Szyfrowanie transmisji danych

Szyfrowanie danych przesylanych przez siec przedsiebiorstwa zwieksza bezpiecze nstwo uwierzytelniania i zapobiega przechwytywaniu przesylanych danych przez osoby
niepowolane. Dane moga byc szyfrowane za pomoca dowolnego z kilku dostepnych
standardów, stosujacych rózne algorytmy szyfrowania wiadomosci tak, by jedynie pr awowity odbiorca wiedzial, jak je rozszyfrowac. Wiekszosc metod szyfrowania polega
na wykorzystaniu wartosci wspólnego klucza do szyfrowania danych, a nastepnie deszyfracji po stronie odbiorcy. Ten typ szyfrowania jest ogólnie znany pod nazwa infrastruktury klucza publicznego (PKI — Public Key Infrastructure IP).
W skrócie: PKI wykonuje dwie funkcje, zapewne juz znane Czytelnikowi. Mozemy
umiescic w wiadomosci podpis cyfrowy lub zapieczetowac (zaszyfrowac) wiadomosc.
Dla kazdej z tych funkcji proces przebiega nieco odmiennie i dla kazdego uzywana jest
inna para kluczy. Para kluczy uzywana jest razem —jeden sluzy do szyfrowania d anych, zas drugi do deszyfracji. Pary kluczy sa tworzone w taki sposób, by tylko drugi
z nich mógl posluzyc do odszyfrowania danych, zaszyfrowanych pierwszym kluczem.
Sa to tzw. klucze asymetryczne, poniewaz kazdy jest inny.

Podpisywanie wiadomosci

Proces podpisania wiadomosci nie oznacza zaszyfrowania jej, lecz umieszczenie elektronicznego podpisu na koncu wiadomosci. Podpis zostaje zweryfikowany po drugiej
stronie, w celu sprawdzenia, czy wiadomosc nie zostala zmodyfikowana w trakcie
transmisji z miejsca na miejsce.
Do podpisania wiadomosci tworzony jest jej skrót (digest) za pomoca funkcji mieszajacej. Prostym przykladem mieszania moze byc wziecie pierwszych 1024 bitów wiadomosci i wykonanie funkcji XOR (patrz uwaga ponizej) z k olejnymi 1024 bitami. Na
wyniku znowu zostanie wykonana operacja XOR z nastepnymi 1024 bitami i tak dalej,
az do konca wiadomosci. Na koniec otrzymamy lancuch 102 4 bitów, unikatowy dla tej
wiadomosci —a przynajmniej na tyle unikatowy, ze wartosc zmieni sie, j esli ktos choc
troche zmodyfikuje wiadomosc.
Nazwa funkcji XOR pochodzi od Exclusive OR. Jest to logiczne porównanie dajace 0, jesli
dwa bity sa takie same oraz 1, jesli sie róznia.

Wprawdzie proces mieszania niekoniecznie bedzie uzywac funkcji XOR, lecz procedura jest podobna. Liczba bitów wyniku zalezy od uzytego konkretnego algorytmu, lecz
ogólnie wynosi przynajmniej 512. Ten skrót wiadomosci zostaje nas tepnie zaszyfrow any kluczem prywatnym autora i wiadomosc zostaje wyslana.
Po odebraniu wiadomosci skrót zostaje z niej usuniety i za pomocatego samego alg orytmu, co u nadawcy, liczony jest u odbiorcy skrót wiadomosci. Nastepnie oryginalny
odebrany skrót w iadomosci zostaje odszyfrowany za pomoca publicznego klucza nadawcy, sluzacego do podpisywania, a oba skróty zostaja porównane. Jesli sa takie same,
dane podczas transportu nie zostaly zmodyfikowane. Jesli sie róznia, ktos mógl man i pulowac wiadomoscia. Oc zywiscie oznacza to, ze klucz publicznysluzacy do podpisyw ania musi byc znany systemowi odbiorcy; w przeciwnym r a zie nie mozna by bylo sprawdzic wiadomosci i jej podpisywanie nie mialoby zbyt duzego sensu.

Wlasne konta dostepu telefonicznego

Jesli naprawde musimy stosowac wlasne konta dostepu telefonicznego z uwagi na bezpieczenstwo, przygotujmy sie na koszty. Uruchomienie wlasnej puli modemów wymaga
wyspecjalizowanego sprzetu i linii telefonicznych. Na dodatek musimy zastanowic sie,
jak obsluzyc uzytkowników podrózujacych. Albo zmusimy ich do wybierania numeru
centralnego, albo rozmiescimy modemy w kazdym oddziale, z którym uzytkownik bedzie sie laczyc. Jesli uz ytkownicy lacza sie z numerem centralnym, mozemy rozwazyc
opcje numeru bezplatnego (0- 800), aby obnizyc koszty polaczen. Jesli ta opcja jest ni eosiagalna, mozemy pomyslec nad polaczeniami callback . Do tego m oga posluzyc pol aczenia typu wychodzacego, aby utrzymac niskie koszty. Jedyna sytuacja, która spow oduje klopoty w tej strategii to ta, gdy uzytkownicy dzwonia z hotelu —numer telefonu
w pokoju moze nie byc dostepny z zewnatrz.
Umieszczenie modemu w kazdym biurze moze zminimalizowac kosz ty, lecz nadal bedziemy mieli do czynienia z rachunkami za polaczenia zamiejscowe, gdy podrózujacy
uzytkownicy beda daleko od biura. Potrzebny bedzie jeszcze jakis sposób kontroli
uwierzytelniania, poniewaz uzytkownik moze byc w Houston, a jego konto w Albany.
W takim przypadku informacje o koncie uzytkownika musza byc dostepne dla serwera
w Houston. Kolejny problem pojawia sie, gdy uzytkownik nie moze polaczyc sie, nie
znajac numeru dostepowego w Houston. Takie informacje musza byc przechowywane
w laptopie; w przeciwnym razie uzytkownicy beda zmuszeni dzwonic do obslugi technicznej w drugim miescie, aby otrzymac numer.

Protokól PPTP

Wprawdzie PPTP(point-to-point tunneling protocol —protokól tunelowania dwupun ktowego) jest przeznaczony przede wszystkim dla uzytkowników korzystajacych
z polaczen telefonicznych, lecz moze tez posluzyc do pola czenia dwóchbiur poprzez siec
TCP/IP, jak np. Internet. Poniewaz protokól PPTP zostal opracowany przez Microsoft,
sam tunel nie jest uwierzytelniany; zamiast tego dane logowania przesylane tunelem sa
szyfrowane. Uwierzytelnianie zda l nego uzytkownika zachodzi w tradycyjny sposób.
Dla uzytkowników polaczen telefonicznych PPTP jest protokolem latwym do skonfig urowania i stosunkowo prostym. System kliencki inicjuje polaczenie z serwerem przez
istniejace juz polaczenie TCP/IP, szyfrowane tylko pomiedzy tymi dwo ma punktami.
Oznacza to, ze jesli protokól sluzy do polaczenia dwóch biur, to jedynie komunikacja
dwupunktowa —to znaczy, na koncach tunelu pomiedzy dwoma systemami Windows
grajacymi role ruterów —bedzie zaszyfrowana.
Na przyklad dane w sieciach A i B nie sa szyfrowane, a jedynie dane
przesylane tunelem pomiedzy dwoma ruterami. Jesli klient w sieci A wysyla dane do
klienta w sieci B, dane nie sa szyfrowane, poniewaz musialyby najpierw przejsc do stosu protokolu PPTP, a nastepnie zostac za pakowane w pakiet TCP/IP. Poniewaz dane
klientów w sieci A przechodza do stosu IP, nie beda w pierwszej kolejnosci przeslane
przez stos PPTP, a wiec nie zostana zaszyfrowane.

Dane z aplikacji przechodza w dól stosu protokolu PPTP, a nastepnie
przez stos TCP/IP. Pierwszy stos zapewnia szyfrowanie, zas drugi faktyczny transport.
Poniewaz pakiety z sieci nie beda podazac ta sama trasa, PPTP tak naprawde nie nadaje
sie do laczenia sieci.

Polaczenie przez lokalnego ISP

Laczenie sie z lokalnym dostawca uslug jest prosta metoda uzyskania dostepu do Internetu; j ednakze lokalny ISP zazwyczaj nie posiada polaczen dwupunktowych lub laczy
dzierzawionych. Lokalny ISP jest z kolei polaczony z wiekszym operatorem, który zapewnia dostep ISP do Internetu —ISPw zasadzie odsprzedaje pasmo l acza, wobec
czego mo zemy oczekiwac od niego d odatkowych uslug.
Przy podejmowaniu decyzji o wyborze lokalnego ISP, musimy rozwazyc wiele czynników. Przede wszystkim zapytajmy siebie samych, czy okreslony ISP utrzyma sie na
rynku przez nastepne szesc miesiecy. Wielu malych dostawców uslug internetowych
pojawilo sie i zniklo w przeciagu kilku ostatnich lat. W niektórych przypadkach znikli
szybko, zostawiajac klientów na lodzie. Prosze nie zapominac, ze dostajemy to, za co
placimy. Jesli umowa jest zbyt piekna, by mogla byc prawdz iwa, zazwyczaj nie jest. J esli polaczenie ma jedynie sluzyc uzytkownikom do surfowania w Internecie, jest to
niewazne. Jesli jednak polaczenie to ma byc laczem do swiata zewnetrznego dla poczty
elektronicznej i sluzyc do laczenia biur za pomoca tunelowania , to lepiej nie skapic na
usludze.
Warto jeszcze upewnic sie, czy ISP stosuje rozsadne proporcje w wielkosciach sprzedanego pasma do rzeczywistego —podobnie jak towarzystwa lotnicze, dostawcy uslug
i nternetowych sprzedaja wiecej uslug niz posiadaja. Zazwyczaj uchodzi to na sucho,
poniewaz nie wszyscy uzytkownicy sa równoczesnie online. Jesli jednak ISP sprzedal
o wiele za duzo uslug, dostepne pasmo moze na tym ucierpiec. Ponadto mozemy przy jrzec sie ogloszeniom ISP o zatr udnieniu, aby zorientowac sie, jak duzo placi swoim
pracownikom, a wiec na jakim poziomie jest jego personel. Zwlaszcza lo kalni dostawcy
uslug internetowych moga znacznie sie róznic pod wzgledem doswia dczenia i profesj onalizmu obslugi.
Na koniec zidentyfikujmy rodzaj polaczenia ISP z jego dostawca. Jesli korzysta z lacza
T1, moze nie byc w stanie obsluzyc zbyt wielu uzytkowników; jesli jednak posiada kilka laczy T3 lub OC12 do wiecej niz jednego dostawcy, to mozemy byc spokojni, ze ISP
bedzie w stanie swiadczyc nam uslugi dobrej jakosci.

Przelaczanie komórek

Przelaczanie komórek w sieciach IP stanowi bardziej radykalne podejscie do problemu przenoszenia
danych próbujace utworzyc jedna techn ologie, mogaca przesylac glos, dane, obraz i tak
dalej. Poniewaz firmy telefoniczne uzywaja swoich laczy fizycznych do przesylania z arówno glosu, jak i danych, zdolnosc do efektywnego wspóluzytkowania posiadanych
laczy stanowi dla nich olbrzymi pr oblem.
W komutacji pakietów lub ramek przesylane dane mialy zmienna dlugosc. Jednakze
wiekszosc systemów komutacji pakietów i ramek jest obecnie skonfigurowana do przesylania pakietów lub ramek, których rozmiar opiera sie na standardzie Ethernet, stanowiacym aktualnie dominujaca topologie sieciowa. Jedna z podstawowych zmian w komutacji komórek jest przesylanie malych pakietów o stalej dlugosci — komórek .
Rozmiary ramek moga byc duze (do 4096 oktetów), natomiast komórki zawsze posi adaja 53 oktety (4 8 oktetów danych i 5 oktetów informacji towarzysz acych).
Stale rozmiary komórki oznaczaja, ze przelaczniki nie musza juz ustalac rozmiarów pakietów, zanim zaczna dokonywac innych operacji na danych. Nie jest stosowana fra gmentacja i ponowne skladanie, bufory moga pomiescic duza liczbe komórek, zas logike
potrzebna do obslugi malych komórek mozna zaimplementowac sprzetowo na poziomie
ukladów scalonych.
Umieszczenie logiki w ukladzie scalonym zwieksza niestety koszt kart. Jest to jeden
z glównych powodów, poza rozwojem gigabitowego Ethernetu, dla których impleme ntacje typu ATM(Asynchronous Transfer Mode) nie toruja sobie drogi na biurka. A poniewaz kazdym 48 oktetom danych towarzyszy 5 oktetów dodatkowych, stosowanie
komutacji komórek niesie za soba bardzo wysoki ruch sieciowy tla.
Podobnie jak w komutacji pakietów, w komutacji komórek tworzony jest wirtualny obwód w uzytkowanym wspólnie polaczeniu. Ponadto komutacja pakietów moze zapewnic gwarantowana jakosc uslug (Quality of Service), co jest bar dzo przydatne dla przenoszenia danych czasu rzeczywistego, na przyklad dzwieku i wideo, tymi samymi
wspóluzytkowanymi laczami, które sluza do przenoszenia danych.
W wielu przypadkach organizacja nie jest w stanie polozyc fizycznego okablowania,
uzywanego do szybkiej komunikacji na skale swiatowa. Wobec tego musimy podlaczyc
sie do sieci szkieletowej lub szkieletu publicznego (czyli Internetu), co oznacza, ze potrzebne jest polaczenie od naszej lokalizacji do wiekszych sieci. W przypadku Internetu
mozemy wyk orzystac do tego celu lokalnego ISP, zas jesli potrzebne jest lacze dzie rzawione —wiekszego dostawce lub lokalna firme tel efoniczna.

Komutacja pakietów

Przygladajac sie danym, które komputer generuje i wysyla przez siec, zauwazymy dwie
róznice w stosunku do transmisji glosu. Pierwsza róznica jest fakt, iz w transmisji d anych dopuszczalny jest pewien poziom opóznien, poniewaz odbiorca moze zaczekac na
dane —w transmisji glosu powodowaloby to rwanie lub niezrozumialosc rozmowy.
Druga róznica jest postac danych —transmisja glosu uzywa ciaglej fali sinusoidalnej,
natomiast dane komputerowe skladaja sie z bitów zgrupowanych w bajty (o dlugosci
pieciu, siedmiu lub osmiu bitów). Oznacza to, ze grupabajtów moze zostac dalej zapakowana w zaadresowany pakiet. W rzeczywistosci transmisje danych (równiez potoki
bajtów) sa czesto dzielone na osobne je dnostki.
W latach 60. inzynierowie zdecydowali, by traktowac dane jako ciag pakietów, a nie
potok informac ji. W ten sposób zlikwidowali koniecznosc stosowania ciaglych pol aczen, otwierajac droge dla transmisji danych. Obecnie, gdy dane sa wyslane, moga
dojsc do urzadzenia na granicy sieci, które podzieli je na porcje o odpowiednich ro zmiarach, zaadresuje i wysle w siec. Ten proces mozna przyrównac do dzialania referatu
pocztowego firmy.
TCP/IP jest przykladem sieci z komutacja pakietów. Przelacznik na logicznym skraju
kazdego segmentu sieci dane przeznaczone dla innych segmentów sieciowych dzieli na
pakiety (datagramy) o rozmiarach odpowiednich dla topologii nastepnej sieci oraz w ysyla je do kolejnego przelacznika. Ten sprawdza datagram i przesyla do kolejnego przelacznika, az pakiet dotrze do ostatecznego miejsca przeznaczenia. Jak mozemy sie domyslic, omawianymi przelacznikami sa tak naprawde rutery. W rzeczy wistosci rutery
zostaly jako pierwsze urzadzenia wykorzystane do utworzenia sieci szkieletowej ARPANet —pierwszego wcielenia Internetu.
Problem z komutacja pakietów polega na tym, ze wraz ze wzrostem ruchu w sieci ruter
musi pracowac coraz ciezej, aby nadazyc. W pewnym momencie ruter „zatka” sie i z acznie odsylac lub tracic datagramy. W koncu ulegna temu wszystkie rutery, powodujac
zatrzymanie sieci. Razem z nowymi danymi za czna pojawiac sie retransmisje, dalej pogarszajace problem.
Taka sytuacja moze prawie uniemozliwic przesylanie danych. Wieksza czesc problemu
powodowana jest przez nature komutacji pakietów. Nie istnieja stale trasy, opisujace
trase danych przez sieci. Pak iety moga podazac od A do B róznymi drogami, w miare
zmian warunków w sieci, co prowadzi do odbierania pakietów w niewlasciwej kolejn osci lub ich odrzucenia po uplywie limitu czasu. Do rozwiazania problemu sieci z k o mutacja pakietów potrzebne byly podstawo we polaczenia komutacji pakietów, lecz bez
koniecznosci tworzenia ciaglych polaczen. Tu w gre wchodzi technika komutacji
(przelaczania) ramek — frame relay.