Professional Documents
Culture Documents
Druga Parcijala Mreže11
Druga Parcijala Mreže11
*SKRIPTA*
RACUNARSKE
MREZE I
PROTOKOLI
Mrežni sloj TCP/IP modela
Internet sloj definiše oficijelni format paketa i protokol koji se naziva IP (Internet Protocol).
Zadatak internet sloja je da dostavi pakete tamo gdje im je odredište. Ključno je rutiranje
paketa, kao i izbjegavanje zagušenja.
2. Enkapsulacija: ne samo da uređaj mora imati adresu, već i PDU jedinica mrežnog
sloja mora da sadrži u zaglavlju izvorišu i odredišnu adresu. Kada primi PDU s
transportnog sloja, mrežni sloj dodaje na taj PDU svoje zaglavlje. PDU na mrežnom
sloju zove se paket. Između ostalog, zaglavlje mrežnog sloja mora sadržavati adrese
pošiljaoca i primaoca, tj. izvorišnu i odredišnu adresu. Ovako pripremljen paket se
proslijeđuje drugom sloju.
IPv4 protokol
Osnovna funkcija ovog protokola jeste da omogući prijenos korisničkih podataka preko
mreže. Tri najvažnije karakteristike IPv4 protokola su :
5. PROTOKOL – 8-bitna binarna vrijednost koja ukazuje na vrstu podataka koje paket
nosi i omogućava da protokoli na nižim slojevima prikladno upravljaju podacima sa
mreže.
6. FRAGMENT OFFSET – identificira red u kojem se postavljaju paketski fragmenti pri
obnovi.
7. VERZIJA – Verzija protokola
8. DUŽINA ZAGLAVLJA (IHL – Header Length) – veličina zaglavlja paketa
9. DUŽINA PAKETA – dužina cijelog paketa, uključujući i zaglavlje i podatke
10. IDENTIFIKACIJA – jedinstvena identifikacija fragmenata originalnog IP paketa
11. PROVJERA ZAGLAVLJA – provjera grešaka zaglavlja paketa
12. OPCIJE – pruža dodatne mogućnosti i usluge koje se rijetko kada koriste
Internet protokol definira dva osnovna elementa koji omogućavaju tvorbu sastavljenih mreža,
i to: (1) jedinstvenu jedinicu podataka koju se naziva IP paketom, i (2) jedinstven sistem
adresiranja čvorova u sastavljenoj mreži. Za IP sistem (protokol) kaže se da radi po načelu
maksimalnog nastojanja (best effort) i da je nepouzdan jer ne garantuje da će to nastojanje
završiti uspješno.
IP paket sastoji se od zaglavlja i tijela. S obzirom da zaglavlje toga paketa ima puno polja, IP
paket se prikazuje kao vertikalni niz (stup) riječi od 4 bajta, odnosno od 32 bita. IP paket je
jedan niz bitova i može se promatrati kao jedan niz bitova koji počinje s prvim lijevim bitom
prvog retka (riječi) i nastavlja se do zadnjeg bita toga retka; tom bitu slijedi prvi lijevi bit iz
drugog retka, i tako dalje, do kraja IP paketa. Paket se prenosi (kreće) počevši od prvog
lijevog bita prvog retka (riječi); nakon prvog retka slijedi drugi redak kako je to rečeno iznad,
i tako do kraja zaglavlja i do kraja cijelog paketa. Dakle, IP paket se crta kao kvadrat, ali IP
paket je niz bitova.
Zaglavlje IP paketa sastoji se od 5 riječi od po četiri bajta, što znači da je dugo 20 bajtova. Iza
tog osnovnog dijela zaglavlja može biti dodano više dodatnih upravljačkih podataka, koji
tvore opcionalni dio zaglavlja. Iza zaglavlja dolazi tijelo IP paketa koje može biti varijabilne
dužine. Opcionalni dodaci zauzimaju dio tijela paketa; ukupna dužina IP paketa može biti do
64 KB.
Sadržaj polja ToS (type of service) sadrži razinu prioriteta danog paketa, koja određuje na koji
način (s kojim prioritetom) trebaju prijenosnici procesirati (prosljeđivati) taj paket. IP
protokol radi po metodi usmjeravanja paketa, tako da se kod njega ne mogu unaprijed
definirati performanse puta, kako se to može učiniti kod sistema koji rade po metodi
uspostavljanja putova. Davanjem većeg prioriteta IP paketima nekog prijenosa može se
postići to, da prijenosnici daju tim paketima veći prioritet kod prosljeđivanja i time ostvaruju
veću propusnost za taj prijenos.
IP paketi prenose se preko raznih fizičkih mreža, koje imaju svoje specifične jedinice
podataka (okvire). Ti okviri su obično znatno kraći od maksimalne dužine IP paketa (64 KB),
tako da se sadržaji dužih IP paketa moraju dijeliti ("lomiti") u više dijelova; to se izvodi na
takav način da svaki od tih dijelova stane u tijelo jednog od okvira koji trebaju prenijeti taj IP
paket. Taj proces naziva se fragmentiranjem.
Sadržaj polja TTL (time to live) pokazuje koliko života je još ostalo tom IP paketu. Paketima
se ograničava vijek trajanja zato da paketi koji zalutaju u mreži (iz bilo kojeg razloga), ne
lutaju trajno mrežom. Kada vrijednost u polju TTL padne na nulu taj paket biva odbačen na
slijedećem prijenosniku. U početku se vrijeme trajanja paketa zadavalo u sekundama; svaki
prijenosnik umanjivao je vrijednost u polju TTL za onoliko koliko se dani paket zadržao na
tom prijenosniku. Kasnije je uvedena jednostavnija metoda ograničavanja vijeka trajanja
paketa.
Fragmentiranje paketa
Na primjer, tijelo okvira mreže Ethernet može biti dugačko najviše 1500 bajtova; to znači da
Ethernet okviri mogu prenositi IP pakete čija ukupna dužina (sa IP zaglavljem) ne prelazi
1500 bajtova. U tom kontekstu koristi se pojam maksimalna jedinica prijenosa dane mreže
(maximum transmission unit - MTU); to je dužina tijela okvira u toj mreži.
Umjesto pravljenja vrlo kratkih IP paketa na njihovom izvoru, na IP razini je definiran proces
dijeljenja (fragmentiranja) IP paketa na ulazu (vratima) u onu fizičku mrežu čiji okviri nisu
dovoljno dugi da u njihovo tijelo stane cijeli IP paket koji na svom putu treba biti prenijet
kroz tu mrežu. Domaćin može slati IP pakete one dužine koju se može prenositi u okvirima
fizičke mreže u kojoj se taj domaćin nalazi; dakle, one dužine koja je jednaka vrijednosti
MTU te mreže.
U procesu fragmentacije, iz jednog IP paketa nastaje više IP paketa. Paketi koji nastaju
fragmentacijom jednog IP paketa imaju isti broj u polju IdPaketa. Taj broj dodjeljuje paketu
njegov izvorni pošiljatelj. Polje IdPaketa veliko je 16 bitova, što omogućava zapis 216
različitih brojeva (preko 65 hiljada).
Flag-redolsijed paketa
IPv6 protokol
Najvažnija karakteristika IPv6 je da koristi 128-bitnu IP adresu, tj. propisana dužina
svake IP adrese u ovoj verziji protokola je 128 bita. Kako IPv6 koristi 128-bitnu IP
adresu, jednostavna računica pokazuje da je moguće imati ukupno 3,4·1038 različitih
adresa.
Međutim, pogrešno je reći da je dužina adrese jedina prednost koju IPv6 donosi u odnosu na
IPv4, jer je ta verzija dizajnirana da umanji ili potpuno otkloni još brojna druga tehnička
ograničenja i manjkavosti koje karakteriziraju IPv4. Dakle, IPv6 uključuje veliki broj
tehničkih poboljšanja u svojim osnovnim specifikacijama.
Nabrojat ćemo samo neka:
1. Autokonfiguriranje: IPv4 protokol omogućuje DHCP (Dynamic Host Configuration
Protocol), no ta tehnologija je opcionalna i ovisi o mrežnim administratorima hoće li
je uključiti i koristiti ili ne. IPv6 protokol omogućuje stateless host autoconfiguration
mehanizam. Specifikacija mehanizma autokonfiguriranja unutar IPv6 protokola
opisana je u RFC-2462. Protokol koji omogućuje autokonfiguriranje je ICMPv6.
2. Sigurnost: IPsec je opcionalan za IPv4 protokol i za uspostavljanje sigurne veze
nužno je pitati drugu stranu podržava li IPsec. IPv6 protokol u svojoj osnovi podržava
IPsec, te možemo pretpostaviti da se IP komunikacija može puno lakše osigurati nego
u IPv4.
3. Multicast: Osnovne specifikacije IPv6 protokola uvelike koriste multicast za
komunikaciju. Mora se napomenuti da je multicast zamijenio broadcast.
IPv6 adresa je u osnovi niz od 128 bitova, dakle 128 znakova 0 ili 1. Uobičajeno je da se
ti binarni brojevi iz razloga jednostavnosti zapisuju kao osam grupa od po četiri
heksadecimalne cifre odvojene dvotočkama.
Zaglavlje IPv6 je, u osnovi, pojednostavljeno zaglavlje verzije četiri ovog protokola.
Zaglavlje IPv6 ima fiksnu dužinu od 40 okteta, od čega čak 32 okteta otpada na adrese. Osim
toga, minimalno IPv6 zaglavlje ima samo sedam polja, za razliku od trinaest polja zaglavlja
verzije 4.
Polja IPv6 zaglavlja su: polje verzije protokola (Version), polje tipa prometa (TrafficClass),
polje oznake toka (FlowLabel), polje dužine korisnog tereta (PayloadLen), polje sljedećeg
zaglavlja (NextHeader), polje ograničenja broja skokova (HopLimit) i polja odredišne i
izvorišne adrese (SourceAddress i DestinationAddress).
Fragmentiranje može biti potrebno (i izvedeno) na bilo kojem čvoru, ali ono ne mora biti
potrebno. Zato su u IPv6, zapisi podataka o fragmentiranju (ako ga je bilo) prebačeni u
dodatne ili opcionalne naredbe (redove).
Polje Verzija sadrži verziju IPa u koju spada taj paket podataka; kod IPv4 u to polje upisuje se
vrijednost 4, a kod IPv6 u to polje upisuje se vrijednost 6.
Polja KlasaProm (TrafficClass) i OznakaToka (FlowLabel) odnose se na kvalitetu usluge
prijenosa; u IPv4 je tu ulogu imalo polje ToS (Type of Service). Ta polja trebaju omogućiti da
se nekom prijenosu podataka osigura određene performanse
BrUsmj sadrži broj koji kazuje kroz koliko još usmjerivača smije proći taj paket prije nego
zastari. Svaki usmjerivač smanjuje vrijednost u tom polju za jedan u svakom paketu koji
prođe kroz njega; kad vrijednost u polju BrUsmj nekog paketa padne na nulu, taj paket je
zastario (na putu) i biva odbačen. Polje BrUsmj ima istu ulogu kao polje TTL (time to live) u
IPv4.
Osnovni dio zaglavlja paketa u IPv6 dugačak je ukupno 40 bajtova, od čega 32 bajta čine
adrese. Zaglavlje paketa kod IPv4 dugačko je 20 bajtova; adrese su ovdje četiri puta kraće, što
daje umanjenje od 2 puta po 12 bajtova; pritom, zaglavlje paketa u IPv4 sadrži 4 bajta (jednu
riječ) za fragmentiranje. Dakle, osnovno zaglavlje u IPv6 ima 24 bajta više nego IPv4 u
adresama i 4 bajta manje zato što ne sadrži podatke o fragmentaciji, što ukupno daje 20
bajtova više. Inače, u IPv6 podaci o fragmentaciji sastoje se od dvije riječi (8 bajtova) koje
čine jednu naredbu u dodatnom (opcionalnom) zaglavlju; kod IPv4, redak s podacima o
fragmentaciji dugačak je jednu riječ (4 bajta) i dio je osnovnog (obaveznog) zaglavlja
Tokom enkapsulacije, segment s trećeg sloja dobija mrežno zaglavlje. Ukoliko je odredišna
adresa host unutar iste mreže onda ne postoji potreba za ruterom i paket se jednostavno
dostavlja putem korištenog prenosnog media. U drugom slučaju, proslijeđuje se do rutera,
odnosno do defaultnog gatewaya. Na svakom ruteru se donosi odluka o proslijeđivanju na
osnovu informacija sadržanih u zaglavlju. Na osnovu adrese ruter odlučuje putem kojeg
interfejsa će proslijediti paket. Ukoliko je odredišna mreža direktno vezana na ruter, on će
paket proslijediti odgovarajućem hostu kome je paket namjenjen.
Usmjeravanje ili rutiranje u osnovi je svake podatkovne mreže. Ruteri su uređaji koji su
odgovorni za prijenos paketa iz jedne mreže u drugu. O udaljenim mrežama, ruteri uče na
jedan od sljedeća dva načina:
1. dinamički - koristeći protokole usmjeravanja,
2. manualno - pomoću statičkih ruta.
Protokoli usmjeravanja ili ruting protokoli, koriste se kako bi olakšali razmjenu informacija o
usmjeravanju - rutiranju, između usmjerivača - rutera.
Svrha dinamičkih protokola usmjeravanja uključuje:
Kod classful usmjeravanja, svaka IP adresa zahtijeva svoj vlastiti unos u ruting tabeli.
Classless Inter-Domain Routing (CIDR) uveden je kako bi spriječio da ruting tabele postanu
prevelike. Kod classless usmjeravanja, niz adresa se može kombinovati preko jednog unosa,
što potencijalno štedi ogromne količine prostora u ruting tabelama. Treba napomenuti da su
classful protokoli usmjeravanja, RIPv1 i IGRP. Ovi protokoli usmjeravanja razvojem su
evoluirali u classless protokole usmjeravanja, RIPv2 i EIGRP, respektivno.
Internet je baziran na konceptu autonomnih sistema. Prema tome, dvije su vrste protokola
neophodne:
Sloj pristupa mediju TCP/IP modela uključuje LAN i WAN protokole kao i sve detalje koji su
kod OSI referentnog modela uključeni u fizički i podatkovni sloj. Fizički sloj se sastoji od
hardvera i softvera koji zajedno ostvaruju fizički prijenos sadržaja, nizova bitova, signala
između čvorova. Za prijenos podataka potrebni su i nosioci podataka koji povezuju čvorove
odnosno, njihove mrežne kartice.
Nosioci podataka su signali koji se prenose kroz različite medije. Dakle, funkcija 802.2 LLC
(Logical Link Control) sloja je da omogući međusobni rad različitih varijanti mreže 802 i
mrežom sloju uvijek prosljeđuje podatke istog formata. MAC podsloj upravlja načinom
dodjele kanala, tj. određuje redoslijed emitiranja i ralikuje se kod različitih mreža (npr.
Ethernet, Wi-Fi).
TCP/IP model (na kojem je bazirana i Internet mreža) ne opisuje detaljno fizički sloj nego
čvor mreže predaje svoje IP pakete fizičkom sloju ispod sebe koji prenosi svaki paket na
susjedni čvor na temelju IP adrese. Dakle, najniža razina TCP/IP arhitekture, obavlja funkcije
prve dvije razine OSI modela i odgovorna je za realizaciju komunikacije između uređaja u
mreži.
Kombinacija prenosa po data link i fizičkom sloju se obavlja u hardveru uz pomoć pristupnih
metoda kao što su CSMA/CD (Carrier Sensed Multiple Access with Collision Detection) iz
Ethernet protokola. Ethernet funkcioniše na pristupnom nivou mreže, tako što Ethernet
elektronika radi na fizičkom sloju, a CSMA/CD MAC (Medium Access Control) metod po
data link sloju.
Lokalna mreža – LAN (Local Area Network) međusobno povezuje različite krajnje uređaje
(DTE, Data Terminal Equipment) unutar ograničenog prostora. Za krajnji uređaj (računar,
laptop, radna stanica i sl.) obično se koristi naziv stanica. Lokalna mreža obično je u
vlasništvu jedne organizacije i uglavnom (ne isključivo) se nalazi smještena unutar jedne
zgrade ili unutar bliske skupine zgrada.
Definirane su tri vrste usluga koje podsloj LLC pruža višim protokolnim slojevima: nespojna
usluga bez potvrde primitka okvira, spojna usluga i nespojna usluga s potvrdom primitka
okvira.
Sukladno navedenim vrstama usluga koje podsloj LLC pruža višem protokolnom sloju,
definirana su tri načina rada (operation) protokola tog podsloja:
SAP
Na podsloju LLC se prilikom slanja okvira u lokalnu mrežu odvija multipleksiranje paketa
primljenih s mrežnog sloja, na zajednički prijenosni medij. Obratno, prilikom prijema okvira
iz lokalne mreže podsloj LLC demultipleksira pakete i predaje ih mrežnom sloju. Koncept
tačke pristupa usluzi protokolnog sloja (Service Access Point – SAP) omogućuje da nad
jednim podslojem LLC djeluje više različitih protokola mrežnog sloja. Svakom protokolu
mrežnog sloja pridružen je specifičan SAP. Na taj se način svi paketi jednog mrežnog
protokola prenose LAN-om zasebnim logičkim linkom. Logički link u IEEE 802 LAN-u
određen je odredišnim SAPom (Destination SAP – DSAP) i izvorišnim SAP-om (Source
SAP – SSAP).
SNAP
Preostalih šest bita SAP-a (ne računajući G/I i G/L) nije dovoljno kako bi se svim
organizacijama omogućilo da na jednoznačan način odrede svoje protokole koji koriste
uslugu podsloja LLC. IEEE je dodjeljivao SAP-ove samo onim protokolima koje su
dizajnirala standardizacijska tijela odobrena od strane IEEE-a (npr. SAP protokola ISO 8473
Internet jednak je 11111110). Kako bi riješio taj problem, IEEE je definirao protokol SNAP
(Subnetwork Access Protocol). SNAP omogućuje transfer podatkovnih jedinica protokola
koji se ne podvrgavaju međunarodnim standardima. Za potrebe SNAP-a rezerviran je
globalni SAP čiji je binarni iznos jednak 10101010 (tzv. SNAP SAP). Struktura SNAP PDU-
a prikazana je na slici (Martin [1994]).
sadrži upravljačku informaciju koju podsloj LLC koristi za upravljanje logičkim linkom.
Veličina upravljačkog polja iznosi 8 ili 16 bita. S obzirom na format upravljačkog polja (to je
polje koje sadrži upravljačku informaciju) postoje tri vrste LLC PDU-a:
PDU Prilikom slanja korisničkih informacija lokalnom mrežom, procedura kreiranja MAC
PDU-a u krajnjem uređaju je opisana u nastavku. Prvo se na višem protokolnom sloju (sloj
iznad LLC-a) kreiraju paketi (npr. IP paket) koje viši sloj predaje podsloju LLC. Paket na
podsloju LLC postaje LLC SDU, a podsloj LLC dodaje na LLC SDU vlastitu protokolnu
informaciju (DSAP, SSAP i upravljačku informaciju). Na taj način nastaje LLC PDU. LLC
predaje kreirani PDU podsloju MAC.
Podsloj MAC preuzima LLC PDU i dodaje mu vlastitu protokolnu informaciju. Na taj način
je kreiran MAC PDU čija je generička struktura prikazana na slici ispod. Za MAC PDU često
se koristi naziv MAC okvir (MAC frame) ili skraćeno okvir.
Problem višestrukog pristupa mediju (multiple access) prisutan je u svim mrežama gdje više
stanica istovremeno pristupa zajedničkom prijenosnom mediju. U svom izvornom obliku sve
su lokalne mreže koristile arhitekturu dijeljenog medija. Upravljanje pristupom prijenosnom
mediju u LANovima provodi se uglavnom centralizirano ili distribuirano, tj. decentralizirano.
Pri centraliziranom načinu upravljanja jedan uređaj u mreži ima ulogu upravljača (controler)
koji drugim krajnjim uređajima dodjeljuje pravo pristupa mreži. Krajnji uređaj može slati
okvire tek nakon što od upravljača dobije dozvolu za slanje. Nasuprot tome, pri korištenju
distribuirane upravljačke sheme sve stanice zajednički obavljaju funkciju upravljanja
pristupom mediju (u mreži nema upravljača). U lokalnim mrežama uglavnom se koristi
decentralizirano upravljanje pristupom mediju. Prije pojave lokalnih mreža metode
višestrukog pristupa mediju razvijane su u dva pravca: prozivanje (polling) i slučajni pristup
(random access).
Domena kolizije se definira kao segment mreže u kojem će se dogoditi kolizija ako dva čvora
istovremeno šalju okvir. Switch je uređaj koji može da razdvoji domene kolizije.
Domena prostiranja se definira kao logički segment mreže u kojem čvorovi mogu
komunicirati „razašiljanjem“. Ruteri razdvajaju domene prostiranja.
1. oba uređaja koji šalju istovremeno nastavljaju slanje okvira dok se ne dostigne minimalno
vrijeme okvira. ("jam signal" koji omogućava da svi uređaji na tom mediju detektiraju
koliziju),
2. poveća se brojač retransmisije,
3. provjerava se da li je dostignut maksimalan broj pokušaja slanja okvira - ako jest, prekida
se pokušaj slanja,
4. na osnovu broja kolizija i nekog slučajnog broja računa se interval čekanja,
5. ulazi se u glavnu proceduru, korak 1.
CSMA/CA Carrier Sense Multiple Access with Collision Avoidance
Za prenos kodiranog signala kroz kabl mogu se koristiti dvije tehnike: prenos u osnovnom
opsegu (eng. baseband transmission) i prenos u širokom opsegu (eng. broadband
transmission).
Termin propusni opseg (eng. bandwidth) se odnosi na brzinu prenosa u sistemu digitalnih
komunikacija koja se izražava u bitovima po sekundi (bps) odnosno na količinu informacija i
podataka koje je moguće prenijeti preko računarske mreže u određenom vremenskom
intervalu. Sistemi koji rade u osnovnom opsegu prenose digitalne signale preko jedne
frekvencije. Kod ove vrste prenosa se čitav komunikacijski kapacitet kanala koristi za prenos
samo jednog signala. Širokopojasni sistemi rade na principu analognih signala i opsega
frekvencija. Kod analognog prenosa signali su neprekidni i nisu pojedinačni. Signali kroz
fizički medijum teku u obliku elektromagnetnih ili optičkih talasa. Prenos u širokom opsegu
je jednosmeran po jednom kanalu.
U sljedećem nivou prenosa podataka, koji se naziva poludupleksni prenos (eng. half-duplex
transmission), podaci mogu da se šalju u oba smjera, ali ne istovremeno. Primjer ovakve
komunikacije su kratkotalasne radio stanice.
Najefikasniji metod prenosa podataka je korištenje punog dupleksnog prenosa (eng. full-
duplex transmission). U ovom slučaju, podaci mogu istovremeno da se prenose u oba smera,
a dobar primer ove vrste predstavljaju kablovske veze koje mogu da se koriste za prijem TV
kanala, telefonske veze i veze sa Internetom.
Prema domeni (neovisna varijabla, vrijeme t), signali mogu biti kontinuirani (tranzijentni) i
deterministički (određeni).
Za determinističke (određene) signale se može utvrditi kakvi će biti u budućnosti, tj. može
im se odrediti vrijednost u bilo kojem trenutku.
Signali kojima su karakteristične veličine nepromjenjive nazivaju se stacionarnim, dok su
ostali nestacionarni signali.
Za opisivanje načina na koji se podatak kodira u signal koristi se termin “line coding”.
Kodiranje je tehnika konvertovanja niza bita podataka u predefinisani kod. Kodovi su gupe
bita koje formiraju shemu prepoznatljivu i pošiljaocu i primaocu. Ovo omogućava
razlikovanje podatkovnih od kontrolnih bita i bolju detekciju grešaka na mediju. Kodiranje se
koristi i za definisanje početka i kraja frejma.
Kada prvi računar u Token Ring mreži uspostavi vezu, mreža generiše token. Token je
unaprijed određena formacija bitova (tok podataka) koja omogućava računarima da pošalju
podatke kroz mrežne kablove. Token kruži kroz mrežu sve dok neki računar ne signalizira
namjeru slanja podataka. Taj računar tada preuzima kontrolu nad tokenom. Nijedan računar
ne može da šalje podatke bez tokena - dok jedan računar posjeduje token, ostali ne mogu da
prenose podatke. Kada računar preuzme token, on počinje da šalje okvire podataka kroz
mrežu (slika dole). Okviri se kreću kroz mrežu sve dok ne stignu do računara čija se adresa
poklapa sa odredišnom adresom okvira. Taj računar kopira okvir u svoj prijemni bafer, a
zatim u polju za status okvira upisuje da su podaci primljeni i kopirani.
Zatim, okvir nastavlja svoj put kroz prsten do računara koji ga je poslao, kome donosi
podatke o uspjehu prenosa podataka. Taj računar tada uklanja okvir i šalje novi slobodan
token nazad u mrežu. Kroz mrežu može da kruži samo jedan token, i to samo u jednom
smjeru. Proslijeđivanje tokena se odvija unaprijed određenim redoslijedom, tako da nije
moguće da neki računar sebi prokrči put do mreže, kao što je to moguće u CSMA/CD
okruženju.Proces nadgledanja mreže se naziva signaliziranje upozorenja (beaconing).
Kada se novi računar priključuje u mrežu, sistem Token Ring ga inicijalizuje tako da on može
da postane dio prstena. U tu inicijalizaciju spada:
1. provjeravanje dupliranih adresa,
2. obavještavanje ostalih računara o novom računaru u mreži.
Frame Realy
Frame Relay je visoko djelotvorni WAN protokol koji koristi fizički i podatkovni sloj prema
referentnom OSI modelu i fizicki sloj prema TCP/IP protokolu. Većina Frame Relay
sobraćaja je na bazi TCP/IP protokola koji posjeduje sopstveni mehanizam korekcije grešaka.
Omogućava najdjelotvorniji način prijenosa podataka na veliku daljinu po mrežama dobro
zaštićenim od greški. Najpopularniji je i najfleksibilniji protokol za povezivanje poslovnih
lokacija ili za prijenos podataka iz izdvojenih ureda na jednu, centralnu lokaciju.
Kao i svi drugi IEEE 802 standardi, 802.11 specifikacija obuhvaća način rada fizičkog
sloja i Media Access Control (MAC) podsloja komunikacije.
ŽIČANO BEŽIČNO
LAN IEEE 802.3 (Ethernet) IEEE 802.11 (Wi-Fi)
PAN IEEE 1394 (Firewire), IEEE 802.15
USB
MAN Širokopojasni Internet IEEE 802.16 (WiMAX)
(DSL, Cable)
U srži ideje bežičnih lokalnih mreža je korištenje nelicenciranih frekvencija za rad, tačnije
rečeno - rad u ISM spektru. Nelicencirani radio spektar pod imenom Industrial, Scientific and
Medical (ISM) je u cijelom svijetu dozvoljen za slobodno korištenje. lokalne mreže koriste
ISM spektar na dva frekvencijska opsega - 2.4 GHz i 5 GHz.
802.11 koristi isti 802.2 LLC kao i drugi 802 LAN-ovi.Osnovni pristupni mehanizam na
MAC sloju za 802.11 je CSMA/CA (Carrier Sense Multiple Access Collision Avoidance) koji
je vrlo sličan CSMA/CD (Carrier Sense Multiple Access Collision Detect mehanizmu)
zastupljenom u 802.3 (Ethernet) standardu.
Arhitekturu WiFi (Wireless Fidelity) mreža možemo opisati kao skup međusobno povezanih
ćelija, a sastoji se od sljedećeg: pristupne tačke, bežičnog medija, distribucijskog sistema DS
(Distribution System), osnovnog skupa usluga – BSS (Basic Service Set), proširenog skupa
usluga - ESS (Extended Service Set) i klijenata. Zajedničko funkcioniranje svih ovih
elemenata pruža bežičnim uređajima mogućnost mobilnosti unutar WLAN-a i korištenje
raznih skupova usluga.
Pasivnu opremu sačinjava sistemi koji služe za smještaj i povezivanje aktivne opreme.
Aktivnu komunikacijsku opremu sačinjavaju uređaju koji koriste izvor električne energije i
koji omogućuju aktivno upravljanje mrežnim saobraćajem.
Komunikacijski mediji Za prenos se koriste različiti prenosni medijii, tj. fizički put kojim
informacije – podac (zvuk, grafika, tekst, video) putuju od pošiljaoca do odredišta. Za
predstavljanje ovih podataka koriste se signali a oni se prenose u formi elektromagnetne ili
svjetlosne (u slučaju optičkih sistema) energije. Slika. Prenosni medij Komunikacione veze
se ostvaruju na razne načine i upotrebom raznih medija kao što su bakarne parice, koaksijalni
kablovi, optički kablovi, radio talasi, itd.
Tri fizičke pojave koje treba pomenuti u vezi sa prenosom električnog signala kroz kablove
su:
Parice su relativno jeftine, imaju široku primjenu zbog ranije izgrađene infrastrukture, lahke
su za rukovanje. Međutim, parice imaju i dva važna nedostatka:
Ovaj tip kabla se sastoji od dvije neovisno izolirane žice koje su upredene jedna oko druge.
Jedna žica nosi signal dok je druga uzemljena i apsorbuje interferenciju signala.
Kod STP kabla postoji i „dodatni oklop“ koji je uglavnom od aluminijske folije. U telefonskoj
mreži, višestruko izolirane bakrene parice su spojene zajedno u kabal koji se zove kablovski
snop.
Susjedne parice u snopu koje odašilju ili primaju informacije u istom opsegu frekvencija
mogu uzrokovati značajne smetnje i izobličenja signala. Rezultat je drugačiji talasni oblik
signala od originalnog.
STP kabal ima metalni omotač za svaki par izolianih provodnika. Ovaj omotač sprječava
prodiranje elektormagnetnog šuma i zbog načina proizvodnje ovaj kabl je skuplji od UTP
kabla ali je manje osjetljiv na šum. Kablovi sa upredenim paricama za povezivanje sa
računarima koriste RJ-45 konektore. Oni podsjećaju na telefonske RJ-11 konektore, ali za
razliku od njih malo su veći i imaju 8 provodnika (RJ11 imaju 4 provodnika). Standard
određuje koja žica se povezuje na koji pin.
Koaksijalni kabal
Koaksijalni kabal može da prenese mnogo veću količinu podataka nego parice. Iz tih razloga,
najčešće se koristi za brz prenos velike količine podataka, kao i i za prenos televizijskih
signala (za kablovsku televiziju). Koaksijalni kabal je višestruko skuplji od parica, teži je za
rad i nefleksibilan. Zbog svoje nefleksibilnosti uvećeva troškove instalacije.
Optički kablovi
Optički kablovi sadrže vlakna koja prenose puls svjetlosti koji emituje laser. Optički kabal
sastoji se od optičkog jezgra (vlakna), omotača jezgra i zaštitnog omotača kabla.Prostiranje
svjetlosti kroz optička vlakna zasnovano je na zakonima geometrijske optike: zakonu
refleksije svjetlosti i zakonu refrakcije svjetlosti.
Ethernet kabal je jednostavan kabal spojen sa RJ45 konektorima na oba kraja. Postoje dvije
vrste kabla: crossover i straight-through kabal. Crossover kabal je vrsta Ethernet kabla koji se
koristi za direktno povezivanje više računara. On spaja dva uređaja iste vrste povezanim
asimetrično modificiranim unakrsnim kablom. Za izradu ovog kabla koristi se UTP
(Unschielded Twisted Pair Cable) koji ima 8 žica savijenih u 4 parice. Svaka žica ima svoju
određenu boju koje su u paru. Koriste se RJ-45 konektori. Ethernet crossover kabal služi za
spajanje dva računara (sa mrežnim karticama) ili dva HUB uređaja u stack sa CAT-5
kategorijom kabla. Kada se na raspolaganju imaju npr. HUB uređaji sa malim brojem portova,
onda se oni mogu složiti u tzv. Stack sa većim brojem portova koristeći crossover kablove.
Straight-through ili patch kabal se koristi za spajanje interfejsa glavnog računara iz mreže
regulatora (računar ili sličan uređaj) na mrežni preklopnik ili usmjerivač (switch, hub ili
router)
Tipična lokalna bežična mreža funkcioniše praktično isto kao i odgovarajuća mreža sa
kablovima, sa tom razlikom što su računari opremljeni bežičnim mrežnim adapterima sa
primopredajnicima.
Ove bežične mreže koriste male zidne primopredajnike preko kojih se uspostavlja veza sa
kablovskim dijelom mreže. Primopredajnici uspostavljaju radio kontakt sa prenosivim
mrežnim uređajima. Treba imati u vidu da ovo nije bežična lokalna mreža u pravom smislu
riječi zato što u sebi ima standardni LAN koji je povezan kablovima.
BNC označava tip konektora koji se koristi kod Bus mrežne topologije. Postoje dvije
varijante: Insercioni konektor (barell connector) i T – konektor. Osim toga postoji više
varijanti konketora gledano prema dimenzijama. T-konektor služi za spajanje mrežne kartice
na bus kabal, a insercioni konektor služi za spajanje dva kabla (npr. spajanje dva bus kabla).
RJ-11 (Registered Jack 11) se koristi u telefonskim instalacija za prenos glasa i kod
modemskih instalacija prenos podataka putem javne komutirane telefonske mreže (PSTN).
RJ-45 (Registered Jack 45) se koristi kod instalacija za prenos podataka u računarskim
mrežama za terminaciju UTP kablova i njihovo spajanje na HUB/SWITCH ili mrežnu karticu.
Predstavlja fizički interfejs za prenos električnih impulsa u LAN mreži.
Interfejsi računara
Mrežni adapteri Mrežni adapteri, koji se često skraćeno označavaju i sa NIC (Network
Interface Card), imaju ulogu fizičke veze između kablova i računara. Oni se instaliraju u
slotove za proširenje svakog računara i servera u mreži. Kada se adapter instalira, u njega se
priključuje mrežni kabl i na taj način se ostvaruje fizička veza između računara i mrežnog
kabla.
Modemi
Modem je uređaj koji omogućuje računarima da komuniciraju preko telefonske linije. Kada su
računari odvojeni toliko da ne mogu da se spoje standardnim računarskim kablom, modem je
taj koji omogućava komunikaciju između njih.
Strukturno kabliranje
Vertikalno kabliranje (okosnica, kičma zgrade) vrši povezivanje spratnih razdjelnika (FD) i
razdjelnika zgrade (BD). U vertikalnom razvodu u zavisnosti od aplikacije razdvojeni su
kablovski sistemi.
Horizontalno kabliranje se odnosi na dio kablovskog sistema između spratnog switca (FD) i
zidne utičnice (D). Između switca i zidne utičnice razvlači se ili bakarni parični kabl
(kategorije 5, 5E, 6) ili optički kabl. Za bakarne kablove, i switch i zidna utičnica koriste RJ
45 konektore, dok se za optičke kablove koriste ST konektori. Maksimalna dužina kablova
između spratnog switcha i zidnih utičnica ne smije da pređe 100m. Horizontalno kabliranje
obuhvata najveći broj kablova u cjelom kablovskom sistemu. Horizontali kablovski sistem,
ukoliko je dobro dimenzionisan može se, za sve primjene, koristiti u dužem vremenskom
periodu.
Aktivna mrežna oprema
Aktivnu komunikacijsku opremu sačinjavaju uređaju koji koriste izvor električne energije i
koji omogućuju aktivno upravljanje mrežnim saobraćajem, a zajednička karakteristika im je
značajka da imaju procesor i memoriju. HUB Hub je uređajpomoću kojeg se spajaju radne
stanice (računari) u mreži, tako da su grupisane u domenu (eng. domain) koja se zove mrežni
segment.
napojna jedinica
priključni portovi
jedinica za obradu i pojačanje signala sa portova.
Hub radi kao i uređaj koji se zove repeater, s tim da pojačani signal emituje na sve portove.
Iz ovoga se može zaključiti da je hub djeljeni uređaj i da svi računari koji su spojeni na hub
dijele maksimalnu propusnost. To znači da što je više računara spojeno na hub, propusnost
proporcionalno opada jer se generiše više podataka koje je potrebno prenijeti mrežom.
Ethernet ima specifična ograničenja za broj hub-ova koje može da ima jedan mrežni segment.
Vrlo je važno poznavati ta ograničenja, tako da mreža može da radi bez problema. Za
kaskadno vezivanje Hubova vrijedi pravilo 5-4-3. Kaskadno povezati hubove znači spojiti
određene portove na njima pomoću crossover kabla i spojiti ih u hijerarhijsku strukturu tipa
drvo. Na najvišem nivou je Master Hub a na nižim nivoima se nalaze Slave hubovi.
Maksimalan broj uređaja u ovoj hijerarhijskoj organizaciji je 128.
Repeater
Pri prostiranju kroz medij signali slabe i izobličavaju se. Ako je vod dovoljno dug, zbog
slabljenja će signal postati neprepoznatljiv i neupotrebljiv. Ripiter (eng. repeater) je uređaj
koji regeneriše i sinhronizuje signal i time omogućava njegov prijenos na veće razdaljine i
rješava problem ograničenja za maksimalnu dužinu kabla ili udaljenost kod wireless mreža.
Ima 2 porta i signal koji primi na jednom portu prenosi na drugi port.
Ripiter radi u fizičkom sloju OSI referentnog modela i regeneriše (obnavlja) mrežne signale
pri ponovnom slanju ka drugim segmentima. Na slici je prikazano kako ripiter regenerišu
slabe signale.
Repeater preuzima oslabljen signal iz jednog segmenta, regeneriše ga i proslijeđuje sljedećem
segmentu. Da bi repeater proslijedio podatke od jednog ka sljedećem segmentu mreže, na
svakom od njih paketi i protokoli za upravljanje logičkom linijom - Logical Link Control
(LLC) moraju da budu isti. Na primjer, repeater ne može da ostvari komunikaciju između
802.3 (Ethernet) lokalne mreže i 802.5 lokalne mreže (Token Ring).
Repeater-i šalju svaki bit podataka iz jednog na drugi segment voda, čak i kada se podaci
sastoje od pogrešno složenih paketa ili paketa koji nisu namijenjeni da se koriste u mreži.
Ovo znači da problem sa jednim segmentom remeti i sve ostale. Repetitori ne rade kao filteri
koji sprečavaju protok problema u vezi sa saobraćajem.
Bridge uređaj
Bridge je uređaj koji funkcioniše na sloju linka podataka (drugi sloj) OSI referentnog modela.
napojne jedinice,
ulaznog i izlaznog porta,
elektronike za obradu i memorisanje podataka sa mreže.
Sve prispjele pakete na jedan port, bridge čuva u svojoj memoriji i kad se ukaže potreba
proslijeđuje ih na drugi port. Dakle, bridge je uređaj tipa »store-and-forward«. Za sve
prispjele pakete podataka, bridge ispituje informacije bitne za sloj linka podataka u paketu. Sa
ovakvim principom rada, bridge je vrlo efikasan uređaj za proslijeđivanje saobraćaja u mreži.
Transparentni bridge uređaj - sam naziv govori da je u ovom načinu upotrebe uređaj
transparentan za krajnje računare. Transparetni bridge pamti MAC adrese računara u tabeli
MAC adresa i prema tome određuje kako da proslijedi pristigle pakete sa mreže.
Source route bridge se koristi kod token-ring mreža i ima ulogu povezivanja token ring
segmenta. Ovakvi bridge uređaji su slabo zastupljeni. Udaljeni bridge uređaji rade u paru i
spajaju dva udaljena mrežna segmenta.
Most može i da podijeli mrežu kako bi se izdvojio saobraćaj ili problem. Na primjer, ako
obim saobraćaja sa jednog ili dva računara ili jednog odjeljenja preplavi mrežu sa podacima i
uspori cijelu operaciju, most može da izdvoji te računare ili to odeljenje.
produženje segmenta,
podršku povećanog broja računara na mreži,
„odgušenje“ uskih grla u saobraćaju koja su posljedica prekomijernog broja pridodatih
računara,
dijeljenje preopterećene mreže u dijve odvojene mreže, čime se smanjuje obim saobraćaja
na svakom od segmenta, a povećava efikasnost svake od mreža,
povezivanje različitih fizičkih medija, npr. upredene parice i Ethernet koaksijalnog kabla.
Način rada
Zbog toga što mostovi rade u sloju veze OSI modela, njima su nedostupne sve informacije sa
viših nivoa OSI modela. Ne bave se razlikovanjem jednog protokola od drugog, već ih
jednostavno proslijeđuju duž mreže. Svi protokoli prolaze kroz most, a na svakom računaru je
da odredi koje od njih prepoznaje. Sloj veze ima dva podsloja: podsloj za upravljanje
logičkom vezom - Logical Link Control (LLC) i podsloj za upravljanje pristupom mediju -
Media Access Control (MAC). Mostovi rade u MAC podsloju i zato se ponekad za njih kaže
da su mostovi MAC podsloja.
Switch
Switch funkcionira na sloju podataka OSI referentnog modela kao i bridge (postoje i switch
uređaji koji rade na trećem sloju) i switch se može posmatrati kao multiportni bridge. Dok je
bridge namjenjen za povezivanje i proslijeđivanje (eng. forwarding) saobraćaja između
segmenata mreže, switch to čini isto ali između svojih portova. Jedina razlika između switch-a
i bridge-a je u tome što su kod bridge uređaja sve funkcionalnosti izvedene software-ski, dok
je kod switch uređaja to izvedeno u hardware-u. Jasno je da switch ima bolje performanse od
bridge-a.
Koristi logiku mrežnog brigde uređaja ali omogućava povezivanje računara u zvijezda
topologiju, dok brdge služi za spajanje samo dva segmenta u mreži. Koristi se kao zamjena za
hub. Za switch kažemo da je inteligetni hub.
Router
Router (skretnica, usmjerivač) je uređaj koji funkcioniše na mrežnom sloju OSI referentnog
modela. Router ispituje informacije iz zaglavlja paketa koji su bitni za 3 sloj modela, i
proslijeđuje pakete prema određenim pravilima. Pošto mrežni sloj podataka sadrži mnogo više
overhead podataka u zaglavlju paketa, to router-u treba više vremena i resursa za obradu i
klasifikaciju prispjelih paketa.
Router je vrlo bitna komponenta u IP mrežama, jer spaja odvojene IP mrežne segmente.
Svi hostovi u mreži imaju jedinstveni identifikator koji se zove IP adresa.
IP adresa se sastoji od dva dijela. Prvi dio je adresa mreže (eng. network number) u kojoj se
nalazi računar, a drugi dio je adresa računara na toj mreži (eng. host number). Za hostove koji
se nalaze na različitim mrežnim adresama, kažemo da su na različitim subnet-ima
(podmrežama). Za omogućavanje komunikacije između podmreža potreban je router. Dakle, u
okruženjima koja se sastoje od više mrežnih segmenata sa različitim protokolima i
arhitekturama, mostovi možda nisu dovoljni da omoguće brzu komunikaciju između svih
segmenata.
Mrežama ovakve složenosti potreban je uređaj koji treba ne samo da zna adrese svakog
segmenta, već i da odredi najbolju putanju za slanje podataka i opšti saobraćaj izdvoji na
lokalni segment. Klako rade na mrežnom sloju, ruteri mogu da prebace pakete i upute duž
više mreža. Oni to čine tako što između zasebnih mreža razmjenjuju posebne informacije
vezane za protokol koji rutiraju. Iz paketa čitaju složene informacije o adresiranju na mreži ,
pošto rade na višem sloju OSI modela nego mostovi, imaju pristup širem spektru informacija.
Ruteri održavaju sopstvene tabele o određivanju putanje, koje se obično sastoje o mrežnih
adresa i, ako to arhitektura mreže zahtjeva, čuvaju se i adrese matičnih računara. Da bi se
odredila odredišna adresa dolazećih podataka, tabela za određivanje putanje sadrži:
Gateway
Mrežni prolazi spajaju međusobno heterogene mreže, npr. mogu da povežu Microsoftov
Windows NT Server sa arhitekturom mrežnih sistema (SNA) IBM-a.
Osnovni termini vezani za sigurnost
Autorizacija predstavlja pojam koji se odnosi na ovlaštenja (dozvole) koje ima korisnik koji je
autentifikovan.
Operativne mjere zaštite odnose se na način obavljanja poslovnih funkcija u organizaciji. One
obuhvaćaju računare, mreže i komunikacijske sisteme, ali i rad sa dokumentima
Upravljanje i politika (eng. management and policies) osiguravaju osnovne upute, pravila i
procedure za implementaciju zaštićenog okruženja.
Programi za zastitu
Postoji mnoštvo zaštitnih alata (anti-malware), skenera koji su razvijeni da štite računar od
pojedinih tipova malicioznih aplikacija. Većina tih alata usmjerena je na specifičnu vrstu
prijetnje. Na primjer, program za detekciju virusa (anti-virus) služi za zaštitu od virusa,
programi za detekciju špijunskog koda (anti-spyware) programi štite od špijunskog (spyware)
i reklamnog (adware) koda, programi za detekciju trojanaca (anti-Trojan) štite od trojanskih
konja itd. Nakon otkrivanja nametnika na računaru, odgovarajući zaštitni program premješta
zaraženu datoteku u karantenu – područje za dezinfekciju i uklanjanje, čime se sprečava da
maliciozni kod uspostavi kontakt s drugim programima ili inficira druge datoteke.
Nijedan zaštitni program nije uvijek sto posto učinkovit. Moguće je da nekad neće moći
detektirati ili otkloniti neki specifični maliciozni program i potrebno se poslužiti drugim
sredstvima. No ipak, zaštita je pouzdana dok su god zaštitni programi ažurirani najnovijim
definicijama
Zastita router-a i switch-a
Ruteri kontrolišu pristup LAN-a prema Internetu i samim tim su prva meta hakera.
zabrana pristupa telnet protokolom na ruter - uvek treba koristiti kriptovan protokole za
pristup, napr. SSH (Secure SHell),
isključivanje SMTP protokola na ruteru,
isključivanje svih nepotrebnih servisa na ruteru - routing protokola koji se ne koriste, web
pristupa i sl.,
kontrola pristupa ruteru - korišćenjem ACL lista ili TACACS-a,
pristup ruteru sa odgovarajućim stepenom privilegija - ukoliko nije neophodan pristup u
administratorskom modu, recimo u slučaju testiranja konekcije, uređaju treba pristupati
kao korisnik sa ograničenim privilegijama,
autentifikacija i provjera update-ova.
Većina postupaka koji su se odnosili na zaštitu rutera odnose se i na zaštitu switch-eva, a osim
toga standardno se preduzimaju i dodatne mere zaštite:
Firewall je software koji se instalira na lični računar ili na računar koji služi kao server u
malim mrežama ako se koristi djeljena internetska konekcija. Njegov zadatak je kontrola
komunikacije računara koji direktno izlazi na mrežu, a to znaći da vodi računa o:
koji programi izlaze sa računara,
kuda oni idu, odnosno sa kojim serverima i preko kojih protokola i portova stupaju u
kontakt,
konroliše sta ulazi na računar
Firewall takođe može spriječiti hakere ili zlonamjerne softvere (poput “worms“ crvića) da
pristupe vašem kompjuteru preko mreže ili interneta. Firewall takođe može i spriječiti vaš
kompjuter da šalje zlonamjerne softvere drugim kopjuterima.
Dobar program ove vrste će ispravno registrovati svaku konekciju prije nego što bude
uspostavljena, blokirati je ili preciznije ostaviti na čekanju, i tek ako korisnik dozvoli
njeno ostvarivanje ona će biti uspostavljena. Ovo u stvari znači da ako skidate neku
zakrpu za program možete da onemogućite sve ostale konekcije osim one preko koje se
razmena, odnosno primanje podataka obavlja. Nekada i ovo nije dovoljno i treba reći da
savršena zaštita ne postoji. Dobra osobina neki firewall-a je da imaju mogućnost da se
trenutno blokira sav saobraćaj između računara i interneta ili da se dozvoli samo nekim
programima da nastave normalno da rade.
Prva stvar koja se treba uranditi nakon završetka instalacije je da se provjeri koja pravila
u njemu postoje. Ako je prgram napravljen tako da su već da data pravila za neke
aplikacije, ako niste pristalica ovakvih metoda, onda ih samao onemogućite. Sljedeći
korak je da se obezbijedi NetBIOS. Neki firewall-i imaju već pravila podešena za njega.
Ne bi bilo loše da se i ona onemoguće ako ne zadovoljavaju kriterijume da zabranjuju
bilo kakvu komunikaciju na portovima 137, 138, 139, i preko TCP i preko UDP
protokola.Ako računar nije u lokalnoj mreži preduzmite ranije opisane korake za potpuno
deaktiviranje NetBIOS-a. Ako onemogućimo ili pak obrišemo sva pravila koja se odnose
na portove i protokole, tokom uspostavljanja raznih konekcija od strane različitih
aplikacija firewall će uvijek da pita šta da radi. To je trenutak da se postavi novo pravilo,
koje može može da se odredi da li će biti trajnoili samo za vrijeme dok traje data
konekcija, odnosno dok smo na mreži. Ono bez čega sigurno ne možete na internet je
DNS (Domain Name System) i brows(pretraživač interneta). DNS radi na portu 53 i mora
da bude omogućenda bi moglo da se obavi upznavanje dva računara. Protokol UDP kao i
dozvoljavanje dvosmjerne komunikacije samo na portu 53 ili domain, s time što treba
dodati i TCP protokol. Poslije toga će te pokrenuti svoj omiljeni browser. Nemojte žuriti
sa davanjem dozvolanego kada firewall pita 7 tako odobravajte ili zabranjujte
komunikacije. Za početk je dovoljno da se dozvoli komunikacija TCP protokolom samo
na portovima 80(http) i 8080(http-proxy) ako koristite proxy server, a većina provajdera
ga ima. Dakle, Firewall je poput carine: oni koji imaju pasoš (dozvolu za ulazak ili
izlazak) proći će tu granicu, a svima ostalima bit će zabranjen prolaz.
Hardverski firewall- rezervise jedan urdjaj da na njega stavi samo firewall, npr. u
kompleksnim mrezama.
Proxy serveri doprinose i poboljšanju bezbijednosti tako što filtriraju neke Web stranice i
uklanjaju zlonamjerne softvere.
Proxy servere uglavnom koriste umreženi računari, a to je najčešće u nekim
organizacijama kao i nekim preduzećima. Ljudi koji se povezuju sa Internetom od kuće
obićno ne koriste proxy server. U odnosu na mrežni (IP) nivo UDP dodaje samo funkcije
multipleksiranja i provjeravanja greške prilikom prenošenja podataka, a nema mogućnost
provjere primanja poruke jer ne čuva informaciju o stanju veze (tj. radi na principu pošalji
i zaboravi). Zbog toga se koristi uglavnom u slučaju kada je bitnija brzina i efikasnost od
pouzdanosti, npr. Za prijenos govora u realnom vremenu (VoIP telefonija), a takođe i
kada je potrebno slanje iste poruke na više odredišta (multicast).
Proxy –server koji se nalazi između klijentske aplikacije, kao što je Web browser-a i
pravog servera. On presreće sve zahtjeve upućene pravom serveru da bi provjerio da li on
sam može da ispuni te zahjeve. Ako ne, onda proslijeđuje te zahtjeve pravom serveru.
Proxy server ima dvije osnovne namjene:
Poboljša performanse (pamti određene radnje na određeno vrijeme tako da korisniku
treba manje vremena da im pristupi),
Filtrira zahtjeve (npr. može se podesiti da spriječava korisnike da posjećuju određene
Web stranice).
Sigurnost je jedna od slabih tačaka WiFi mreža i često je smatrana kao najveća prepreka
još široj upotrebi WiFi tehnologije. Oblast sigurnosti zahtjeva opširno proučavanje, a
ovdje su opisani samo pojedini i osnovni elementi sigurnosti, njihovi propusti i neke
smjernice. Standardi trebaju zadovoljiti tri osnovna sigurnosna zahtjeva:
1. pouzdana autentifikacija korisnika
2. zaštita privatnosti,
3. autorizacija korisnika.
RC4 algoritam bio je i do danas ostao temelj za ostvarivanje sigurnosti u bežičnim 802.11
lokalnim mrežama. Većina opreme dostupne na tržištu sklopovski podržava ovaj
algoritam i zbog razloga kompatibilnosti on će se vjerojatno nastaviti koristiti i u bližoj
budućnosti (iako se počinju pojavljivati proizvodi koji podržavaju i druge algoritme, prije
svega AES). RC4 algoritam [2] razvio je Ron Rivest 1987. godine za RSA Data Security,
Inc. Algoritam je bio tajan sve do 1994. godine kada je izvorni kôd algoritma anonimno
objavljen na Internetu.
RC4 je simetrični znakovni (engl. stream) algoritam – svaka riječ kriptira i dekriptira se
zasebno. Najčešće se koristi riječ dužine jedan bajt. Ključ koji se pri tome koristi može
biti dužine do 256 bajtova. Algoritam generira niz pseudoslučajnih brojeva proizvoljne
duljine. XOR miješanjem tog niza s podacima dobiva se kriptirani niz. Na prijemnoj
strani generira se isti niz pseudoslučajnih brojeva (prijemna strana koristi isti ključ) i
XOR miješa sa kriptiranim nizom.
WEP je sastavni dio 802.11 standarda koji radi u režimu uzastopnog šifriranja zasnovanom na
algoritmu RC4. Prva verzija u 802.11b standardu sadržavala je 64 -bitnu enkripciju koja se
može razbiti za vrlo kratko vrijeme tj. za svega nekoliko minuta, pa i brže. Napadači
osluškuju eter i prikupljaju sav kriptirani saobraćaj između dva uređaja unutar bežične lokalne
mreže (što se naziva sniffing ili njuškanje), zatim pomoću dekripcijskih alata na svom
računaru koristeći neku poznatu tehniku (brute force, dictionary attacks, algorithmic attacks
itd.) otkrivaju enkripcijski ključ.
WEP se koristi na drugom sloju OSI modela kako bi zaštitio podatke tokom prijenosa, a
oslanja se na tajnost ključa koji se koristi između pristupne tačke i klijenta i pomoću njega
enkriptira tijelo okvira poruke.
Aktivni napad je ponavljanje inicijaliziranog vektora i jedan od primjera ovog napada
možemo prikazati u par koraka:
Osnovna autentifikacija unutar WEP-a je putem SSID (Service Set Identifier) identifikatora
koji sadrži do 32 znaka i nalazi se u zaglavlju upravljačkih paketa beacon i probe. Klijenti
mogu komunicirati s AP-om kojeg prepoznaju po zajedničkom SSID-u tako de se on može
promatrati kao dijeljena šifra između klijentskih kartica i AP-a unutar neke bežične lokalne
mreže.
Unutar signala pristupna tačka šalje SSID te pomoću toga klijent dobiva pristup mreži ako
ima isti SSID kao i mreža. SSID se može iskoristit kao sigurnosni faktor time da se ne šalje
unutar kontrolnog okvira. Pristupna tačka odbacuje sve okvire koje klijent šalje i nema pravo
spajanja ako nema isti SSID. Ali ni ova metoda, iako dobro izgleda, nije zadovoljila pravu
sigurnost. Pošto se kontrolni okviri ne šalju u skrivenom obliku pa napadač osluškujući mrežu
i hvatajući okvire saznaje SSID i samim time dobiva neovlašten pristup mreži.
EAP radi na drugom sloju OSI modela i proširiv je protokol u smislu da se unutar EAP
zahtjeva/odgovora može enkapsulirati bilo koja metoda autentifikacije. Ima mogućnost da sve
zahtjeve za autentifikaciju preusmjeri ka centralnom RADIUS poslužitelju što je daleko bolje
rješenje od onoga u kojem bi se svaki port brinuo o autentifikaciji pojedinog korisnika.
Kako bi korisnik mogao pristupiti mreži pristupna tačka mora omogućiti EAP paketima da
prođu do poslužitelja. Zbog toga autentifikator koristi dualni način rada portova:
nekontrolirani portovi i kontrolirani portovi.
Iako je moguće koristiti bilo koju EAP metodu autentifikacije, bežične okruženje postavlja
dodatne uvjete od kojih su najvažnija sljedeća dva:
2. Metoda autentifikacije mora omogućiti sigurnu distribuciju WEP ključeva klijentu. Nakon
uspješno završene autentifikacije klijent mora imati dovoljno informacija da odredi koji WEP
ključ treba koristiti za enkripciju podataka. Posljedica toga je da ključ više nije potrebno
klijentu dostaviti nekim drugim putem (npr. “ručno”) prije korištenja mreže. Za svakog
klijenta generira se različit ključ, a postaje moguće i automatizirano periodički mijenjati ključ
ponavljanjem autentifikacije.
WPA (Wireless Protected Access) kao novi pristup zaštiti bežičnih lokalnih mreža je službeno
predstavljen u oktobru 2003. i predstavlja zajedničko ime za skup sigurnosnih poboljšanja
koja bi trebala ukloniti nedostatke WEP-a. WPA za enkripciju propisuje obavezno korištenje
TKIP (Temporal Key Integrity Protocol) koji koristi mnogo duži kriptirani inicijalizacijski
vektor te dinamički mijenja enkripcijske ključeve na svim uređajima u bežičnoj lokalnoj
mreži. WPA kreira nove ključeve za svaku asocijaciju što znači da su enkripcijski ključevi
unikatni za svakog korisnika i svaku sesiju. Svaki paket poslan zrakom je kriptiran unikatnim
ključem čime se umanjuje na minimum praktična mogućnost provale enkripcije bilo kojom
tehnikom napada.