Lokalno omrežje

2.7.2 Prednosti računalnikov povezanih v krajevna omrežja Računalniki, ki so povezani v omrežja, imajo veliko prednosti v primerjavi z izoliranimi otočki, s katerimi



lahko primerjamo samostojne računalnike. Povezani računalniki imajo dostop do skupnih datotek in zbirk podatkov, uporabljajo lahko omrežni tiskalnik in lahko si neposredni izmenjujejo datoteke. V zadnjem času lahko omrežje rabi tudi že za prenos zvočnih in videoposnetkov – videokonference. Poleg tega pa z povezovanjem v omrežja in z vpeljavo omrežnega strežnika povečamo tudi varnost. Namreč, če se vsi podatki nahajajo na enem mestu, ima omrežni opravitelj veliko več možnosti jih zaščititi.

Slika 20: Primer lokalnega omrežja

2.7.3 Zahteve za krajevno omrežje Za povezavo dveh ali več računalnikov potrebujemo ne glede na vrsto omrežja mrežno kartico, ki jo vgradimo v vsak računalnik, kable za povezavo, ki so različni glede na vrsto omrežja (UTP, KOAKSIAL) in pa za UTP omrežja še HUB, ki predstavlja povezovalni člen med računalniki.

Slika 21: Izvedba z koaksialnimi kabli (T členi, terminatorji)

Slika 22: Izvedba z UTP kabli (HUB)

2.8 Mestna omrežja Mestna omrežja (angl. Metropolitan Area Network, MAN) se uporabljajo v večjih mestih ali širšem območju. Najboljši primer mestnega omrežja je omrežje kabelske televizije, ki je na razpolago v mnogih mestih. Ta sistem je zrasel iz skromnih skupnih anten, ki so se uporabljale za sprejem slabih televizijskih signalov. V takšnem sistemu se je na vrhu hriba nahajala antena, ki je nato signal peljala do posameznih gospodinjstev.

To so bili običajno na hitro narejeni in lokalno načrtovani sistemi. Ko so se začeli nekateri ukvarjati s tem poslom, so se omrežja razširila na celotna mesta. Naslednji korak so bili posebni programi, ki so bili emitirani v določenem kabelskem sistemu. Običajno so bili kanali specializirani, npr. za šport, politiko, kuhanje, aerobiko in podobno. Do leta 1990 so se uporabljali samo za TV–signale.



Slika 23: Mestno omrežje pogosto temelji na CATV

Ko je internet privabil širše množice, so operaterji kabelske televizije pričeli z izdelavo sprememb v omrežju, ki je omogočal dvosmerni promet in neuporabljen spekter so uporabili za povezavo z internetom. V tem trenutku so se distribucijski TV-sistemi začeli spreminjati v mestna omrežja. Tipične storitve mestnih omrežij so prenos datotek, videa, TV in radijskega signala, telefonija.

2.9 Prostrana omrežjaProstrano omrežje, lahko tudi globalne omrežje WAN (angl. Wide Area Network) je omrežje računalnikov, ki se razprostira na velikih razdaljah. Nekatere povezave na prostranih omrežjih potekajo po telefonskih linijah ali celo preko satelitov. Prostrana omrežja pogosto povezujejo več lokalnih omrežij v eno samo.

Slika 24: Prostrano omrežje

Ko se omrežje razširi in preraste eno samo stavbo oziroma kraj, postane prostrano omrežje. Kdaj LAN postane WAN, ni popolnoma jasno določeno, toda prostrana ponavadi temeljijo na zunanjem telefonskem sistemu ali prenosu podatkov prek satelitov in povezujejo več krajevnih omrežij istega podjetja. Nekaj prostranih omrežij se razprostira preko vse zemeljske oble.

Prostrana omrežja so za nekatera podjetja zelo pomembna, saj povezujejo oddaljene pisarne in skrbijo za sproten pretok svežih informacij. Zamislimo si banko, ki ima sedež v Ljubljani, podružnice pa po vsej



Sloveniji, finančne in posojilne pisarne pa po vsem svetu. Pisarna v Hongkogu bi bila brez prostranega omrežja odrezana od dnevnih odločitev, sprejetih na centrali banke, saj je izmenjava informacij prek telefona in telefaksa precej bolj neučinkovita. S povezavo vseh pisarn v prostrano omrežje lahko podjetje prepreči, da bi se napake enega dela podjetja pojavljale tudi v drugih delih.

Slika 25: WAN omrežje (komunikacija poteka po telefonskih žicah in preko satelitov in povezuje lokalna omrežja)

2.10 Omrežna topologija

2.10.1 Načrtovanje omrežne topologijeIzraz topologija, bolj natančno omrežna topologija, se nanaša na ureditev ali fizično postavitev računalnikov, kablov in drugih omrežnih komponent ter njihovih povezav v omrežju. Topologija je standardni izraz, ki ga največ omrežnih strokovnjakov uporablja, ko govorijo o načrtovanju omrežij. Namesto izraza topologija se uporabljajo tudi fizična ureditev, razporeditev, oblika omrežja.

Slika 26: Topologija zvezde



Razlikovati pa je potrebno med izrazoma logična in fizična topologija. Fizična se nanaša na fizično postavitev postaj in medija, logična pa na pot paketov po omrežju. Omrežna topologija vpliva na lastnosti omrežja. Izbira ene izmed topologij vpliva na:

tip strojne in programske opreme, ki jo omrežje potrebuje, zmožnosti te opreme, razširitev omrežja, upravljanje omrežja.

Z razvijanjem občutka, kako različne omrežne topologije delujejo, lahko najlažje razumemo zmožnosti različnih omrežij.

Preden lahko računalniki začnejo deliti vire ali drugače komunicirati, morajo biti povezani. Največ omrežij uporablja za povezavo kable. Vendar pa je omrežje več kot samo povezava računalnikov s kabli. Različne vrste kablov se kombinirajo z različnimi vrstami omrežnih kartic, z različnimi omrežnimi operacijskimi sistemi in še z drugimi komponentami. Za vsako kombinacijo potrebujemo različno rešitev.

V računalniških topologijah imamo dve možnosti povezave sistemov: vse postaje si delijo medij. povezave so iz točke v točko.

V primeru, da si postaje delijo medij, si vse priklopljene postaje delijo isti komunikacijski kanal v omrežju. Paket, ki je namenjen točno določenemu sistemu, prejmejo tudi vsi ostali sistemi v omrežju. Po sprejemu paketa mora programska oprema računalnika razpoznati naslov in nato obdelati ali pa ignorirati. V primeru povezave iz točke v točko pa obstaja individualna povezava med sistemoma. Sprejemni sistem lahko sprejme in obdela paket, lahko pa ga posreduje dalje.

Za dobro delovanje poskrbi omrežna topologija. Na primer, določena topologija lahko odloča ne le o vrsti kablov, temveč tudi kako povezave potekajo po tleh, stropih in stenah. Topologija lahko tudi določi kako računalniki komunicirajo po omrežju. Drugačne topologije potrebujejo drugačne komunikacijske metode.

Vse omrežne oblike so sestavljene iz štirih osnovnih omrežnih topologij: vodilo (angl. Bus), zvezda (angl. Star), obroč (angl. Ring), polna (angl. Mesh).

Topologija vodila je sestavljena iz naprav, povezanih na skupen kabel, ki si ga računalniki delijo. Povezava računalnikov iz ene same točke je omejena na topologijo zvezda. Povezava računalnikov s kablom tako, da se oblikuje zanka, se nanaša na postavitev topologije obroča. Polna topologija povezuje v omrežju vsak računalnik z vsemi ostalimi. Te štiri osnovne topologije lahko kombiniramo v različnih bolj zapletenih sestavljenih topologijah.

2.10.2 Izbira topologijeObstaja več činiteljev, ki vplivajo na odločitev o izbiri topologije, ki je najprimernejša za organizacijo. V tabeli so navedene nekatere značilnosti posameznih topologij.

Topologija Prednosti Slabosti

Vodilo

uporaba kablov je ekonomična, medij je poceni in lahko je

rokovati z njim, sistem je enostavno postaviti,

prenos se upočasni pri velikem prometu,

napake je težko odkriti, prekinitev na enem mestu



omrežje je enostavno razširiti prenosnega medija povzroči izpad omrežja.

Obroč

sistem zagotavlja enakovreden dostop za vse postaje,

s povečanjem števila uporabnikov, se obremenitev ne poveča,

zagotavlja veliko zanesljivost prenosa

napaka na enem računalniku ali kablu zaustavi celoten promet,

napake je težko odkriti, razširitev omrežja je možna

samo s prekinitvijo prometa.

Zvezda

enostavno je priključevanje novih postaj,

možen je centraliziran nadzor in upravljanje,

napaka na enem računalniku ali kablu ne vpliva na ostale.

če se poruši centralna točka, se poruši celotno omrežje,

potrebno je veliko kablov.

Polna sistem deluje zanesljivo zaradi redundantnih povezav.

sistem je drag zaradi velikega števila kablov.

2.11 VodiloOmrežna topologija vodila je najbolj enostavna in poceni vrsta omrežja (ponavadi je to eternet), za katero je značilno, da so vse naprave priključene na en sam skupen medij po katerem poteka prenos podatkov vseh priključenih naprav. Povezane so pogosto v ravni liniji, zato je topologija omrežja večkrat prikazana kot linearna. Medij je pogosto koaksialen kabel. Naprave (periferija, računalniki) so priključene na vodilo preko posebnih enot za oddajanje in sprejemanje. Zaradi delitve skupnega medija (vodila) lahko samo ena postaja naenkrat oddaja v celotnem omrežju.

Slika 27: Omrežna topologija vodila

2.11.1 Komunikacija na vodiluRačunalniki v topologiji vodila komunicirajo z naslavljanjem podatkov na določen računalnik in pošiljanjem le–teh po kablu kot električne signale. Za razumevanje, kako računalniki komunicirajo po vodilu, moramo biti seznanjeni s tremi izrazi:

pošiljanje signala, odboj signala, zaključni člen (angl. Terminator).

2.11.2 Pošiljanje signalaOmrežni podatki so v obliki električnih signalov poslani vsem računalnikom, vendar jih sprejme le tisti, ki se mu ujema naslov v omrežnem vmesniku računalnika s tistim v podatkovnem paketu. Vsi ostali računalniki podatke zavrnejo. Naenkrat lahko pošilja podatke le en računalnik. Ker lahko pošilja naenkrat le en računalnik, lahko njihovo večje število zmanjša omrežno zmogljivost. Več kot je računalnikov priključenih v omrežje, več jih bo čakalo na pošiljanje podatkov in posledično bo omrežje počasnejše.



Slika 28: Zaključni člen

Ko eden izmed računalnikov v omrežju oddaja podatke, potuje signal po kablu v obe smeri, doseže vse računalnike. Vodilo ima vedno svoja konca, ki ju moramo zaključiti z zaključnima členoma (angl. Terminator). Namen člena, ki vsebuje upor, je preprečiti odboj signala nazaj v kabel. Če zaključnega člena ne bi bilo, bi odbiti signal povzročil trk v omrežju. Okvara ali nedelovanje posameznega računalnika ne vpliva na delovanje omrežja, razen v primeru, če je okvara računalnika takšna, da v omrežje pošilja nezaželene signale.

Slika 29: Prekinitev omrežja

Največji problem v topologiji vodila je, da lahko en sam pokvarjen konektor, zaključni člen, poškodovan ali prekinjen kabel onesposobi celotno omrežje. Signal ne more priti mimo točke okvare. Povrhu vsega pa predstavlja prekinitvena točka nezaključen kabel. V delu omrežju se bo signal sicer prenašal, vendar se bo na koncu kabla odbil. Ker gre signal po celotnem kablu, je težko določiti točko, kjer je nastala v omrežju okvara. To je glavni razlog, zakaj se danes takšna omrežja več ne postavljajo.

Prednosti topologije vodila so: enostavno za postavitev, omrežje je relativno poceni, uporablja manj kablov kot pri drugih topologijah, ponavadi samo enega.

Slabosti topologije vodila so: težavno zamenjava medija in prestavljanja omrežja, mala toleranca pri težavah, zaradi majhne napake se lahko celotno omrežje poruši, težavno odkrivanje napak, omejena komunikacija naprav hkrati (več naprav ustvari upočasnitev), preveč konektorjev lahko povzroči izgubo signala.



2.11.3 Razširitev omrežjaKo se velikost omrežja povečuje, se lahko omrežje razširi na enega izmed sledečih načinov. S podaljševalnim konektorjem se poveže dva kosa kabla in nastane daljši segment. Takšen način se lahko uporablja samo začasno in za manjše razdalje. Pogosto se ga uporablja namesto izločene postaje. Uporaba prevelikega števila podaljševalnih členov, poslabša signal. V tem primeru je potrebno zamenjati segmentiran kabel z enim kosom ali pa uporabiti obnavljalnik.

Slika 30: Pasivno podaljševanje

Z napravo, imenovano obnavljalnik (angl. Repeater), se lahko povežeta dva kabla. Obnavljalnik regenerira signal, preden ga odda na izhod. Obnavljanje pomeni, da bo signal ponovno imel takšno obliko kot jo je imel na izhodu pošiljatelja. Na ta način bodo signali tudi na daljše razdalje pravilno sprejeti.

Slika 31: Aktivno podaljševanje

2.12 ZvezdaDanes je topologija zvezde najbolj razširjena oblika lokalnih omrežij. Pri tej topologiji so vse postaje povezane v osrednje vozlišče ali zvezdišče. Zvezdišče podatke, ki jih po kablu prejme od enega računalnika, pošlje vsem drugim, ne glede na to, ali so jim namenjeni ali ne. Odločitev glede tega prepusti omrežni kartici. Prednost te omrežne topologije je enostavnost, saj so usmerjevalni postopki nepomembni. Zvezdna topologija je zelo občutljiva na izpad središčne točke, saj v primeru izpada zvezdišča ne more komunicirati noben par računalnikov v omrežju. Zaradi tehnoloških omejitev zvezdišče z velikim številom postaj postane počasno. Topologija zvezda ni primerna za večja omrežja. V bolj izpopolnjenih konfiguracijah centralna točka (v tem primeru stikalo, angl. Switch) prejema podatke in jih posreduje samo določeni komponenti.



Slika 32: Prenos paketov

Prednosti topologije zvezda so: namestitev je enostavna, vsaka naprava potrebuje le kabel, ki je povezan med njim in

zvezdiščem, omrežje je prilagodljivo, napravo lahko dodamo ali odvzamemo med delovanjem omrežja, ne

da bi vplivali na ostale komponente omrežja,o večina omrežnih storitev, težav in sprememb ožičenja se izvaja na centralnem mestu,o v primeru, da se prekine povezava do določene komponente, lahko ostale

komponente nemoteno komunicirajo med seboj,o hitrost prenosa podatkov se giblje od 10 Mb/s do 1.000 Mb/s,o odkrivanje napak je enostavnejše kot v drugih topologijah.

Slika 33: Izpad uporabnika ne predstavlja posledic za ostale

Slabosti topologije zvezda so: V omrežju je potrebno veliko kablov. Če se centralna točka pokvari, z njo priključene naprave ne delujejo in s tem posledično



celotno omrežje.

Slika 34: Izpad zvezdišča onemogoči vso komunikacijo

2.13 ObročV omrežju topologije obroč je vsak računalnik priključen neposredno na sosednja računalnika v omrežju. Vendar računalnik dobiva podatke samo od enega izmed njiju. Drugemu pa podatke pošilja. Z logičnega stališča ima topologija videz obroča.

Slika 35: Omrežje obroč

Podatki potujejo od enega računalnika do drugega le v eno smer, kot kaže slika. Dobra stvar pri tem načinu je, da je polaganje kablov zelo preprosto, slabost pa ta da omrežje preneha z delovanjem pri vsaki prekinitvi stika na kateremkoli kablu. Omrežje se prekine tudi pri vsakem dodajanju novega računalnika. Še ena slabost pa je tudi ta, da je omrežje z novo delovno postajo tudi zelo težko preoblikovati, ne da bi celotno omrežje zrušili. Zaradi teh razlogov je to omrežje redko uporabljeno.



Slika 36: Omrežje zvezda – obroč

Omrežje obroč je v resnici zelo podobno omrežju topologije zvezda. Kabli za to omrežje v obliki zvezde so priključeni na centralno točko, imenovano zvezdišče. Omrežje obroč uporablja posebno vrsto zvezdišča, imenovanega večdostopna enota (angl. Multistation Access Unit, MAU), ki prejema podatke skozi en vhod, skozi drugega pa jih pošlje naprej. Ta postopek se nadaljuje, dokler MAU ne pošlje vseh podatkov od enega računalnika do drugega v omrežju obroč. Če bi odstranili žice iz kablov, bi dobili omrežje, ki poteka od MAU do vsakega računalnika posebej in spet nazaj do MAU, kot prikazuje slika.

S tem omrežjem je povezano nekaj razlogov za in več razlogov proti. Pozitiven razlog je ta, da je takšno omrežje zelo lahko vzpostaviti, zelo lahko je tudi odkrivanje napak. Računalnik bo takoj vedel, če je prišlo do prekinitve toka, saj ne bo več prejemal podatkov od drugih računalnikov. Na drugi strani pa je takšno omrežje zelo drago, saj je za priključitev vsake delovne postaje potrebno veliko kablov, zelo težko ga je preoblikovati, predvsem pa ni tolerance pri napakah. Že najmanjša napaka lahko poruši celotno omrežje.

Kar se tiče prenosa signalov, je omrežje obroč kot vodilo, v katerem je vsak računalnik logično priključen na naslednjega. Edina razlika je v tem, da v omrežju obroč ni konca vodila, ker sta "konca" povezana. To omogoča signalu, ki izvora iz enega mesta v omrežju, da potuje do vsakega drugega računalnika in na koncu pride tudi nazaj.

Omrežja kot so omrežja z žetonom, ki uporabljajo za pošiljanje podatkov žeton, so povezana z uporabo obročne topologije. Najpomembnejša stvar pri razumevanju te topologije je ta, da ta obroč obstaja le teoretično. Obroč obstaja le v povezavi žic, ne pa kako so povezani kabli.

2.14 Multistation access unitOblika fizične topologije zvezda, uporabljene pri logični topologiji obroč, omogoča omrežju, da deluje, čeprav kakšen kabel ali priključek ne deluje. MAU vsebuje posebno vezje, ki odklopi delovno postajo (računalnik), ki ne deluje, iz omrežja. Na primer omrežje, ki bi bilo povezano le s kabli in ne bi imelo MAU, bi le manjša napaka povzročila zastoj celotnega omrežja.



Slika 37: Multistation access unit

2.15 Token ringToken ring (angl. Token Ring) je podoben eternetu, je lokalno omrežje, ima določena pravila za fizični sloj in sloj podatkovne povezave, pravila dostopa do medija. IBM je token ring prvič predstavil v letu 1984 kot del njegove rešitve za celoten nabor računalnikov IBM in drugih računalniških okolij, ki vključujejo:

osebne računalnike (PC), računalnike srednje velikosti (angl. Mid-range computers), okolja Mainframe in Systems Network Architecture (IBM).

Cilj IBM-ove različice token ringa je bil uporaba preprostih kabelskih struktur, kot je parični kabel, ki bi povezovale računalnik v omrežje do centralne točke. Leta 1985 je arhitektura IBM token ring postala standard ANSI/IEEE (angl. Institute of Electrical and Electronics Engineers). ANSI je organizacija, ki je bila ustanovljena 1918 za razvoj in sprejetje tržnih in komunikacijskih standardov v ZDA; ANSI je ameriški predstavnik v ISO.

2.15.1 Značilnosti arhitekture token ringOmrežje token ring je implementacija standarda IEEE 802.5. IEEE 802.5 ne predpisuje topologije (token ring uporablja logično topologijo obroč in fizično zvezda) niti kablov (token ring predpisuje parične kable). Uporablja žetone za prenos podatkov. Omrežje se v načinu delovanja ne razlikuje od drugih obročnih arhitektur.

Tipična arhitektura omrežja token ring se je začela s fizičnim obročem. Danes so praktično vsa omrežja v fizični obliki zvezde. Vsi računalniki so povezani na centralno točko. Logična topologija predstavlja obroč. Obroč je fizično realiziran znotraj centralne točke, imenovane MAU. Žeton potuje po omrežju od enega računalnika do drugega.



Slika 38: Logični obroč, fizična zvezda

2.15.2 Osnove token ringa

ArhitekturaOmrežje token ringa ima naslednje značilnosti:

logična topologija obroča, ki je zasnovana na zvezdasti priključitvi, uporablja žetonsko metodo za prenos podatkov, podatki se prenašajo po paricah UTP ali STP, hitrosti prenosa sta 4 in 16 Mb/s, prenos v osnovnem pasu (baseband, prenos, ki uporablja digitalne signale), standard 802.5.

2.15.3 Zgradba paketa token ringOsnovna zgradba paketa token ring je prikazana na spodnji sliki. Podatkovno polje predstavlja večji del okvirja.

Slika 39: Zgradba paketa token ring (velikost delov je v bajtih)

Ime polja Opiszačetni delimiter (angl. Start Delimiter) označuje začetek paketanadzor dostopa (angl. Access Control) pregleda in določi, ali je okvir žeton ali podatkovni paket

nadzor okvirja (angl. Frame Control) vsebuje informacijo o naslovu MAC, ali je paket za določeno postajo ali za vse v omrežju

naslov prejemnika (angl. Destination Address) označuje naslov računalnika, ki paket prejme

naslov pošiljatelja (angl. Source Address) označuje naslov računalnika, ki paket pošilja

podatki (angl. Data) podatki, ki jih je pošiljatelj poslalFCS (angl. Frame Check Sequence) preverja nedotaknjenost paketa



končni delimiter (angl. End Delimiter) označuje konec paketa

status okvirja (angl. Frame Status) pove, če je bil paket prepoznan, kopiran in če je naslovnik veljaven

ŽetonŽeton ima samo tri polja podatkovnega paketa:

začetni delimiter (angl. Start Delimiter) nadzor dostopa (angl. Access Control) končni delimiter (angl. End Delimiter)

2.15.4 Delovanje omrežja token ringSamo en žeton je lahko aktiven v omrežju in lahko kroži samo v eni smeri naokrog. V kateri smeri pa žeton potuje? V smeri urinega kazalca ali obratno? Odgovor v resnici sploh ni pomemben. Pot žetona je odvisna od dejanske fizične poti, logično pa tako ali tako ni razlik. Nekaj zmede povzročajo standardi, IEEE obravnava smer poti žetona v smeri urinega kazalca, IBM pa v nasprotni smeri. Pot žetona je točno določena in ne more priti do trkov. Ker vsak računalnik sprejme in odda paket, opravlja nalogo obnavljalnika.

2.15.5 Nadzorovanje sistemaPrvi računalnik, ki se prijavi v omrežje, je zadolžen za nadzor omrežne aktivnosti. Nadzorni računalnik se prepriča, da so okvirji dostavljeni in prejeti pravilno. To dela tako, da preverja okvirje, ali so obroču več kot en obhod in zagotovi, da je samo en žeton v omrežju. Proces nadzora se imenuje opozorilna postaja. Aktivni monitor pošlje opozorilni signal vsakih 7 sekund. Signal potuje od računalnika do računalnika po celotnem obroču. Če postaja ne prejme pričakovanega oznanila od soseda, poskuša obvestiti omrežje o izostanku povezave. Pošlje sporočilo, ki vsebuje njegov naslov, naslov soseda, ki se ne odziva in način opozorila. Iz te informacije obroč poskuša ugotoviti problem in ga popraviti brez prekinitve celotnega omrežja.

Slika 40: Token ring

2.15.6 Strojne komponenteStrojna oprema arhitekture omrežja token ring je povezana v centralno točko. Omrežje token ring ima lahko več MAU. MAU (angl. Multistation Access Unit) je naprava, na katero se priključujejo računalniki v omrežju token ring.



Slika 41: Notranji obroč v MAU

Centralne točke so kot pri eternetu vezane linearno. Razlika je v tem, da je konec omrežja na začetku vozlišča. Več vozlišč nanizamo drugo za drugim v obroč. Usmerjevalni postopki so nekoliko bolj zapleteni, med vsakim parom vozlišč sta možni dve poti. Omrežje je bolj trdoživo, saj so ob izpadu vozlišča prizadeti le lokalni uporabniki. Ob izpadu dveh vozlišč lahko omrežje razpade na dva dela. Pogosto srečamo omrežja, kjer topologija obroča povezuje lokalna zvezdna omrežja.

standard IEEE 802.5topologija zvezda–obročtip kablov oklopljene ali neoklopljene pariceimpendanca (Ω) 100 – 120 Ω UTP, 150 Ω STPnajvečja dolžina kabelskega segmenta od 45 – 200 m; odvisna od vrste kabla

najmanjša razdalja med računalniki 2,5 mnajvečje število povezovalnih elementov 33 MSAU

največje število računalnikov na MAU

neoklopljeni kabli 72 računalnikov na MAU, oklopljeni 260 računalnikov na MAU

2.16 Polna topologijaPolna (angl. Mesh) omrežna topologija ponuja veliko redundanc (dodatnih povezav, ki niso nujne za delovanje omrežja) in je zato zanesljiva. V polni topologiji je vsak računalnik povezan z vsemi ostalimi računalniki s posebnim kablom.

Slika 42: Polna topologija ima redundantne povezave

Ta konfiguracija zagotavlja redundantne poti skozi omrežje. Če en kabel odpove, se lahko promet



preusmeri na drugega. Lahko je odkriti napako v omrežju, kar je nedvomno največja odlika te topologije. Ima pa tudi veliko pomanjkljivost – zaradi velikega števila kablov, je zelo draga.

POVZETEKRačunalniško omrežje lahko definiramo kot sistem med seboj neodvisnih računalnikov, ki so povezani za izmenjavo podatkov in delitev perifernih enot, kot trdi diski ali tiskalniki. Ključni besedi v definiciji sta izmenjava in deljenje. Izmenjava je namen računalniških omrežij. Računalniško omrežje sestavljajo tako strojne kot tudi programske komponente. Zmožnost učinkovite izmenjave informacije je tisto, kar daje računalniškim omrežjem svojo moč in privlačnost.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je računalniško omrežje? Kakšne vrste računalniških omrežij poznate?2. Na osnovi česa so zasnovane brezžične povezave? Naštejte vrste brezžičnih povezav!3. H katerim brezžičnim povezavam prištevamo mobilno tehnologijo?4. Katere vrste brezžičnih povezav prenašajo valove med postajami, ki so med seboj oddaljene 100

km?5. Naštejte področje uporabe infrardečih povezav! Katere so prednosti in slabosti infrardečih

povezav?6. Opišite sestavo infrardeče povezave!7. V katerih omrežjih uporabljamo satelitsko povezavo?8. Narišite in opišite omrežno hierarhično strukturo! Naštejte omrežne naprave!



3. VozliščeJe mesto kjer se prenosna pot razdeli v dva ali več smeri. Poznamo mrežna in lokalna vozlišča. Mrežna so tista, na katero so priključene samo druga vozlišča, lokalna pa imajo priključeno lokalno infrastrukturo (tiskalniki). Tipična sestava lokalnega vozlišča je delovna postaja in mrežni posrednik. Razdelimo ga na tri dele: medijsko dostopna enota, omrežni vmesnik in vmesnik med obema.

3.1 Mrežni vmesnikMrežni vmesniki povezujejo računalnike v omrežje in jim omogočajo medsebojno komunikacijo. Je vmesnik, ki skrbi, da signale, ki prihajajo iz omrežja spremeni tako, da lahko CPE z njimi dela in tiste stvari, ki jih CPE želi oddati spremeni v tisto obliko katero lahko pošilja po omrežju. Mrežne vmesnike lahko priključimo na vrata USB ali vstavimo v razširitveno režo PCI na matični plošči računalnika. Danes pa ima večina računalnikov omrežni vmesnik integriran na matični plošči. Tipični predstavnik je omrežna kartica. Poznamo žično in brezžično omrežno kartico. Njena funkcija je, da zagotavlja logično in fizično povezavo odjemnega računalnika s krajevnim omrežjem in strežniki v njem. Najbolj razširjen standard za omrežne kartice je ethernet.

Slika 43: Omrežna kartica

3.2 MostJe naprava, ki nam povezuje različna omrežja. Pri drugih verzijah je potrebno upoštevati kar nekaj omejitev. Delimo jih na: transparentne in prevajalne. Transparentni mostovi povezujejo enake ali podobne mreže med seboj, prevajalne pa povežejo tudi dokaj različna omrežja. S stališča ISO/OSI modela pa most pokriva prvi dve plasti. Lastnosti mosta so: odstrani trke med okviri, ki tečejo po različnih signalnih omrežij, zagotavlja višjo stopnjo varnosti. Problem je, da ne sme biti cikličnega omrežja, most ne zna rešit problema, ko ima eno postajo na dveh portih.

Funkcija mostu se vklopi samo takrat, kadar pride do pošiljanja sporočil iz enega del mreže (vodila) na drugega (obroč) in obratno. Most sporočilo, ki ga sprejme pretvori v obliko, ki ga potrebuje sprejemna stran. Most mora na obroču počakati na žeton, da lahko pošlje sporočilo. Ker lahko v tem času sprejme nova sporočila, mora imeti pomnilnik, za shranjevanje novo prispelih okvirjev, zato most deluje kot "store and forward". Most deluje na "data linking" drugem nivoju OSI modela. Most pregleda kadar paketa v njem najde naslov postaje, ki ga potrebuje za svoje delovanje. Most je pomemben za manjše število povezanih omrežij. Z večanjem števila povezanih omrežij se povečuje tudi število možnih poti med oddajnikom in sprejemnikom. Tokrat se lahko ponovno pošiljanje preko najdaljših poti ali pa pride do zankanja sporočil, ker most nima usmerjevalne funkcije.

| 3. Vozlišče 37


Slika 44: Most

Lastnosti: število naprav v omrežju ni omejeno, lahko delno povečamo prepustnost omrežja, omogočajo povezavo različnih LAN omrežij med seboj (angl. Ethernet, Token Ring).

Delovanje:Most sprejme vse pakete iz vseh segmentov na katerih se nahaja s svojimi vmesniki. Za vsak svoj vmesnik ima vpisane MAC naslove postaj, ki se nahajajo na istem segmentu kot pripadajoči vmesnik. Most pregleda vsak paket. Odloča se po naslednjih kriterijih:

če se ponorni naslov ne ujema s ponornimi naslovi v tabeli vmesnika, ki je paket sprejel, pogleda v tabelo ostalih vmesnikov in:o pošlje paket na tisti vmesnik, v katerega se naslov nahaja v tabeli,o pošlje paket na vse vmesnike, če se ponorni naslov ne nahaja v nobeni izmed tabel

vmesnikov. če prepozna, da je ponorni naslov vpisan v tabeli za vmesnik, ki je sprejel ta paket. Pomeni,

da se naslovljena postaja nahaja na istem segmentu, zato paket zavrže.

Vrste: lokalni premoščevalniki (angl. Local Bridge), ki med seboj povezujejo segmente lokalnega

omrežja, oddaljeni premoščevalniki (angl. Remote Bridge), ki med seboj povezujejo oddaljena

lokalna omrežja. Ti premoščevalniki so počasni, zato jih zamenjujejo preklopna stikala in usmerjevalniki.

3.3 Razdelilnik (HUB)Drugo ime za razdelilnik (angl. Hub) je koncentrator. Razvit je bil, da olajša postavitev fizičnega omrežja preko katerega se vrši prenos podatkov. Največkrat ga uporabljamo pri topologiji vodila, uporabimo ga pa lahko tudi pri obroču. Pri teh napravah je enostavna nadgradnja in lažje lokalizacije napak, cena ni kritična, hitrost podatka je omejena s hitrostjo prenosa preko HUB-a in prenos hitrosti se deli med aktivne računalnike.

Slika 45: Razdelilnik

| 3. Vozlišče 38


3.4 StikaloPreklopna stikala (angl. Switch) so naprave, ki delujejo na 2. povezovalni plasti referenčnega modela OSI in so namenjena predvsem povečanju prepustnosti znotraj lokalnega omrežja. Zamenjujejo ponavljalnike, premoščevalnike in usmerjevalnike. Od ponavljalnikov jih loči način delovanja, ki je v osnovi enak kot pri premoščevalniku. Od premoščevalnikov in usmerjevalnikov pa jih ločijo bistveno boljše karakteristike in nižja cena na posamezen priključek. Razlog je v tem, da so preklopna stikala naprave namenjene točno določeni funkciji. V ta namen so uporabljena izredno hitra vezja, poleg tega pa v preklopnih stikalih ni vgrajenih cel kup funkcij, ki so lastne usmerjevalnikom. Tako dobimo cenejše in hitrejše naprave, ki podpirajo veliko število funkcij, pomembnih za delovanje lokalnega omrežja.

Idejo so vzeli iz telefonskega omrežja, kjer so poznali preklopna polja. Dopolnili so ga z vmesnim pomnilnikom. V pomnilniku se nahajajo naslovne tabele, ki pomagajo pri preusmerjanju in omogočajo prostor za shranjevanje podatkov, ki prihajajo iz LAN-ov. V teh tabelah pa se nahajajo tudi informacije, kje v omrežju se nahajajo delovne postaje ali naslovno področje.

Preklopniki posredujejo pakete na določen segment z uporabo MAC naslovov. Razdelimo jih lahko glede na to, kako posredujejo pakete na določen segment, če paket v celoti shrani in pregleda morebitne napake, preden ga pošlje naprej, ali pa ga pošlje, čim razbere MAC naslov. V prvem primeru pregleda, če je paket okvarjen in ga uniči tako da po nepotrebnem ne zaseda omrežje.

V popolnem omrežju je vsak uporabnik priključen v omrežje neposredno preko preklopnika. Zaradi cenovne razlike, pa to ni tako pogosto. Uporabnik je največkrat priključen na ponavljalnik, za katerega je znano, da ne zna usmerjati prometa. Tako se na vodilu pojavlja promet, ki pa ni zanimiv za uporabnika in ga samo obremenjuje. Pomanjkljivost je tudi v tem, da so tako vsi uporabniki, ki so priključeni na ponavljalnik, v isti domeni trkov. Vsi paketi, ki so sodelovali v trku so znova poslani, vse dokler niso poslani pravilno in brez trkov.

Če število uporabnikov naraste preko neke razumne meje, lahko močno oteži uporabnikov dostop do omrežja. Ko se število uporabnikov na enem vodilu veča, se veča tudi delež napak, ki pri tem nastajajo. Najpogostejša rešitev v tem primeru, je vsaj delna zamenjava ponavljalnikov s preklopniki.

Za omejitev prometa na omrežju se najpogosteje uporabljajo preklopniki. Ti so za razliko od mostov cenejši in omogočajo nekaj dodatnih lastnosti. Preklopnik lahko deluje kot ponavljalnik, lahko pa jih nastavimo, da delujejo kot most, le da so nekoliko počasnejši. S preklopnikom ne moremo povezati dveh omrežij, ki slonita na različnih protokolih. Po navadi ga nastavimo tako, da deluje podobno kot most, z razliko, da sedaj povežemo dve omrežji z enakim protokolom. Tako vsak preklopnik hrani naslove uporabnikov, kateri so priključeni nanj in na katerih vratih se nahajajo. Naslednjič, ko preklopnik dobi paket za tega uporabnika, ga posreduje na vrata, kamor je priključen ciljni uporabnik. Tako ostali uporabniki niso obremenjeni s tem paketom, ker paket prispe tako rekoč točno do sprejemnika.

Prednosti: sposoben narediti dve istočasni povezavi. Več kot je portov več dela ima strojna oprema. Če pa dva želita pošiljati neko zadevo po istem portu, pa se v vmesni pomnilnik shrani drugi, počaka, da se prvi obdela in nato obdela še drugega. Cena switch-ev pada tako, da lahko namesto lanov povežemo kar delovne postaje.

| 3. Vozlišče 39


Slika 46: Stikalo Linksys SRW224 24-Port 10/100 Gbit

3.5 UsmerjevalnikUsmerjevalniki (angl. Ruter) so naprave, ki se uporabljajo v lokalnih in prostranih omrežjih. Tudi usmerjevalniki, podobno kot premoščevalniki, filtrirajo pakete in jih prepuščajo le v tiste segmente, v katere so namenjeni. S tem zmanjšujejo promet v omrežju. Za razliko od premoščevalnikov pa usmerjajo pakete na podlagi IP naslovov. Deluje na 3 plasti. Usmerjevalnik mora poznati različne podatke in omogoča povezovanje različnih podomrežij. Usmerja pakete skozi omrežja. Uporablja se za priklop več računalnikov na internet. Usmerjevalniki definirajo učinkovitost in propustnost omrežja. Na njih je požarni zid, ki preprečuje prihod nezaželenih paketov in odhod paketov z broadcast naslovi našega omrežja.

Slika 47: Usmerjevalnik

Pomembna posledica tega je, da lahko delujejo kot požarni zid (angl. Firewall). Požarni zid je pregrada, ki preprečuje nezaželenim paketom vstopati ali izstopati v/iz določenih delov mreže. Zato je tipična uporaba usmerjevalnika na mestu, kjer se lokalno omrežje priključuje na internet. Z vpisom v sezname dostopa določimo, kateri zunanji in notranji računalniki so dostopni in kateri protokoli so dovoljeni. Npr. dostop iz zunanjih omrežij do notranjega spletnega strežnika je omogočen, prepovedan pa je dostop do drugih strežnikov v podjetju.

POVZETEKOmrežni vmesniki so danes pogosto integrirani na matično ploščo, obstajajo pa tudi v obliki kartic, ki jih vstavimo v razširitveno režo. Predstavljajo vmesnik med računalniškim sistemom in omrežjem. Omrežna kartica pripravlja podatke, jim spremeni obliko (vzporedni-zaporedno). Omrežna kartica ima unikatni naslov. Omrežna kartica ima več nastavitev, ki jih moderni operacijski sistemi znajo sami nastaviti. Zvezdišče, stikalo in MAU so lahko na zunaj videti zelo podobno in se uporabljajo za enake namene. Vendar so po delovanju to različne naprave. Pri povezovanju naprav na njih moramo biti pazljivi. Pravilno je potrebno tudi povezovati te naprave med seboj, ko se razširja omrežje. Most je naprava za povezovanja dveh delov omrežja na sloju podatkovne povezave. Zvezdišče povezuje omrežje na fizičnem sloju in ga ne zanima podatkovna struktura podatkov višjega sloja. Stikalo je videti enako kot zvezdišče in se uporablja ravno tako kot zvezdišče. Razlika je v načinu delovanja. Stikalo je naprava, ki tudi deluje na sloju podatkovne povezave. Paketov ne pošilja na vse izhode, temveč le na tistega, kjer je ciljni naslov paketa. Ker so danes cene enostavnih stikal nizke, zvezdišč praktično ni mogoče več kupiti.

| 3. Vozlišče 40


VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je most, pretvornik, ponavljalnik, usmerjevalnik?2. Kaj je naloga ponavljalnika? Kateri ponavljalnik uporabljamo danes najbolj ? Opišite njegovo

delovanje!3. V katere namene uporabljamo premoščevalnik? Opišite delovanje premoščevalnika! Naštejte

lastnosti premoščevalnika!4. Katera naprava je novejšega izvora: premoščevalnik ali ponavljalnik? Katera naprava deluje

hitreje: premoščevalnik ali ponavljalnik? Katera naprava izpodriva premoščevalnik v lokalnih in katera v globalnih omrežjih?

5. Kje uporabljamo usmerjevalnik? Naštejte naloge usmerjevalnika!6. Katero omrežno napravo lahko uporabimo za požarni zid in kaj to pomeni?7. Katere naprave zamenjujejo usmerjevalnike v lokalnih omrežjih?8. Čemu je namenjeno stikalo? Opišite delovanje stikala!9. V čem so razlike pri napravah za medomrežno povezovanje?10. Povejte kako imenujemo enoto računalniškega sistema, ki skupaj s sistemsko programsko

opremo prevzema krmiljenje sistema?

| 3. Vozlišče 41


4. Internetni protokolOmrežna plast modela OSI skrbi za usmerjanje podatkov po omrežju od izvorne do naslovljene postaje. Algoritmi za usmerjanje paketov z upoštevanjem različnih kriterijev poskrbijo za izbiro optimalne poti med izvorno napravo in naslovljeno napravo. Na tej plasti so definirani protokoli za usmerjanje. Primeri teh protokolov so: Inernet protokol (IP), AppleTalk, DECnet, IPX, Banyan VINES in Xerox Network System (XNS). Protokoli, ki so jih razvili različni proizvajalci, so bili v uporabi v letih 1980 do 1990. Zaradi izjemnega porasta globalnega omrežja Internet je morala večina strojne in programske opreme podpirati protokol IP, kar je vplivalo na upad uporabe ostalih protokolov. Danes je protokol IP najbolj množično uporabljan protokol.

V času zadnjem času predstavlja internetni protokol IPv4, skupaj s protokolom TCP »srce« globalnega omrežja internet. Vsaka naprava, ki komunicira v Internetnem omrežju ima naslov IP. Zaradi velikega porasta množične uporabe internetnega omrežja, se postavlja vprašanje, kako zagotoviti zadostno število naslovov IP. V ta namen se uporablja protokol NAT (Network Address Translation) in zasebni naslovi IP (angl. Private Address). Prav tako se lahko za zagotovitev večjega števila naslovov IP uporablja protokol IPv6.

Za lažje razumevanje načina usmerjanja in naslavljanja na podlagi naslova IP si poglejmo zgradbo paketa IP, ki vsebuje različne informacije:

Version IHL Type of Service Total Lenght

Identification Flags Fragment Offset

Time to Live Protocol Header Checksum

Source Address

Destination Address

Options (+ Padding)

Data (Variable)

Slika 48: Zgradba paketa IP

Version: trenutno se najbolj uporablja V4 (biti 0100), obstaja tudi IPv6Internet Header Length (IHL): dolžina glave datagrama v 32 bitnih besedah, minimalno je 20 zlogov (160 bit), torej je vrednost vsaj 5 (0101) (5* 32=160). Type of Service (TOS): IPv4, prioritete od 0 do 7 Total Length: definira celotno dolžino paketa IP, skupaj z glavo paketa in njegovimi podatki, (16 mest - največ 64 KB vrednost) Identification, Flags, Fragment Offset: postaja, ki oddaja sporočilo označi pakete pred fragmentacijo, naslovljena postaja pa jih nato s pomočjo tega zopet defragmentira Time-to-Live (TTL): življenska doba: vrednost od 0 to 255, (navadno TTL=64,128,256); to je število vozlišč, ki jih lahko paket maksimalno prepotuje, preden bo zavržen. TTL s tem zagotavlja, da paket ne more neomejeno krožiti po omrežju.Protocol: TCP (6), UDP (17), ...Header Checksum: Ip kontrolira le glavo, ne celega paketa.

| 4. Internetni protokol 42


Source Address: 32-bitni naslov delovne postaje, ki pošilja sporočiloDestination Address: 32-bitni naslov delovne postaje, ki sporočilo prejemaData: Podatki namenjeni višjim plastem (spremenljive dolžine), ki se prenašajo po omrežjuOtpions: npr. zaščita (security)

4.1 Naslov IPVsaka delovna postaja v omrežju TCP/IP ima enoličen 32-bitni logični naslov, ki je razdeljen na dva dela. Prvi del naslova IP predstavlja številko omrežja (angl. Network), drugi del predstavlja naslov delovne postaje ali gostitelja (angl. Host).

32 bitov

Številka omrežja Številka delovne postaje oz. gostitelja

Slika 49: Osnovna oblika naslova IP

Zaradi preglednosti so naslovi razdeljeni v štiri zloge ali oktete (8 bitov), ki so ločeni s piko. Vsak oktet je predstavljen tudi v desetiški obliki. Minimalno desetiško število okteta je tako lahko 0, maksimalno pa 255.

Osnovna oblika naslova IP:

Binarno: 11000000.10101000.00000001.00001100

Desetiško: 192.168.1.12

Slika 50: Primer naslova IP

4.1.1 Naslavljanje razredov IPNaslavljanje IP podpira pet različnih naslavljanj razredov: A, B, C, D in E. Ker se najpogosteje uporabljajo razredi A, B in C, bomo v e-gradivu podali le značilnosti teh treh razredov.

Najmočnejši biti, to so biti na levi, v prvem oktetu označujejo naslov razreda. Razred A mora imeti na prvem mestu 0, razred B 10 in razred C 110

Če prevzamemo, da ima razred A na prvem mest v oktetu predpisano številko 0, je lahko prvi zlog pri razredu A naslednji:

000000000. xxxxxxxx. xxxxxxxx. xxxxxxxx


Torej lahko razred A zavzame desetiško vrednost od 0-127. Števila naslova IP 127.0.0.1 rezervirana za (angl. Local Host) oziroma za krajevnega gostitelja.

Razred B ima na prvih dveh mestih v oktetu predpisani številki 10, zato je njegov prvi zlog naslednji:





Torej lahko razred B zavzame desetiško vrednost od 128-191.

Razred C ima na prvih treh mestih v oktetu predpisane številke 110, zato je njegov prvi zlog naslednji:



Torej lahko razred C zavzame desetiško vrednost od 192-223.

Kot vidimo uporablja razred A prvi zlog za določitev številke omrežja, pri čemer moramo upoštevati, da je prvi bit v zlogu rezerviran za 0. Ostalih 24 bitov se lahko dodeli gostiteljem ali delovnim postajam. To pomeni, da lahko v razredu A naslovimo kar 224 – 2 gostiteljev. Dva naslova gostitelja se odšteje, ker sta dve števili rezervirani (same enice in same ničle gostitelju ne moremo dodeliti). Same enice so namenjene sporočilo vsem ali sporočilom s poplavljanjem (angl. Broadcast), same ničle pa gostitelju samemu.

V razredu B se za določitev omrežnega naslova uporabljata prva dva zloga. Kot smo prej omenili sta prva dva bit v prvem zlogu rezervirana za števki 10. Ostalih 16 bitov se uporablja za naslove gostiteljev ali delovne postaje.

Ponudniki Internetnega dostopa manjšim in srednje velikim podjetjem navadno dodelijo razred naslovov C, saj razred C prve tri zloge definira kot naslov omrežja. Na prvih treh bitih v zlogu ima razred C rezervirane števke 110. Zadnjih 8 bitov pa zaznamuje naslov gostitelja.

Razred Obseg vrednosti

(binarno)

Obseg vrednosti

(desetiško)

Število omrežnih naslov

Število naslov IP

gostiteljev

A od 00000000

do 01111111

0-126 27 = 128 224 -2 = 16777214

B od 10000000

do 10111111

128-191 214 = 16384 216 -2 = 65534

C od 11000000

do 11011111

192-223 221 = 2097152 28 -2 =254

Tabela 4.1: Obseg pripadajočih desetiških vrednosti, ki jo lahko zavzamejo določeni razredi

Če primerjamo razrede med seboj, lahko ugotovimo, da je omrežnih naslovov razreda A zelo malo, zato pa lahko taka omrežja naslovijo zelo veliko delovnih postaj. Naslove razreda A in B so pred leti dodeljevali le ustanovam z zelo velikim številom delovnih postaj (v Sloveniji npr. razreda A ni imela nobena ustanova, razred B pa npr. večje zavarovalnice in banke). Vsem ostalim ustanovam so dodeljevali razred C. Zaradi pomanjkanja naslovov IPv4 se danes ne dodeljuje več celotnega razreda C ampak le nekaj javnih naslovov IP (angl. Public IP Address).



4.1.2 Javni in zasebni naslovi IPDostop in nadzor do globalnega omrežja zagotavljajo različni ponudniki intrenetnih storitev (angl. Service Provider). Za dostop do tega omrežje ponujajo uporabnikom eno ali več enoličnih javnih naslovov IP (angl. Public IP Address). Ta naslov lahko ima v globalnem (npr. Internetnem omrežju) samo ena naprava. Znotraj krajevnega omrežja pa lahko uporabljamo zasebne naslove IP (angl. Private IP Address). To so naslovi, ki jih usmerjevalniki ne usmerjajo in so namenjeni izgradnji logičnih naslovov znotraj krajevnega omrežja:

Razred Obseg rezerviranih zasebnih naslovov IP

(angl. private address)

A 10.0.0.0 do 10.255.255.255

B 172.16.0.0 do 172.31.255.255

C 192.168.0.0 do 192.168.255.255

Slika 51: Zasebni naslovi IP

Vsaka delovna postaja ima poleg naslova IP še pripadajočo masko omrežja. Maska omrežja je prav tako sestavljena iz 32 bitov, razdeljenih na 4 štiri zloge. Glavna naloga maske je, da iz naslova IP delovne postaje maskira pripadajoč naslov omrežja. V maski so biti, ki predstavljajo naslov omrežja predstavljeni z binarno 1 in biti, ki predstavljajo naslov delovne postaje z binarno 0. Masko omrežja tako določa, koliko bitov znotraj naslov IP pripada naslovu omrežja in koliko bitov posamezni delovni postaji. Vsak razred ima svojo masko omrežja, imenujemo jo privzeta maska omrežja.

Razred naslova IP

Privzeta maska omrežja

Decimalna oblika maske

Binarna oblika maske

A 255.0.0.0 11111111 00000000 00000000 00000000

B 255.255.0.0 11111111 11111111 00000000 00000000

C 255.255.255.0 11111111 11111111 11111111 00000000

Slika 52: Privzeta maska omrežja

Na osnovi naslova IP in maske omrežja, se z operacijo IN (AND) iz Boolove algebre, izračuna naslov podomrežja. Slika prikazuje način določevanja naslova omrežja iz naslova IP in maske:

IP naslov 189. 200 191. 239

Maska omrežja 255. 255. 0. 0

Naslov omrežja 189. 200. 0. 0

Naslov naprave-računalnika v omrežju 189. 200. 191. 239



Slika 53: Primer izračuna omrežja in maske

Razumljivejši je primer izračuna naslova omrežja v binarni ali dvojiški obliki zapisa IP naslova in maske omrežja nad katerima izvršimo operacijo IN.

Slika 54: Binarni izračun omrežja iz maske

Masko omrežja se lahko podaja tudi za naslovom IP.

193.2.190.3/24

V tem primeru pomeni številka 24 število bitov namenjeno za določitev omrežnega naslova.

Razred Naslovi IP z maskami

A 10.2.5.3/8

B 172.1.16.2/16

C 192.168.3.4/24

Slika 55: Naslovi IP z maskami



4.1.3 Maska podomrežjaZa določitev lastnih mask se uporabljajo prvi biti v privzeti maski, ki so namenjeni za določitev naslova delovnih postaj. Z uporabo teh bitov se izgubi nekaj bitov za določitev naslovov IP samim delovnim postajam.

Slika 56: Podomreževanje

Tabeli prikazujeta razmerje med številom podomrežij in številom delovnih postaj za razreda B in C za določeno lastno masko.

Število uporabljenih

bitov

Maska podomrežja

Število podomrežij

Število delovni postaj

2 255.255.192.0 2 16382

3 255.255.224.0 6 8190

4 255.255.240.0 14 4094

5 255.255.248.0 30 2046

6 255.255.252.0 62 1022

7 255.255.254.0 126 510

8 255.255.255.0 254 254

9 255.255.255.128 510 126

10 255.255.255.192 1022 62



11 255.255.255.224 2046 30

12 255.255.255.240 4094 14

13 255.255.255.248 8190 6

14 255.255.255.252 16382 2

Tabela 4.3: Razred B

Število

uporabljenih bitov

Maska podomrežja Število podomrežij

Število delovni postaj

2 255.255.255.192 1022 62

3 255.255.255.224 2046 30

4 255.255.255.240 4094 14

5 255.255.255.248 8190 6

6 255.255.255.252 16382 2

Tabela 4.4: Razred C

Določanje podomrežne maske

Slika 57: Podomreževanje razreda B s tremi biti

Določanje podomrežne maske je postopek v treh korakih:

1. Določimo, na koliko podomrežij bo razdeljeno omrežje. Pretvorimo to število v dvojiško obliko. 2. Preštejmo število bitov. Na primer, če potrebujemo šest podomrežij, je dvojiška vrednost 110. Za

zapis števila 6 v dvojiškem sestavu potrebujemo 3 bite. 3. Zahtevano število bitov pretvorimo v desetiško obliko. Za 3 bite zapišemo 3 enice in dodamo

potrebno število ničel do okteta (v tem primeru 5). Desetiška vrednost za dvojiško 11100000 je 224. Podomrežna maska je tako 255.255.224.0 (za razred B).

POVZETEK



Z razširjanjem interneta po svetu, se je povečala potreba po naslovih IP. Internet se je razširil tudi v države, ki so bile prej računalniško skoraj nepismene. Naslovi IP4 so danes praktično razdeljeni. Ker je internet pod ameriškim nadzorom, ima tako univerza v Standfordu več naslovov IP kot celotna Kitajska. Ena izmed rešitev, ki povečuje število razpoložljivih naslovov IP je uporaba omrežne maske. Uporaba omrežne maske je danes v komunikaciji TCP/IP obvezna. Le malo omrežj na svetu je razreda A, vendar je temu razredu namenjenega polovico naslovnega prostora. Z uporabo (pod)omrežne maske razdelitev omrežij v naslovne razrede ni več potrebna.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je IP naslov? 2. Kaj določa? 3. Kateri dve različici IP naslovov obstajata? 4. Opišite IPv4 in IPv6 (koliko števil, kako so ločena, koliko bitov za 1 število, vrednosti števil,

velikost naslovnega prostora, koliko naslovov). 5. Kako se pretvarja naslove IPv4 v IPv6 (razložite na svojem primeru). 6. Zakaj se uvaja IPv6?



5. Požarni zidUvodPoleg uporabe protivirusnih programov, je najpogosteje uporabljena zaščita pred vdori v računalnik uporabljen požarni zid oz. pregrada (angl. Firewall). Z njimi skušamo nepooblaščenim preprečiti dostop do računalnika. Za zaščito enega samega računalnika ponavadi uporabljamo požarni zid, ki ga dobimo že skupaj z operacijskim sistemom ali pa uporabimo katerega od za to namenjenih programov. Če želimo zaščititi celotno lokalno računalniško omrežje, je priporočljivo namestiti požarni zid v obliki posebne strojne opreme, nameščene med lokalno omrežje in svetovni splet. Še več, v nekaterih močno zavarovanih sistemih lahko ločimo več nivojev požarnih zidov, ki razdelijo lokalno omrežje na bolj in manj zavarovane predele. Strežniki, skozi katere kako podjetje komunicira s svetom, so tako postavljeni v nekoliko manj zaščiteno območje, kjer je na volj lažja komunikacija s spletom, vendar pa je zaščita pred vdori le delna. Strežniki, na katerih se zbirajo zaupni podatki, ki imajo za podjetje visoko vrednost, pa so postavljeni v zaščiteno območje omrežja, do katerega je dostop mogoč le iz izbranih in močno zavarovanih računalnikov. Omenimo še, da požarni zidovi v večini primerov delujejo dvosmerno. To pomeni, da ne le varujejo notranjega omrežja pred vdori od zunaj, temveč da omogočajo tudi omejevanje omrežnega prometa navzven, iz notranjega omrežja v zunanje.

5.1 Izvor izraza 'požarni zid'Večje stavbe poznajo požarne pregrade, ki ob ognjeni stihiji nepredušno ločijo posamezne prostore in s tem zmanjšajo nevarnost, da bi ogenj uničil celotno poslopje in s tem ogrozil vse, ki so v stavbi. Ta gradbena prvina je postala navdih za računalniški sistem, ki podobno kakor požarna pregrada stavbo ločuje na dva dela, ločuje dva dela omrežja. Izraz sistem smo uporabili zato, ker za požarne sisteme velja, da so lahko izdelani kot strojna ali programska oprema, oziroma najpogosteje kot kombinacija obojega. V zadnjem času vse bolj priljubljena vrsta požarnih zidov so t.i. osebni požarni zidovi (angl. Personal Firewall). Kot lahko sklepamo že iz imena ti varujejo posamezen računalnik proti zunanjemu omrežju, ki je lahko bodisi krajevno ali prostrano.

Slika 58: Požarni zid1

5.2 ProtokoliPreden si ogledamo, kako požarni zidovi delujejo, se moramo v grobem seznaniti z naravo delovanja omrežja. Računalniki, povezani v omrežje, si med seboj izmenjujejo podatke. Da je to mogoče, se morajo med seboj poznati. Način prepoznavanja naprav v omrežju, ugotavljanja njihovih naslovov in samo izmenjavo podatkov določajo protokoli. To so pravila, ki v celoti določajo način izmenjave podatkov med 1 Vir pridobljeno na naslovu: http://www.zero-one-x.co.za/images/firewall.jpg

| 5. Požarni zid 50


napravami v omrežju. Skupine protokolov določajo vrsto omrežja. Danes je v računalniških omrežjih daleč najpogostejši sklad protokolov TCP/IP, na katerem temelji tudi delovanje interneta. Čeprav so bila omrežja TCP/IP zasnovana za vojaške potrebe, za komunikacije po teh omrežjih še zdaleč ne moremo trditi, da so varne. V veliki večini temeljnih protokolov, ki se uporabljajo v omrežju, je pojem varnosti zelo površno zastopan. To je posledica dolge zgodovine, saj je bil internet, kakršnega ga poznamo in uporabljamo, zasnovan že pred desetletji. Njegovi tvorci pa so se takrat ukvarjali predvsem z robustnostjo, saj je omrežje moralo delovati tudi, ko bi bili lahko številni deli omrežja poškodovani. Taka zasnova je tudi omogočila neverjetno širitev in današnjo prevlado interneta, saj so protokoli brez posebnih težav prenesli tisočkrat in tisočkrat večje obremenitve. S širitvijo interneta pa so seveda nastale tudi potrebe po večji varnosti. Razvitih je bilo kar nekaj protokolov (npr. IPsec), ki omogočajo večjo stopnjo varnosti, vendar pa se ti bodisi še niso uveljavili, bodisi niso prešli v množično uporabo. V času tega prehodnega obdobja bomo torej za zagotovitev varnosti še morali posegati po uporabi požarnih zidov. Naprave, ki so del omrežja TCP/IP, imajo vsaka svoj naslov. Določen je z enolično t.i. IP številko (angl. IP number). Navadno jo zapišemo s kvartetom osembitnih števil, ločenih s piko (npr. 194.249.231.85). Pogosteje od njih sicer uporabljamo njihova pripadajoča simbolična oz. domenska imena, kot je npr. www.ijs.si, vendar se moramo zavedati, da je to le zato ker si taka imena ljudje mnogo lažje zapomnimo, računalniki pa le te prevedejo nazaj v številko IP s pomočjo posebnega protokola DNS. Kot vemo, lahko v omrežje povezan računalnik počne več stvari. Tipičen scenarij uporabe je, da medtem ko brskamo po spletu, prejemamo in pošiljamo tudi elektronska sporočila, v ozadju pa najverjetneje ves čas izmenjujemo datoteke. Številka IP tako ne zadošča, da bi v celoti določili povezavo med dvema napravama v omrežju. Pomemben del naslova je še številka vrat (angl. Port Number). Ta se lahko giblje v meji od 1 do 65535. Povezavo med dvema napravama tako v celoti določa kombinacija dveh številk IP in dveh številk vrat na vsaki strani. Simbolično lahko povezavo zapišemo takole s številkama IP, ki jima za dvopičjem sledi še številka vrat: 198.16.35.14:1572 ↔ 195.96.196.249:80

Številke vrat ponavadi delimo na dobro znana vrata (angl. Well-Known Port Numbers), ki so praviloma na območju 1-1023 in začasna vrata, ki obsegajo preostalo območje. Dobro znana vrata olajšajo vzpostavitev povezave, saj pripadajo posameznemu protokolu. Za spletne strani, ki jih prenaša protokol HTTP, so tako predpostavljena dobro znana vrata, oštevilčena s številom 80. Za prenos datotek s protokolom FTP se uporabljajo vrata 21, elektronska sporočila s protokolom SMTP pošiljamo prek vrat 25, sprejemamo pa jih v primeru protokola POP3 prek vrat 110. Seveda pa opisana vrata s protokolom niso dokončno predpisana. Spletni strežnik npr. lahko posluša nove povezave na katerihkoli prostih vratih. Kot smo videli iz zgornjega zgleda, oznaka vrat na obeh straneh povezave ni nujno ista. Velja, da na dobro znanih vratih poslušajo le strežniki, medtem ko se odjemalci z njimi povezujejo prek začasnih vrat. To nam omogoča, da se npr. povežemo z več spletnimi strežniki hkrati. Še več, strežniki na dobro znanih vratih le poslušajo nove povezave. Ko odjemalca sprejmejo, se dogovorita za začasna vrata, na katera preklopi strežnik, tako da lahko na dobro znanih vratih posluša še naprej. Ta postopek nam omogoča tudi, da se z istim strežnikom povežemo večkrat. Na primer pri ogledu neke spletne strani, nam spletni brskalniki hkrati ob prenosu besedila z istega strežnika prenašajo tudi slike. Zaključimo lahko, da nam oznaka vrat tako ne pove dosti o samem protokolu, ki poteka na posamezni povezavi. Da bi posamezno povezavo lahko spoznali in razumeli, kaj se na njej pravzaprav dogaja, moramo poznati še vrsto protokola, ki se na njej uporablja. Protokole, ki se uporabljajo v omrežju, razvrščamo v sloje (angl. layers). Sloj podrobneje opredeli vlogo protokola in sega od fizične (nosilec za prenos informacije) do aplikativne ravni (storitve omrežja).

5.3 Vrste požarnih zidovGlede na sloj protokola, kjer požarni zid opravlja svoje delo, jih navadno delimo na naslednje tri vrste:

1. paketni filter (angl. Packet Filter),2. nadomestni strežnik (angl. Proxy Server ali Application-Level Gateway),3. vmesni strežnik (angl. Circuit-Level Gateway),4. analiza stanja (angl. Stateful Inspection)


http://www.ijs.s/


Poudarimo, da posameznega sodobnega požarnega zidu ni mogoče preprosto uvrstiti v eno izmed naštetih kategorij, saj praviloma uporablja kombinacijo večjih pristopov. Opišimo v nadaljevanju posamezne vrste požarnih zidov.

5.3.1 Paketni filterPaketni filtri so učinkovita zaščita, ki deluje na povezovalnem sloju. Ker so podatki, ki se izmenjujejo v omrežju, različnih dolžin, protokoli uporabljajo pakete, ki jih drugega za drugim izmenjujejo, dokler vsebina ni prenesena v celoti. Posamezen paket ne vsebuje le koščka podatka, temveč tudi podatke o svojem izvoru in cilju. Paket je nekakšna ovojnica, ki podatek obda z oznako protokola, parom številk IP in vrat pošiljatelja ter parom številk IP in vrat prejemnika. Paketni filtri izkoriščajo podatke v ovojnici paketa in se na njihovi podlagi odločajo, ali bodo določen paket prepustili, zavrnili ali zavrgli. Delovanje paketnega filtra je v marsičem podobno delovanju usmerjevalnika (angl. Router). Učinkovitost paketnega filtra je odvisna od pravil, ki mu jih moramo predpisati, preden lahko opravlja svoje delo. Pravila so seznam preizkusov, ki jih mora vsak posamezen paket prestati, preden se odloči o njegovi usodi. S stališča varnosti je veliko bolje, če izhajamo iz temeljnega pravila, ki vse pakete zavrne, potem pa le tega nadgrajujemo z natančnimi pravili posameznih dovoljenj, ki promet od zunaj prek določenih vrat prepuščajo v le enega izmed računalnikov v krajevnem omrežju. Tak pristop se izkaže za mnogo efektivnejšega, kot pa če izhajamo iz situacije v kateri moramo razmišljati o vseh prepovedih. Princip je uporaben tudi v nasprotni smeri komunikacije, kjer uporabnikom znotraj krajevnega omrežja dovolimo povezavo v splet le prek s pravili določenih vrat. Za zgled si poglejmo sledeč primer pravil. Zunanjemu svetu pri dostopu do našega lokalnega omrežja dovolimo le dostop do spletnega strežnika (številka IP 192.168.0.5) in strežnika FTP (192.168.0.2), uporabnikom znotraj naše lokalne mreže pa omogočimo dostop do zunanjega strežnika e-pošte (215.16.33.15) in vseh spletnih strežnikov:

Zunanje omrežje → Notranje omrežjeZunanje omrežje Notranje omrežje Politika

IP Vrata IP Vrata*.*.*.* * 192.168.0.5 80 DOVOLI*.*.*.* * 192.168.0.2 21 DOVOLI

*.*.*.* * *.*.*.* * ZAVRNINotranje omrežje → Zunanje omrežje

Notranje omrežje Zunanje omrežje PolitikaIP Vrata IP Vrata

*.*.*.* * 215.16.33.15 25 DOVOLI*.*.*.* * 215.16.33.15 110 DOVOLI

*.*.*.* * *.*.*.* 80 DOVOLI*.*.*.* * *.*.*.* * ZAVRNI

Paketni filter bo po vrsti, od zgoraj navzdol, preverjal seznam pravil, dokler za posamezni paket ni popolnoma prepričan, kam sodi. Če mu ne ustreza nobeno od pravil, pristane pri temeljnem pravilu, ki zavrača vse. Pravila lahko določajo, da se posamezen razred paketov prepusti, v nasprotnem primeru pa ga požarni zid lahko tiho ali glasno zavrne. V slednjem primeru pošlje obvestilo o izvoru zavrnjenega paketa. Vidimo, da so paketni filtri popolnoma odvisni od pravil, ki določajo varnostno politiko. Taki požarni zidovi delujejo hitro in so za uporabnike, katerih paketi so skladni s pravili, neopazni. Paketni filtri so zato pogost že kar del operacijskega sistema. Žal imajo paketni filtri veliko pomanjkljivost. Vsebino paketa je namreč mogoče popačiti. Napadalec lahko prikrije svoj izvor tako, da spremeni svojo številko IP z drugo, za katero je ugotovil, da je v tabeli pravil dovoljena. Tak napad, imenovan tudi IP spoofing, je razlog, da se paketni filtri v učinkovitem požarnem zidu nadgradijo z dodatnimi omejitvami.

5.3.2 Nadomestni strežnikDa bi lahko presegli omejitve paketnega filtra, se moramo pomakniti više po slojih omrežnih protokolov. Nadomestni strežnik ne preučuje prometa le na sloju posameznih paketov, temveč sledi njihovemu



zaporedju. Deluje na aplikacijskem sloju, saj se zaveda podrobnosti protokola, torej upošteva tudi zaporedje paketov.

Vsaka povezava ima fazo vzpostavitve. V tej fazi se izmenjujejo paketi, ki so še posebej označeni. Požarni zid, kot vedno, stoji med obema deloma povezave. V trenutku, ko prispe zahteva za vzpostavitev povezave, prevzame vlogo druge strani in se postavi v vlogo nadomestnega poslušalca. Če ugotovi, da je bilo z zaporedjem paketov vse v redu, sklene povezavo med obema stranema. Požarni zid vodi tabelo pravilno vzpostavljenih povezav ves čas njihovega trajanja. Zaradi učinkovitosti lahko požarni zid po uspešni vzpostavitvi povezave opusti preverjanje protokola in slepo posreduje pakete med obema stranema. Delovanje je sicer hitrejše, a tak pristop spet ogroža varnost, saj lahko napadalec izkoristi tako vzpostavljeno povezavo in vanjo naknadno vriva zlonamerne pakete, ki lahko izkoriščajo razpoke v sistemu varnosti. Pogostejši pristop, ki omogoča večjo varnost, je stalno spremljanje paketov. Ker požarni zid pozna tudi protokol, ki se uporablja na posamezni povezavi, lahko brez težav zazna naknadno vrinjene nepravilne pakete.

Nadomestni strežnik opravlja še eno storitev, ki znatno izboljša varnost krajevnega omrežja. Ker tak požarni zid vzpostavlja povezave v imenu drugih naprav, so vsi računalniki v notranjem omrežju navzven nevidni. Zunaj jih namreč predstavlja požarni zid s svojim zunanjim naslovom IP. Požarni zid seveda vodi seznam vzpostavljenih povezav in lahko na podlagi številke vrat ugotovi, kateremu računalniku na notranji strani je paket v resnici namenjen. Tej storitvi pravimo tudi prevajanje naslovov (angl. Network Address Translation - NAT). Pravila, ki jih uveljavlja prehod uporabe, so lahko tu precej podrobnejša kakor pri paketnem filtru. Ker ima vsak protokol na višjem sloju specifične ukaze, lahko prehod uporabe prilagodimo tako, da prepušča le določene. Še več, pri naprednejših požarnih zidovih lahko taka pravila uveljavljamo izbirno, le za določene skupine uporabnikov.

Glede na namen je zato pri nekaterih prehodih uporabe potrebna prijava uporabnika. Požarni zid s tem ni več neviden za uporabnika, ki se mora najprej ustrezno predstaviti z uporabniškim imenom in geslom. Nadomestni strežniki morajo poznati podrobnosti protokola in opravljati vse delo v imenu zaščitene naprave. To lahko podaljša čas obdelave in omeji uporabnost omrežja, če nadomestni strežnik katerega od zanimivih protokolov ne pozna. Po drugi strani pa ima nadomestni strežnik lahko tudi možnost medpomnjenja, saj lahko za določen čas shrani posamezne vsebine in jih naknadnim odjemalcem posreduje brez povezovanja z zunanjim virom.

5.3.3 Vmesni strežnikTa vrsta požarnega zidu deluje na transportnem sloju z vzpostavljanjem dveh TCP povezav za posredovanje prometa med pošiljateljem in prejemnikom. Pri njuni komunikaciji se nato na paketni ravni vrši odločitev o tem kateremu paketu bo prehod preko zidu bodisi dovoljen, bodisi zavrnjen. Slabost takega požarnega zidu je, da so primerni samo za TCP vrsto povezav, saj UDP komunikacije niso povezavno orientirane.

5.3.4 Analiza stanjaNadomestni strežniki ponujajo učinkovito zaščito, a jih je v nekaterih primerih nekoliko nerodno uporabljati. Nadalje nekateri menijo, da pravo varnost lahko zagotavlja le vmesni strežnik, ki dejansko posreduje pakete med dvema paroma povezav, vendar pa to v omrežni promet včasih vnaša nepotrebno zapletenost, sam proces pa je lahko uporabniku preveč opazen.

Zgornje slabosti poskuša odpraviti požarni zidovi, ki opravljajo analizo stanja prometa. Ti še vedno opravljajo vse predstavljene vloge zaščite, a hkrati ohranjajo neposredno povezavo med zunanjim in notranjim omrežjem. Podobno kakor nadomestni strežniki opravljajo preverjanje pravilne vzpostavitve povezave in prevajanje naslovov omogočajo tudi zavračanje specifičnih ukazov posameznih protokolov. Od njih pa jih ločuje analiza podrobnosti posameznega protokola. Namesto na dejanske protokole se



analiza stanja zanaša na posebne algoritme, ki spremljajo vzorce bitov v paketih. S tem so lahko požarni zidovi z analizo stanja teoretično veliko bolj učinkoviti pri odkrivanju zlonamernih paketov, poleg tega pajih ni treba prilagajati vsakemu posameznemu protokolu in so uporabnikom nevidni.

5.4 Izvedbe požarnih zidovPostopki preverjanj, ki jih izvajajo požarni zidovi, se lahko izvajajo v programski kodi ali strojni opremi. Slednja ponuja večje udobje, saj je po prilagoditvi pravil tak požarni zid popolnoma avtonomen in vedno na voljo. Ker je zgrajena z namenskimi vezji, svoje delo opravlja zelo učinkovito. Nekoliko težje je nadgrajevati njene zmogljivosti, saj smo vezani na enega ponudnika in njegovo podporo. Na drugi strani imamo sodobno programsko opremo, ki opravlja enakovredne naloge, in včasih omogoča še večjo stopnjo zaščite, saj lahko postopke preverjanja dopolnimo še z drugimi (npr. protivirusnimi) programi. Paziti moramo le na zmogljivosti računalnika, v katerem je tako programje nameščeno. Večji omrežni promet in zahtevna preverjanja lahko upočasnijo še tako zmogljiv računalnik. Posebna vrsta so osebni požarni zidovi, ki jih pogosto uporabljamo za zaščito enega samega računalnika. Pri teh je treba paziti, da so dvosmerni, da nas torej ne varujejo le pred vdori iz zunanjega omrežja, temveč preprečujejo tudi delovanje vohunske programske opreme in črvov, ki lahko zlorabijo naš računalnik za posredovanje zasebnih podatkov ali razpošiljanje nezaželene e-pošte navzven. Paziti je treba tudi na zahtevnost filtrov, saj nekateri osebni zidovi omogočajo podrobno analizo stanja, ki lahko uporabnika upočasni celo pod mejo uporabnosti.

Danes so cene osebnih usmerjevalnikov za širokopasovna omrežja, ki obsegajo strojni požarni zid, že tako nizke, da se jih splača omisliti si, čeprav smo (zaenkrat) v omrežje povezani le z enim računalnikom. Visoka stopnja varnosti je praviloma zagotovljena že brez posebnega prilagajanja. Po potrebi pa jih lahko podrobno prilagodimo. Večina v ta namen ponuja lasten spletni strežnik, skozi katerega preprosto spreminjamo pravila zaščite. Če imamo v domačem omrežju več računalnikov, pa je nakup tega strojnega dodatka še bolj upravičen. Navadno v isti napravi dobimo poleg usmerjevalnika in požarnega zidu še strežnik DHCP za preprosto dodajanje novih naprav, možnost samodejne prijave spremenljivega naslova IP v dinamične strežnike DNS in prehod za vzpostavitev navideznih zasebnih omrežij (angl. Virtual Private Networks - VPN).

POVZETEKPožarni zid je strojni ali programski izdelek, ki izolira del omrežja, da ga zavaruje pred vdori zunanjih procesov. V večini primerov se za varovanje zasebnih omrežij pred vdori iz spleta uporabljajo požarni zidovi različnih tehnik, da zagotovijo varnost. Dovoljujejo določene vrste prometa v omrežje.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je požarni zid?2. Zakaj potrebujem požarni zid?3. Kaj pomeni zveza »prepuščanje programov skozi požarni zid«?4. Česa požarni zid ne more preprečiti?5. Ali lahko v računalniku uporabljam več kot en požarni zid?



6. Sistemi za zaznavanje in preprečevanje vdorovUvodSistemi za zaznavanje in preprečevanje vdorov (angl. Intrusion Detection/Protection Systems) so sistemi, ki zaradi svojega načina delovanja omogočajo implementacijo visokega nivoja varnosti v omrežju. Vsebino teh sistemov bomo predstavili preko opisa delovanja. Začnemo torej z nadzorom omrežja oz. prometa, ki se po njem prenaša. Ko na osnovi pregledovanja prometa zaznamo nekaj kar bi lahko bil vdor, na osnovi definirane politike ustrezno reagiramo. Reakcije so lahko preprečitev prometa, beleženje dogodka, alarmiranje skrbniku itd. Na koncu se v koraku spoznavanja vdora želimo iz preteklega dogodka nekaj naučiti in s tem dodatno definirati politiko ukrepanja za nadaljnje poskuse napadov.

6.1 Zaznavanje vdorovKot že rečeno, kadar želimo zaznati poskuse vdorov moramo opazovati omrežni promet. Za to pa jasno potrebujemo dostop do omrežja, iz česar posledično sledi, da lahko sistem za zaznavanje vdorov nadzira le tisti del omrežja, kjer se tudi sam nahaja. Nadalje lahko pri procesu pregledovanja ločimo sisteme na take, ki promet zgolj spremljajo (mu prisluškujejo) in na take, skozi katere promet tudi dejansko poteka. V želji, da bi dosegli čim višji nivo sposobnosti odkrivanja vdorov, se poslužujemo različnih tehnik zaznavanja napadov. Vedno pa lahko potencialne napade ločimo v dve skupini:

Pri poskusu vdoru je uporabljen znan način napada na neko znano varnostno pomanjkljivost določene aplikacije, ki je še nismo ustrezno zavarovali.

Pri poskusu vdora je uporabljena popolnoma nova tehnika napada, na bodisi znano ali neznano varnostno pomanjkljivost določene aplikacije.

6.1.1 Zaznavanje znanih napadovNapade, ki pri poskusih vdora uporabljajo znane tehnike, je s sistemi za zaznavanje vdorov relativno preprosti odkriti. Vse kar pri tem potrebujemo je le baza znanih vdorov. Vsak znan poskus napada uporablja določeno zaporedje paketov oz. vsebin v paketih in vse kar moramo narediti je, da celoten promet pregledujemo in če v prometu najdemo iskana zaporedja paketov s predpisano vsebino, ustrezno ukrepamo.

Natančneje, pri napadih, ki so v bazi napadov natančno specificirani ni problemov, saj ob odkritju iskanega zaporedja paketov oz. ukazov gotovo odkrili poskus vdora oz zlorabe omrežja. Problematična pa so tista zaporedja paketov oz. ukazov, ki so enaka tistim, ki jih specifikacije ne določajo zelo specifično. Odkritje takih sekvenc nam predstavlja le potencialne poskuse napada.

Če si za primer ogledamo primer znanega virusnega napada 'I LOVE YOU' iz leta 2000, pri katerem je najbolj pomembno, da preprečimo možnost širjenja okužbe, lahko ugotovimo sledeče. Okužba se širi preko elektronske pošte s sporočilom, ki na določenem mestu vsebuje to besedno zvezo. Če bi na primer v okviru prenesenega prometa iskali zgolj to besedno zvezo, bi lahko sprožili veliko število lažnih napadov. Pomembno je torej, da v zaporedju paketov ali ukazov ne iščemo le določene besedne zveze, temveč tudi da vemo v katerih delih posameznih paketov kaj iščemo. Za izbran primer se moramo omejiti na iskanje besedne zveze zgolj v imenih k sporočilu pripetih datotek. S tem količino lažnih alarmov močno znižamo. Pri odkrivanju znanih napadov smo torej omejeni na obstoječo uporabljano bazo napadov. Za maksimalno izkoristek tega načina odkrivanja napadov je zato pomembno sprotno obnavljanje oz. osveževanje baze.

6.1.2 Zaznavanje neznanih napadovZgoraj opisani način odkrivanja znanih napadov je sicer učinkovit, vendar pa v sodobnih sistemih za zaznavanje vdorov žal ni zadosten. Želimo si namreč zaznati tudi še neznane poskuse vdorov. Pri tem si lahko pomagamo s standardi in protokoli, ki se uporabljajo v okviru IP protokola. Napadi namreč v veliko

| 6. Sistemi za zaznavanje in preprečevanje vdorov 55


primerih bazirajo prav na zlorabi teh protokolov. Recimo, da izbran protokol v danem trenutku predvideva določen podatek (npr. glede na njegovo obliko ali velikost), mi pa mu posredujemo nekaj drugega. Če aplikacija v takem primeru nima ustreznih mehanizmov, ki to takoj ugotovili napačnost rabe protokola, se lahko zgodi da aplikacija preneha delovati tako kot je bila napisana in na osnovi našega nepričakovanega posega izvaja neke druge akcije. Tipičen primer takšnega načina napada je t.i. Buffer-overflow. Pri njem aplikaciji posredujemo več podatkov, kot jih pričakuje in tipično se višek teh podatkov nenadzorovano zapiše v spomin aplikacije. Če ta presežek podatkov spretno oblikujemo, lahko nepooblaščeno dosežemo, da aplikacija izvaja nekaj povsem drugega, kot je bilo mišljeno. Z nadzorom in pregledovanjem prometa moramo torej zagotoviti, da se aplikacije in servisi uporabljajo tako kot je predpisano. Če temu ni tako, lahko zaznamo potencialne znake napada tudi če nam le ta ni znan vnaprej. Jasno je tudi v teh primerih možnost za proženje lažnega alarma velika, vendar pa vseeno manjša ko v prejšnjem primeru. Proženje alarma na osnovi teh sistemov zaznavanja je namreč pogosto koristno tudi če ne gre za poskus vdora, ampak je neka aplikacija npr. le uporabljena drugače kot je bilo mišljeno. Do sedaj opisani sistemi za preprečevanje napadov so sicer učinkoviti, še vedno pa imajo eno slabo lastnost. Praviloma namreč delujejo le v okviru znanih aplikacij oz. standardov. Problem se torej pojavi, kadar želimo v omrežju uporabiti neko lastno aplikacijo, ki smo jo npr. sami razvili. Sistem nam zanjo ne more ponuditi nabora znanih napadov, in prav tako ne more sklepati na anomalije uporabe standardov in protokolov. Sklenemo torej lahko, da morajo sistemi za zaznavanje napadov ponujati mehanizme, kjer lahko sami definiramo parametre, ki okarakterizirajo potencialne načine napadov na aplikacijo.

6.2 Preprečitev vdoraJasno je, da nam sistem, ki napad le prepozna, ni pa ga sposoben preprečiti ne more biti v prav veliko pomoč. Tako imamo tudi pri tehnikah preprečitve napadov, v odvisnosti od njihove vrste, več načinov. Glede na različne možnosti postavitve, lahko govorimo o dveh možnih načinih preprečevanja vdorov:

Pasivni način, zgolj spremlja promet v omrežju. Sam promet se torej ne prenaša prek sistema za zaznavanje in preprečevanje vdorov.

Aktivni način, pri njem gre celoten promet dejansko prek sistema za zaznavanje in preprečevanje vdorov.

6.2.1 Spreminjanje politike (pasivno spremljanje prometa)Najenostavnejši način preprečevanja napadov je preko samodejne prekonfiguracije preostalih varnostnih mehanizmov. Kot že rečeno, sisteme za zaznavanje vdorov uporabljamo zato, ker ostali sistemi ne spremljajo ustrezno prometa na aplikativnem nivoju. Če torej nek sistem uporabljamo lahko predpostavimo prisotnost rizičnega prometa. Tipično torej uporabljamo nek drug varnostni sistem (npr. požarni zid), kjer promet za določeno aplikacijo prepuščamo, sistem za zaznavanje vdorov pa vsebinsko nadzira promet v okviru te aplikacije.

V primeru, da sistem zazna napad oz. poskus vdora, lahko v primeru ustrezne konfiguracije sistema in pa drugih varnostnih mehanizmov (npr. požarnega zidu), izvedemo samodejno prijavo na ta varnostni sistem in prekonfiguriramo filtrirne sisteme tako, da promet za aplikacijo, ki je napadena ni več mogoč. Ideja je v osnovi preprosta, za učinkovito rabo pa je potrebno zagotoviti sledeče:

Uporabljati moramo sistem za zaznavanje vdorov in požarni zid, ki takšno delovanje omogočata Varnostno politiko moramo sestaviti pazljivo, saj lahko s takšnim načinom dela zelo hitro

omogočimo t.i. Denial-Of-Service napad, pri katerem lahko nekdo drug na relativno lahek način doseže nedostopnost našega informacijskega sistema.

6.2.2 TCP reset (pasivno spremljanje prometa)V primeru TCP prometa lahko uporabimo lastnost zaključevanja sej. TCP promet je namreč t.i. smerni promet, kjer se paketi med dvema mrežnima elementoma ne prenašajo vsak zase, ampak so vsi del ustrezne TCP seje. To pomen, da recimo uporabnik prične s komunikacijo, TCP sejo. Strežnik mu na to komunikacijo odgovarja in svoje odgovore posreduje v okviru iste TCP seje. Eden izmed parametrov na



podlagi katerega se ta seja je zaporedna številka (angl. Sequence number). Vsakič, ko v okviru določene TCP seje posredujemo sogovorniku paket, povemo kakšno zaporedno številko pričakujemo v odgovoru in paket, ki ta odgovor predstavlja mora seveda podatek o tej številki vsebovati. TCP seja na koncu zaključi tako, da uporabnik ali strežnik komunikacijo zaključita s t.i. TCP-reset paketom. Sistem za zaznavanje vdorov lahko tako v določenih primerih zaustavi sporno komunikacijo. Če recimo uporabnik prične uporabljati neko aplikacijo, ki za komunikacijo uporablja TCP protokol in to počne na način, ki za sistem za zaznavanje vdorov predstavlja napad, lahko sistem strežniku posreduje 'lažen' TCP-reset paket in ga tako prepriča, da je seja zaključena. Ideja zveni enostavna, mnogo manj enostavna pa je njena implementacija. Sistem za zaznavanje napadov mora biti namreč dovolj spreten, da pravočasno zazna napad, ugotovi ustrezne zaporedne številke in potem tem številkam ustrezno posreduje strežniku TCP-reset paket. Sistem ne deluje v primerih, ko:

se napad izvede in zaključi še preden sistem reagira, ali ko zaradi napačne zaporedne številke strežnik ignorira posredovani TCP-reset paket in jasno takrat, ko komunikacija ne temelji na TCP protokolu.

6.2.3 Zavračanje prometa (aktivno spremljanje prometa)Sistem za zaznavanje vdorov lahko postavimo tudi tako, da se celoten promet prenaša preko njega. V tem primeru je preprečevanje vdorov preprostejše, saj mora sistem v danem trenutku zgolj zavreči ustrezen paket in torej za to ne potrebuje samega strežnika ali požarnega zidu, kot v zgornjih dveh primerih. S stališča uspešnosti preprečevanja napadov je takšna tehnika uporabe sistema še najbolj učinkovita.

6.3 Varnost omrežjaV mnogih pogledih je varnost informacijskega sistema (angl. Information Security) ugotavljanje ter nadzorovanje groženj in ranljivosti informacijskega sistema nekega podjetja ali organizacije. Varnost informacijskega sistema sama po sebi ne zagotavlja netveganosti pred nepooblaščenim razkritjem informacij ali uporabo informacijskega sistema neke organizacije oziroma podjetja. Prav tako varnost informacijskega sistema ne more zagotoviti zaščite informacij. Pri varnosti informacijskega sistema gre predvsem za vzpostavitev nekih preventivnih korakov, ki pripomorejo k varovanju informacij in zakrivanju zmožnosti/ranljivosti informacijskega sistema pred grožnjami.

Z dobo interneta je povezovanje informacijskih sistemov preko telekomunikacijskih omrežij postala stalnica. Prav slednje pa narekuje slojevit pristop k zagotavljanju varnosti informacijskih sistemov in obsega praktično vse nivoje OSI referenčnega modela. Tako lahko govorimo o zagotavljanju fizične varnosti, komunikacijske varnosti (COMSEC), varnosti omrežja in računalniške varnosti (COMPUSEC).

V notranjem omrežju tipično ne uporabljamo nikakršnih varnostnih mehanizmov. Glavni razlog je najti v tem, da notranje omrežje smatramo kot varno in ga zato ni potrebno zaščititi. Prepričanje, da nevarnosti lokalnega omrežja prežijo zgolj zunaj omrežja (internet) je zmotno. Ravno zlorabe omrežja od »znotraj« so najpogostejši način izvajanja napadov. Glavni vzrok oziroma načini so naslednji.

Zlorabo lahko povzroči nezadovoljni ali pa nelojalni zaposleni, ki ima določene pravice v sistemu. Zaradi napačno postavljenih varnostnih sistemov lahko pridemo v notranje omrežje mimo

obstoječih varnostnih sistemov (npr. klicni usmerjevalniki, povezave z oddaljenimi lokacijami ipd.). Slaba fizična varnost prostorov omogoča nepooblaščen fizičen dostop do notranjega omrežja.

Vsekakor takšni varnostni mehanizmi v notranjosti omrežja pripomorejo k večji varnosti. Praviloma pa osnovnega problema ne rešijo. Požarne pregrade in filtrirni mehanizmi praviloma delujejo do 4. nivoja OSI referenčnega modela. Lahko torej le onemogočijo uporabo določenih aplikacij, ne morejo pa dostope do sicer dovoljenih aplikacij vsebinsko nadzorovati. In prav to bi v notranjosti omrežja potrebovali. Uporabniki, ki se nahajajo v notranjem omrežju praviloma potrebujejo dostop do pomembnih aplikacij,



tega niti ne želimo, niti ne moremo preprečiti. Radi pa bi dosegli nadzor nad uporabo teh aplikacij, ki ga požarne pregrade torej ne morejo nuditi.

Arhitektura večine današnjih žičnih lokalnih omrežij (LAN) omogoča priključitev in dodelitev notranjih virov informacijskega sistema uporabnikom brez predhodnega overjanja le-teh. Vzrok temu je najti v prepričanju, da je prenosni medij v žičnih lokalnih omrežjih zaseben in da lahko do tega dostopajo samo zaupanja vredni uporabniki. Taka arhitektura omrežja zagotavlja posledično vsakomur, ki se lahko fizično priključi na LAN stikalo dostop do notranjih virov informacijskega sistema.

Danes se vedno pogosteje srečujemo z brezžičnimi lokalnimi omrežji (WLAN). Z varnostnega vidika morajo biti brezžična lokalna omrežja deležna dodatne pozornosti. Pri brezžičnih lokalnih omrežjih prenosni medij ni zaseben. Za razliko od žičnih lokalnih omrežij, kjer mora uporabnik imeti fizičen dostop do omrežnega priključka na LAN stikalu, se lahko uporabnik v brezžično lokalno omrežje zaradi same narave radijskih signalov, povezuje iz drugega prostora ali celo stavbe preko ulice. Tako se lahko praktično vsakdo, ki se nahaja v območju dosega radijskega signala brezžične dostopovne točke, z dovolj usmerjeno anteno ter občutljivim radijskim sprejemnikom poveže v brezžično lokalno omrežje. Zaradi tega je v brezžičnih lokalnih omrežjih poleg samega overjanja potrebno zagotoviti tudi šifriranje in celovitost podatkov.

Vse našteto je vplivalo na nastanek nove arhitekture lokalnih omrežij, ki zagotavlja predhodno overjanje uporabnikov in naprav v lokalnem omrežju. Tehnologije 802.1X, EAP, NAP, NAC, AAA/RADIUS… so sestavni elementi novodobnih lokalnih omrežij.

6.3.1 IEEE 802.1XIEEE 802.1X je protokol 2. plasti OSI referenčnega modela in določa nadzorovan dostop do omrežja zasnovan na ravni vrat. Dejanska uveljavitev protokola 802.1X je bila dosežena z nadzorovanim dostopom do omrežja na ravni vrat, ki temelji na mehanizmu nadzorovanega porta, ter na filtriranju MAC naslovov. Poudariti je potrebno, da sam protokol 802.1X ne zagotavlja overjanja. Overjanje uporabnikov in naprav se izvaja s protokolom EAP. Protokol 802.1X pri tem poskrbi za prenos EAP avtentikacijskih sporočil med odjemalcem in overiteljem v omrežjih IEEE 802 (ethernet, brezžični ethernet, obroč z žetonom itd.). Tako moramo na protokola 802.1X in EAP gledati kot celoto, saj se med seboj dopolnjujeta. Standard IEEE 802.1X določa naslednje gradnike:

dostopovno entiteto PAE3 overitelja (angl. Authenticator) odjemalca (angl. Supplicant) avtentikacijski strežnik nadzorovan/nenadzorovan port.

Dostopovna entiteta (PAE) je logična entiteta protokola 802.1X na overitelju in odjemalcu. Nanaša se na posamezen LAN port.

Overitelj (angl. Authenticator) je LAN port, ki uporabnikom in napravam, ki želijo dostopati do omrežnih resursov preko tega porta vsiljuje predhodno overjanje. V brezžičnem ethernet omrežju je overitelj logičen LAN port na 802.1X brezžični dostopovni točki, v žičnem ethernet omrežju pa je to fizičen port na 802.1X podprtem stikalu.

Odjemalec (angl, supplicant) je logičen LAN port na omrežni kartici, ki zahteva dostop do storitev dostopnih preko overitelja. Glede na način povezave (brezžična ali žična) sta odjemalec in overitelj med seboj povezana z logičnim ali fizičnim točka-točka LAN segmentom.



Avtentikacijski strežnik overja poverilnice odjemalca, ki jih posreduje overitelj in nato odgovori overitelju ali ima odjemalec pooblastilo za dostop do overiteljskih storitev. Avtentikacijski strežnik se lahko nahaja na samem overitelju (brezžična dostopovna točka, stikalo) ali pa je ločena enota (samostojni AAA/RADIUS avtentikacijski strežnik). V slednjem primeru overitelj posreduje odjemalčevo zahtevo po overjanju do avtentikacijskega strežnika.

Nadzorovan/nenadzorovan port: na vsakem 802.1X portu overitelja ustvari overitelj dve navidezni vstopni točki – nadzorovan in nenadzorovan port. Nenadzorovan port zagotavlja prenos le EAPOL okvirjev. Prenos ostalega prometa med overiteljem in ostalimi napravami v lokalnem omrežju preko nenadzorovanega porta ni mogoč. Nadzorovan port omogoča prenos podatkov med odjemalcem in LAN omrežjem le, če je odjemalec pooblaščen (avtoriziran) za dostop v LAN omrežje. Pred overjanjem je navidezno stikalo odprto in noben okvir se ne prenaša med odjemalcem in LAN omrežjem. Po uspešni overitvi odjemalca se navidezno stikalo sklene in prenos okvirjev med odjemalcem in LAN omrežjem se prične.

Overitelj je zgolj posrednik v komunikaciji med odjemalcem in avtentikacijskim strežnikom, saj EAP avtentikacijskih sporočil ne interpretira ampak le posreduje do njiju. Prenos EAP avtentikacijskih sporočil preko omrežij IEEE 802 med odjemalcem in overiteljem zagotavlja protokol 802.1X. IEEE 802.1X določa standardizirano metodo ovijanja EAP avtentikacijskih sporočil v ethernet okvirje- EAPOL4. Prenos EAP avtentikacijskih sporočil med overiteljem in avtentikacijskim strežnikom (RADIUS5) poteka preko protokola RADIUS (RFC 3579).

6.3.2 EAP – razširljivi avtentikacijski protokolRazširljivi avtentikacijski protokol (angl. Extensible Authentication Protocol - EAP) je standardiziran razširljiv avtentikacijski protokol, ki je bil sprva namenjen razširjenemu overjanju v protokolu PPP. Ob vedno večji potrebi po overjanju naprav in uporabnikov v lokalnih ethernet omrežjih je EAP bil izbran za avtentikacijski mehanizem protokola 802.1X. Vzrok temu se skriva v njegovi prožnosti, ki se kaže v prenosu poljubnih avtentikacijskih informacij. EAP tako ni omejen zgolj na današnje metode overjanja (gesla, certifikati, žetonske kartice, biomtrika itd.) ampak se lahko zlahka prilagodi prihodnjim potrebam. EAP protokol se ovija v spodaj ležeče protokole: PPP, 802.1X, RADIUS. Ločimo naslednje tipe EAP avtentikacijskih sporočil: Identity, Notification, Nak, MD5-Challenge, One-Time Password in Generic Token Card. EAP avtentikacijsko sporočilo sestavljajo naslednja polja:

Koda: Request, Response, Exchange, Success, Failure Identifikator: namenjen razločevanju med odgovori (responses) posameznih zahtev (requests) Podatki: format podatkovnega polja določa koda EAP sporočila

Bistvena odlika protokola EAP je prav njegova prožnost, ki zagotavlja podporo raznolikim metodam overjanja in možnost uporabe prihodnjih metod. Danes je zaradi svoje relativno preproste izvedbe in močne zaščite priljubljena metoda overjanja PEAP/EAP-MSCHAPv2. Za razliko od protokola PPP, kjer se metoda overjanja (PAP ali CHAP) določi v fazi vzpostavitve povezave, se v primeru EAP izbere metodo overjanja v fazi avtentikacije. Pogajanje za EAP metodo overjanja poteka med končnima entitetama v EAP procesu overjanja – med odjemalcem in avtentikacijskim strežnikom. Potem, ko je dogovorjena EAP metoda overjanja, se med odjemalcem in avtentikacijskim strežnikom odpre komunikacijski kanal preko katerega si izmenjujeta EAP avtentikacijska sporočila. Dolžina in vsebina EAP komunikacije je odvisna od izbrane EAP metode overjanja.

6.3.3 EAP-MD5EAP-MD5 je avtentikacijska metoda, ki temelji na geslih. V brezžičnih omrežjih ta metoda ni zaželena zaradi odkritih varnostnih pomanjkljivosti. To metodo uspešno zamenjuje metoda overjanja PEAP-MSCHAPv2. Bistveni pomanjkljivosti metode EAP-MD5 sta naslednji:

overjanje na podlagi gesel; ker overjanje poteka preko nešifriranega kanala je ta metoda ranljiva na napade z uporabo slovarja (angl. Dictionary Attack),



ne zagotavlja medsebojne overitve (angl. Mutal Authentication), kar pomeni, da se lahko odjemalec poveže v sleparsko omrežje (angl. Rogue Network).

6.3.4 LEAPV pomanjkanju primernih standardiziranih pristopov, ki bi olajšali težave v zvezi z varnostjo v omrežjih 802.11, je Cisco predstavil LEAP (angl. Lightweight Extended Authentication Protocol). LEAP ne podpira TLS sheme. Namesto tega ponuja močno avtentikacijo (močnejšo od EAP-MD5), vendar ji še vedno primanjkuje TLS podpora za zaščito med koncema. To pomeni, da so avtentikacijske poverilnice podvržene napadom z uporabo slovarja. Poleg tega LEAP odjemalec ne overi avtentikacijskega strežnika, kar ima lahko za posledico prijavljanje na sleparko brezžično dostopovno točko oz. sleparsko omrežje. Avtentikacijska metoda LEAP ni standardizirana, kar je ena njenih večjih pomanjkljivosti. Njeno delovanje je podprto večinoma le v produktih proizvajalca Cisco.

6.3.5 EAP-TLSMetoda overjanja EAP-TLS temelji na overjanju z digitalnimi certifikati. Izmenjava avtentikacijskih sporočil na podlagi protokola EAP-TLS zagotavlja medsebojno overjanje (angl. Mutual Authentication), celovitost prenesenih sporočil in varno izmenjavo zasebnih ključev. EAP-TLS omogoča najmočnejšo metodo overjanja. Protokol je opisan v dokumentu RFC 2716. V praksi se najpogosteje uporablja različico protokola EAP-TLS, ki za overjanje uporablja uporabniške in računalniške digitalne certifikate shranjene v registru računalnika (registry-based). Prednosti takega načina overjanja so naslednje:

izognemo se vpisovanju uporabniških gesel, overjanje uporabnikov in naprav poteka avtomatično in je praktično nevidno za uporabnike, uporaba digitalnih certifikatov velja za trenutno izredno močno avtentikacijsko shemo, EAP-TLS temelji na kriptografiji javnega ključa in ni ranljiv na napade z uporabo slovarja (angl.

Dictionary Attacks), V EAP-TLS avtentikacijskem procesu se medsebojno določi potreben material za generiranje

ključev potrebnih za šifriranje podatkov in digitalno podpisovanje.

Postopek overjanja pri protokolu 802.1xEAP-TLS:

1. asociacija in zahteva po identifikacijiKadar se odjemalec (računalnik, IP telefon ipd.) povezuje v omrežje preko stikala (žično), prične s postopkom overjanja stikalo samo. Postopek prične s predhodnim pošiljanjem paketa »EAP-Request/Identity« odjemalcu. Ta paket vsebuje zahtevo za identifikacijo odjemalca. Začetek overjanja pa se malo razlikuje v primeru, ko se odjemalec priključuje preko brezžične dostopovne točke. V kolikor je odjemalec že asociran z brezžično dostopovno točko (povezan preko radijskega medija), prične proces overjanja uporabnik sam s pošiljanjem paketa »EAP-Start« brezžični dostopovni točki.

2. EAP-Response/IdentyV kolikor na odjemalca ni prijavljen noben uporabnik, odjemalec pošlje paket »EAP Response/Identity«, v katerem je vsebovana identiteta same fizične naprave (računalnika) preko katere se uporabnik povezuje v omrežje.

3. RADIUS pošlje »EAP-Request« (pričetek TLS komunikacije)RADIUS strežnik pošlje RADIUS sporočilo »Access-challenge«, ki vsebuje avtentikacijsko sporočilo »RADIUS EAP-Request« s tipom EAP (EAP-Type) nastavljenim na EAP-TLS. To sporočilo aktivira avtentikacijski proces TLS.

4. Odjemalec pošlje »EAP-Response« (TLS Client Hello)Odjemalec odda sporočilo »EAP-Response« s tipom EAP nastavljenim na EAP-TLS. To sporočilo je odjemalčev pozdrav avtentikacijskemu strežniku. Overitelj (stikalo, brezžična dostopovna točka) posreduje EAP sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.



5. RADIUS pošlje »EAP-Request« (Certifikat RADIUS strežnika)RADIUS strežnik odda RADIUS sporočilo »Access-Challenge«, ki vsebuje sporočilo »EAP-Request« s tipom EAP nastavljenim na EAP-TLS ter digitalni certifikat RADIUS strežnika. Overitelj (stikalo, brezžična dostopovna točka) nato posreduje to sporočilo do odjemalca (PC, brezžična dostopovna točka, stikalo ipd.).

6. Odjemalec pošlje »EAP-Response« (Certifikat odjemalca)Odjemalec odda sporočilo »EAP-Response« s tipom EAP nastavljenim na EAP-TLS ter svoj digitalni certifikat. Overitelj posreduje to sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.

7. RADIUS pošlje »EAP-Request« (šifrirni material, zaključek TLS)RADIUS strežnik odda sporočilo »EAP-Request« z EAP tipom nastavljenim na EAP-TLS ter šifrirni material. S tem sporočilom RADIUS strežnik sporoči odjemalcu, da je izmenjava TLS avtentikacijskih sporočil zaključena.

8. Odjemalec odgovori z »EAP-Response«Odjemalec pošlje RADIUS strežniku »EAP-Response« z EAP tipom nastavljenim na EAP-TLS. Overitelj nato posreduje to sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.

9. RADIUS pošlje »EAP-SuccessKadar se odjemalec priključuje v preko brezžične dostopovne točke, mora v tem koraku RADIUS strežnik izračunati še šifrirne ključe za odjemalca. Šifrirne ključe izračuna iz šifrirnega materiala, ki ga je pridobil v fazi overjanja.

6.3.6 PEAPPEAP (angl. Protected Enhanced Authentication Protocol) je ena izmed različic razširljivega avtentikacijskega protokola EAP. Njegov razvoj je bil v domeni treh podjetij, Cisco, Microsoft in RSA. Značilnost protokola PEAP je vnaprejšnja vzpostavitev varnega kanala, ki zagotavlja šifriranje in celovitost podatkov med odjemalcem (angl. supplicant) ter avtentikacijskim strežnikom. Varen kanal je vzpostavljen po protokolu EAP-TLS. V mnogih pogledih je PEAP bolj prožen od EAP-TLS, saj ne zahteva vzpostavitve drage infrastrukture javnega ključa (PKI15). Vzpostavitev varnega kanala temelji na predhodnem overjanju avtentikacijskega strežnika s strani odjemalca. Avtentikacijski strežnik se odjemalcu overi z digitalnim certifikatom. Po vzpostavitvi varnega TLS kanala pa je možno uporabiti katerokoli standardizirano EAP avtentikacijsko metodo. PEAP-MSCHAPv2 je ena izmed uveljavljenih metod overjanja, saj vsebuje pravšnjo kombinacijo varnosti, medsebojne obratovalnosti, prožnosti in preprostosti izvedbe. PEAP proces avtentikacije je sestavljata dve fazi:

Faza1: odjemalec najprej overi avtentikacijski strežnik; s tem se izogne povezovanju v t.i. sleparska omrežja (angl. Rogue Networks). TLS vzpostavi robusten in šifriran kanal med odjemalcem in avtentikacijskim strežnikom.

Faza2: TLS kanal ščiti izmenjavo avtentikacijskih sporočil med odjemalcem in avtentikacijskim strežnikom.

6.3.7 Avtorizacija in obračunavanjeSamo overjanje brez avtorizacije nima pravega pomena. Po overitvi odjemalca AAA/RADIUS strežnik preko atributov v AAA/RADIUS paketih posreduje overitelju politiko dostopa. Avtorizacijo odjemalcev izvaja overitelj na podlagi atributov v AAA/RADIUS paketih. Najpreprostejša oblika avtorizacije je dovolitev oz. prepoved dostopa v lokalno omrežje na povezavnem nivoju OSI referenčnega modela. Politika dostopa lahko vključuje tudi omejitve na višjih nivojih OSI modela. Tako lahko na primer v



RADIUS paketih prenašamo atribute o dodelitvi uporabnikov/naprav v navidezno lokalno omrežje (VLAN) in pristopnih listah (ACL) za posameznega uporabnika/napravo. Avtorizacija lahko tako kot overjanje poteka na skupnem strežniku RADIUS, oziroma se lahko izvaja ločeno na AAA16 strežnikih. Izrednega pomena je tudi obračunavanje, ki zagotavlja beleženje aktivnosti posameznih uporabnikov in naprav na AAA oz. RADIUS strežniku.

6.3.8 Krmiljenje dostopa do omrežjaOverjanje uporabnikov in naprav je seveda pomembna komponenta v rešitvi zagotavljanja varnosti omrežja, kljub temu pa ta predstavlja le del celotne rešitve. Uporabnikom in napravam je namreč omogočen dostop zgolj na podlagi overjanja njihovih poverilnic, ne pa tudi na preverjanju skladnosti samih naprav z varnostno politiko omrežja. Tako se vse pogosteje dogaja, da se uporabnik z okuženim računalnikom ali pa z operacijskim sistemom brez varnostnih popravkov, ne da bi se tega seveda zavedal, poveže v lokalno omrežje in s tem povzroči širjenje virusov, črvov in ostale škodljive kode v samo produkcijsko omrežje.

Slika 59: Arhitektura krmiljenega dostopa do omrežja (NAC)

Krmiljenje dostopa do omrežja ali NAC (angl. Network Admission Control) pri tem zagotavlja predhodno preverjanje stanja (posture) naprav, ki se povezujejo v notranje omrežje podjetja oziroma organizacije. Krmiljenje dostopa do omrežja (NAC) je tehnologija proizvajalca Cisco in jo sestavljajo ustrezna programska oprema na strani odjemalca, podporni strežniki, kjer se preverja stanje naprav, ter omrežna oprema (stikala, usmerjevalniki, brezžična dostopovna točka) z ustrezno funkcionalnostjo.

6.4 Vohljanje (Sniffing), pretvarjanje (spoofing) in prevzemanje terminalskih povezav (hijacking)



Često si vlomilec nagrabi množico gesel s pomočjo vohljanja, ko zada računalniku nalogo nadzora celotnega prometa lokalne mreže in potem vse skupaj shranjuje na disk ali pošilja pakete preko pošte k sebi. Vohljanje je posebej enostavno pri ethernetu, ki je najbolj priljubljeni način povezovanja v lokalne mreže, saj pri tem računalnik pošlje paket vsem priključkom mreže z informacijo, komu je namenjen. Vzel bi ga naj samo tisti, komur je namenjen, vendar lahko privilegiran uporabnik, kar vlomilec navadno je, jemlje ves promet v čitljivem tekstu. Ko imamo v lokalni mreži kako nesnago pod DOSom, kar je v srednjih šolah skoraj vedno primer, je problem toliko bolj pereč, ker lahko tam vsakdo dela kar se mu zaljubi brez nadzora.

Neukega vohljača ni težko odkriti, ker nam z obilico podatkov hitro zapolni disk ali neprenehoma pošilja obsežno pošto. Previdni vohljači povohajo samo podatke za določen računalnik in celo za natanko določeno storitev na njemu znanih vratih. Še več: poberejo samo prvih nekaj 10 znakov, da ne pobirajo odvečne navlake. Na nekaterih verzijah operacijskega sistema obstaja posebna zastavica, preko katere vidimo, če je postaja v načinu, ko lovi celotni promet (angl. Promiscuous Mode), vendar pri večini te možnosti ni, saj mora biti vgrajena v jedro operacijskega sistema. Tega načina ne uporabljajo, kadar vohljajo samo na prizadeti postaji. Odkrijemo jih tako, da pogledamo s pomočjo ukazov (ifconfig in netstat) aktivne vmesnike ter potem še nekoliko pobliže sumljivega. Priporočljivo je pregledovanje vseh odprtih datotek (lsof - LiSt Open Files), ki nas lahko vodi do datoteke, ki shranjuje podatke. Zaščitimo se lahko s kodiranjem vseh poslanih podatkov. V ta namen obstaja niz paketov (PGP, kerberos, netlock, deslogin), ki skrbijo za kodiranje in dekodiranje. Pri tem pridobljeni podatki so neuporabni. Rešitev s strojno opremo je aktivni HUB, ki ne pošilja vseh podatkov vsem, ampak vsakemu samo njemu namenjenega. Poglavje zase so Xwindow, kjer lahko tudi navaden uporabnik lovi vse podatke natipkane v poljubnem oknu. Vohljanju samih gesel se je moč upreti tudi s tehnologijo enkratnih gesel (S/key).

Pri pretvarjanju (IP spoofing) vdiralec pošilja pakete pod tujo IP številko in si na ta način pridobi dostop do sistemov, kjer poteka avtorizacija na osnovi IP številke. Pridobitev dostopa pod pretvarjanjem administratorja je poln zadetek. Vdor opazimo s pomočjo orodij za opazovanje mrežnega prometa (netlog). Pravo zaščito nudi vhodni filtrirni usmerjevalnik, ki preprečuje vstop paketov z odpošiljujočimi naslovi naše lokalne mreže. Smiselna je tudi obratna nastavitev, s čimer preprečimo tovrstno aktivnost naših uporabnikov.

Ko ima vdiralec administratorski (root) dostop, lahko uporabi orodje za dinamično spremembo jedra operacijskega sistema in prevzame (hijacking) poljubno terminalsko povezavo uporabnikov sistema, ki opazijo na ekranu nenatipkane znake ali pa jim povezava enostavno zamrzne. Njihova naloga je, obvestiti administratorja o težavah. Zlorabljene povezave lahko opazimo po tem, da so dolgo časa aktivne. Posebne obrambe pred to vrsto vdora ni. Vdiralec ne sme pač priti do privilegiranega uporabniškega gesla.

POVZETEKPojmovanje varnosti v omrežjih je prešlo okvir posamezne požarne pregrada. Slednja sicer lahko do neke mere ščiti notranje omrežje pred napadi od »zunaj«, t.j. javnega omrežja, vendar ne zagotavlja zaščite pred nepooblaščenim dostopom uporabnikov v notranje omrežje podjetja »od znotraj«, t.j. iz lokalnega omrežja. Z sistemi za zaznavo in preprečevanje vdorov (IDS/IPS) bi v neki meri sicer bilo možno omejiti tudi tovrsten nepooblaščen dostop do omrežja (dostop do notranjega omrežja od znotraj), vendar bi taka rešitev lahko bila prekomplicirana in posledično predraga. Tako se danes zastavlja dve ključni vprašanji:Kako zagotoviti nadzor nad nepooblaščenim priključevanjem naprav in uporabnikov v lokalno omrežje od »znotraj«, t.j. preko notranjega omrežja?

Kako zagotoviti, da naprave s katerimi se uporabniki priključujejo v notranje omrežje nekega podjetja oziroma organizacije ustrezajo varnostni politiki tiste organizacije?



Odgovor na ti dve vprašanji lahko poiščemo v tehnologijah, ki prihajajo in obetajo veliko: 802.1x/EAP in krmiljenje omrežnega dostopa (NAC, NAP). Prva omogoča overjanje uporabnikov in naprav v lokalnem omrežju, druga pa preverjanje stanja naprav (posture), ki se povezujejo v lokalno omrežje.

NAC (angl. Network Admission Control) je tehnologija proizvajalca Cisco. V tej rešitvi poleg podpornih strežnikov nastopajo tudi omrežne naprave, kot so stikala, usmerjevalniki in brezžične točke. NAP (Network Access Protection) pa je tehnologija proizvajalca Microsoft. Slednja prav tak zagotavlja pregled stanja naprav preden je le-tem omogočen dostop v notranje omrežje podjetja oziroma organizacije. Vendar pa slednja rešitev ne zagotavlja podporo v omrežnih elementih (stikala, usmerjevalniki, brezžična dostopovna točka) kot je to značilno za rešitev proizvajalca Cisco, ampak je podprta zgolj na končnih strežnikih.

Obe tehnologiji (NAC in NAP) sta dokaj novi in ju v praksi še ne srečujemo, medtem ko se tehnologijo 802.1X/EAP že implementira v večjih omrežjih.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj so sistemi za zaznavanje in preprečevanje vdorov?2. Katere delimo sisteme za zaznavanje in preprečevanje vdorov?3. Na kakšen način preprečimo vdore v sistem?



7. Zlonamerni programiUvodZlonamerni programi (angl. Malicious Software, Malware), so programi napisan z namenom škoditi uporabniku oziroma škodljivo vplivati na delovanje nekega informacijskega sistema. Terminologija na tem področju je problematična, saj lahko opazimo pomanjkanje splošno sprejetih izrazov in tudi dejstvo, da se mnoge od obravnavanih kategorij med seboj prekrivajo. Delimo jih lahko v dve skupini;

na tiste, ki za svoje delovanje potrebujejo program v katerega se naselijo in na samostojne oz. neodvisne programe.

Med prve štejemo npr. viruse, logične bombe in stranska vrata; med druge pa črve in zombije.

7.1 Računalniški virusiRačunalniški virus je računalniški program, ki se je sposoben sam razširjati preko drugih računalniških programov ali dokumentov. Zaradi tega se računalniški virus obnaša zelo podobno biološkemu virusu, ki se širi tako, da okuži celice. Podobno kot se okužimo z biološkim virusom, se tudi računalniški program okuži z virusom. Pogosto potem rečemo, da je računalnik dobil virus. Računalniški program je v tem primeru gostitelj virusa.

Virusi so samo eden od različnih tipov programov, ki so narejeni z zlobnimi nameni. Pogosto imenujemo viruse tudi računalniške črve, trojanske konje in ostale vrste zlobnih programov. To lahko zmede uporabnike, saj so dandanes virusi veliko manj pogosti, kot so bili včasih. Danes prevladujejo predvsem trojanski konji in črvi. Zaradi tega se uporabniki pogosto varujejo samo pred določenim tipom zlobnih računalniških aplikacij in so bolj ranljivi za ostale.

Čeprav je lahko namen virusov, da uničujejo podatke, so pogosto samo nadležni. Nekateri virusi se sprožijo šele po tem, ko mine določen čas od prvotne okužbe računalnika, ob določenih časih ali ko okužijo zadostno število drugih računalnikov. Večina virusov je kljub temu usmerjena v lastno nekontrolirano reprodukcijo, kar troši računalniška sredstva, kot so procesorska moč, pomnilnik ali količina prostega trdega diska.

Pred virusi se bojujemo s pomočjo protivirusnih programov, požarnih zidov in pravočasnih popravkov programja. Danes ti programi niso več namenjeni samo boju proti virusom, ampak služijo tudi preprečevanju prisotnosti vohunskega programja.

Računalniški virusi niso omejeni samo na osebne računalnike z okoljem Microsoft Windows. Obstajajo tudi tudi za razne UNIX/Linux sisteme, operacijske sisteme, ki poganjajo vgradne naprave, kot so mobilni telefoni ali dlančniki. Zgodovinsko gledano so se prvi računalniški virusi pojavili za velike računalnike, nakar so se pisci virusov, skupaj z večanjem dostopnosti osebnih računalnikov, osredotočili na osebne računalnike.

Računalniški virusi so lahko sprogramirani tako, da se aktivirajo na določen datum. Tak je na primer virus Michelangelo, ki se je sprožil šestega marca 1992 (obletnica rojstva italijanskega umetnika Michelangela) in na ta dan brisal vsebino trdih diskov. Ocenili so, da je virus napadel 5.000-10.000 PC-jev.

Računalniški črv je prav tako kot virus, ki se širi iz računalnika v računalnik, vendar tako, da sam izvaja funkcije računalnika za prenos datotek ali podatkov. Ko se črv naseli v sistem, lahko potuje sam. Velika nevarnost črvov je njihova sposobnost izjemno hitrega širjenja. Hekerji so postali mojstri skrivanja računalniških črvov kot prilog elektronske pošte. Ko nič hudega sluteči uporabnik odpre prilogo, je črv aktiviran in se, odvisno od namena hekerja, razpošlje kot priloga e-pošte na vse naslove v e-poštnem imeniku uporabnika.

| 7. Zlonamerni programi 65


Zgodovina virusovLeta 1984 je bila prvič omenjena možnost računalniških virusov. Takrat je ni nihče jemal resno. Ko pa se je leta 1986 pojavil prvi virus imenovan brain, je bila to prava senzacija. To senzacijo bi lahko imenovali kar genialnost, seveda če se sklicujemo na besede znanega ameriškega ekonomista Galbraitha, ki je nekoč dejal, da ni genialnost izdelati nov izdelek, ki ga trg potrebuje, ampak ustvariti potrebo po izdelku, ki ga ljudje sploh ne potrebujejo. In računalniških virusov zagotovo nihče ne potrebuje.Prvi virus brain se je najprej razširil v ZDA in ni imel škodljivih efektov. Le malokdo je takrat v virusih videl veliko nevarnost za podatke v računalniških sistemih. Prvi virusi so bili namreč povečini neškodljivi (izpisovali so npr. le kakšno sporočilo na zaslonu), pozneje pa se je začelo pojavljati vse več virusov, ki uničijo ali spremenijo podatke.Oktobra 1993 je bilo tako znanih že več kot 3000 različnih virusov. Vendar se število teh virusov več ne povečuje tako hitro, kot se je še do leta 1992. Vodilni protivirusni centri v svetu tako zdaj dobijo v analizo okoli 100 novih virusov na mesec. Poleg samega števila se spreminjajo in stalno izboljšujejo tudi tehnike skrivanja in načini razmnoževanja virusov.

7.1.1 Vrste računalniških virusov in njihovi načini širjenjaV splošnem velja, da računalniške viruse izdelujejo nadarjeni programerji, pogosto imenovani tudi hekerji. Ni namreč preprosto napisati programa, ki kopira samega sebe z vstavljanjem v druge datoteke, pri čemer mora zaobiti vse najnovejše varnostne ukrepe v računalniških omrežjih in operacijskih sistemih, ter pri tem narediti še nekaj škode. Kljub temu lahko preprost virus izdela tudi nekdo, ki ni vešč programiranja, saj za ta namen obstajajo različni namenski programi. Virusi se prožijo na izbran način in naredijo škodo glede na želje njegovega izdelovalca. Tako lahko danes tudi uporabnik računalnika brez programerskih izkušenj izdela virusni program, ki se na primer sproži na njegov rojstni dan in na okuženih računalnikih izpiše 'Vse najboljše!'. Širjenje takega virusa pa bo najverjetneje zelo hitro ustavljeno, saj imajo dandanes ze skoraj vsi računalniki nameščen kak protivirusni program, ki tak virus zlahka odkrije. V ta namen obstajajo tudi programi, ki viruse mutirajo, in jih torej naredijo neprepoznavne za protivirusne programe, vse dokler niso ti nadgrajeni z ustreznimi popravki.



Slika 60: Širjenje računalniških črvov2

Kljub slabemu slovesu, ki ga imajo virusi in njihovi avtorji v javnem mnenju, lahko med virusi najdemo tudi neškodljive ali celo 'dobre' viruse, ki jih avtorji pišejo bodisi da opozorijo na določene pomanjkljivosti sistemov ali celo popravijo okužene programe in brišejo druge viruse, bodisi imajo avtorji izdelavo virusov za svoj kreativni hobi in jih izdelujejo brez škodljivih vplivov. Poleg tega, da bi viruse lahko delili na dobre in slabe, jih zaradi dejstva, da jih je velika večina slabih pogosteje delimo po načinu širjenja. V tem primeru jih v grobem lahko razdelimo na običajne viruse, črve in trojanske konje.

Običajni računalniški virusObičajni računalniški virus se skrije v datoteke in se z njihovo pomočjo širi. Ko uporabnik tako prenese okuženo datoteko v svoj računalnik (naprimer z disketo, USB ključem, zgoščenko ali prek spleta) in jo požene, ga s tem okuži. Okužba se zgodi tako, da virus po aktiviranju poišče nove za okužbo primerne datoteke (lahko tudi na sosednjih računalnikih v lokalnem omrežju), jih okuži in začne s povzročanjem škode. Lahko se virus naloži tudi le v pomnilnik in v ozadju spremlja dogajanje v računalniku. V tem primeru ponavadi poskuša okužiti vsako datoteko s katero pride v stik uporabnik oz. operacijski sistem. Za običajne računalniške viruse torej lahko rečemo, da če jih ne aktiviramo (z zaganjanjem okužene datoteke), jih sicer lahko imamo v računalniku, vendar nam zaradi neaktivnosti ne morejo povzročiti škode. Poseben primer običajnih virusov so makrovirusi, ki se širijo s pomočjo dokumentov programskega paketa Microsoft Office in so se pojavili sredi 90. let. Z njimi so najpogosteje okuženi dokumenti programov Word in Excel, v katerih so skriti makroukazi. Ti se z odprtjem dokumenta samodejno sprožijo in makrovirus kopirajo še v druge dokumente na disku.

ČrvČrvi, se od običajnih računalniških virusov razlikujejo po tem, da za širjenje ne potrebujejo človeka, ki bi jih npr. z nalaganjem datoteke zagnal. Za širjenje namreč uporabljajo računalniško omrežje na primer tako, da razpošljejo po elektronski pošti vsem, ki jih imamo v elektronskem imeniku. Postopek se nato ponovi pri vsakem prejemniku virusa in se verižno nadaljuje. Tudi, če črv sam ne povzroča škode na posameznem terminalu, lahko že samo njegovo širjenje povzroči težave s prometom v računalniškem omrežju.

Trojanski virus (konj)Trojanski virusi, pogosto imenovani tudi trojanski konji, so programi so ponavadi na prvi pogled videti nenevarni ali celo koristni, v resnici pa vsebujejo zlonamerno kodo. Prejemniki trojanskega virusa običajno verjamejo, da so program dobili iz zaupanja vrednega vira. Najbolj zahrbten primer trojanskega virusa je program, ki se predstavlja kot protivirusni program, v resnici pa v računalnik sam prinese virus.

Ta vrsta virusov je dobila ime po trojanskem konju, ki so ga Grki med trojanskimi vojnami podarili obleganim prebivalcem Troje in iz katerega so ponoči skrivaj zlezli vojaki ter odprli mestna vrata oblegovalcem. V preteklosti, ko so bile diskete pogosto uporabljan medij povezanost računalnikov v mreže ali splet pa prej redkost kot pravilo, so se virusi širili predvsem z medsebojno izmenjav dokumentov na disketah. Nekateri virusi so za širjene uporabljali celo zagonski sektor diskete in v tem primeru je do okužbe računalnika prišlo ob zagonu računalnika v katerem je bila pozabljena disketa. S široko uporabo spleta je način širjenja virusov preko prenosnih medijev skoraj popolnoma izginil, virusi pa so zaradi hitrejšega razširjanja po omrežjih postali še resnejša grožnja.

7.1.2 Škodljivo delovanje virusovVirus, kot že rečeno, običajno ne more narediti škode, dokler ga uporabnik ne sproži. Proženje se izvede z zagonom datoteke ali odpiranjem dokumenta. Danes se to najpogosteje zgodi preko elektronske pošte in sicer ob odpiranju priponk. Še zlasti moramo biti pozorni na datoteke s končnicami EXE,COM, BAT,

2 Vir:pridobljeno na naslovu: http://www.microsoft.com/slovenija/doma/varnost/virusi/zivljenjski_cikel_crva.mspx


http://www.microsoft.com/slovenija/doma/varnost/virusi/zivljenjski_cikel_crva.mspx


DOC, XLS, SCR in VBS. Odpiranje datotek s končnicami TXT, GIF in JPG (npr. Holiday.jpg) bi moralo biti varno, vendar včasih pošiljatelj pravo končnico skrije tako, da ji doda še eno (npr. Holiday.jpg.exe), ki jo nekateri programi za branje elektronske pošte skrijejo. Ko uporabnik kakorkoli aktivira virus, pride čas, da ta opravi svoje škodljivo poslanstvo. Tu obstajajo med virusi velike razlike, saj je rezultat okužbe omejen le z domišljijo tistega, ki ga je izdelal. Večina virusov se namesti v računalnikov pomnilnik in se začne razmnoževati, šele potem pa začnejo s povzročanjem škode. To povzročanje škode je z namenom, da bi uporabnik težje odkril vir okužbe, pogosto sproženo šele čez nekaj časa, na primer na nek poseben datum ali na točno določeno uporabnikovo dejanje. Kot že rečeno nekateri virusi ne naredijo nič škodljivega in so dokaz, da njihov način širjenja deluje. Najpreprostejši imajo tako le sposobnost razmnoževanja, s čimer v določenem zasedejo ves razpoložljiv pomnilnik in s tem ustavijo delovanje sistema. Nekoliko bolj nagajivi virusi na primer pomešajo črke na ekranu ali pri izpisu na tiskalniku, izpišejo določeno besedilo, zaigrajo neko skladbo ali pa v primeru makrovirusa v nek dokument na vsako stran dodajo npr. logotip izdelovalca virusa. Najnevarnejši virusi pa so tisti, ki uničujejo datoteke na računalniku. To lahko storijo z neposrednim brisanjem datotek operacijskega sistema, uporabniških datotek, s formatiranjem diska ali z brisanjem zapisa Master Boot Record, ki je bistven za pravilno branje podatkov iz diska. Še bolj zviti virusi, z namenom da njihovega obstoja sploh nebi opazili, počasi brišejo podatke naključne podatke iz datotek. Tako podatki postopoma skoraj neopazno izginjajo, računalnik pa iz neznanih razlogov vedno slabše deluje. V zadnjem času so se pojavili tudi virusi, ki datotek ne izbrišejo, ampak jih zašifrirajo tako, da jih uporabnik ne more več prebrati. Obenem pa uporabnik računalnika dobi obvestilo, da bo program za dešifriranje dobil proti plačilu ustreznega zneska. Za vse zgoraj opisane primere lahko tako ugotovimo, da se pogosto izdelovanje varnostnih kopij lahko izkaže za zelo pomembno.

Virusi lahko poleg tega, da so neškodljivi ali škodljivi za sistem ali podatke, služijo tudi vohunjenju. Takšni virusi ob sprožitvi namestijo v računalnik t.i. stranska vrata (angl. back door), skozi katera lahko nekdo na daljavo opazuje ali celo nadzoruje računalnik. Napadalec lahko tako na primer računalnik z namenom pridobitve uporabniškega imena in gesla nekaj časa opazuje, potem pa s krajo identitete prevzame nadzor. Virus bi v tem primeru beležil pritiske na tipke računalnikove tipkovnice in jih sporočal napadalcu.

7.1.3 Načini zaščite pred računalniškimi virusiKer v splošnem ni načina, s katerim bi lahko ugotovili prisotnost virusa, čeprav nekateri virusi sami opozorijo nase, se v boju proti računalniškim virusom poslužujemo namenskih t.i. protivirusnih programi, ki periodično preverjajo ali kakšna datoteka v računalniku morda vsebuje virus. Kot že rečeno obstaja tako več tipov virusov kot tudi njihovih načinov širjenja, ki so se skozi zgodovino spreminjali. So pa bili virusi skozi vso svojo zgodovino najbolj pogosto pisani za operacijski sistem Microsoft Windows. Razlog za to gre iskati predvsem v tem, da je najbolj razširjen, gotovo pa obstajajo tudi nekateri drugi razlogi. Virusi se pojavljajo tudi na drugih operacijskih sistemih res pa je, da so na nekaterih zelo redki. Preden se posvetimo načinom zaščite pred virusi si poglejmo še kateri so tipični znaki na podlagi katerih lahko sumimo, da je naš računalnik okužen:

samodejna izključitev ali ponovni zagon računalnika, močno upočasnjeno delovanje računalnika, izginjanje datotek, za katere smo prepričani, da smo jih shranili, izginjanje odsekov diska, pojav naključnih napak na zaslonu ali izpisu tiskalnika, sesuvanje' programov, ki so prej brezhibno delovali …

Prvi korak v obrambi pred virusi je redno nadgrajevanje in posodabljanje operacijskega sistema. S tem se zmanjša število varnostnih lukenj, skozi katere bi se lahko prikradli virusi. Najbolj pomembno orodje za boj proti virusom pa so protivirusni (ali tudi antivirusni) programi. Njihova glavna naloga je, da iščejo sledi znanih virusov v vseh za njih primernih datotekah. Če virus najdejo, ga morajo biti sposobni izolirati od sistema (pogosto se na tem področju uporablja izraz karantena) ali pa ga na željo uporabnika virus



pobrisati iz datoteke, oz če to ni mogoče, izbrisati celo datoteko. Prav tako, kot za operacijske sisteme tudi za protivirusne programe velja, da jih je potrebno posodabljati in s tem osveževati bazo poznanih virusov s podatki o najnovejših. Pri tem opravilu nam večina programov omogoča avtomatsko posodabljanje virusov ob določeni uri ali ob zagonu računalnika.

Seveda se lahko zgodi, da tudi redno posodabljanje ni dovolj hitro za preprečitev okužbe. V tem primeru je potrebno namestiti popravek za konkreten virus kar najhitreje, ko le ta postane dostopen. Ti primeri nastopijo, kadar virus za svoje širjenje izkoristi varnostno luknjo v operacijskem sistemu ali uporabniški programski opremi. Takrat je njegovo širjenje lahko tako hitro, da v nekaj urah okuži ogromno število računalnikov po vsem svetu. Poleg opisanih postopkov občasnega pregledovanja datotek s protivirusnimprogramom je priporočljiva tudi namestitev t.i. ščita, to je programa, ki sproti preveri vsako pognano, odprto ali preneseno datoteko. Na tem mestu pri sprotnem pregledovanju pa smo prišli še do zadnjega, a gotovo tudi zelo pomembnega obrambnega mehanizma pri obrambi pred virusi. Gre za, če ji lahko tako rečemo, 'psihologijo radovednosti', ko uporabnik zavestno zažene nek program, ki ga je na primer dobil kot priponko k elektronski pošti. Do tega problema najpogosteje pride ko odpove sprotno preverjanje uporabnik pa misli, da je sporočilo prišlo od vira, ki mu zaupa. V resnici pa je virus maskiral naslov pošiljatelja z nekim iz imenika naključno izbranim naslovom.

V večni tekmi med virusi in protivirusnimi programi, ki se verjetno ne bo nikoli končala, se razvijalci slednjih trudijo odkriti metode, ki ne bi zgolj preverjale prisotnosti znanih virusov, ampak bi samodejno odkrivale vedenjske vzorce virusov in jih posledično odstranjevale po vzoru biološkega imunskega sistema. To je tem težje ob dejstvu, da so se sodobni virusi ob kopiranju (spet po vzoru bioloških procesov) sposobni vsakokrat nekoliko spremeniti (mutirati). Med sumljive vzorce obnašanja bi tu lahko šteli razna nepredvidena poseganja programov v register operacijskega sistema, ali pa akcije nekega procesa ob vsakokratnem zagonu računalnika. Še posebej težko se je ubraniti virusov, ki se pred odkritjem na različne načine zavarujejo. Nekateri tako v svoje škodljivo delovanje vključijo tudi spremembe protivirusnega programa samega. Torej, kakor tudi evolucija v milijardah let ni našla popolnega imunskega sistema, tudi v računalništvu ne smemo pričakovati, da bomo pred računalniškimi virusi kdaj popolnoma varni.

7.1.4 Nevarnost virusov v prihodnostiStrokovnjaki opozarjajo, da bi virusi in črvi v prihodnosti utegnili napasti tudi mobilne telefone. Prejemanje podatkov prek mobilnika je sicer praktično in vedno bolj razširjeno, obstaja pa vse večja možnost, da bi uporabnik prek telefona v prihodnosti prejemal tudi viruse ali črve, ki bi lahko uničili mobilnik. Prvi takšen program se je pojavil že pred leti, vendar potencialno nevarni črv z imenom Cabir takrat ni prodrl v svet mobilnih telefonov. Telekomunikacijski strokovnjaki poudarjajo, da ne želijo širiti panike, opozarjajo pa, da bi lahko virusi in črvi v prihodnosti predstavljali velik problem v mobilni telefoniji.

Virusi in črvi predstavljajo največjo nevarnost za t.i. pametne telefone, ki ponujajo vrsto portalov in funkcij. Zato strokovnjaki uporabnike takih mobilnikov opozarjajo na previdnost pri prenosu programske opreme. In kaj nas čaka v prihodnosti? S pojavom prvih virusov na mobilnih telefonih se je nakazal trend razvoja malware aplikacij tudi za mobilnike. Ti postajajo vse bolj podobni računalnikom po funkcijah, kot po povezljivosti. S pojavom novih storitev se pojavlja posledično možnost njihove zlorabe.

Ker hekerji objavljajo izvorno kodo svojih stvaritev na forumih in spletnih straneh, je logična posledica vedno več izpeljank, ki jih razvijajo drugi povzpetniki, hkrati pa se s tem briše sled do prvotnega avtorja zlobne kode. Hekerji so postali prilagodljivejši in se bodo hitreje odzivali na aktualno dogajanje, e-mail, ki vsebuje povezavo na stran za pomoč z žrtvami naravne nesreče, bo vedno pogosteje poslan na zahtevo hekerja, uporabljajočega metode socialnega inženiringa. Pričakovati je vse večjo komercializacijo hekerske ponudbe, malware se bo ustvarjal na zahtevo, za industrijsko vohunstvo, onemogočanje konkurence, prodaja ali najem botneta je že realnost. Z večanjem internetne pasovne širine se bodo okuženi računalniki uporabljali za distribucijo nelegalne programske opreme. Tudi zlobna koda se bo



spopadala med sabo, boljše različice bodo poskušale prevzeti kontrolo nad slabšimi. Malware se bo vse bolj razširjal v šifrirani obliki, kar otežuje njegovo detekcijo in mu daje potreben čas za okužbo računalnika, na koncu pa je treba omeniti še, da bodo hekerji namenili vse več časa za iskanje slabosti v delovanju tistih, ki so jim sovražni; antivirusnih programov in požarnih zidov.

7.2 Vohunski programiProgrami, ki brez naše vednosti in nadzora stikajo po podatkih v našem sistemu, jih zbirajo in dostavljajo tistemu, ki ga ti podatki zanimajo, so lahko zelo nadležni in tudi nevarni. Ogledali si bomo, kakšne vrste okužb z namenom vohunjenja poznamo in podali nekaj nasvetov, kako se pred temi okužbami zavarovati. Že na tem mestu si moramo namreč priznati, da je večina okužb povezana s premajhno ozaveščenostjo uporabnikov, ki težave v zvezi s tem odkrijejo bodisi prepozno, ali pa jih pripisujejo drugim vzrokom.

Opozorimo še, da čeprav samodejno razmnoževanje ni lastnost vohunskih programov, le ti pogosto deluje skupaj z virusi (predvsem trojanskimi konji), ki smo jih opisali v prejšnjem razdelku. Na opise je zato je potrebno gledati kot celoto. V skupino vohunskih programov štejemo čiste vohunske programe (angl. Spyware), oglasne programe (angl. Adware), klicni programi (angl. Dialers), ugrabitelje (angl. Hijackers) in vsiljene orodne vrstice (angl. Toolbars). Preden pa se lotimo opisa vsakega od teh povejmo, da so tudi t.i. piškotki (angl. Cookies), ki so majhne datoteke z omejenim naborom podatkov že lahko znajdejo v razredu oglasnih ali celo vohunskih programov. V te datoteke na disku uporabnika, spletne strani sicer shranjujejo podatke, preko katerih ga ob njegovem naslednjem obisku prepoznajo. V osnovi gre torej za pozitivno usmerjeno tehnologijo, ki pa jo je mogoče zlorabiti tudi v vohunske namene.

7.2.1 Čisti vohunski programiVohunske programi so programi, ki proti naši volji in ponavadi tudi brez naše vednosti zbirajo podatke o našem sistemu. Največkrat so to podatki o sistemu samem, nanj nameščenih programih, uporabniških imenih in geslih, naslovih v elektronskem imeniku, seznamih obiskanih spletnih strani … Čistokrvni vohunski programi se v sistem namestijo brez naše vednosti, z drugim uporabniškim programom ali pod pretvezo nekega 'nepogrešljivega' programa. Tako se pogosto zgodi, da neka spletna stran za uspešno nalaganje zahteva namestitev npr. nekega popravka ali orodja za ogled. In če tak program namestimo se pogosto izkaže, da je bila v sistem vnesena okužba. Čeprav smo trojanske konje že predstavili v poglavju o računalniških virusih, so hkrati izrazit zgled vohunskega programiranja, še posebej kadar zbirajo uporabniška imena in gesla, ki jih pošiljajo v oddaljene strežnike. Je pa res, in to je tudi razlog zakaj smo trojenske konje predstavili v poglavju o virusih, da se vohunsko programje v neki točki močno razlikuje od virusov. Namreč, vohunski program se bo morda res naselil v računalnik, ne da bi o tem obvestil uporabnika, a pri tem ne bo imel samorazmnoževalnih nagnjen, medtem ko se bo virus hotel razširiti tudi v druge računalnike.

7.2.2 Oglasni programiOglasni programi so od vohunskih precej manj nevarni, so pa zato toliko bolj moteči. Uporabniku namreč na zaslonu proti njegovi volji prikazujejo oglase v različnih oblikah. Oglasni programi se v sistem največkrat namestijo s kakšnimi drugimi uporabnimi programi, kot so npr. kodeki za predvajanje filmov. Najbolj znan primer takega oglasnega programa je GAIN, ki se na primer namesti skupaj s kodekom DivX in se kot večina ostalih takih programov ne pusti zlahka odstraniti.

7.2.3 Klicni programiMed množico vohunskih programov so še posebej zahrbtni in nevarni t.i. Klicni programi ali klicatelji, ki se brez vednosti uporabnika namestijo na računalnik, potem pa prek modema kličejo izbrane plačljive telefonske številke. To pa lahko privede do visokih računov na strani uporabnika oz. do nepoštenih zaslužkov na drugi strani. Statistike kažejo, da se klicni programi prikradejo v sistem večinoma prek



internetnih strani z erotično vsebino in da pri namestitvi največkrat uporabijo trojanskega konja, ki jim omogoči namestitev brez kakršnegakoli opozorila.

7.2.4 Ugrabitelji in vsiljevalci orodnih vrsticZa ugrabitelje je značilno, da prevzamejo nadzor nad deli uporabnikovega spletnega brskalnika. Najpogostejši simptomi so zamenjana domača stran, dodana ali zamenjana iskalna vrstica, preusmerjanje na določene spletne strani in pa preprečitev ogleda določenih spletnih strani. Skoraj praviloma velja, da ugrabitelji napadajo izključno Microsoftov Internet Explorer.

7.2.5 ZaščitaOglejmo si nekaj zgledov nenavadnega obnašanja sistema, ob katerih lahko posumimo na prisotnost vohunskih programov:

ob zagonu sistema se odpre spletni brskalnik z neko oglasno stranjo, spremenjena je privzeta domača stran spletnega brskalnika, spremenjena je vsebina seznama priljubljenih spletnih povezav, slaba odzivnost sistema …

Odgovor na vprašanje, zakaj se moramo zavarovati pred vohunskimi programi, se že glede na vse zgoraj omenjene neposredne nevšečnosti zdi trivialen. Pa vendar se je potrebno zavedati še vrste pomembnejših problemov, ki nam jih le ti lahko povzročijo. Teoretično je namreč mogoče prek vohunskih programov pridobiti kakršnokoli informacijo iz sistema, vključno z uporabniškimi imeni in gesli, številkami kreditnih kartic itn. Poglavitni problem je torej varnost. Najbolje se proti vohunskim programom zavarujemo tako, da jih sploh ne dobimo. Najbliže k temu stanju približamo s previdno uporabo spleta, z rednimi posodobitvami operacijskega sistema in z namestitvijo požarnega zidu, ki nas opozarja na vsakršen promet v sistem in iz njega. V kolikor se v sistem vseeno prikrade vohunski program pa potrebno pomoč poiskati pri specializiranih programih za odkrivanje in odstranjevanje teh programov.

7.2.6 Napad na DNS strežnikeZa neposredne napade na DNS strežnike je značilno, da prizadenejo vse uporabnike, ki dostopajo do napadenega strežnika. Izvedejo se s kompromitiranjem DNS sistema in so poznani tudi pod imenom DNS poisoning (zastrupljanje). Ker so torej usmerjeni v strežnik in ne na posamezne uporabnike, lahko v kratkem času dosežejo veliko žrtev, ki jih preusmerijo na zlonamerne strani.

Če je DNS-strežnik, ki pretvarja spletne in e-poštne naslove v numerične nize, zastrupljen, to pomeni, da vsebuje napačne povezave med imeni domen in pripadajočimi IP-številkami. Zaradi tega pride do nepravilnega razreševanja IP naslovov in s tem do preusmeritev uporabnikov na napačne strani kljub pravilno vnesenim URL naslovom. Posledica zastrupitve DNS strežnika je, da se imenskemu zapisu domene priredi lažna IP številka (npr. www.neka_domena.com ni več 1.1.1.1 ampak 9.9.9.9). Če bo torej uporabnik odtipkal naslov www.neka_domena.com, bo ne da bi to sploh vedel, preusmerjen na lažno spletno stran 9.9.9.9. Ta bo na videz po vsej verjetnosti popolna kopija originalne spletne strani, na kateri bo napadalec od uporabnika skušal izvabiti podatke, ki jih bo lahko kasneje uporabil za zlorabo na originalni spletni strani.

POVZETEKPodatki v omrežju so zelo izpostavljeni: vdori v omrežja, prestrezanje prometa, prisluškovanje, nedovoljeno dostopanje do podatkov, kraja in spreminjanje … Uporabljamo različne strategije varovanja.Za zaščito pred virusi najpogosteje uporabljamo protivirusni program, ki je lahko prosto dostopen (npr. AVG,…) ali plačljiv (npr. McAfee, F-Secure, Norton…). Vsak protivirusni program vsebuje knjižnico virusov. Najpomembnejše je, da program posodablja to knjižnico virusov (najpogosteje prek spletne strani proizvajalca programa) vsakodnevno ali celo večkrat na dan, če je računalnik stalno povezan v internet.


http://www.neka_domena.com/


VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA4. Katere nevarnosti Interneta poznamo?5. Kaj je virus in kako deluje?6. Kaj je nezaželena pošta?7. Kaj so vohunski programi in kako delujejo?8. Kako se zaščitimo pred virusi?9. Kako se zaščitimo pred vohunskimi programi?10. Katere vrste virusov poznamo?11. Kaj je požarni zid in kako deluje?12. Naštejte 5 nasvetov za splošno zaščito pred nevarnostmi Interneta?

http://www.logme.si/varnost/index.php?option=com_content&task=view&id=52&Itemid=37


http://www.logme.si/varnost/index.php?option=com_content&task=view&id=52&Itemid=37


8. Brezžično omrežjeBrezžično lokalno omrežje (angl. Wireless LAN) je povezava dveh ali več računalnikov brez uporabe kablov. WLAN za komunikacijo med napravami v omejenem področju izkorišča spread-spectrum tehnologijo na podlagi radijskih valov. To omogoča uporabnikom da so kljub premikanju znotraj območja pokritosti povezave še vedno povezani v omrežje.

Ta tehnologija zelo hitro pridobiva na popularnosti, še posebej z naglim razvojem majhnih prenosnih naprav kot so osebni organizatorji. Za domačega uporabnika je WLAN uporaben zaradi nekomplicirane namestitve in zaradi popularnosti prenosnih računalnikov tudi prostega premikanja po stanovanju. Nekateri lokali in veleblagovnice svojim strankam že nudijo brezžičen dostop do interneta, nekateri to ponujajo celo brezplačno.

Standard za brezžična omrežja je enako kot pri klasičnih krajevnih omrežjih definiran na prvih dveh plasteh modela OSI. Na drugi plasti določa pristopno metodo CSMA/CA (angl. Carrier Sense Multiple Access / Collision Avoidence), ki je podobna pristopni metodi CSMA/CD. Na drugi plasti določa tudi storitvene funkcije, to so naloge osnovnih postaj (prenosnikov ali stacionarnih računalnikov) in dostopnih točk (npr. omogočajo povezavo osnovnih postaj). Fizično plast modela OSI določa prenos podatkov z infrardečo svetlobo ali z radijskim signalom.

1 usmerjevalnik 2 Modem 3 Internet

Slika 61: Brezžična krajevna omrežja (WLAN)

Vzporedno k ožičenim omrežjem obstajajo različne tehnologije, ki omogočajo prenos informacije med odjemalci brez fizičnih povezav s kabli. Te tehnologije s skupnim imenom imenujemo brezžične. Brezžične tehnologije koristijo elektromagnetne valove za prenos informacije med napravami. Elektromagnetni valovi predstavljajo enak prenosni medij kot se uporablja za prizemni prenos radijskih signalov (prenos po zraku). Elektromagnetni spekter je slikovni prikaz signalov, ki jih ločimo glede na njihove frekvence. Razčlenjen je na t.i. frekvenčne pasove v katere so razvrščeni signali za prenos radijskih in TV signalov, vidna svetloba, rentgenski in gama žarki, itn.

Nekateri tipi elektromagnetnih valov niso primerni za prenos podatkov. Nekateri deli spektra so upravljani s strani držav in se jih oddaja v najem različnim organizacijam za specifične aplikacije. Vsako frekvenčno področje je upravljano s strogimi pravili najema oz. uporabe. Določeni deli elektromagnetnega spektra so namenjeni javni uporabi in ne pogojujejo registracije oz. dovoljenj ustrezne državne ustanove. Področje označujemo tudi kot nelicenčno frekvenčno področje. Najbolj pogoste valovne dolžine signalov (frekvence), ki se uporabljajo za javne brezžične komunikacije členimo na t.i. infrardeče frekvence - IR področje (področje frekvenc nad spektrom rdeče barve v vidnem spektru) in področje radijskih frekvenc - RF področje

| 8. Brezžično omrežje 73


Slika 62: Elektromagnetni spekter

Infrardeče področjeSignali v IR področju so večinoma signali z majhno močjo, ki ne zmorejo preboja skozi stene objektov in drugih prostorskih ovir. Navkljub temu je njihovo področje uporabe omejeno znotraj prostorov in se pogosto uporabljajo za povezovanje in prenos podatkov med napravami kot so npr. osebni digitalni pomočnik (angl. Personal Digital assistant - PDA) in med osebnimi računalniki.

Posebna komunikacijska vrata - IrDA (angl. Infrared Direct Access) temeljijo na IR področju frekvenc za izmenjavo informacij med napravami. IR omogoča zgolj individualne povezave med točkami (angl. one-to-one). Uporablja se za daljinske upravljalnike, brezžične miške in tipkovnice, mobilne telefone, itn. Sicer so povezave možne zgolj na kratke razdalje, vendar lahko s pojavom odboja in uporabo zgornjih frekvenc tega spektra, domet povezav bistveno povečamo.

Področje radijskih frekvencRadijske frekvence oz. radiofrekvenčni spekter – RF (angl. Radio Frequency) predstavlja frekvenčno področje pod področjem IR, posledično z večjo valovno dolžino. Omogoča bistveno večji doseg kot IR področje, saj nosilni signal lažje prehaja skozi stene in ostale ovire.

Določena področja RF frekvenčnega pasu so rezervirana za neregistrirane naprave npr. brezžične LAN, brezžične telefone in računalniško periferijo. Ta frekvenčna področja so na območjih 900 MHz, 2,4 GHz in 5 GHz. Navedena frekvenčna področja so znana tudi kot področja za brezžično komunikacijo v industriji, znanosti in medicini - ISM (angl. Industry Scientific and Medical).

Naslednja zelo razširjena brezžična tehnologija v RF področju je tehnologija Bluetooth. Bluetooth omogoča hkratno komunikacijo z več napravami za brezžično komunikacijo na krajše razdalje in je v primerjavi z IR bolj primerna za komunikacijo z napravami kot so npr. slušalke, dlančniki, mobilni telefoni, tiskalniki, osebni računalniki ali tipkovnice.



Ostale brezžične tehnologije v RF področju 2,4GHZ in 5 GHz so sodobne brezžične naprave LAN po standardu 802.11. V primerjavi s tehnologijo Bluetooth oddajajo z veliko večjo močjo, kar zagotavlja povezljivost na bistveno daljših razdaljah.

Brezžična omrežja, glede na uporabo, delimo na štiri skupine: osebno brezžično omrežje (WPAN -Wireless Personal Area Network), ki ima doseg do 10 m

(Bluetooth, UWB); lokalno brezžično omrežje (WLAN - Wireless Local Area Network), ki ima doseg do 100 m (Wi-

Fi); mestno brezžično omrežje (WMAN - Wireless Metropolitan Area Network), ki ima doseg do 50

km (WiMAX, MMDS, LMDS); prostorno brezžično omrežje (WWAN - Wireless Wide Area Network), ki ima doseg več kot 50

km in kamor uvrščamo vsa mobilna omrežja.

Prednosti brezžičnega omrežjaBrezžična omrežja uporabnikom ponujajo veliko prednosti, od cenovne ugodnosti do popolne vključitve v druga omrežja.

Priročnost: brezžična svoboda uporabnikom omogoča uporabo omrežnih sredstev iz katerekoli lokacije pokrite s signalom

Prenosnost: s pojavom javnih brezžičnih omrežij lahko uporabniki do interneta dostopajo tudi izven njihovega delovnega okolja

Storilnost: z uporabo osebnih organizatorjev ali drugih digitalnih naprav je lahko uporabnik ves čas povezan na internet

Postavitev: namestitev omrežja zahteva le malo več od dostopne točke, za razliko od klasičnih omrežij, ki za delovanje na vseh lokacijah potrebujejo žice.

Razširljivost: dodajanje novih uporabnikov ne zahteva nobene dodatne strojne opreme, vse dokler je uporabnik v dosegu signala

Cena: strojna oprema potrebna za postavitev brezžičnega omrežja je le malenkost dražja od opreme za običajno omrežje, vendar pa je glede na prosto razširljivost strošek upravičen.

Slabosti brezžičnega omrežjaBrezžična omrežja so kljub zgoraj navedenim prednostim še vedno nepopularna v marsikaterem okolju, predvsem zaradi podedovanih slabosti tehnologije:

Varnost: brezžična omrežja imajo podedovano napako, da lahko signale prejema vsakdo v območju pokritosti. Kakorkoli že, za boj proti temu so na voljo različne metode kriptiranja podatkov.

Doseg: povprečen omrežja 802.11g je približno 30 metrov, za doseg večjih razdalj potrebujemo dodatne dostopne točke ali ponavljalnik. Druge tehnologije, kot je WiMax ponujajo doseg preko 100 km, kar je veliko več od navadnega omrežja.

Zanesljivost: brezžični signal je zelo dovzeten za vplive iz okolja, zato lahko povezava postane nestabilna. Zaradi tega se uporaba brezžične povezave za pomembne omrežne vire kot so strežniki močno odsvetuje.

Hitrost: najbolj pogosto brezžično omrežje 802.11g deluje pri 54 Mbps, najbolj pogosto običajno omrežje pri 100 Mbps, s tem da se čedalje več uporablja 1 Gbps omrežje, v razvoju pa so že omrežja s hitrostjo 10 Gbps. Brezžične tehnologije prihodnosti, kot je 802.11n delujejo pri 540 Mbps, kar močno zmanjša vrzel med brezžično in žično hitrostjo.

GPRSGPRS je nadgradnja GSM omrežja. Omogoča višje hitrosti prenosa podatkov in je cenovno bistveno ugodnejši, ker obračunava samo količino podatkov, ki so bili preneseni, ne pa trajanja zveze.



Odjemalec/uporabnik je dejansko vedno povezan v omrežje, vendar dokler ne prenaša podatkov, se mu nič ne zaračuna. Pred GPRS-om je GSM omrežje nadgradil HSCSD. GPRS uporablja tudi nekatere elemente HSCSDja (npr. več časovnih oken) in omogoča višje hitrosti prenosa kot HSCSD.

Za primerjavo, navadno je GPRS povezava pripravljena za uporabo v 7 sekundah, medtem ko klicna povezava potrebuje za pripravo najmanj 30 do 35 sekund. GPRS je paketni prenos podatkov, ki spada v 2.5 generacijo mobilne tehnologije in omogoča uporabnikom hitrejšo in prijaznejšo uporabo storitev, kot so pregledovanje e-pošte, internetnih strani, prenašanja podatkov, uporabe GPRS naprave (npr. mobilnega telefona) kot GPRS modem za povezavo računalnika v internet.

Hitrost GPRS povezave je odvisna od: števila uporabnikov, ki uporablja GPRS na tistem območju (pasovna širina se deli), terminalov, samega omrežja in kodiranja podatkov pri prenosu, števila kanalov, ki so nam na voljo (kanali se razdelijo med uporabnike).

Predstavitev in hitrostiGPRS ali General Packet Radio Service je storitev, ki deluje preko več časovnih oken, katere omogoča Time division multiple access (TDMA), ki dejansko dovoli, da se na eni frekvenci lahko nahaja več uporabnikov/odjemalcev (bazna postaja komunicira z napravo in ji pove, kdaj lahko uporablja katere kanale in koliko časa).

GPRS povezava se deli med povezane uporabnike, pasovna širina se porablja samo takrat, ko kateri od uporabnikov kaj prenaša (preneseni podatki se merijo v Kilobytih – kB). GPRS nam omogoča hitrejše (paketno) prenašanje podatkov, tako da zaseda več kanalov (največ 8), primer:

2+1 2 kanala za download, 1 za upload 3+1 3 kanali za download, 1 za upload 4+1 4 kanali za download, 1 za upload.

WLANKratica WLAN pomeni brezžično lokalno omrežje, zasnovano za uporabo na kratke razdalje (reda nekaj 100 m v idealnih pogojih). Najbolj uporabniško zanimivo področje uporabe WLAN tehnologije je brezžični nomadski dostop, kjer lahko uporabnik na območju okoli dostopovne točke, imenovane 'hotspot', dostopa do interneta na javnih mestih, kot so npr. letališča, železniške postaje, območja univerz, nakupovalna središča itd., preko svojega terminala (prenosnik, osebni digitalni asistent ali dlančnik (PDA – personal digital assistant).

WLAN omrežja so trenutno optimizirana za uporabo podatkovnih aplikacij. Prenos govora preko WLAN omrežja (VoWLAN – Voice over WLAN) še ni na zadovoljivi ravni, da bi lahko konkuriral mobilnim omrežjem, kot sta UMTS in GSM, kjer se govor prenaša preko vodovno komutiranih povezav. Poleg tega pa ne omogoča dovolj široke pokritosti s signalom. Sčasoma pa bo tudi WLAN dovolj kakovostno podpiral ta tip aplikacij in takrat lahko pričakujemo še večji razmah WLAN omrežij.

UMTSUMTS je mobilno omrežje tretje generacije, ki se je razvilo iz omrežij druge generacije, kot sta globalni sistem za mobilne komunikacije (GSM - Global System for Mobile communication) in splošna paketna radijska storitev (GPRS – General Packet Radio Service), ki spada v razred 2,5G. Po omrežjih druge generacije je podedoval jedrno omrežje, ki je za potrebe UMTS-a nadgrajeno, medtem ko je dostopovno omrežje povsem novo. Je brezžično prostrano omrežje (WAN – Wide Area Network), kar pomeni, da pokriva širše območje okoli bazne postaje. Omogoča različne prenosne hitrosti glede na oddaljenost mobilnega terminala od bazne postaje:

144 kbit/s v širšem območju ter satelitske zveze, 384 kbit/s v ožjem urbanem območju, 2048 kbit/s znotraj in na manjših razdaljah zunaj,



8-10 Mbit/s z uporabo HSDPA (High Speed Downlink Packet Access), do 20

Mbit/s z uporabo HSDPA in antenskih sistemov z več vhodi in izhodi (MIMO - Multiple Input, Multiple Output antenna system). UMTS ponuja široko paleto storitev, od tradicionalnega govornega prometa dorazličnih tipov podatkovnih storitev, kot so brskanje po internetu, multimediji, video na zahtevo, strujanje podatkov, videotelefonija itd.

IEEE 802.151 ALI BLUETOOTHBluetooth je brezžična tehnologija, namenjena medsebojnemu povezovanju najrazličnejših naprav. Razvoj te tehnologije poteka v okviru Bluetooth SIG2 organizacije, ki združuje večje proizvajalce telekomunikacijske opreme (Intel, IBM, 3COM, Motorola, Ericsson, Toshiba, Lucent, Nokia), ki so obenem tudi ustanovitelji.

Vključuje pa tudi že preko 2000 ostalih pridruženih članov. Bluetooth tehnologija temelji na radijski zvezi majhne oddajne moči in deluje po principu preskakovanja med posameznimi frekvenčnimi kanali (frequency hopping). Frekvenčno področje, ki se uporablja, je v območju od 2.4 do 2.48 GHz in spada v tako imenovano ISM3 Bluetooth tehnologijo lahko v grobem delimo na zgornji ali programski del, kamor spada Bluetooth protokolni sklad in spodnji ali fizični del. Sem spada Bluetooth modul z integriranim radijskim delom in najnižji nivoji Bluetooth protokolnega sklada.

Uporaba je določena s trinajstimi različnimi profili uporabe (npr. Headset, Serial Port, …). Le ti določajo načine uporabe in povezovanja protokolov iz Bluetooth protokolnega sklada. Glavni namen razvoja Bluetooth brezžične tehnologije je, zagotoviti standardiziran in univerzalen način brezžičnega povezovanja naprav na majhnih razdaljah. Bluetooth tehnologija omogoča izgradnjo majhnih zasebnih omrežij, ki se vzpostavijo po potrebi (ad-hoc networking). Takšno omrežje je lahko sestavljeno iz več naprav. Ena od naprav v omrežju je vedno master. Je administrator svojega brezžičnega omrežja in narekuje parametre komunikacije z ostalimi v omrežju, ki nastopajo v vlogi slave naprav Takšno omrežje se imenuje piconet4 in vsebuje glavno, master napravo in največ sedem hkrati aktivnih slave naprav. Tehnologijo majhnih zasebnih omrežij lahko uporabimo za vzpostavitev informacijskega omrežja. Piconet omrežja lahko strukturiramo naprej v večja scatternet omrežja. (Oseli D. 2002).

WIMAXKot tehnologijo prihodnosti brezžičnih omrežij se v tem času precej omenja kratico WiMAX (Worldwide Interopoerability for Microwave Access).

WiMAX (Worldwide Interopoerability for Microwave Access) je nastal kot odgovor na pomanjkljivosti Wi-Fi tehnologije ter kot njeno dopolnilo. Namenjen je MAN in LAN omrežjem (za notranjo in zunanjo uporabo), saj je lahko kot fiksno (802.16 - 2004) ali prenosljivo (802.16e) omrežje. Deluje v licenčnih in nelicenčnih frekvencah od 2 GHz do 11 GHz, frekvenca pa je odvisna od posamezne države. Doseg ima od 2 km do 50 km in omogoča prenosne hitrosti do 75 Mbit/s. S temi karakteristikami je dobra alternativa xDSL, kabelskim in optičnim omrežjem, uporabimo pa ga lahko tudi za povezavo na hrbtenično omrežje.

Primeren pa je tudi za manjše uporabnike, saj za razliko od Wi-Fi, ki uporablja standardni 20 MHz kanal, pri WiMAX lahko kanale prilagodimo od 1,5 MHz do 20 MHz. Tako je lahko na en kanal priključenih do 100 uporabnikov, pasovna širina pa se prilagaja njihovim potrebam. Omeniti velja, da ožji pasovi omogočajo večji doseg WiMAX tehnologije. Prednost WiMAX-a predstavlja tudi uporaba pametnih anten, ki prilagajajo signal glede na moč signala in oddajanje bližnjih terminalov, kar zmanjša interferenco in izgubo signala. Zato pa je zelo zanesljiva in fleksibilna tehnologija, njena poglavitna prednost pa je v standardizaciji (Djurdjič V. 2005).



8.1 Arhitektura brezžičnega omrežjaArhitektura brezžičnega omrežja je sestavljena iz osnovnih komponent omrežja, ki omogočajo povezavo prvih dveh plasti referenčnega modela z ostalimi plastmi modela ISO/OSI. Višje plasti referenčnega modela morajo omogočati nemoteno delovanje lokalnih omrežij ne glede na to ali imamo klasično ali brezžično lokalno omrežje. Vse naprave ki se povežejo v omrežje imenujemo postaje. Vse postaje so opremljene z brezžično omrežno kartico. Postaje delimo v dve kategoriji: odjemalci in dostopne točke.

Dostopne točke so stacionarne naprave, ki imajo vgrajen oddajnik in sprejemnik in imajo podobno vlogo kot koncentrator v klasičnem lokalnem omrežju. Ena izmed nalog dostopne točke je tudi nadziranje prometa med sprejemnikom in oddajnikom. Z dodajanjem dostopnih točk lahko povečamo tako prepustnost brezžičnega omrežja kot tudi domet.

Slika 63: Primer brezžične dostopne točke v LAN (Cisco Aironet) in v industrijskem okolju (Neteon).

OdjemalciOdjemalec (angl. Client) je lahko prenosna naprava, kot je prenosni računalnik, osebni organizator, IP-telefon, ali statična naprava, kot so namizni računalniki ali delovne postaje, ki so opremljeni z brezžično omrežno kartico.

Basic Service SetBasic service set (BSS) je množica vseh postaj, ki lahko druga z drugo komunicirajo. Poznamo dva tipa BSS: neodvisni in infrastrukturni. Vsak BSS ima svojo izkaznico, ki jo imenujemo BSSID, sestavljena pa je iz MAC naslova dostopne točke. Neodvisni Basic Service Set je ad-hoc omrežje, ki ne vsebuje dostopnih točk. Ker nima dostopnih točk, se ne more povezati na drug Basic Service Set. Infrastrukturni Basic Service Set lahko preko dostopnih točk komunicira s postajami, ki niso v istem BSS.

Ker poteka pri topologiji BSS celotna komunikacija med postajami prek dostopne točke, jo zato imenujemo topologija osnovnega storitvenega niza z uporabo dostopne točke (angl. Access Point). Dostopna točka v omrežjih WLAN ima podobno vlogo kot koncentrator v klasičnih omrežjih LAN in bi jo lahko primerjali z zvezdasto topologijo. Paketi potujejo od ene postaje k drugi preko dostopne točke. Z uporabo dostopne točke dosežemo bistveno boljšo pokritost prostora, pri čemer mislimo na območja, kjer je na voljo dovolj močan in kvaliteten signal, ki zagotavlja povezljivost v brezžično omrežje.

Navadno se brezžična omrežja uporabljajo kot dopolnitev klasičnega omrežja. V takem primeru predstavlja dostopna točka tudi prehod brezžičnega h klasičnemu omrežju. Postaje v brezžičnem omrežju so navadno prenosni računalniki, čitalniki kode, dlančniki, telefoni IP in drugi, medtem ko se v klasičnem omrežju običajno uporabljajo strežniki in stacionarne delovne postaje.

Dostopne točke, ki se pojavljajo na tržišču, navadno omogočajo priklop nekaj sto in več brezžičnih postaj. Zavedati se moramo, da omrežja WLAN delujejo na podoben način kot klasična lokalna omrežja. To



pomeni, da si vse postaje delijo skupen prenosni medij, in da se s povečevanjem števila postaj bistveno zmanjša prepustnost, predvidena za posamezne delovne postaje. Tipično je, da se v poslovnih okoljih ne uporablja več kot 20 postaj na dostopno točko, v primeru specifičnih aplikacij, kjer gre le za občasno komunikacijo med postajami oziroma za zelo neintenzivne aplikacije, pa je to število lahko nekoliko večje.

Extended Service SetKer z eno samo dostopno točko običajno ne moremo zagotoviti zadostne pokritosti prostora, uporabljamo več dostopnih točk. Takšna topologija se imenuje razširitveni storitveni niz ESS (angl. Extended Service Set), ki je množica povezanih BSS. Dostopne točke v ESS so povezane s pomočjo distributivnega sistema. Vsak ESS ima izkaznico, ki jo imenujemo SSID. Ta predstavlja največ 32 bajtov dolg niz znakov. Primer: linksys (privzet SSID za Linksys-ove usmerjevalnike). Dostopne točke so med seboj lahko povezane preko vmesnikov LAN ali brezžično.

Distributivni sistemDistributivni sistem povezuje dostopne točke v ESS. Distributivni sistem je običajno realiziran z običajnim omrežjem, lahko pa tudi z brezžičnim.

Brezžični kanali Ne glede na način po katerem poteka komunikacija brezžičnih odjemalcev znotraj BSS, IBSS ali ESS se mora le-ta nadzirati. Eden načinov nadzora komunikacije v brezžičnem obrežju so ločeni frekvenčni kanali.

Slika 64: Nosilne frekvence možnih kanalov standarda IEEE 802.11b.

Ločeni frekvenčni kanali se ustvarijo z razčlenitvijo obstoječega RF frekvenčnega spektra na ožje frekvenčne pasove. Vsak frekvenčni pas predstavlja ločen komunikacijski kanal. Podobno kot pri prenosu TV kanalov po skupnem prenosnem mediju (frekvenčno multipleksiranje). Vsak kanal prenaša drugo komunikacijo. Več dostopovnih točk lahko deluje blizu skupaj, če uporabljajo drugi nabor kanalov. Izbor nabora kanalov je lahko samodejen ali ročen. Ponavadi je komunikacija ločena po kanalih, novejše tehnologije pa omogočajo tudi združevanje kanalov za povečanje prepustnosti.

V brezžičnem okolju zaznavanje trkov med podatkovnimi enotami (angl. Protocol Data Unit - PDU) ni mogoče. Uporabiti se mora tehnika za preprečevanje trkov. Brezžične tehnologije uporabljajo tehniko sodostopa do prenosnega medija z zaznavanjem nosilca in izogibanjem trkom - CSMA/CA (angl. Carrier Sense Multiple Access / Collision Avoidance). CSMA/CA uporablja metodo rezervacije frekvenčnega kanala za določeno komunikacijo oz. komunikacijski kanal. Ko dostopovna točka z rezervacijo za določen kanal uspe, potem nobena druga brezžična naprava ne more komunicirati po tem kanalu. Trkom se na tak način izognemo.

Kako pravzaprav poteka procedura rezervacije kanala? Naprava, ki želi zaseči določen kanal v območju BBS mora dobiti dovoljenje dostopovne točke. Le-to zahteva s sporočilom RTS (angl. Request to Send). Če je zahtevani kanal na voljo bo to dostopovna točka potrdila s poročilom CTS (angl. Clear to Send).



Sporočilo CTS se posreduje vsem odjemalcem v območju BBS. S tem se vsem sporoči, da je zahtevani kanal oddan in ni več na voljo. Ko naprava, ki je zahtevala kanal le-tega ne potrebuje več, to sporoči dostopovni točki s sporočilom ACK (angl. Acknowledgement). ACK se posreduje razpršeno, torej vsem napravam v dosegu BBS. Na tak način se vse odjemalce obvesti o ponovni razpoložljivosti kanala. Dostopovna točka lahko sproščeni kanal dodeli drugemu odjemalcu.

8.2 Načini povezovanja – topologijaPri ožičenih omrežjih lahko računalnike med sabo povežemo na pet načinov: računalniki so med sabo povezani v omrežje s topologijami vodila, drevesa, zvezde, obroča ali v omrežje s topologijo vsak z vsakim, pri čemer je velika večina današnjih omreženih računalnikov povezana v omrežje s topologijo zvezde. Pri brezžičnih omrežjih lahko računalnike med sabo povežemo na dva načina:

s topologijo zvezde ali omrežje vsak z vsakim.

Pri postavitvi brezžičnega omrežja s topologijo zvezde za prenos podatkov med računalniki v omrežju skrbi dostopna točka (access point), ki deluje podobno kakor stikalo pri ožičenih omrežjih. Odjemalci z brezžičnimi omrežnimi vmesniki se povežejo na dostopno točko, ki potem skrbi za prenos podatkov med odjemalci. Dostopna točka ponavadi omogoča tudi priklop na ožičeno omrežje in tako rabi kot zveza med ožičenim in brezžičnim delom omrežja. Prednost take postavitve brezžičnega omrežja je predvsem zmožnost povezave z ožičenim omrežjem Peer-to-peer ali ad-hoc Tip omrežja brezžičnim napravam omogoča neposredno medsebojno komunikacijo. Brezžične naprave v medsebojnem dosegu lahko komunicirajo neposredno, brez posredovanja osrednje dostopne točke. Ta metoda je običajno uporabljena, kadar se dva računalnika povežeta in tvorita omrežje.

Če povezave z ožičenim omrežjem ne potrebujemo, obenem pa želimo prihraniti denar, ki bi ga porabili za nakup dostopne točke, lahko računalnike z brezžičnimi omrežnimi vmesniki povežemo v omrežje "vsak z vsakim". Pri tem se omrežni vmesniki računalnikov med sabo povežejo v omrežje, vsaka naprava v omrežju pa ima dostop neposredno do vseh naprav v dosegu brezžičnega omrežnega vmesnika. Prednost take postavitve omrežja so predvsem nizki začetni stroški postavitve, saj nam ni treba kupiti dostopne točke. A teh omrežij ne moremo povezati z ožičenim omrežjem.

Včasih ena dostopna točka ni dovolj, da bi pokrili želeno območje z dovolj močnim signalom. Takrat moramo poseči po več dostopnih točkah, ki povečajo doseg brezžičnega omrežja. Dostopno točko, ki skrbi za povezavo med "matično" dostopno točko in odjemalcem, ki ni v dosegu te matične dostopne točke, z angleškim izrazom imenujemo repeater. Velja omeniti, da vse dostopne točke ne omogočajo takega delovanja. Predvsem cenejši izdelki ne omogočajo takega povezovanja dostopnih točk, tako da je pri postavitvi takega omrežja ponavadi treba poseči po zmogljivejših in temu primerno dražjih napravah.

Če imamo dve ožičeni omrežji na oddaljenih krajih, ki ju želimo povezati med sabo, lahko posežemo po daljši ožičeni povezavi med obema omrežjema, lahko pa obe omrežji med sabo povežemo z brezžičnim "mostom". Pri takem povezovanju imamo dve dostopni točki povezani neposredno med sabo, vsaka pa je povezana na eno izmed obeh ožičenih omrežij, ki ju želimo povezati. Dostopni točki skrbita za promet med obema omrežjema. Kadar dostopna točka deluje kot most, navadno nanjo ne moremo priklopiti brezžičnih odjemalcev, tako da moramo poseči po dodatnih dostopnih točkah, če želimo v omrežje priključiti tudi naprave z brezžičnim omrežnim vmesnikom.

8.3 Varnost in nadzor brezžičnih omrežijPri fizičnih omrežjih je za vdor v omrežje kritična samo točka, v kateri se podjetje povezuje v svet. Pri brezžičnem omrežju pa tovrstnega fizičnega nadzora ni. Vsakdo, ki je dovolj blizu brezžičnemu omrežju, lahko sprejema signale, ki jih omrežje oddaja. Kupci brezžične omrežne opreme velikokrat zmotno menijo, da je domet omrežja zelo majhen. V resnici pa postane signal z oddaljenostjo le toliko šibak, da



ga majhne antene v prenosnem računalniku ne zaznajo več. Z boljšo anteno (yagi, parabolična..) pa je signal mogoče spremljati tudi na daljši razdalji. Vdiranje v »odprta« brezžična omrežja ali njihovo izkoriščanje je v tujini tako popularno, da je hitro dobilo kar svoje ime wardriving.

Večina proizvajalcev brezžične opreme ponuja različne možnosti varovanja omrežja. Osnovna zaščita je uporaba ključa WEP, ki šifrira pakete v brezžičnem omrežju. Vendar je to osnovno zaščito zelo preprosto prebiti. V internetu je mogoče najti kup orodij, ki omogočajo nepovabljenim odkritje ključa WEP, če je omrežje dovolj dolgo dosegljivo.

Če obstaja verjetnost vdora in bi bila škoda, ki bi pri tem nastala, velika, je treba temeljito razmisliti o strategiji zaščite. Eden od bolj preprostih načinov je, da je brezžično omrežje za požarnim zidom, ki omogoča le povezavo VPN torej vzpostavljanje navideznega privatnega omrežja. S tem sicer ne bomo onemogočili dostopa do brezžičnega omrežja, a nepovabljeni ne bodo imeli dostopa do internega omrežja v podjetju. Pri tem načinu obravnavamo brezžično omrežje kot javno in zato potencialno nevarno. Vedeti pa moramo, da so v tem načinu posamezni računalniki v podjetju, ki so priključeni v brezžično omrežje, lahko izpostavljeni morebitnemu vdoru.

Drugi način je uporaba orodij, ki podpirajo standard 802.1x. Gre za standard šifriranja, ki omogoča varno pošiljanje ključev in paketov po omrežju. Pri tej izvedbi tipično potrebujemo strežnik, ki bo skrbel za šifriranje in razdeljevanje ključev (strežnik Radius). Na voljo je tudi veliko programskih in strojnih rešitev, ki skrbijo za detekcijo vdorov, šifriranje prometa. Zanimiv pristop ubira rešitev FakeAP, ki ustvari navidezne dostopne točke (Access Point). Morebitni vdiralec bi tako moral najti pravo dostopno točko med 53000 dostopnimi točkami, ki jih »vidi« v brezžičnem omrežju.

Varnost brezžičnega omrežja je najbolje preverjati z orodji, ki bi jih uporabili nepovabljeni gosti. Teh orodij je v internetu mogoče najti kar veliko. Med bolj popularnimi so Netstumbler, Aerosol, Kismet, WEPCrack in WEP_Tools. Programi, kot je Netstumbler, se znajo povezati tudi z napravo GPS, združljivo z NMEA, inshraniti tudi geografske podatke o lokaciji, kjer se nahaja brezžično omrežje. Iz nezaščitenega brezžičnega omrežja pa pridobijo naslov MAC dostopne točke, jakost signala, ime omrežja, SSID, kanal, na katerem je omrežje, in ime proizvajalca opreme.

8.4 Tipi nepooblaščenega dostopa v omrežjaPrednosti, ki jih imajo brezžična omrežja v preprostosti in zanesljivost povezovanja odjemalcev se lahko izkažejo kot slabost saj se informacija v brezžičnih omrežjih prenaša po zraku in predstavlja ranljivost brezžičnega omrežja s prestrezanjem in vohunjenjem. Napadalci lahko vdrejo v brezžično omrežje v obsegu dosegljivosti omrežja in dostopajo v Internet brez plačila ali vdrejo v enega/več odjemalcev v omrežju s ciljem vpogleda, odtujitve in spreminjanja podatkov.

Najenostavnejši način dostopa v brezžično omrežje je z uporabo identifikacijskega imena omrežja, z SSID (angl. Service Set IDentifier). Vsi odjemalci v brezžičnem omrežju morajo poznati identifikacijsko ime omrežja. Privzeto vse brezžične dostopovne točke in brezžični usmerjevalniki oglašujejo SSID, torej razpršeno oddajajo vsem odjemalcem v dosegu omrežja. Če omrežje ni zaščiteno z avtentikacijo, se lahko vsak odjemalec v dosegu omrežja vanj tudi priključi.

SSID oglaševanje lahko izključimo. Z deaktivacijo oglaševanja omrežje ni več vidno nepooblaščenim odjemalcem. Omrežna kartica sicer zazna aktivnost omrežja vendar zanj ne navede identifikacije saj ga le-to ne oglašuje. Odjemalec, ki se želi pridružiti WLAN mora torej SSID omrežja poznati in ga ob prijavi v omrežje vnesti ročno.

Naključna povezava Do nepooblaščenega dostopa v brezžično omrežje lahko pride na veliko načinov, z različnimi metodami in nameni. Ena izmed njih je naključna povezava. Do te pride, ko uporabnik prižge prenosni računalnik



znotraj dosega signala brezžičnega omrežja. Uporabnik se tega najbrž niti ne zaveda, vendar pa je to zelo resna varnostna pomanjkljivost omrežja.

Zlonamerna povezava Za zlonamerno povezavo napadalec ustvari brezžično napravo, da se v omrežje poveže preko svojega prenosnega računalnika, namesto preko omrežne dostopne točke. Te vrste prenosnikov so znane kot „mehka dostopna točka“ in z različnimi programi dosežejo, da njihova brezžična mrežna kartica izgleda kot dostopna točka. Ko napadalec dobi dostop do omrežja, lahko ukrade gesla, izvrši napad na običajno omrežje ali pa podtakne trojanskega konja.

Omrežja Ad-hoc Omrežja Ad-Hoc zaradi neposredne povezave med računalniki brez vmesnih dostopnih točk predstavljajo veliko varnostno grožnjo. Ker tovrstna omrežja navadno niso zaščitena, je priporočljiva uporaba metod za kriptiranje podatkov.

Netradicionalna omrežja Tudi netradicionalna omrežja, kot je omrežje Bluetooth, niso varna pred napadi. Zaščito potrebujejo celo osebni organizatorji in brezžični omrežni tiskalniki in fotokopirni stroji. Ta netradicionalna omrežja so pogosto spregledana, saj se ljudje osredotočajo le na prenosne računalnike in dostopne točke.

Kraja identitete Do kraje identitete pride, ko ima napadalec možnost opazovanja omrežnega prometa in identifikacije naslova MAC računalnika, ki ima v omrežju visoke privilegije. Večina brezžičnih sistemov omogoča filtriranje naslovov MAC, zato da lahko le določeni računalniki dostopajo do nastavitev omrežja. Kljub temu pa se da s številnimi programi MAC naslov ponarediti, tako da lahko napadalec, če pozna MAC naslov privilegiranega računalnika, poljubno spreminja nastavitve omrežja.

Denial of Service Napad Denial of Service (Dos) je ime za napad, pri katerem napadalec dostopne točke nenehoma obsipava z lažnimi zahtevami in ukazi. Tako početje drugim uporabnikom onemogoči dostop do omrežja, v določenih primerih pa povzroči celo sesutje omrežja. Tovrstni napadi se opirajo na zlorabo protokolov.

Napad Man-In-The-Middle Napad Man-In-The-Middle je eden bolj izpopolnjenih napadov, ki jih uporabljajo napadalci. Vrti se okrog nezavarovanega računalnika, preko katerega se napadalec poveže na svoj računalnik, ki je nastavljen kot mehka dostopna točka. Ko je to opravljeno se napadalec s pomočjo druge brezžične kartice, ki ponuja stabilen tok podatkov skozi transparenten računalnik, uporabljen za napad, poveže na pravo dostopno točko. Napadalec lahko nato prestreza uporabniška imena, gesla, številke kreditnih kartic itd.

Network Injection Pri napadu Network Injection napadalec izkoristi dostopne točke, ki so izpostavljene nefiltriranemu prometu. Napadalec v promet vstavi lažne zahteve in ukaze, ki vplivajo na usmerjevalnike in stikala. S to metodo se lahko zruši celotno omrežje, zato je potreben ponoven zagon ali celo ponovno nastavljanje vseh omrežnih naprav.http://sers.s-sers.mb.edus.si/gradiva/rac/moduli/komunikacijske_instalacije/01_datoteka.html

8.5 Varnostni ukrepiBrezžično omrežje uporablja kot svoj prenosni medij prostor okolice - zrak oz. eter. Le-ta je porazdeljen, skupen in ga nikakor ne moremo omejevati če želimo, da je pokritost odjemalcev dovolj dobra znotraj določenega področja. Posledica tega je, da lahko pri prenosu podatkov prisluškuje kdorkoli in kadarkoli. Nepooblaščeni lahko na tak način uporabijo ali zlorabijo podatke. Posledica tega je bil razvoj mehanizmov šifriranja in avtentikacije, ki skušajo zavarovati prenesene podatke, hkrati pa odjemalca enolično


http://sers.s-sers.mb.edus.si/gradiva/rac/moduli/komunikacijske_instalacije/01_datoteka.html


identificirati ter s tem zmanjšati možnost nepooblaščenega dostopa do virov in prenešanih vsebin v brezžičnem omrežju.

Z brezžično povezljivostjo napadalci omrežja ne potrebujejo fizičnega dostopa do naprav v omrežju. Lahko se povežejo z osebnimi računalniki in ostalimi napravami v omrežju na podoben način kot na radijskem sprejemniku poiščemo želeno radijsko postajo. Napadalec lahko vdre v brezžično omrežje v dosegu dostopovnih točk. Na tak način lahko vstopa v internet in do virov oz. storitev v omrežju, če le-to ni ustrezno zaščiteno. Napadalec lahko odtuji osebne podatke uporabnikov, bodisi poškoduje bodisi uniči datoteke ali na kak drug način krši zasebnost uporabnikov.

Grožnja vdora bo vedno z nami, vse kar lahko storimo, je da smo vedno korak pred napadalci. Spoznavati moramo nove vrste napadov in tudi načine, kako se jih ubraniti. Na voljo je veliko tehnologij za zavarovanje brezžičnega omrežja, vendar na žalost trenutno nobena zaščita ni stoodstotna. Zaradi tega je najbolje uporabiti kombinacijo različnih ukrepov. Trije koraki pomembni za zavarovanje brezžičnega omrežja:

vse brezžične omrežne naprave morajo biti zavarovane vsi uporabniki brezžičnega omrežja morajo biti poučeni o varnosti brezžičnih omrežij vsa omrežja morajo biti opazovana za odkrivanje šibkosti.

Ranljivost brezžičnih omrežij ni samo možnost vdora vanje pač pa tudi prestrezanje podatkov, kar zahteva implementacijo specifičnih mehanizmov varnosti in metod za zaščito WLAN omrežja. Temeljna zaščita omrežja vključuje nekatere osnovne korake že med inicializacijo omrežnih naprav in odjemalcev medtem ko zahteva naprednejša zaščita aktivacijo kompleksnejših varnostnih mehanizmov in njihovo ustrezno nastavitev.

Vrst napadov je veliko in že dejstvo, da obstajajo je dovolj, da se podjetja ne smejo nepremišljeno odločati za šibkejše mehanizme šifriranja (npr. WEP), če želijo varno brezžično omrežje.

Filtriranje MAC IDVečina brezžičnih dostopnih točk vključuje možnost filtriranje MAC ID, ki administratorju omogoči omejevanje dostopa do omrežja le na računalnike z določenim MAC ID. To je lahko v velikansko pomoč, vendar pa ne smemo pozabiti, da je MAC ID prek omrežja mogoče ponarediti. Orodja za tako početje so prosto dostopna, nekaterim računalnikom pa lahko MAC ID celo prosto določimo v BIOS-u.

Statični naslovi IPOnemogočanje funkcije avtomatske dodelitve naslova IP strežnika DHCP, ter nato ročna dodelitev naslovov IP, bo manj izkušenemu napadalcu povzročilo precej preglavic, še posebej če je velikost podmreže zmanjšana iz privzete nastavitve na le nujno potrebno in če so v požarnem zidu dostopne točke blokirani dovoljeni, a ne uporabljeni naslovi IP.

WEPTa standard je izviren standard kriptiranja brezžičnih omrežij. Sodeč po imenu (angl. Wired Equivalent Privacy) je bil njegov namen postaviti raven varnosti brezžičnih omrežij na raven navadnih. Vendar pa mu to na žalost ni uspelo, saj so bile napake hitro najdene in izkoriščene. Na voljo je precej odprtokodnih programov, ki jih napadalci uporabljajo za vlom z iskanjem vzorcev v enkripciji. WEP delimo glede na velikost ključev. Pogosti dolžini sta 128 in 256 bitov. Daljši kot je ključ, bolj otežimo delo napadalcu.



Slika 65: Proces šifriranja sporočila z WEP

WPAWPA je zgodnja različica varnostnega standarda 802.11i, ki ga je za nadomestitev WEP razvila WiFi Alliance. Kriptirni algoritem TKIP je bil razvit kot izboljšava za WEP, ki bi se lahko kot firmware naložila tudi na že obstoječe naprave 802.11. WPA ponuja tudi omejeno podporo za algoritem AES-CCMP

WPA Enterprise ponuja avtentikacijo na podlagi strežnika RADIUS. WPA Personal za varno povezavo uporablja PSK (angl. Pre-shared Shared Key), ki uporablja 8

do 64 znakovno geslo. Šibka PSK gesla lahko različni programi strejo v manj kot minuti. WPA je varna, kadar za PSK geslo uporabimo poln 64 znakovni šestnajstiški ključ.

WPA2WPA2 je ime za dokončan standard 802.11i. Glavna razlika med WPA2 in WPA je polna podpora algoritmu AES-CCMP. Oba WPA in WPA2 podpirata avtentikacijske metode EAP, ki uporabljajo strežnike RADIUS in ključe PSK.



Slika 66: Avtentikacija WPA v celovitem načinu

Pametne karticeTo je zelo visoka oblika zavarovanja. V kombinaciji s strežniško programsko pametna kartica uporabi svojo identifikacijsko kodo kombinirano z uporabnikovo kodo PIN za generiranje algoritma, ki v določenih časovnih intervalih generira novo enkripcijsko geslo. Strežnik je sinhroniziran s pametno kartico. To je najvarnejši način za opravljanje brezžičnih prenosov.

Koraki zavarovanja brezžičnega omrežjaNaslednji koraki so osnova za zavarovanje brezžičnega omrežja, razvrščeni po pomembnosti:

1. Uporaba kriptiranja, po možnosti WPA2. Najboljša alternativa je WPA, WEP pa je boljše kot nič. 2. Sprememba privzetega gesla za dostop do brezžičnih naprav. Privzeta gesla nastavijo

proizvajalci in so znana vsem napadalcem. S spremembo gesla preprečite napadalcem dostop in spremembo vaših omrežnih nastavitev.

3. Sprememba privzetega SSID. Napadalci poznajo privzeta imena različnih proizvajalcev strojne opreme. Uporaba privzetega imena tudi nakazuje nezavarovano omrežje.

4. Izklop deljenja datotek in tiskalnikov, če le to ni v uporabi. S tem lahko napadalcu omejite krajo podatkov v primeru da se prebije mimo enkripcije.

5. Omrežne točke naj bojo razporejene tako, da nudijo signal le v potrebnem območju. Vsak presežek je lahko priložnost, da napadalec dostopa do omrežja brez vstopa v objekt, v katerem se omrežje nahaja. Priporočena je uporaba usmeritvenih anten. Nekatere dostopne točke celo omogočajo nadzor nad močjo signala za omejevanje območja dostopa.

6. Ločitev brezžičnega in običajnega omrežja z požarnim zidom. To lahko napadalcu, ki je vdrl v brezžično omrežje, prepreči dostop do običajnega omrežja.

Obstaja nekaj pogosto priporočenih korakov, ki pa po navadi ne zadoščajo proti izkušenim napadalcem (zavarujejo pa pred veliko skupino neizkušenih). Ti so:

Izklop možnosti SSID broadcast – Teoretično lahko skrivanje SSID prepreči neizkušenim uporabnikom neavtoriziran dostop do omrežja. V bistvu, medtem ko bo skril omrežje neizkušenim uporabnikom, lahko izkušenejši napadalci s skeniranjem omrežnega prometa brez težav odkrijejo SSID. Prav tako pa legitimnim uporabnikom oteži dostop, saj morajo poznati SSID in ga vnesti v svojo napravo. Skrivanje SSID ne bo nikomur preprečilo spremljanje omrežnega prometa, to lahko stori le enkripcija.

Vklop možnosti filtriranja naslovov MAC – filtriranje naslovov MAC s seznamom dovoljenih naslovov lahko neizkušenim uporabnikom prepreči dostop do omrežja, resen napadalec pa bo preprosto skeniral promet, ugotovil dovoljen MAC naslov in svojo strojno opremo nastavil na uporabo le-tega. Vsaka nova naprava pred priključitvijo zahteva dodajanje novega naslova na seznam. Tudi filtriranje MAC naslovov ne prepreči branja podatkov, posredovanih brez enkripcije.

Nadzorna postajaBoljše brezžične omrežne kartice se lahko nastavi za nadzor omrežja brez povezave na dostopno točko. Ta lastnost se lahko uporabi za diagnosticiranje in odpravljanje težav.

Varnostna tveganjaS popularnostjo brezžičnih omrežij raste tudi tveganje. Ko je bila tehnologija predstavljena, je bilo nevarnosti le malo, vendar pa je danes z brezžično tehnologijo povezanih veliko varnostnih tveganj, nekatera bolj očitna, nekatera manj. Napadalci so v trenutnih brezžičnih protokolih, metodah kriptiranja podatkov in brezbrižnosti uporabnikov odkrili veliko ranljivosti. S prihodom brezžičnih tehnologij so metode vdiranja postale veliko bolj inovativne in enostavne, saj je v brezžično omrežje mogoče vdreti z brezplačnimi programi, prosto dostopnimi na internetu.



Uporaba za vdor v običajna omrežjaNekatere organizacije, ki nimajo nameščenih brezžičnih dostopnih točk, ne čutijo potrebe za osnovne varnostne ukrepe. Problem nastane, ko se v omrežje priključi prenosni računalnik, ki ima delujočo brezžično mrežno kartico. Napadalec si lahko preko te kartice pridobi dostop do običajnega omrežja in s tem tudi dostop do potencialno zaupnih informacij.

8.6 Strojna oprema

8.6.1 Kartica za brezžično povezavoBrezžičnih omrežnih kartic je na tržišču na voljo kar nekaj. Največ jih je na voljo v obliki PC Card (za vstavitev v režo PCMCIA), saj brezžično omrežje v celoti izkoristi svoj pomen v navezi s prenosnim računalnikom. Prenosniki s Centrino tehnologijo imajo že vdelano brezžično omrežno kartico, in sicer po standardu 802.11b. Prav tako imajo brezžično omrežno kartico po standardu 802.11b vgrajeno tudi nekateri modeli dlančnikov.

Na voljo so še brezžične omrežne kartice na PCI vodilu, ki se jih enostavno vgradi v prosto PCI razširitveno mrežo v osebnem računalniku. Tovrstne kartice imajo povečini vse zunanjo anteno, PC Card omrežne kartice pa imajo zaradi praktičnosti anteno integrirano v ohišje kartice. Obstajajo tudi brezžični mrežni vmesniki na USB vodilu, katere se enostavno vstavi v prosto USB mesto. USB brezžične omrežne kartice so skrajno praktične, v kolikor v osebnem računalniku nimamo proste PCI reže oz. če imamo v prenosniku že zasedeno PCMCIA režo. USB brezžične omrežne kartice oz. vmesniki so na voljo po standardu 802.11b, ker USB 1.1 ne prepušča večje količine podatkov kot enajst megabitov na sekundo. Prepustnost štiriinpetdeset megabitov na sekundo po standardu 802.11g pa omogoča USB 2.0.

8.6.2 Dostopna točka – Access PointDostopna točka (Access Point) omogoča razširitev dosega brezžičnega omrežja, naprednejše povezovanje, povezavo z ožičenim omrežjem in je zelo priporočljiva, v kolikor postavljamo brezžično omrežje – brezžično omrežje lahko sicer postavimo zgolj z uporabo brezžičnih omrežnih kartic oz. vmesnikov. Dostopno točko se nastavlja preko spletnega brskalnika. Pri nastavitvah so nam v veliko pomoč tako imenovani čarovniki, tako da ponavadi nastavitve ne povzročajo preglavic. Dostopne točke se med seboj razlikujejo predvsem po dodatnih nastavitvah, nekatere, predvsem cenejše imajo anteno integrirano, dražje imajo zunanjo anteno, nekatere dostopne točke pa omogočajo tudi, da obstoječo anteno zamenjamo z drugo močnejšo ter tako razširimo domet. Brezžične točke po večini delujejo po standardu 802.11.b in 802.11.g.

8.6.3 Brezžični usmerjevalnik – Wireless RouterŠirokopasovne povezave v splet, kot sta ADSL in kabelski internet so botrovale veliki priljubljenosti brezžičnih usmerjevalnikov (Wireless Routerjev) med domačimi uporabniki, saj se tako lahko poveže več uporabnikov. Recimo, da imamo doma dva osebna računalnika in še prenosnega ter morda še dlančnik z vgrajeno brezžično omrežno kartico – vsekakor je brezžični usmerjevalnik prava izbira, saj tako odpade včasih še kako nerodno povezovanje s kabli. Brezžični usmerjevalnik sestavlja klasični širokopasovni usmerjevalnik stikalo (switch). Ta dva dela sta namenjena klasični žični povezavi. Širokopasovni usmerjevalnik ima ponavadi štiri prosta razširitvena mesta, tako da lahko na klasičen način z UTP kabli povežemo do štiri računalnike. V usmerjevalnik pa je vgrajena tudi dostopna točka, ki omogoča brezžično povezovanje v splet. Dostopne točke, ki so vgrajene v usmerjevalnike, danes nudijo vse nastavitve in kvaliteto kot samostojen model dostopne točke, včasih pa so bile to bolj okrnjene različice. Nekateri modeli brezžičnih usmerjevalnikov imajo vgrajen tudi tiskalniški strežnik (printserver), tako da lahko iz več računalnikov tiskamo na isti tiskalnik. Skratka brezžičnost prinaša vrhunec udobja pri delu. Glede na čedalje nižje cene so klasičnim usmerjevalnikom šteti dnevi, saj brezžični usmerjevalnik lahko deluje tudi kot klasični usmerjevalnik, poleg tega pa nudi še možnost brezžičnega povezovanja. Nastavitve se



izvajajo preko spletnega brskalnika z vpisom IP-ja usmerjevalnika. Sama nastavitev je izjemno preprosta, saj nas spremljajo navodila in t.i. Wizardi oz. čarovniki, ki nam še olajšajo delo z nastavitvami.

POVZETEKBrezžična omrežja se uporabljajo za LAN, MAN in WAN. Tipično brezžično omrežje deluje tako kot kabelsko omrežje. Obstajajo različne tehnologije, odvisno od namena in dosega omrežja – infrardeča svetloba, laserska, kratko– in dolgovalovna radijska. Enostavno jih je postaviti in razširiti. Zaradi enostavnosti povezovanja, imajo nizko stopnjo varnosti. Elektro–magnetno sevanje povzroča danes še nedokazane, posledice, zato jih ponekod ne dovoljujejo uporabljati v šolskih in zdravstvenih organizacijah.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je brezžično omrežje?2. Katere so različne vrste tehnologij brezžičnih omrežij? 3. Kakšna je moč signala v brezžičnem omrežju? 4. Kakšna tveganja pomeni vzpostavljanje povezave z javnim brezžičnim omrežjem? 5. Kako vem, ali je moj omrežni vmesnik združljiv s šifriranjem Wired Equivalent Privacy (WEP) ali

Wi-Fi Protected Access (WPA)? 6. Na osnovi česa so zasnovane brezžične povezave? Naštejte vrste brezžičnih povezav!7. H katerim brezžičnim povezavam prištevamo mobilno tehnologijo?8. Katere vrste brezžičnih povezav prenašajo valove med postajami, ki so med seboj oddaljene 100

km?9. Naštejte področje uporabe infrardečih povezav! Katere so prednosti in slabosti infrardečih

povezav?10. Opišite sestavo infrardeče povezave!11. V katerih omrežjih uporabljamo satelitsko povezavo?



9 Prenosni medijiKljub prodoru brezžičnih omrežij je danes velika večina omrežij povezanih z žicami in kabli, ki igrajo vlogo omrežnih posrednikov, ki prenašajo signale med računalniki. Veliko vrst kablov je namenjenih za različne potrebe in za različne velikosti omrežij, od majhnih do velikih. Omrežnih kablov poznamo veliko. Na srečo so samo trije tipi kablov pogosto uporabljeni v večini računalniških omrežij:

koaksialni (tanki in debeli), parični (oklopljeni in neoklopljeni), optični (enorodovni in večrodovni).

Kako izbrati najboljši kabel za določeno rešitev. To je odvisno od več činiteljev. Najboljše je odgovoriti na naslednja vprašanja.

Kakšno količino podatkov se želi prenašati? Katero stopnjo varnosti omrežje potrebuje? Kolikšna bo dolžina položenega kabla? Katere so kabelske nastavitve? Kolikšen je proračun za ožičenje?

Odgovori na nekatera vprašanja si lahko nasprotujejo. Če kabel bolje varuje podatke pred zunanjimi in notranjimi motnjami, bo lahko hitreje in dlje prenašal čisti signal. Če večja je hitrost prenosa, je čistost materiala večja in zato je kabel dražji.

Varnost Če je omrežje namenjeno za večjo organizacijo in izberete cenejše kable, bo omrežje izgubilo na hitrosti in na varnosti podatkov.

Podpora instalacijam Kako lahko kabel namestimo in upravljamo z njim? V manjših instalacijah, kjer so razdalje majhne in varnost podatkov ne igra vloge, je vseeno, če izberemo debel ali drag kabel.

Zaščita Večja je stopnja zaščite, dražji je kabel. Skoraj vsako omrežje potrebuje neko vrsto zaščite kablov. Večje so motnje na površini (mobiteli, radijski signali, neonske sijalke, motorji ...), večja mora biti zaščita.

Presluh Presluh in šum sta lahko resna problema v večjih omrežjih, kjer je vernost prenosa podatkov odločilna. Poceni kabli so manj odporni zunanjim električnim poljem, ki jih ustvarijo električni stroji in radijski oddajniki. Le–ti povzročajo šum in presluh.

Oddajna hitrost Oddajno hitrost merimo v megabitih na sekundo. Standardna hitrost za LAN oddajnike prek bakrenega kabla je danes 100 Mb/s, ponekod je še hitrost 10 Mb/s. Optični kabli prenašajo tudi več Gb/s na daljše razdalje.

Cena Višji razred kablov lahko prenaša zavarovane podatke prek večje razdalje, so pa tudi relativno dragi. Nižji razred kablov prenese podatke z nižjo varnostjo in na krajše razdalje, so pa relativno poceni.

| 9 Prenosni mediji 88


9.1 Koaksialni kabliŠe do pred kratkim so bili koaksialni kabli zelo razširjeni in pogosti v večini omrežij. Bilo je kar nekaj razlogov za njihovo pogosto uporabo: so relativno poceni, so upogljivi, enostavni za uporabo in malo občutljivi na elektro–magnetne motnje.

Jedro koaksialnih kablov je sestavljeno iz bakrene žice, obdane z izolacijo, in iz prepletenega kovinskega oklopa in zunanjega zaščitnega plašča. Slika prikazuje sestavo koaksialnih kablov. Oklop varuje prenesene podatke tako, da vsrkava motnje električnih signalov, imenovanih šum, tako, da ne pridejo do kabla in ne motijo prenosa podatkov.

Jedro koaksialnih kablov prenaša električne signale, ki tvorijo podatke. To jedro je lahko trdo ali gibko, če je trdo, je običajno bakreno. Jedro obdaja električno neprevodni sloj, ki loči jedro od mrežne žice. Prepletena mrežna žica služi kot zaščita jedra pred električnimi motnjami in pred presluhom (presluh je nezaželen signal iz sosednje žice).

Jedro in mrežna žica morata biti vedno ločena. Če se dotakneta, bo v kablu prišlo do kratkega stika in šuma ali motnje signala na oklopu. Električni signali bodo šli z bakrene žice. Ob dotiku dveh prevodnih žic pride do kratkega stika električnega tokokroga. Ta kontakt povzroči nezaželene razmere v valovodu.

Koaksialni kabel je bolj odporen proti motnjam kot sukane parice. Kljub vsem svojim kvalitetam, se danes v računalniških komunikacijah le redko uporablja.

[1] zgradba koaksialnega kabla[2] tanki ethernetni kabel

[3] debel ethernetni kabel

Slika 67: Koaksialni kabel

9.2 Optični kabli in vlaknaOptični kabli lahko prenašajo digitalne podatkovne signale v obliki pulzov oziroma svetlobe. To je relativno varen način pošiljanja podatkov, za razliko od bakrovega jedra, ki prenaša podatke v obliki električnih signalov in ne v obliki električnih impulzov. To pomeni, da se ob prenosu podatkov prek optičnega kabla, ne more prisluškovati prenosu. Optični kabel je dober za zelo hiter prenos podatkov za velike količine podatkov, saj je neobčutljiv na elektro–magnetne motnje in praktično nima atenuacije signala. Prenos podatkov beležimo od nekje 100 Mb/s do demonstriranih 100 gigabitov na sekundo (Gb/s). Lahko prenašajo signal - svetlobni impulz nekaj sto kilometrov daleč brez obnavljanja.

9.2.1 Zgradba optičnega vlakna Vsa optična vlakna izkoriščajo za vodenje svetlobe prav pojav popolnega notranjega odboja, zato so konstruirana tako, da imajo valjasto obliko. Osrednji del optičnega vlakna je stržen ali jedro, ki je izdelan iz optično gostejšega sredstva (večji lomni količnik). Stržen obdaja optično redkejši plašč z nižjim lomnim količnikom.



Slika 68: Deli optičnega kabla

Stržen in optični plašč sta najpogosteje izdelana iz zelo čistega stekla, možna pa je tudi kombinacija steklenega stržena in plastičnega (polimernega) plašča. Le pri plastičnih optičnih vlaknih so vsi elementi izdelani iz polimernih snovi.

Površina optičnih vlaken mora biti zaščitena pred mehanskimi in drugimi vplivi okolja, zato jo prevlečemo s plastjo primarne zaščite, običajno iz polimernega ovoja.

Ker vsako stekleno vlakno prenaša signal samo v eno smer, vsebuje kabel vsaj dve vlakni. Eno vlakno se uporablja za sprejem, drugo za oddajo. Ovoj okoli vsake plasti steklenih vlaken je kevlar, ki zagotavlja trdnost. Vlakna so povezana v svežnje, ki jih imenujemo optični kabli in jih uporabljamo za prenos svetlobnih signalov na velike razdalje.

Če natančno pogledamo eno samo optično vlakno vidimo sledeče dele: Jedro (ali stržen) je tanko stekleno središče vlakna, po katerem potuje svetloba. Zunanji optični material, ki obdaja jedro in svetlobo, odbija nazaj v njega. Zunanja plastna zaščita, ki ščiti optično vlakno pred poškodbami in vlago.

Poznamo dve vrsti optičnih vlaken: enorodovna in večrodovna.

Slika 69: Enorodno in mnogorodno vlakno

Mnogorodovno in enorodovno vlaknoMednarodni predpisi natančno določajo dimenzije stržena, plašča in zaščite optičnih vlaken, ki se uporabljajo v telekomunikacijah: premer zaščite mora biti 250 µm, zunanji premer vlakna pa 125 µm. Tolerance so zelo stroge, saj premer vlakna nikjer ne sme odstopati več kot 2 µm. Glede na debelino stržena in profil lomnega količnika v jedru razlikujemo več tipov optičnih vlaken.

Mnogorodovna optična vlaknaVlakna s premerom stržena 50 ali 62,5 µm imenujemo večrodovna (angl. Multi–Mode) in v vsakem trenutku se po njih lahko razširja večje število žarkov. Zanje je značilna velika razlika med lomnim količnikom stržena in plašča, kar omogoča uporabo poceni svetlobnih izvorov in detektorjev, ki jih lahko proizvajajo tudi svetleče diode (LED). Ker prenašajo več svetlobnih signalov, je disperzija večja in se lahko signale prenaša na krajše razdalje (nekaj kilometrov). Zaradi večjega premera je takšna vlakna lažje spajati.



Enorodovna optična vlaknaUporabi v telefonskih omrežjih so namenjena enorodovna vlakna (angl. Single–Mode), po katerih se razširja v vsakem trenutku le en žarek. Take okoliščine razširjanja svetlobe dosežemo pri strženu s premerom komaj 9 µm ter majhni razliki lomnih količnikov stržena in plašča. Ta vlakna odlikujeta zelo velika pasovna širina in majhno slabljenje, zato so namenjena prenosu velike gostote podatkov na daljše razdalje (nekaj sto kilometrov). Ker prenašajo en sam svetlobni signal, je disperzija manjša. Zaradi manjšega premera, je takšna vlakna težje spajati.

9.3 Parični kabliSukana parica je sestavljena iz dveh izoliranih bakrenih žic, debeline kakšen milimeter, ki sta med seboj prepleteni. Prepleteni sta zato, ker dve vzporedni žici tvorita anteno. S prepletanjem se možnost sprejemanja in oddajanja signalov zmanjša. Poznamo tri osnovne tipe kablov iz sukanih paric:

neoklopljena (angl. Unshielded Twisted Pair, UTP), s folijo oviti parčni kabli (angl. Foiled Twisted Pair, FTP) in oklopljena parica (angl. Shielded Twisted Pair, STP).

Več prepletenih parnih žic je pogosto sklenjenih skupaj in tvorijo parični kabel. Število paric v kablu je različno. V računalniških omrežjih se večinoma uporabljajo kabli s štirimi paricami.

Slika 70: Neoklopljena in vklopljena parica

Parične kable delimo v 6 kategorij, odvisno od hitrosti povezave: Kategorija 1: ta kategorija vsebuje parične telefonske kable, ki lahko prenaša glas ampak ne

podatkov. Kategorija 2 (razred A): ta kategorija predstavlja parične kable za prenos podatkov več kot 4

megabitov na sekundo (Mb/s). Sestavljena je iz štirih prepletenih parov bakrenih jeder. Kategorija 3 (razred B): v to kategorijo štejemo parične kable za prenos podatkov več kot 16

megabitov na sekundo (Mb/s). Kabel je sestavljen iz štirih prepletenih parov bakrenih žic, ki so na vsak meter prepleteni s tremi zavoji.

Kategorija 4 (razred C): Ta kategorija vsebuje parične kable za prenos podatkov več kot 20 Mb/s.

Kategorija 5 (razred D): Ta kategorija vsebuje parične kable za prenos podatkov več kot 100 Mb/s. Kabel je sestavljen iz štirih prepletenih parov bakrenih žic.

Kategorija 6 (razred D): Ta kategorija vsebuje parične kable za prenos podatkov več kot 250 Mb/s. Kabel je sestavljen iz štirih prepletenih parov bakrenih žic.

Kategorija 7 (razred E): Ta kategorija vsebuje parične kable za prenos podatkov več kot 600 Mb/s. Kabel je sestavljen iz štirih prepletenih parov bakrenih žic.

Najpogosteje so parice uporabljene v telefonskih omrežjih. Skoraj vse parice se stekajo v razdelilno mesto telekomunikacijskega podjetja. Parice so lahko dolge nekaj kilometrov in za prenos niso potrebni



obnavljalniki. Hitrost prenosa je odvisna od razdalje. Parični kabli lahko prenašajo tako digitalne kot tudi analogne signale. Zaradi nizke cene so bili in še vedno so precej priljubljeni.

9.3.1 Nezaščitena sukana parica Nezaščitena sukana parica (angl. Unshielded Twisted Pair, UTP) je najbolj uporabljen tip paričnih kablov in je postal najbolj popularen v lokalnih omrežjih. Najdaljša razdalja, ki jo podpirajo kabli UTP, je približno 100 metrov. Tradicionalni kabel UTP je sestavljen iz dveh izoliranih bakrenih žic. V Severni Ameriki je UTP kabel najbolj uporabljen za telefonske linije in je inštaliran v večini stavb. Pogosto so za računalniška omrežja uporabili kar obstoječe telefonske kable.

Ena izmed možnih težav vseh vrst paričnih kablov je presluh. UTP je zelo občutljiv na presluh. Več kot je zavojev na meter žice, manjša je možnost presluha. Pri kablih FTP in STP z oklopi dodatno zmanjšamo možnost presluha.

9.3.2 Zaščitene sukane pariceSTP kabel je sestavljen iz bakrenega opleta, ki da večjo zaščito in višjo kvaliteto kot ovoj kabla pri UTP. STP uporablja folijo za zaščito med paricami in oplet pred zunanjimi motnjami. To da STP odlično zaščito prenesenim podatkom pred zunanjimi motnjami, kar omogoča, da lahko z STP prenašamo višje hitrosti na daljšo razdaljo kot pri UTP.

FTP kabel je sestavljen iz aluminijeve (in bakrene) folije okoli paric, ki da večjo zaščito in višjo kvaliteto kot ovoj kabla pri UTP. FTP ne uporablja folije za zaščito med paricami. FTP dovolj dobro ščiti prenesene podatke pred zunanjimi motnjami. Sama zgradba je preprostejša in posledično zato tudi montaža. To je tudi razlog, da se pogosteje uporabljajo kot STP.

POVZETEKV računalniških komunikacijah se uporabljajo koaksialni kabli, parični (oklopljeni in neoklopljeni) kabli in optični kabli. Obstajajo pa še brezžične komunikacije. Izbira medija je odvisna od več razlogov, kot so obstoječa oprema, elektro–magnetne motnje, zahtevana varnost, atenuacija in drugo. V razprostranih omrežjih se danes vedno bolj uporabljajo optični kabli, v lokalnih omrežjih pa parični kabli.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Kaj je medij?2. Katere so pogoste vrste kablov v računalniških omrežjih?3. V katerih omrežjih so lahko problemi s šumom?4. Kateri konektorji se uporabljajo za povezovanje delov tankega koaksialnega kabla?5. Kaj je sukana parica in kaj je parični kabel?6. Katere so zaščitene vrste paričnih kablov?7. Kateri konektorji se uporabljajo v omrežjih s paričnimi kabli?8. Kdaj so se pričeli uporabljati optični kabli?9. Kateri pojav uporabljajo za prenos podatkov optična vlakna?10. Kaj so večrodovna vlakna?11. Katere so slabosti optičnih vlaken?12. Kaj se najpogosteje uporablja za vir signalov?



10. Načrtovanje in kabliranje omrežijPreden lahko komuniciramo s končnimi odjemalci in perifernimi napravami kot so npr. osebni računalniki, IP telefoni, omrežni tiskalniki, strežniki, MP# predvajalniki itn. ter uporabljamo aplikacije kot so npr. sprotno sporočanje (npr. Windows LIve Messenger), elektronska pošta, itd. moramo vzpostaviti med končnimi uporabniki povezave s t.i. povezovalnimi napravami npr. zvezdišči in stikali oz. usmerjevalniki. Za omreženje naprav potrebujemo ustrezne prenosne medije. Če gre za ožičeno omrežje so to bakreni ali optični kabli, v primeru brezžičnih povezav je to kar zrak oz. eter.

10.1 Kabliranje LAN/WAN omrežijV LAN/WAN se lahko uporabijo različne topologije omrežij kot tudi različni prenosni mediji. Za predstavitev različnih tipov prenosnih medijev se uporabljajo različni simboli. V krajevnih omrežij so najpogostejše tri tehnologije:

tehnologijo obroča z žetonom (angl. Token Ring), ki jo najpogosteje simbolizira krog,

tehnologijo FDDI (angl. Fiber Distributed Interface), ki jo simbolično označimo z dvema koncentrično nameščenima elipsama in

Ethernet, ki predstavlja prevladujočo tehnologijo v krajevnih omrežjih in jo označimo z ravno odebeljeno črto.

V prostranih omrežjih pa najpogosteje srečujemo serijske povezave, katerih simbol opišemo v obliki strele, ponavadi v rdeči barvi.

Slika 71: Tipični simboli povezav v krajevnih omrežjih

Uporabljene povezovalne prenosne medije ločimo tudi po naslednjih kriterijih: dolžina povezave, cena, zahtevnost namestitve, in občutljivost prenosnega medija na motnje.

Najpogostejše končne in povezovalne naprave krajevnih omrežij so: omrežna stikala in mostiči, zvezdišča, ponavljalniki, usmerjevalniki in končni odjemalci npr. osebni računalniki (Slika 2).

Slika 72: Najpogostejši simboli povezovalnih in končnih naprav krajevnih omrežij

10.2 Ethernet in krajevna omrežja Ethernet je najpogostejša tehnologija krajevnih omrežij. Tehnologijo je najprej implementiralo združenje DIX (Digital, Intel, Xerox). Takrat pripravljene specifikacije je uporabilo združenje IEEE za objavo standarda z oznako 802.3 (l. 1980), ki predstavlja danes standard za ožičenje krajevnih omrežij. Združenje IEEE je standard razčlenilo na več področij. Tri izmed teh danes izstopajo: področje za 100 Mb (hitri) Ethernet z oznako 802.3u, področje za Gb Ethernet z optičnimi vlakni in oznako 802.3z in področje

| 10. Načrtovanje in kabliranje omrežij 93


za Gb Ethernet s sukanimi paricami (UTP) z oznako 802.3ab. Vse navedene tehnologije krajevnih Ethernet omrežij z izjemo prvotnega (angl. Legacy Ethernet) najdemo v spodnji podplasti podatkovno povezovalne plasti (MAC podplast) in fizični plasti OSI modela.

Večina Ethernet omrežij podpira hitrosti 10/100 Mb/s, modernejše različice krajevnih omrežij pa so zasnovane za 100/1000 Mb/s. Obstaja več načinov implementacije Ethernet tehnologij v krajevnih omrežjih. Najpogostejše so naslednje:

povezave z 10Mb/s se ponavadi uporabijo do končnega uporabnika. Če bodo primarne vsebine končnega odjemalca večprestavnostne - video, spletne igre in govor - potem je priporočeno uporabiti povezavo s 100Mb/s.

povezave s 100/1000 Mb/s se uporabijo za povezovanje strežnikov v omrežje. 1Gb/s izboljša zmogljivost komunikacije odjemalec/strežnik in pripomore k preprečevanju t.i. ozkih podatkovnih grl (angl. Bottleneck).

Slika 73: Tipični vmesniki LAN na usmerjevalnikih

10.3 Zahteve konektorjev in prenosnih medijev tehnologije EthernetKabli in konektorji za implementacijo Ethernet tehnologij so specificirani v standardih EIA/TIA (angl. Electronic Industries Association/ Telecommunications Industry Association). Kategorije kablov in specifikacije konektorjev tehnologije Ethernet so izpeljane iz standarda za telekomunikacijska ožičenja trgovskih stavb EIA/TIA-568. Vsebuje specifikacije za Ethernet (angl. Legacy Ethernet), hitri Ethernet, Gb Ethernet in 10 GbEthernet. Najpogosteše tehnologije Ethernet in njej pripadajoče kategorije kablo (Cat) so navedene v spodnji preglednici (Tabela 10.1).

Tabela 10.1: Najpogostejše Ethernet tehnologije.

Tehnologija Podatkovna hitrost Tip kabla Največja dolžina

10BASE2 10Mb/s koaksialni kabel (RG58/U) 185m

10BASE5 10Mb/s koaksialni kabel (RG8/U) 500m

10BASE-T 10Mb/s Cat3/Cat5 UTP 100m



100BASE-TX 100Mb/s Cat5 UTP 100m

100BASE-FX 100Mb/s večrodovna vlakna 2km

1000BASE-T 1Gb/s Cat5e UTP 100m

1000BASE-TX 1Gb/s Cat6 UTP 100m

1000BASE-SX 1Gb/s večrodovna vlakna 550m

1000BASE-LX 1Gb/s enorodovna vlakna 2km

10GBASE-T 10Gb/s Cat6e/Cat7 UTP 100m

10GBASE-LX4 10Gb/s večrodovna vlakna 100m

10GBASE-LX4 10Gb/s enorodovna vlakna 10km

10.4 Razlikovanje med konektorjiNajbolj pogost konektor v krajevnih Ethernet omrežjih je konektor z oznako RJ-45 (ISO 8877). RJ-45 je univerzalni konektor za UTP različice prenosnega medija. Starejše različice tehnologije Ethernet so temeljile na koaksialnih povezavah s t.i. BNC konektorji (10BASE2) in AUI vmesniki (10BASE5). V slednjem primeru se konektor omrežne kartice (angl. Network Interface Card - NIC) razlikuje od konektorjev tipičnih bakrenih prenosnih medijev kot sta parica in koaksialni kabel (Slika 4). Za priklop potrebujemo t.i. prilagodljivi omrežni vmesnik - AUI (angl. Attachment Unit Interface). Na AUI lahko priklopimo različne prenosne medije starejših Ethernet tehnologij (npr. 10BASE5 ali 10BASE-T) z ustreznim vmesniškim členom.

Slika 74: Omrežna kartica s tremi različicami vmesnikov

Omenjene vmesnike za krajevna omrežja LAN in WAN srečamo na večini usmerjevalnikov. Ponavadi so vmesniki bazno kodirani tako, da jih lahko med seboj kljub istemu tipu vmesnika ločimo že na prvi pogled (Slika 10.5).



Slika 75: Različice tipičnih vmesnikov usmerjevalnika

10.5 Razločevanje vezav medomrežnih in končnih povezavV splošnem lahko kable za povezovanje naprav v krajevnem omrežju ločimo na povezave do končnih odjemalcev t.i. končne povezave in povezave med omrežnimi napravami, ki so t.i. medomrežne povezave.

Če izhajamo iz prevladujočih Ethernet tehnologij je najpogosteje uporabljen prenosni medij UTP. Povezave z UTP so tako vezne kot končne. Razlikujejo se v načinu vezave kabla. Končne UTP povezave so, razen izjem, izvedene s t.i. neposrednim UTP kablom (angl. Straight-Trough). Neposredno vezavo UTP kabla označujemo kot povezavo izvedeno po standardu EIA/TIA 586A na obeh konceh UTP kabla. Lahko je povezava izvedena tudi po standardu EIA/TIA 586B (Slika 4-a). Parice v kablu so barvno kodirane - prvi par je modre barve, drugi oranžne barve, tretji zelene barve in četrti rjave barve. Ponavadi sta para označena bodisi s svetlim in temnim odtenkom enake barve bodisi je eden izmed vodov v paru označen z ustrezno barvo (npr. zeleno), drugi pa z belim odtenkom kombinirano enako barvo (zeleno-bela).



Slika 76: Neposredna in križna vezava UTP kablov

Povezave med omrežnimi napravami, razen izjem, izvedemo s t.i. križno vezavo UTP kabla. Križno vezavo UTP kabla označujemo kot povezavo izvedeno po standardu EIA/TIA 586A na enem koncu kabla in EIA/TIA 586B na drugem koncu kabla (Slika 10.6-b).

Obstaja tudi tretja različica vezave UTP kabla t.i. zrcalni kabel (angl. Rollover), ki se uporablja za t.i. konzolni priklop na omrežne naprave (Slika 10.6-c). Oba konca zrcalnega oz. konzolnega kabla sta zaključena s konektorjem RJ-45, vendar za enega potrebujemo prilagodilni člen na serijski vmesnik osebnega računalnika RJ-45 na DB9 (Slika 10.6). Obstajajo izvedbe kabla kjer je izvedba enega konca kabla kar z DB9.

Slika 77: Konzolni kabel - zrcalni UTP

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA1. Katere tehnologije uporabljamo v krajevnih omrežjih?2. Kaj je RJ-45 (ISO 8877) in kje se uporablja?



11 Literatura B. Schneier, Secrets and lies: digital security in a networked world, John Wiley, New York, USA,

2000. Burton Group: Directory and Security Strategies: User Authentication, 2004 B. Štular, 'Varnostna analiza tehnologij za navidezna zasebna omrežja', Štirinajsta delavnica o

telekomunikacijah VITEL, Brdo pri Kranju, maj 2003. Belak, Jože. Osnove poslovnih informacijskih sistemov. Maribor: VEKŠ, 1986. Berry, W. Michael in Murray Browne. Lecture Notes in Data Mining: FuIsland Offset Printing, 2006. Bobek, Samo. Informatika za ekonomiste. Maribor: EPF, 1993. Dodge, Mark, in Stinson Craig. MicrosoftR Office ExcelR 2007 Inside: Microsoft Press, 2007. D. Trček, Managing information systems security and privacy, Springer, Berlin, Heidelberg, New

York, 2006. CSI: Computern Security Issues&trends, Vol. 8, No.1, 2002 Cisco: www.cisco.com E. Cole, R. Krutz, J. W. Conley, Network Security Bible, Wiley Publishing, Indianapolis, USA,

2005. Gradišar, Miro, in Gortan Resinovič. Informatika v organizaciji. Kranj: Založba Moderna

organizacija, 1999. Gradišar, Miro, in Gortan Resinovič. Informatika v poslovnem okolju. Ljubljana: Ekonomska

fakulteta, 2001. Inmon, William. Building the Data Warehouse, Fourh Edition: Wiley Publishing, 2005. Juniper: www.juniper.net Kajzer, Štefan. Raziskava izhodišč za oblikovanje modela poslovnih informacijskih sistemov.

Maribor: VEKŠ, 1986. Kovačič, Andrej, in Vesna Bosilj Vukšić. Management poslovnih procesov: prenova in

informatizacija poslovanja s praktičnimi primeri. Ljubljana: GV založba, 2005. Kovačič, Andrej, in Mirko Vintar. Načrtovanje in gradnja informacijskih sistemov. Ljubljana: DZS,

1994. Larose, Daniel T. Data Mining – Methods and Models: Wiley Publishing, 2006. Mohorič, Tomaž. Podatkovne baze. Ljubljana: Založba Bi-tim, 2002. M. Y. Rhee, Internet Security : Cryptographic Principles, Algorithms and Protocols, John Mainwald E.:Network Security, McGraw-Hill/Osborne, 2001 Meta Group: Evolving the Network Edge, White Paper, 2004 Microsoft: www.microsoft.com M. Trampuš, M. Ciglarič, T. Vidmar, Formalizacija varnostnih politik. NortelNetworks: www.nortelnetworks.com Peikari C., Fogie S.: Maximum Wireless Security, Sams, 2003 Pivka, Marjan, in Andrej Tomšič: Računalništvo in informatika. Maribor: Doba, 2002 Revija Moj Mikro Revija Monitor Revija Življenje in tehnika R. Sušnik, S. Tomažič, Uporaba protokola IPsec v omrežjih IP. R. Kolar, 'Varnost v IP VPN omrežjih z uporabo tehnologije IPsec', Štirinajsta delavnica o

telekomunikacijah VITEL, Brdo pri Kranju, maj 2003. Sušnik, Matjaž. Informatika za E-prihodnost. Maribor: Comtron, 2004. Šel, D. Tehnične osnove elektronskega poslovanj. 2000. Slovar informatike: http://www.islovar.org/iskanje_enostavno.asp Slovar ITkT: http://www.ltfe.org S. Tomažič, 'Varnost v telekomunikacijah in kako jo zagotoviti', Štirinajsta delavnica o

telekomunikacijah VITEL, Brdo pri Kranju, maj 2003.

| 11 Literatura 98

http://www.ltfe.org/

http://www.islovar.org/iskanje_enostavno.asp

http://www.nortelnetworks.com/

http://www.microsoft.com/

http://www.juniper.net/

http://www.cisco.com/


S. Tomažič, Varne komunikacije preko interneta. W. Stallings, Cryptography and network security: principles and practice, Prentice Hall, Upper

Saddle River (New Jersey), USA, 2005. Wiley & Sons, West Sussex , England, 2003. V. Ban, 'Sistem za zaznavanje vdorov v IP omrežjih', Štirinajsta delavnica o telekomunikacijah

VITEL, Brdo pri Kranju, maj 2003. Vintar, Mirko. Informatika. Ljubljana: PACO, 1996. Vintar, Mirko. Informatika. Ljubljana: Bons, 2003 http://en.wikipedia.org/ .

| 11 Literatura 99

http://en.wikipedia.org/


Teme seminarskih

1. Inštalacije razsvetljave2. Inštalacije elektromotornih pogonov3. Inštalacije elektrotoplotnih postrojev4. Inštalacije elektrokemijskih postrojev5. Telekomunikacijske inštalacije6. Inštalacije informacijske tehnike7. Inštalacije v suhih prostorih8. Inštalacije v prostorih s specifičnimi pogoji (dvorane, gledališča, trgovski centri)9. Inštalacija v posebnih prostorih (električna obratovališča, vlažni, mokri, vroči,

požarno ogroženi prostori)10. Inštalacije v eksplozijsko ogroženih prostorih11. Inteligentne inštalacije12. Izgradnja nadzemnih vodov13.Načrt električnih inštalacij in električne opreme14.Napajalni sistem;15. Inštalacijski tokokrogi;16. Inštalacijski sistemi;17.Ustreznost (združljivost) opreme18.Varnostna razsvetljava19.Varnostno-napajalni sistemi20.Projektiranje inštalacij in meritve21.Splošni sistem napajanja;22.Sistem varnostnega napajanja23.Sistem nadomestnega napajanja24.Elementi električnih inštalacij25.Varovanje električne inštalacije26.Nevarnost električnega toka in zaščitni ukrepi27.Tehnični izračun pri projektiranju električne inštalacije28. Izgradnja nadzemnih vodov29.Vzdrževanje omrežij30.Selektivnosti varovanja31.Tehnični predpisi za izvajanje električnih inštalacij32.Klasifikacija električnih naprav

| 11 Literatura 100

· web view7.1.1 vrste računalniških virusov in njihovi načini širjenja v splošnem velja, da...

Documents