Sieci LAN

Sieci Komputerowe

Trudno wyobrazić sobie dzisiaj świat bez Internetu. Używamy go w domu, pracy, w kawiarni do zabawy i do interesów. Zastosowań jest tyle ile ludzi korzystających z jego możliwości. Poza zagrożeniami informacyjnymi i kulturowymi, które ze sobą niesie nowe medium wyrosłe obok filmu radia i telewizji istnieją zagrożenia techniczne związane z jego budową. Bardzo często to co wygląda prosto wcale takie nie jest. Poza prostą formą zwaną niekiedy interfejsem istnieje niebagatelna treść jego konstrukcji. Internet jest sumą nowatorskiej technologii łączności opartej o prace naukowców z ARPAnet finansownych przez rząd Stanów Zjednoczonych na początku lat siedemdziesiątych, realizacji pomysłów niezliczonej rzeszy inżynierów entuzjastów rozwijających specyfikację TCP/IP poprzez stanowiące własność publiczną biuletyny RFC oraz nowej technologii opartej o język opisu dokumentów „html” stworzonego przez Tima Berners-Lee i jego dalszych następców. Najciekawsze jest to, iż wyrósł na gruncie fobii USA przed wojną atomową i specyficznych potrzeb CERN (organizacji badań nuklearnych), a stosuje się go do zamówienia pizzy na randce z ładną dziewczyną. Internet jest tak elastyczny i adaptowalny jak tylko możemy to sobie wyobrazić ponieważ zgodnie z założeniami jego twórców miał przetrwać wojnę atomową oraz zapędy monopolistyczne wielkich korporacji. Gdyby jego powstanie nie było finansowane przez rząd USA z pewnością czekałby go los Systemów Operacyjnych, których rozwój nie ma służyć zwiększeniu użyteczności, lecz zwiększeniu zysków wytwarzających go korporacji i wiemy o jakiej korporacji tutaj mówimy. Z tego powodu ten genialny twór jest dzisiaj chyba jedyną w pełni demokratyczną dziedziną życia publicznego, która ma w sobie tyle wolności, ile nigdy przedtem nie było na świecie. Bywa plugawy i wulgarny, ale to tylko produkt uboczny natury ludzkiej. Ponieważ Moją Stronę poświęcam pamięci świetnego pisarza, futurologa, a może nawet filozofa Stanisława Lema wyjaśnię to słowami Snaut’a ze świetnej powieści „Solaris”:

„Nie szukamy nikogo oprócz ludzi. Nie potrzeba nam innych światów. Potrzeba nam luster. Nie wiemy co począć z innymi światami. Wystarczy ten jeden, a już się nim dławimy”.

Co prawda opisywana sytuacja dotyczy relacji Rzeczywistości Ludzkiej ze Światem Wielkiego Myślącego Oceanu, ale jak widać jest ona w pełni adaptowalna do subtelnego powiązania jakie występuje pomiędzy Bytem Realnym, a Wirtualnym Bytem Internetu. Tak, Idea Internetu odpowiada koncepcji lustra, w którym przegląda się Świat, na tyle krzywego, na ile niedoskonała jest natura ludzka.

Problemy rodzą się na styku sieci globalnej WAN i lokalnych sieci firmowych LAN. Okazuje się, że budowa sieci firmowych powyżej 20 stanowisk jest już wyzwaniem wykraczającym poza prostą konstrukcję grupy roboczej. Owszem można działać w wielostanowiskowych sieciach roboczych lub domenach bez ich wyskalowania funkcjonalnego, ale niedomagania logistyczno-techniczne są wystarczającym powodem wkroczenia do akcji takiej Firmy jak INFORMAX.

Przykład

Mamy do czynienia z niewielką jednostką gospodarczą skomputeryzowaną w dziale administracji i produkcji. Stan zastany obejmuje 25 stacji roboczych. Dział produkcji korzysta z centralnej bazy danych udostępnionej przez Sambę na serwerze z OS Linux. System Obsługi Produkcji steruje maszynami on-line. Stan zastany obejmuje umieszczenie wszystkich w jednej grupie roboczej. Połączenie z Internetem zrealizowane jest przez Router DSL. Całość działa niewydajnie. Pracownicy narzekają, iż System Obsługi Produkcji zrywa sterowanie maszynami przez co część pracy wykonuje się ręcznie, ale nie zawsze. Część komputerów działa wolno, ale poprawnie.

Słowo Wstępne

Dygresja, która przychodzi mi pierwsza na myśl jest następująca. Ruch w sieci można podzielić na cztery niezależne od siebie kategorie:

  1. Pakiety związane z Internetem,
  2. Pakiety związane z Systemem Produkcji,
  3. Pakiety związane z Systemami Księgowymi Administracji,
  4. Pakiety produkowane przez złośliwe oprogramowanie.
Dodatkowo ponieważ jest to grupa robocza występuje tutaj dużo ramek broadcast związanych z uszczegółowianiem połączeń sieciowych oraz bramek trasowanych do Internetu np. przez ad-ware, spyware lub malware. Jeżeli do tego dodamy możliwość uszkodzeń elementów aktywnych generujących sygnały zakłócające ruch w sieci oraz wymuszających powtórną transmisję całość przypomina harmider panujący na sesji giełdowej obserwowany z początków jej istnienia, gdzie każdy chce przekrzyczeć każdego. Wynika to poniekąd z samego charakteru sieci Ethernet (Carrier Sense ,Multiple Access, Colision Detection), gdzie najsłabszych nie słychać. Jeżeli do tego dojdzie fakt, iż mamy do czynienia z siecią heterogeniczną o wielu jednocześnie użytkowanych protokołach transmisji sieciowych oraz różnych OS-ach z których część może stosować protokóły jakości usług QoS tworzące pakiety uprzywilejowane dzięki czemu niektóre hosty prawie zawsze działają, a inne prawie wcale, problemy użytkowników nie są zaskoczeniem.

Rozwiązania Doraźne i Ich Skutki.

Rozwiązanie łagodzące skutki obejmuje ograniczenie dostępu do Internetu hostom i portom na firewall’u, instalację programów antywirusowych, fizyczną segmentację sieci przez wkomponowanie w jej topologię dodatkowych swichy grupujących komputery często wymieniające dane np. w administracji, zwiększenie przepustowości sieci przez zakup urządzeń wydajnych i dobrej jakości, rezygnacja z DHCP oraz gadatliwych protokołów netbiosowych … koniec! Te działania nie przyniosą spodziewanych rezultatów.

Obalamy Mity

Komputery nie korzystające z Internetu są bezpieczne w sieci w której wytypowaliśmy hosty internetowe.

Błąd! Jeżeli któraś ze stacji roboczych „złapie trojana” wszystkie stacje grupy roboczej są zagrożone. Najsłabszym ogniwem jest stacja z Windows XP z najstarszymi updata’mi.

Stosowanie zarządzanych switch’y najlepiej z dużym cachem dla MAC kart sieciowych znacząco polepsza wydajność sieci.

Kompletna bzdura. W przypadku „sztormu” pakietów nie ma to znaczenia.

Moja Propozycja
  1. Stosujemy fizyczną i logiczną segmentację sieci.

    W prywatnych sieciach LAN niedostępnych w Internecie wprowadzamy adresy klasy A 10.x.x.x/8, B 172.16.x.x/16 lub C 192.168.0.x/24. W przypadku tego typu adresów nie musimy ściśle przestrzegać restrykcyjnych zasad wyznaczania maski podsieci i tworzenia sieci dodatkowych w ramach przyznanej klasy. Dlatego równie dobre są adresy dwóch podsieci: (sposób 1) 192.168.1.x(8b)/24 (254 hosty) i 192.168.2.x(8b)/24 (254 hosty) zamiast (sposób 2) np. 192.168.0.128x(6b)/26 (62 hosty) i 192.168.0.64x(6b)/26 (62 hosty) chociaż te ostatnie są poprawne formalnie z punktu widzenia przyznanej klasy. Przypominam, iż adres sieci klasy C obejmuje trzy pierwsze oktety (z prefixem "110"+21bitów) i powinien być stały dla danej domeny. Zatem nie robimy segmentów podsieci wyliczanych z kategorii podstawowych (A,B,C) tak jak opisują to w mądrych książkach wywodząc je z przyznanych klas (sposób 2), chyba, że pracujemy w globalnie udostępnianej domenie, tylko wykorzystujemy przejrzysty sposób 1.

  2. Wyjście do Internetu robimy z użyciem bramy zaopatrzonej w NAT.

    W naszym przypadku typujemy następujące podsieci:
    1.Internetu: 192.168.1.1 do 192.168.1.254
    2.Produkcji: 192.168.2.1 do 192.168.2.254
    3.Administracji: 192.168.3.1 do 192.168.3.254

  3. Produkcję pozbawiamy Internetu, jako najbardziej newralgiczny element systemu ze względu na sterowanie maszynami w czasie rzeczywistym.
  4. Komputery z produkcji, które potrzebują dostępu do Internetu zaopatrujemy w drugą kartę sieciową podłączoną do sieci 1 lub 3 i zaadresowaną adekwatnie.
  5. Stosujemy lokalne serwery DHCP tylko tam, gdzie ktoś czasami używa przenośnych komputerów w sprecyzowanych podzakresach adresowych. Jako serwery DHCP używamy routerów.
  6. W administracji jest mało komputerów więc Internet udostępniamy przez router lokalny podłączony do sieci 1 i 3.
  7. Router internetowy jest tylko 1 w sieci 1.

Rachunek Korzyści

  1. Polepszenie wydajności.

    Jeżeli za miarę wydajności sieci przyjmiemy iloraz pakietów osiągających adres docelowy do ilości wszystkich wysłanych pakietów z pewnością podział na podsieci zwiększy ten współczynnik. Wynika to z istoty Sieci Ethernet. Na dzień dzisiejszy ma ona topologię 10/100 BaseT dzięki zastosowaniu koncentratorów i przełącznic. Posiada on zatem fizyczną topologię gwiazdy natomiast logicznie w dalszym ciągu jest to magistrala. Oznacza to, iż ramka wysłana od hosta A do hosta B kierowana jest do wszystkich hostów w sieci (nie do końca można się z tym zgodzić ponieważ współczesne przełącznice mają bufor adresów fizycznych MAC przez co potrafią ograniczyć transmisję wyłącznie do przesyłu między nadawcą a odbiorcą, niemniej pakiety broadcast rozsyłane są wszędzie zajmując łącze i zmuszając niektórych nadawców do retransmisji w przypadku jego zajęcia). Podział sieci na ośrodki o największej wzajemnej komunikacji np. produkcji między klientami a serwerem powoduje, iż inne łącza nie są zajmowane przez pakiety kierowane niezgodnie z ich przeznaczeniem np. pakiety z produkcji nie wędrują niepotrzebnie do księgowości i vice versa.

  2. Ułatwiona lokalizacja usterek.

    Ponieważ ruch sieciowy koncentruje się w podsieciach, zwykle usterki w nich zlokalizowane powodują awarie w ramach podsieci. Łatwiej zatem lokalizować przyczynę w tejże niż być zmuszony do przeglądu całości.

  3. Zwiększenie bezpieczeństwa w zakresie nieuprawnionego dostępu oraz zatrzymanie propagacji złośliwego oprogramowania.

    Jedynym miejscem podwyższonego ryzyka jest sieć zewnętrzna (DeMilitary Zone). Tutaj relacje sieci globalnej i lokalnej są w miarę swobodne. Sieć wewnętrzna jako pozbawiona Internetu praktycznie nie podlega atakom z zewnątrz. Hosty graniczne nie są routerami, więc trasowanie przez nich pakietów danych nie będzie miało miejsca. Zdobycie nad nimi kontroli umożliwiłoby wejście do sieci wewnętrznej, ale to tylko kwestia odpowiedniego firewall’a. Istnienie "evil hostów" odpowiedzialnych za nuke-owanie adresów jest dużo łatwiejsze do wykrycia, a instalacja tego typu oprogramowania dość utrudniona. Zainteresowanych odsyłam do „A complete hacker’s handbook” (Text Dr. K 2000, Design Carlton Books Limitem 2000, Polskie wydanie MUZA S.A., Warszawa 2002).

Piotr Jedynak

Stanisław Lem powiedział:

„Z podsumowania takiej wersji rozwojowej wynika wreszcie obraz zaniku ‘rzeczywistej rzeczywistości’ jako opozycji względem ‘rzeczywistości wirtualnej’, skoro jedno staje się tym samym co drugie.”
„Znając wszakże rozmaite najeżone niepowodzeniami prehistorie technik, jakimi szczycimy się lub jakich osiągnięć się obawiamy, ośmielam się mniemać, że uporczywość wynalazcza ludzi będzie odnosić sukcesy, które aż po zupełną niepamięć zaciemnią trud myślicieli, którzy pragną się dowiedzieć i usiłują dzisiaj udowodnić to, czego z pewnością ani dowiedzieć się, ani dowieść nie można.”
„Wydaje mi się, że jednak lepiej byłoby, gdybyśmy byli w kosmosie samotni. To dlatego, ponieważ uważam za gorszy od stopnia ludzkiego sprawowania stan już nieosiągalny.”
„Jest rzeczą niewesołą obserwować poniżenia, jakich doznaje szczytnie zamyślona odkrywczość ludzka.”
„Można dodać, że nasza technosferyczna cywilizacja coraz wyraźniej podcina biosferyczną gałąź, na której siedzimy. Nawet bez wzniecania jądrowych konfliktów na wielką skalę ludzkość może doprowadzić się do samobójstwa”.
„Tezie o kosmicznej uniwersalności człowieka nie przeciwstawiałem się w moich książkach sprzed lat prawie czterdziestu, mimo że już wówczas poczęła we mnie dojrzewać koncepcja naszej lokalnej przypadkowości. Zatem obecnie wypada mi przystąpić do radykalnego rewizjonizmu antropogenetycznych założeń rozumu”.
„Konstruktorzy mają tę przewagę nad filozofami, że oprócz swoich licznych klęsk i niepowodzeń mogą wskazać na swoje sukcesy. Powyższy wywód bynajmniej nie jest diatrybą wymierzoną w filozofię. Nie wydaje mi się tylko, ażeby była ona powołana do futurologicznych prac, wykraczających poza pojęciowy horyzont epoki.”