Существуют следующие схемы построения WiFi сетей. Мы затронем лишь небольшой сегмент оборудования и задач, стоящих перед строителями сетей, и рассмотрим наиболее часто встречающиеся схемы, собрать которые можно из доступного оборудования.

Сейчас я расскажу новичкам о том, как соединить два компьютера с помощью модемов в ХР.

Для начала, что вам это даст:

Несравненно малую скорость соединения :), хотя это ещё и от модема зависит...
Вы сможете перекачивать файлы с одного компьютера на другой;
Играть по модему в сетевые игры (только некоторые будут виснуть не по-детстки).


Ну что, сразу захотелось поиграть в любимую Контру с приятелем, который обитает на другом конце города? Ну, тогда давайте приступим к делу!
Что нам понадобится?

Сама операционка, прямые руки и немного того серого вещества, которое бултыхается в твоей голове.

Для того, чтобы соединиться, необходимо иметь два модема :) и два компутера, причём один из них должен быть настроен как клиент, а другой - как сервер.

Допустим, сервером будешь ты. Что делать?

Зайди в свойства сетевого окружения (туда, где всякие подключения находятся). Зашёл? Замечательно! Теперь

ФАЙЛ > НОВОЕ ПОДКЛЮЧЕНИЕ

Теперь: ДАЛЕЕ - УСТАНОВИТЬ ПРЯМОЕ ПОДКЛЮЧЕНИЕ К ДРУГОМУ КОМПЬЮТЕРУ - ПРИНИМАТЬ ВХОДЯЩИЕ ПОДКЛЮЧЕНИЯ

Появится диалог выбора устройства, которое будет принимать входящие подключения.

Ставим галочку возле типа вашего модема. Кстати, эта галочка имеет большую роль. Она нужна, чтобы отключить назойливый писк модема при всех звонках на твой телефон. Нужно просто её снять.

Нажимаем ДАЛЕЕ

Тебя спросят, хочешь ли ты разрешить VPN-подключения, ставь РАЗРЕШИТЬ и нажимай ДАЛЕЕ. Попросят выбрать пользователей, для которых разрешены подключения. Нажимаем ДОБАВИТЬ и добавляем доступ для себя любимого, хотя нет... не для себя, а для друга

Нажимаем ДАЛЕЕ, теперь надо выбрать протоколы. Я советую выбрать следующие:

Протокол интернета TCP/IP... Кстати, давай сразу его настроим. Выделяем его и нажимаем СВОЙСТВА. Здесь ставим следующие параметры:

Потом добавляем "Служба доступа к файлам и принтерам сетей Microsoft" и "Клиент для сетей Microsoft" - это если ты хочешь обмениваться файлами.

И ещё протокол NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол и опять нажимаем ДАЛЕЕ

Компания Мелкософт поздравит тебя с успешным окончанием работы и предложит тебе нажать на кнопульку ГОТОВО. Подумай перед этим!!! Кто знает, что может случиться? Хотя нет, тут ничего не случится, так что жми смело!


Вот и всё, ты сделал себя сервером!

Теперь настраиваем на другом компьютере новое подключение, ничем, в принципе, не отличающееся от интернетовского, вот только номер надо указать серверский + добавить недостающие протоколы, и на последнем этапе, перед завершением, будет диалог ввода логина и пароля, что туда вводить, я думаю, ты сам знаешь...

Всё! Нажимаем СОЕДИНИТЬСЯ, вслушиваемся в душераздирающие звуки, и ОПС! Чёрное окно... нет, это не синий экран смерти, это окно подключения к удалённому серверу. Нажимаем ENTER, хотя вроде можно и не нажимать, и давим на кнопку ГОТОВО. Ещё две-три секунды... и у тебя внизу засветилось окошечко подключения к сети! Теперь ты можешь делать то же самое, что и при соединении через локальную сеть.

Сейчас я расскажу новичкам о том, как соединить два компьютера с помощью модемов в ХР.

Для начала, что вам это даст:

Несравненно малую скорость соединения :), хотя это ещё и от модема зависит...
Вы сможете перекачивать файлы с одного компьютера на другой;
Играть по модему в сетевые игры (только некоторые будут виснуть не по-детстки).


Ну что, сразу захотелось поиграть в любимую Контру с приятелем, который обитает на другом конце города? Ну, тогда давайте приступим к делу!

Что понадобится?

Сама операционка, прямые руки и немного того серого вещества, которое бултыхается в твоей голове.

Для того, чтобы соединиться, необходимо иметь два модема :) и два компутера, причём один из них должен быть настроен как клиент, а другой - как сервер.

Допустим, сервером будешь ты. Что делать?

Зайди в свойства сетевого окружения (туда, где всякие подключения находятся). Зашёл? Замечательно! Теперь

ФАЙЛ > НОВОЕ ПОДКЛЮЧЕНИЕ

Теперь: ДАЛЕЕ - УСТАНОВИТЬ ПРЯМОЕ ПОДКЛЮЧЕНИЕ К ДРУГОМУ КОМПЬЮТЕРУ - ПРИНИМАТЬ ВХОДЯЩИЕ ПОДКЛЮЧЕНИЯ

Появится диалог выбора устройства, которое будет принимать входящие подключения.

Ставим галочку возле типа вашего модема. Кстати, эта галочка имеет большую роль. Она нужна, чтобы отключить назойливый писк модема при всех звонках на твой телефон. Нужно просто её снять.

Нажимаем ДАЛЕЕ

Тебя спросят, хочешь ли ты разрешить VPN-подключения, ставь РАЗРЕШИТЬ и нажимай ДАЛЕЕ. Попросят выбрать пользователей, для которых разрешены подключения. Нажимаем ДОБАВИТЬ и добавляем доступ для себя любимого, хотя нет... не для себя, а для друга

Нажимаем ДАЛЕЕ, теперь надо выбрать протоколы. Я советую выбрать следующие:

Протокол интернета TCP/IP... Кстати, давай сразу его настроим. Выделяем его и нажимаем СВОЙСТВА. Здесь ставим следующие параметры:

Потом добавляем "Служба доступа к файлам и принтерам сетей Microsoft" и "Клиент для сетей Microsoft" - это если ты хочешь обмениваться файлами.

И ещё протокол NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол и опять нажимаем ДАЛЕЕ

Компания Мелкософт поздравит тебя с успешным окончанием работы и предложит тебе нажать на кнопульку ГОТОВО. Подумай перед этим!!! Кто знает, что может случиться? Хотя нет, тут ничего не случится, так что жми смело!


Вот и всё, ты сделал себя сервером!

Теперь настраиваем на другом компьютере новое подключение, ничем, в принципе, не отличающееся от интернетовского, вот только номер надо указать серверский + добавить недостающие протоколы, и на последнем этапе, перед завершением, будет диалог ввода логина и пароля, что туда вводить, я думаю, ты сам знаешь...

Всё! Нажимаем СОЕДИНИТЬСЯ, вслушиваемся в душераздирающие звуки, и ОПС! Чёрное окно... нет, это не синий экран смерти, это окно подключения к удалённому серверу. Нажимаем ENTER, хотя вроде можно и не нажимать, и давим на кнопку ГОТОВО. Ещё две-три секунды... и у тебя внизу засветилось окошечко подключения к сети! Теперь ты можешь делать то же самое, что и при соединении через локальную сеть.

Сеть на витой паре 

Сеть на витой паре - современная технология, строится с использованием хабов, по топологии "звезда". Гарантированные расстояния - 100 метров между хабами или от хаба до сетевой карточки. Потребуется спец. инструмент и некоторый навык, который появится после пяти запоротых "джеков".

Разьемы витой пары - RJ-45 проще зовутся "джеками". Витую пару берите только 5-й категории. Витая пара представляет собой 4 или 8 проводов в мягкой пластиковой оболочке.

Кабель витой пары оконцовывается путем обжимания джеком предварительно подготовленных проводов. Готовятся они так: срежте оболочку сантиметра на 3, распутайте проводочки, выпрямите их и расположите в одной плоскости друг с другом в следующей последовательности.

Последовательность важна!

Операция обжимания проводится с помощью инструмента "кримпер", кажется по-русски он называется "обжималка" и похож на страшного вида секатор, часто с пластмассовыми ручками оранжевого цвета. Дальше делается так: Подрежьте кончики, чтобы получился прямой ровный срез, возьмите "джек" и засовайте туды плоско-ориентированные проводочки до упора, так чтобы слева оказался бело-оранжевый проводочек, а под самым правым контактиком оказался коричневый. Засуньте так, чтобы срез каждого проводка уткнулся своей медной сердцевинкой в плексовое стеклышко торца джека. Держите все это, возьмите обжималку и обожмите джек, применив силу :)). Все.

Теперь внимательно посмотрите и сравните с тем что на схеме . Нравится? Каждый контактик должен прокусить своими зубчиками изоляцию своего проводочка и дотронуться до медной жилки. Ну, что, похоже? Если непохоже, то сначала попробуйте запустить сеть, ну а потом срезайте "джек" и начинайте сначала. Джеки надо закупать с небольшим запасом.

А теперь - соединение двух компьютеров. Для этого нужны две сетевые карты с разъемом UTP и кабель, который нужно обжать особым образом.

Кабель, сготовленный таким образом, называется "скрестным". Он применяется для соединения двух отдельно стоящих компов.

Передача сигнала по витой паре (по стандарту ТХ) осуществляется по двум парам, а по оставшимся двум - прием :)). В скрестном кабеле передача по паре первого компьютера переходится по кабелю на пару приема второго компьютера. Если добавляем третий компьютер, то автоматически требуется хаб. Хаб всегда надо брать с небольшим запасом. Если у вас три компьютера и больше точно не будет - тогда сгодится 4-ех портовый хаб. Постарайтесь не обмануться - у 4 портового хаба может быть 5 дырок, но это не значит что он 5-ти портовый. Просто одна дырка дублируется с разводкой для cкрестного кабеля. Для небольшой сети оптимально брать 8-ми портовый хаб.

Если в Вашей сети требуется больше 20 подключений, то над выбором хаба придется подумать, чтобы не платить дважды. Всегда предпочтительнее использовать один хаб, например, 16-портовый, чем два 8-портовых. Подключение к хабу осуществляется прямым кабелем - у него на обоих концах разводка должна совпадать (со стандартной).

Но в один прекрасстройств (хабов). Это требование стандарта Ethernet. Соединение хабов называется каскадированием. Каскадирование хабов несколько снижает общую производительность сети.

Кабель на витой паре

Хорош своей надежностью, наиболее современен, допускает соединение компьютеров на скорости до 100 Мбит. Но не позволяет без покупки специального устройства HUB (хаб) расширить сеть даже до трех компьютеров. Впрочем, устройство это не очень дорогое. Максимальное расстояние компьютер-компьютер или компьютер-хаб - 100 метров. Предпочтительнее использовать в пределах одного здания.

Потребуется:

• Измерьте, как можно точнее, расстояние между компьютерами (мерить необходимо по тому пути, как будет проложен кабель, то есть дверь, к примеру, надо обходить по косяку). Прибавьте к этому числу несколько метров (на всякий случай). Длина кабеля не должна превышать 100м. Приобретите кабель "витая пара" категории 5 (cat.5) в нужном количестве.
• Две вилки (разъемы) RJ-45. Можно также приобрести два защитных колпачка к ним.
• Инструмент обжимной (хотя два разъема вполне можно обжать отверткой).

Работа:

1. Проложите кабель по нужному пути, не допуская перекручивания и повреждений. Оставьте с каждой стороны запас около 2-3 м на случай возможных перестановок компьютеров и для удобства монтажа разъемов.
2. Закрепите разъемы на концах кабеля в соответствии со схемой "cross-over" кабеля.

"Cross-over" ("нуль-хабный") кабель
одна сторона	цвет провода	другая сторона
1	бело/оранж	3
2	оранжевый	6
3	бело/синий	1
6	синий	2

Для восьмипроводного кабеля (четыре пары):

Основные Стратегия выбора и реализации 

Витая пара приятнее в эксплуатации. При выборе технологии нужно руководствоваться и такими соображениями:

- максимальная безопасность (от молний, воров, ЖЭКа и МГТС)",
- максимальная дальность и возможность подключить еще кого-нибудь".
Для прокладки кабеля по улице лучше всего подходит экранированная витая пара.

Молния - очень серьезная угроза, и если кладете кабель снаружи, то обязательно и немедленно надо обезопасить свои и чужие жизни и защитить оборудование. Низко проложенный кабель надо обязательно заземлить, спустив медный проводок до земли и вкопав его поглубже, привязав к чему-нибудь металлическому и большеразмерному. Кроме этого, очень рекомендуется поставить NetProtect от APC. Стоимость этих устройств ~20$ для каждого конца кабеля. NetProtect-ы также необходимо заземлить. Эта защита будет в самый раз. Не следует экономить на таких вещах. Человеческая жизнь и 40$ вещи несопоставимые.

Конфигурирование сетевой карты

Карты бывают Plug&Play и без PNP. Если ISA-карточка без P'N'P - то у нее есть определенный адрес и номер прерывания. Как правило, бывает соответственно 300 и 10 (или 300 и 5). Но легко могут быть другие значения. Во всяком случае, их надо узнать. Если неизвестно какие значения - то надо иметь драйвера. У каждой карточки в комплекте должна быть дискета с драйверами. На ней, помимо драйверов под различные опер. системы, должны быть конфигурирующие драйвера, с помощью которых можно выставить карточку на какие захочется параметры.

Если драйверов нет и не будет, то можно с некоторой вероятностью определить параметры сетевушки с помощью маленькой программки DIAG.COM.

Если и это не поможет, то придется воспользоваться методом научного тыка и подобрать адрес и прерывание, на какие выставлена карточка. Если у вас ISA P'N'P карточка, то шанс, что она заработает просто так, есть, но небольшой. Лучше взять конфигурирующие драйверочки и запретить ей P'N'P, а заодно выставить порт 300 и прерывание 10.

Если же не получится ни то, ни другое - "благодарите" дядю Билла - это его проделки.

Если у вас PCI - карта, то все должно работать.

Конфигурация TCP/IP + IPX - является наиболее применяемой в смешанных сетях и благодаря своей функциональности позволяет проводить в жизнь множество решений. Чтобы в Win9x настроить сеть на этих протоколах надо сделать следующее:
Добавить в конфигурацию сети следующие компоненты ( удалить лишние ) :

• Клиент для сетей Micrsoft
• Клиент для сетей NetWare
• NE-2000 совместимая плата
• IPX/SPX совместимый протокол
• TCP/IP
• Служба доступа к файлам и и принтерам сетей Microsoft

При этом надо обязательно настроить протокол TCP/IP. Смотрите только не перепутайте -- настраиваем тот протокол, который привязан к сетевой карте, а не к "Контроллеру удаленного доступа (Dial Up Adapter)". Для этого надо щелкнуть на свойства протокола и задать ему:

• IP - Адрес, например, 192.168.1.1 и маску подсети, 255.255.255.0. Второй машине дайте адрес 192.168.1.2, третьей - 192.168.1.3 и так далее. Маска у всех должна быть одна - 255.255.255.0. Кого интересует почему именно так - читайте описание протокола TCP/IP в разделе FILES.
• Распознавание WINS - Отключить.
• Шлюз ( Gateway) . Роутера нету -- значит отключить.
• Привязка (Binding). Привяжите ко всему, что там есть.
• Дополнительно (Advanced). Поставить галочку "Использовать по умолчанию".
• DNS можно не включать пока. Чтоб не путаться.

Ну и как водится - надо перезагрузиться, дождавшись надписи, что ваш компьютер готов к выключению. Проверять работоспособность надо командой Ping [IP соседнего компьютера]. Например, PING 192.168.1.2. Команда выдает результат -- за какое время запущенные нами IP-пакеты достигли машины с указанным адресом и вернулись. Кроме того, можно пинговать машину по ее имени в рабочей группе или домене.

Одноранговая сеть Windows XP Сеть под WinXP - самое распространенное и само собой напрашивающееся решение. К тому же чрезвычайно простое.

Загружайте Win9x. Система обнаружит новое устройство и потребует драйвера под него. Потом потребуется обратиться к дистрибутиву. ( Если вы не знаете, что такое дистрибутив Win9x - то можете дальше не читать, лучше позовите к компьютеру человека, который знает что это такое).

После этого появится окно NETWORK с закладками Configutation, Identification и Access Control. А если окно не появится, то откройте его сами - Панель управления - Сеть.

Для того, чтобы работала сеть, в окне Configutation должны находиться следующие объекты:

Client for Microsoft networks - там не надо ставить галочку "Log on to Windows NT domain", если у вас нет сервера WINDOWS NT.

Client for Netware networks - ( когда будете добавлять его, то ставьте Microsoft Client for Netware networks) , если у вас нет сервера NETWARE, то и Клиент Нетвари не особо нужен и настройки его пофигу.

XXXXX XXXXX LAN Adapter - драйвер сетевой карты; если карта P'n'P, то там все хорошо, а если нет - то надо выставить параметры (адрес и прерывание) на закладке RESOURCES. Для NE2000 - карточек у Win9x есть собственные драйвера, "производитель" -- Novell/Anthem.

IPX/SPX - compatible protocol --- протокол, который поддерживают практически все мультиплеер-игры. Обязательно надо выставить одинаковый тип кадра в закладке Advanced: Frame Type - Ethernet 802.3 например.

NetBEUI - самонастраивающийся протокол, не требует вмешательства.

File and printer sharing for Microsoft network --- там тоже не надо ничего делать. Служба эта должна присутствовать в сетевых настройках для того, чтобы компьютер мог предоставлять свои ресурсы ( диски, каталоги и принтеры) для других. Компьютер, в сетевых настройках которого нет этой службы, НЕ БУДЕТ ВИДЕН В Сетевом Окружении !

В закладке Identification надо проставить уникальное имя компьютера и общее имя рабочей группы.

ПЕРЕЗАГРУЗИТЬСЯ ОБЯЗАТЕЛЬНО ДОЖДАВШИСЬ ПОЛНОГО ВЫКЛЮЧЕНИЯ КОМПЬЮТЕРА !!!

Выгружаться Win9x будет долго - 2-3 минуты и НЕЛЬЗЯ нажимать RESET для ускорения! Иначе сетевые настройки не сохранятся.

Выделенный сервер Смысл выделенного сервера следующий - в сети, непрерывно (круглосуточно), находится особая сетевая станция, которая предоставляет практически все сервисы сети, как то - обмен почтой, файлами, сообщениями, запуск сетевых приложений, и т.д. и т.п., но самое основное - поддержка функционирования самой сети. С помощью выделенного сервера намного проще осуществляются многие функции одноранговой сети и добавляется масса возможностей. К тому же, одноранговая сеть и выделенный сервер - вещи не взаимоисключающие, а скорее дополняющие друг друга, и чаще всего в средних и крупных сетях встречается именно их комбинация. Итак, если в Вашей сети больше трех компьютеров, то можно с уверенностью сказать, что выделенный сервер Вам не помешает.

Что же вам это даст:

• повышение производительности сети - до 500 Кб от сервера к станциям вместо до 250 Кб от станции к станции
• возможность общаться в режиме OFF-LINE c помощью почтовой программы, благодаря чему будет возможность оставить записку типа: "ушел в магазин, буду в 21-00, без меня не начинайте играть..."
• хранение общих и наиболее употребимых файлов
• запуск общих приложений - например, лежат на сервере файлы, а вы все их запускаете одновременно и прекрасно себя чувствуете
• и много всего того, что и перечислить трудно.

А для крупной сети выделенный файл-сервер просто необходим.

Доступ в Интернет из локальной сети

Упрощенное решение этой задачи выглядит так -- на компьютер с модемом и c Windows(95/98/XP) устанавливается программка WinGATE или, например, WinProxy. КАК- поясню ниже. Главная сложность - не столько техническая, сколько юридическая, заключается в том, что "раздача" Интернета - это лицензируемая деятельность. То есть если вы купили Интернет у провайдера и продаете (или отдаете) его другим людям - то сами становитесь провайдером, а следовательно должны иметь лицензию. Многие провайдеры при подключении, в договоре, сразу предупреждают, что нельзя гейтовать Интернет третьим лицам, иначе - расторгнем договор подключения.

То, что вы раздаете Интернет, теоретически можно выявить. Если вас это не пугает - в добрый путь. Итак, для того чтобы пользоваться всей локалкой Интернетом с одного компьютера надо иметь:

• Локальную сеть с настроенным протоколом TCP/IP.
• Подключение к провайдеру Интернет.
• Установленный WinGATE на машине с Интернетом.

Примечание: WinGATE способен выдавать "Интернет", даже когда реально связи с провайдером нет. Просто он кэширует то, что проходит через него при реальной работе в Интернет - сохраняет на диске файлы HTML и картинки, что именно кэшировать и сколько места отводится под кэш - это настраивается.

Как настроить в сети протокол TCP/IP -- написано чуть выше. Подключение к Провайдеру - это Ваша головная боль. Устанавливаем WinGATE.

Инсталлятор будет спрашивать серийный номер - надо дать номер или иметь крякалку и игнорировать вопрос о номере. Самое главное, когда он спросит, указать ему IP - адрес машины на которой он устанавливается и ее имя в DOMAIN/WORKGROUPE. Не меняйте значения портов !!! пусть будет как он ставит.

Основные понятия Сервер ( выделенный сервер )
это компьютер, который всегда включен и за ним практически никто не работает, ему даже монитор не сильно нужен по большому счету.

Одноранговая сеть
это сеть, в которой нет выделенных серверов, а все компьютеры подключенные к сети, делят между собой свои же ресурсы.

Сегмент сети
это часть сети, в которой все компьютеры "видят" друг друга напрямую. Любая сеть состоит как минимум из 1 сегмента. Сеть, состоящая из нескольких сегментов, имеет в своем составе более сложное сетевое оборудование, как то -- маршрутизатор, мост , коммутатор. А вот хаб ( концентратор ) и репитер -- это отдельная история.

Протокол
это "язык", на котором "разговаривают" компьютеры в сети. Наиболее популярные протоколы:

NETBEUI ( расширенный NetBIOS ), IPX/SPX , TCP/IP.

NETBEUI - старенький протокол, хорош для маленькой сети, которая состоит из одного сегмента.

IPX/SPX - родной протокол для Netware, его поддерживают все версии Netware. У него есть подробности в виде типа кадра Ethernet (тип фрейма). Для того чтобы компы в одной IPX - сети видели друг друга, они все должны работать на одинаковом типе кадра. см подробнее рецепт Сервера Netware.

TCP/IP - Internet-protocol, ему посвящены целые книги. Сложный протокол, в домашней сети его имеет смысл использовать в случае наличия систем UNIX, маршрутизатора и/или выхода в Интернет или просто для опыта.

ПАКЕТ
Информация в локальной сети путешествует в "пакетах" - в одинаковой длины кусках информации, в заголовках которых содержатся адреса отправителя и получателя. В IP-пакетах соответственно это IP-адреса, а в IPX-пакетах это ETHERNET-адреса.

ETHERNET
это тип сети, это "спецификация", это стандарт, это набор протоколов, это в целом практически все, относящееся к самой распространенной сетевой технологии с пропускной способностью 10 Мегабит. Наряду с Ethernet существуют ARCnet (устаревшая), Token Ring (отмирающая), Fast Ethernet, IOLAnet и др. Мы будем иметь дело в основном с Ethernetoм.

Сетевая карта
плата расширения, с помощью которой компьютер подключается к сети. Платы ETHERNET (см. выше) выпускают множество производителей , среди них: 3com, Intel, DEC, AMD, Cabletron и др., но самая массовая и популярная сетевая карта -- так называемая NE2000. Сетевые платы выпускаются в ISA-16 и PCI вариантах, с разъемами BNC и/или UTP (TP) , а иногда и с разъемом AUI. Каждая плата умеет уникальный адрес из 6 байт, типа [ 1E:34:00:00:FF:12 ], который называется ETHERNET-адрес или "мак-адрес".

Концентратор ( ХАБ, HUB )
это такой девайс, который "разветвляет" сеть на витой паре. Хабов очень много, они бывают очень разные. Принцип его действия прост -- любая Ethernet-информация, пришедшая на один из его портов, через небольшое время отсылается через все остальные порты. Соответственно все порты хаба двунаправленные. Существуют простые хабы, с количеством портов от 5 до 32, и сложные --- стековые и/или модульные, с настройкой портов - но это уже для большой и не домашней сети.

Маршрутизатор ( роутер )
это весьма интеллектуальное устройство, которое занимается тем, что обслуживает сети с протоколами TCP/IP или IPX/SPX. Маршрутизатор распознает адрес получателя и перенаправляет пакет только туда, куда ему, пакету, предназначено. Аппаратная реализация роутера весьма дорогостоящая штука (т.е. буквально - минимум штука$), а вот для домашней сети его можно сделать из недорогого (огого!) компутера. Или из дорогого.

"Расшаренный диск"
это диск или область на диске, который(ая) открыт для доступа другим обьектам сети. От англ. SHARE - разделять. "Шарить диски" - открывать диски для сетевого доступа, или , что наооборот, подключать чужие диски, предоставленные для доступа и шарить, шарить по ним грязными ручками ...

Сеть Интернет полностью меняет нашу жизнь, и мы только учимся осознавать ее возможности. Однако эта технология несет в себе и потенциальную угрозу разглашения персональных данных, важных корпоративных ресурсов и даже государственных тайн, а хакерские атаки становятся все более изощренными и опасными. И поэтому вопросам сетевой безопасности нужно уделять особое внимание, какими бы призрачными не казались эти угрозы.

Каждый день хакеры подвергают угрозе многие ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Этому способствуют два основных фактора. Во-первых, это повсеместное проникновение Интернет. Сегодня к сети Интернет подключены миллионы устройств. Многие миллионы устройств будут подключены к ней в ближайшем будущем. И поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение Интернет позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak" даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования. Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает уровень знаний и навыков, которые необходимы хакеру. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать и распространять простые в использовании приложения. Теперь, чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

И чтобы четко представить возможные угрозы для безопасности сети или данных, ниже будут перечислены типы существующих атак, а также способы по их предотвращению.

Классификация сетевых атакСетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TCP/IP. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится, В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Через много лет, получив множество рекламаций (RFC - Request for Comments), наконец, стали внедрять средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее будут кратко описаны типы атак, которые обычно применяются против сетей IP, и перечислены способы борьбы с ними.

Снифферы пакетовСниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.

Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
# Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
# Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
# Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
# Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).

IP-спуфинг IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
# Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
# Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Отказ в обслуживании (Denial of Service - DoS) DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений. Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите побольше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

# TCP SYN Flood
# Ping of Death
# Tribe Flood Network (TFN) N Tribe Flood Network 2000 (TFN2K)
# Trinco
# Stacheldracht
# Trinity

Отличным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (CERT - Computer Emergency Response Team), опубликовавшая отличную работу по борьбе с атаками DoS.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если график, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS).

Угроза атак типа DoS может снижаться тремя способами:
# Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
# Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
# Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации. При использовании обычных паролей старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения администратора, существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем.

Атаки типа Man-in-the-Middle Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

Атаки на уровне приложений Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки TCP порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный график для порта 80.

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернет все новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование.

Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
# Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
# Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad (http://www.securityfocus.com) и CERT (http://www.cert.com)
# Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
# Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS). Существуют две взаимодополняющие друг друга технологии IDS: 1) сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NDIS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию. 2) хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.
# В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых график считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является ее способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Сетевая разведка Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

Злоупотребление доверием Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Переадресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org/

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

Несанкционированный доступ Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин Telnet, хакер должен сначала получить подсказку Telnet на своей системе. После подключения к порту Telnet на экране появляется сообщение "authorization required to use this resource" (для пользования этим ресурсом нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту Telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

Вирусы и приложения типа "троянский конь" Рабочие станции конечных пользователей очень уязвимы для вирусов и "троянских коней". Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com. "Троянский конь" - это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Примером типичного "троянского коня" является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Борьба с вирусами и "троянскими конями" ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и "троянских коней" и пресекают их распространение. Получение самой свежей информации о вирусах поможет эффективнее бороться с ними. По мере появления новых вирусов и "троянских коней" предприятие должно устанавливать новые версии антивирусных средств и приложений.

Что такое политика безопасности? Вопрос безопасности всегда стоял перед компьютерными сетями, но сегодня как никогда растет осознание того, насколько важна безопасность компьютерных сетей в корпоративных инфраструктурах. В настоящее время для каждой корпоративной сети необходимо иметь четкую политику в области безопасности. Эта политика разрабатывается на основе анализа рисков, определения критически важных ресурсов и возможных угроз.

Политикой безопасности можно назвать и простые правила использования сетевых ресурсов, и детальные описания всех соединений и их особенностей, занимающие сотни страниц. Определение RFC 2196 (которое считается несколько узким и ограниченным) описывает политику безопасности следующим образом: "Политика безопасности - это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации".

Важно понять, что сетевая безопасность - это эволюционный процесс. Нет ни одного продукта, способного предоставить корпорации полную безопасность. Надежная защита сети достигается сочетанием продуктов и услуг, а также грамотной политикой безопасности и ее соблюдением всеми сотрудниками сверху донизу. Можно заметить, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности.

Политика безопасности сети предприятия является результатом оценки риска и определения важных средств и возможных угроз.

Средства сети в себя включают:
# Хосты сети (такие как ПК; включает операционные системы, приложения и данные хостов)
# Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые экраны)
# Данные сети (данные, которые передаются по данной сети)

Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности.

Базовыми элементами политики в области безопасности являются идентификация, целостность и активная проверка. Идентификация призвана предотвратить угрозу обезличивания и несанкционированного доступа к ресурсам и данным. Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и неизменность передаваемой информации. И наконец, активная проверка (аудит) означает проверку правильности реализации элементов политики безопасности и помогает обнаруживать несанкционированное проникновение в сеть и атаки типа DoS.

Механизмы идентичности необходимо внедрять осторожно, т.к. даже самая продуманная политика может быть расстроена, если сложно использовать усовершенствования. Классическим примером является запись пароля на клочке бумаги и прикрепление его к монитору компьютера - что является выходом для потребителя, который должен помнить множество паролей для получения доступа к меняющимся составным частям сети. Обременительные или чрезмерно дублированные системы верификации и авторизации могут расстроить пользователей, поэтому их следует избегать. Методы идентификации могут основываться на протоколе S/Key или осуществляться при помощи специальных аппаратных средств (token password authentication). А в среде модемного доступа часто применяется механизм идентификации по протоколу Point-to-Point Protocol (PPP), который включает использование протоколов Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol (EAP).

Целостность - это элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ.

Безопасность логического доступа главным образом относится к обеспечению механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам). Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно - между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом.

Конфиденциальность данных может обеспечиваться протоколами безопасности на транспортном уровне SSL и Secure Shell Protocol (SSH), которые осуществляют безопасную передачу данных между клиентом и сервером. Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм Web-транзакций, однако в настоящее время наиболее популярным средством является SSL. Средство SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных на сетевом уровне (в сетях IP). X.509 является стандартом безопасности и идентификации, который поддерживает структуры безопасности электронного информационного транспорта.

Последним главным элементом системы безопасности является аудит, который необходим для слежения и верификации процесса исследования политики безопасности. Для испытания эффективности инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени. Он также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа "отказ в сервисе"), а также общее следование политике безопасности объекта.

При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно - тогда она будет по-настоящему эффективна.

Перенести пару сотен мегабайт с настольного компьютера на Notebook – задача непростая, а если под рукой нет ни сети, ни пишущего CD-ROM, ни ZIP-драйва, ни даже захудалого стримера – практически невыполнимая!


Правда, самые смелые, недолго думая, развинчивают Notebook, вытаскивают винчестер и напрямую подключают его к настольному компьютеру. Как говорится, дешево и сердито, но рано или поздно такая операция заканчивается плачевно: или жесткий диск стукнут, припечатав головки к поверхности, или выведут его из строя неправильным подключением, или коснутся чувствительной микросхемы наэлектризованной лапой… К тому же, компьютеры могут быть на гарантии или просто владелец строго-настрого запретит их разбирать.

Впрочем, существует такая штука как Direct Cable Connections – прямое кабельное соединение по параллельному или последовательному порту. Шнурок Direct Parallel ® Universal Fast Cable от Parallel Technology развивает скорость до 3-6 мегабит в секунду (только не для Norton Commander – этот товарищ работает через BIOS и работает, надобно сказать, до жути тормозно), что вполне приемлемо для передачи больших объемов информации. Беда вот только в том, что некоторые, между прочим, достаточно многие современные Notebook-и из всех портов имеют один лишь порт USB. Эдакий образец слепого следования моде вопреки разуму, – чем же так плох LPT и за что ему такая немилость?



А почему бы не установить прямое кабельное соединение по USB-порту?

Хорошо бы! Но как? Просто воткнуть кабель в оба компьютера не получится: тот USB, что засобачен в материнскую плату ("USB A"), неравноценен тому, что встроен в подключаемое устройство ("USB B"). Грубо – это как папа и мама, или, если угодно, – как клиент и сервер. Для соединения "папы" с "папой" необходим двухсторонний контроллер порта – мостовой адаптер, берущий на себя обязанности по идентификации устройства (каждое устройство, подключаемое по USB, должно сообщать компьютеру определенную информацию о себе) и содержащий некоторое количество оперативной памяти для буферизации передаваемых данных.

Подобные адаптеры кабельного соединения через USB-порт предлагаются многими фирмами и стоят от тридцати до семидесяти долларов. На удивление высокая цена для пары разъемов, куска провода и одной микросхемы. Не иначе как отсутствие конкуренции дает о себе знать!

На мой взгляд, самые совершенные (и самые дорогие!) адаптеры выпускает фирма Parallel Technology, известная в России своими интерфейсными кабелями. Весь программно-аппаратный комплекс для связи по USB распространяется по цене семьдесят баксов за штуку и состоит из трехметрового шнурка, гордо именуемого "Net-LinQ USB Connection Cable", и драйвера USB-Bridge адаптера, выдающего себя за сетевую карту, что обеспечивает полноценное сетевое соединение по любому протоколу на выбор: NetBEUI, TCP/IP, IPX/SPX и т.д.

К слову сказать, OEM-версию "Net-LinQ USB Connection Cable" в отечественном магазине мне удалось приобрести всего за полста баксов, но без драйверов и следов присутствия документации. Ну, документацию заменил метод "тыка", а драйвера удалось скачать с сайта самой Parallel Technology, – к счастью, они распространяются бесплатно.

Скорость передачи (от ведущего компьютера к ведомому) составляет 4 мегабита в секунду, а приема (от ведомого компьютера к ведущему) – целых 8 мегабит в секунду, что лишь чуть-чуть уступает десяти мегабитному Ethernet – красота!

Штатной длины кабеля (три метра) вполне достаточно для большинства случаев, но при необходимости она может быть увеличена до пятидесяти и более метров. К сожалению, таких шнурков в отечественных магазинах мне до сих пор не попадалось и, видимо, единственный путь их приобретения – заказ в самой Parallel Technology. Впрочем, нехитрым движением паяльника удлинить кабель можно и самостоятельно – во сто крат быстрее и за гораздо меньшую цену. Вопреки всем предупреждениям фирмы о возможном несогласовании сопротивления, затухании сигнала и т.д. и т.п. все работает благополучно, хотя скорость действительно упала процентов на 20%.

Адаптер "Smart Link" неизвестного мне производителя стоит в районе пятидесяти долларов, но не обеспечивает полноценного сетевого соединения, а лишь позволяет копировать файлы собственным менеджером до боли напоминающим "кастрированный" Windows Commander. Ни тебе совместного доступа к принтеру, ни возможности выхода в Интернет или локальную сеть через настольный компьютер, да и удобство работы с самим Link-менеджером оставляет желать лучшего.

Как бы ни было хорошо прямое кабельное USB-соединение, у него, по сравнению с соединением через параллельный порт, есть один существенный недостаток: оно работает исключительно под Microsoft Windows и несильно выручает, если на девственно-чистом диске Notebook-а стоит одна лишь MS-DOS (как часто и бывает). Что же делать?!

Вариант первый: ждать-с! Фирма Parallel Technology в скором будущем обещает выложить полную спецификации USB-USB Bridge протокола. Тогда независимые программисты смогут разрабатывать свои собственные драйвера, работающие в том числе и под управлением MS-DOS. В том, что такие появятся, сомневаться не приходится: слишком уж многим приходится сталкиваться с проблемой кабельного соединения через USB-порт под голой MS-DOS. Вот только ждать у моря погоды – как-то некузяво. Когда такие драйвера появятся – неизвестно. Может быть не один год пройдет, а информацию на Notebook необходимо перекачать именно сейчас! Тогда…

Вариант второй: перенесите на Notebook Windows 95 OSR 2.1 в минимальной конфигурации с помощью дискет. Выкидывая все ненужное, можно втиснуть минимально работающий "остов" всего в десяток-полтора мегабайт, на что уйдет меньше пачки дискет. Много, конечно, но в принципе терпимо. Обратите внимание: это должна быть именно Windows 95 OSR 2.1! Более ранние версии еще не поддерживали USB, а более поздние занимают слишком много места и с трудом поддаются урезанию.

Вариант третий: используйте инфракрасный порт. Ими уже оснащаются многие Notebook-и, но настольные компьютеры подавляющим большинством пока что продаются без "глазков" и докупать ИК-адаптер придется самостоятельно.

Чтобы не мучаться с драйверами и прочей программной поддержкой, имеет смысл остановить свой выбор на моделях, поддерживаемых непосредственно BIOS. Большинство BIOS позволяют работать с ИК-адаптером, как с обычным последовательным портом. Это позволит устанавливать прямое кабельное соединение тем же стариком Norton Commander-ом или любой терминальной программой. Правда, скорость будет ограничена какой-то сотней килобит в секунду, что затруднит перенос больших объемов данных – дистрибутив Windows 2000 будет перекачиваться несколько часов. За это время можно не только чай попить, но и детей завести! Но более короткого пути, по-видимому, не существует.

Возможные проблемы и пути их устранения

Если соединение с настольным компьютером ни по параллельному, ни по USB, ни по инфракрасному порту установить не удается, причина, скорее всего, в том, что он работает под управлением Windows NT (Windows 2000), а Notebook – под Windows 9x.

А "подружить" эти две системы не так-то просто! С точки зрения Windows 2000 ее младшая сестра, Windows 9x, использует уязвимый протокол аутентификации, который Windows 2000 по умолчанию запрещает. Но перехватить трафик прямого соединения, не имея физического доступа к кабелю, невозможно. Поэтому, махнув рукой на все предупреждения о не безопасности, разрешите использовать протокол MS-CHAP для Windows 95 (на самом деле, при этом разрешается не протокол – протокол-то остается тот же самый – а посылка хэша Lan Manager, ломающегося тривиальным перебором за очень короткое время, поэтому Windows 2000 стремится всегда использовать один лишь NT-хэш, стойкость которого более чем достаточна).

Для разрешения протокола MS-CHAP для Windows 95 (кстати, вопиюще некорректное название – его используют и Windows 98, и Windows Me, а разработан он был и вовсе для "оси пополам") необходимо выполнить следующую последовательность действий: в "Свойствах" соединения перейдете к вкладке "Безопасность", затем переместите радиокнопку "Параметры безопасности" в положение "Дополнительные (особые параметры)" и нажмите "Настойка". В ниспадающем окне "Шифрование данных" выберете "необязательное (подключаться без шифрования)"; а в "Безопасном входе" установите галочки напротив "Протокол проверки пароля Microsoft (MS-CHAP)" и "Разрешать старый протокол MS-CHAP для Windows 95".

Перезагрузитесь и заново войдите в сеть. Если и на этот раз ничего не работает, то возможно что-то неладно с настройками BIOS – проверьте: действительно ли USB-порт enabled и Plug and Play allowed, а при соединении через инфракрасный адаптер режим последовательного порта – infrared и все остальные настойки (IR Mode, IR Duplex Mode, IR Transmitter) выставлены согласно документации на ИК-адаптер.

Вход в Интернет с Notebook-а через настольный компьютер без ProxyЕсли требуется войти с Notebook-а в локальную или Интернет-сеть через настольный компьютер, совсем не обязательно в срочном порядке на нем устанавливать Proxy-сервер (установить-то нетрудно, но вот не все справляются с его конфигурированием). Операционные системы Windows 98 Second Edition и Windows 2000 (вероятно также и Windows Me, но не проверял) содержат в себе встроенный Proxy, но не задействуют его по умолчанию. Вполне разумно его включить!

Поскольку мне ни разу не попадалась русская версия Windows 98 SE (майский выпуск Windows 98, выдаваемый продавцами за вторую редакцию, таковой на самом деле не является, что подтверждает та же утилита winver), речь будет идти исключительно о пан европейской версии – в "Control Panel" ведомого компьютера (т.е. того, что имеет прямой выход в Интернет). Дважды щелкните по иконке "Add/Remove program", перейдите к закладке "Windows Setup" и в категории "Internet tools" отыщите компонент "Internet Connection Sharing". Вот он-то вам и нужен! Перед началом его установки заготовьте один отформатированный трехдюймовый диск: на него будет записан клиент, необходимый ведомому компьютеру.

Установка ICS-сервера осуществляется автоматически и никаких сложностей не представляет. Если будет задан вопрос об используемом адаптере, укажите "Контроллер удаленного доступа", используемый модемным соединением (в пан европейской версии он так и называется – "Dial-Up Adapter") или адаптер вашей сетевой карты, если выход в Интернет осуществляется по локальной сети.

Локальная сеть "зашаривается" автоматически, а в свойствах тех Dial-Up соединений, что предполагается использовать совместно, взведите галочку "Enable Internet Connection Sharing". Также не лишнее в "Свойствах" Internet Explorer-а переместить радиокнопку "Dial-up setting" (закладка "Connections") в положение "Always dial my default connection" – после этого ведомый компьютер будет автоматически входить в Инетернет при получении запроса от ведущего. Для автоматического разрыва соединения необходимо войти в свойства модема и во вкладке "Connections" взвести галочку "Disconnect a call if idle for more than xxx mins" и указать, после скольких минут простоя надлежит разрывать Интернет-соединение.

После того, как на ведомом компьютере установлен ICS-сервер, на ведущий компьютер необходимо инсталлировать ICS-клиента. Вставьте в прорезь дисковода только что созданный диск и запустите оттуда файл ICSCLSET.EXE, предварительно прочитав read me, расположенный на той же дискете. Мастер Установки ICS-клиента не выполняет автоматического конфигурирования сетевых компонентов, перекладывая эту заботу на плечи пользователя. Вообще-то, все должно работать и при настойках по умолчанию, но так бывает не всегда.

В Windows XP "зашарить" Интернет-соединение еще проще: всего-то и нужно в свойствах удаленного соединения установить галочку "Разрешить другим пользователям устанавливать частное подключение к моему компьютеру с помощью туннеля в Интернете или другой сети".

Хорошая мысль - поставить на ведомый компьютер какой-нибудь простенький ftp-сервер. Работая на TCP, он освобождает от необходимости использования протокола NetBEUI и "зашаривания" ресурсов. (Ляпы реализации NetBEUI и техника атак на зашаренные ресурсы - тема другого разговора; здесь же достаточно сказать, что отказ от NetBEUI - лучше средство от головной боли и отличная превентивная мера защиты).

Приходилось ли вам думать о том, как было бы хорошо поиграть в какую-нибудь игрушку (тот же старый добрый Counter-Strike или Warcraft) не против ограниченного искусственного интеллекта (AI), а против такого же человека, как и вы, человека, который способен думать и действовать эмоционально и интуитивно. Если вы ещё об этом не думали, то представьте себе вашего родственника или друга, которому вы уже давно желаете доказать, что именно вы – лучший. В наше время, когда компьютеров становится всё больше, а с ними и больше людей, которые держат этого зверя у себя дома, осуществить заветные мечты становится невероятно легко.

ЧАСТЬ 1 - введениеИтак, разговор дальше пойдет не о чём ином, как о домашней сети. Что касается научной стороны дела, то сеть – это совокупность устройств (конечных рабочих станций, т. е. компьютеров), связанных между собой средой передачи данных (кабелями, радиоканалами и т. д.)

Какие же горизонты открываются перед нами благодаря сети? Конечно, сразу на ум приходят компьютерные клубы, в которых многие просиживают часами, играя во всевозможные игры по сети. Игр, поддерживающих сегодня мультиплеер, и вправду хватает. Но, в отличие от клуба, ваша домашняя сеть будет абсолютно бесплатной и удобной в использовании и, главное, сможет работать хоть и все 24 часа в сутки!

Кроме игр, сеть дает вам возможность обмениваться файлами и просто общаться друг с другом в реальном времени посредством микрофона. Вы сможете также просматривать фильмы с чужого компьютера, даже не копируя их на свой винчестер. Причем впечатление будет таким, как будто вы смотрите фильм со своей машины. Возможным будет также использование одного CD-ROMа или виртуального диска для обоих компьютеров. Но самой интересной может оказаться возможность использования совместного Интернет доступа.

Ну а для всего этого нам понадобятся:
# во-первых, как минимум, вы и ваш знакомый, живущий, скажем, этажом выше;
# во-вторых, наличие у каждого из вас, как минимум, по компьютеру;
# в-третьих, непреодолимое желание открыть то новое и неизведанное, о чем мечтает каждый уважающий себя обладатель компьютера;
# кроме этого нам, конечно, придется всё необходимое для работы в сети докупать и качать.

ЧАСТЬ 2 - установка и настройка Установка сети состоит из нескольких простых шагов. Для начала мы замеряем расстояние от одного компьютера к другому. Причем следует учесть тот маршрут, по которому будет проложен кабель, чтобы не ошибиться в нужной длине. Теперь взяв немного денег, идём в ближайший магазин за покупками. Вам понадобятся две сетевые карты общепринятого на сегодня стандарта 10/100. Это означает, что карта может передавать данные на скорости 10mbps и 100mbps. Одна такая карта будет стоить до $10. Далее сам кабель, называемый витой парой 5-й категории, обойдется вам примерно по $0.20 за метр. Плюс разъемы витой пары - RJ-45, которыми продавец на месте должен обжать провод по принципу "скрестный" (Crossover Ethernet). Он применяется для соединения двух отдельно стоящих компьютеров.

В случае, если вы собираетесь объединять не две, а несколько машин, обжим кабеля производится одинаково на обоих концах (Standard Ethernet). Причем, вам также понадобится устройство, называемое свичем, отвечающее за управления всеми транзакциями в сети.

Если вы вдруг решили обжимать провод сами, то советую посетить сайт http://www.homenethelp.com/, на котором вы найдете детальное объяснение витой пары и массу другой полезной информации.

Что ж, добежав домой, вы аккуратно вставляете сетевую карту в свободный PCI слот на материнской плате и подключаете кабель на обеих машинах. Жмем Power, и, если все сделано правильно, то еще до загрузки операционной системы, зелёные индикаторы на ваших сетевых картах загорятся! Первый шаг сделан.

Уже в Windows устанавливаем драйвер для нового устройства – Ethernet Adapter. Теперь приступим непосредственно к настройке сети. В WinXP выбираем Сетевые Подключения -> Установить Домашнюю Сеть или Сеть Малого Офиса -> далее следуем указаниям мастера настройки.

В последних окнах вы задаете Описание и Имя Компьютера (например, ваше полное имя и инициалы), а также Рабочую Группу (можно оставить "MSHOME"). Следующий шаг - идентифицировать каждый компьютер в сети по IP адресу. Панель Управления -> Сетевые Подключения -> Свойства вашего локального соединения -> свойства TCP/IP -> выбираем Использовать следующий IP адрес. В поле IP-адрес на одном компьютере пишем 192.168.1.1, на другом 192.168.1.2; и на обеих в поле Маска подсети пишем 255.255.255.0.

Настройка сети под управлением Win9xMe ничем существенным не отличается от вышеописанного. После установки драйверов, входим Панель управления -> Сеть -> Конфигурация.

Следующие компоненты должны обязательно находиться в списке:
# Клиент для сетей Microsoft
# ваша сетевая карта (Ethernet Adapter)
# TCP/IP -> ваша сетевая карта (Ethernet Adapter)
# Служба доступа к файлам и принтерам сетей Microsoft
# IP-адресация производиться тем же образом, что и под WinXP. Второй шаг сделан!

Приступим к проверке нашего соединения? Первое, что сделал я, запустил Казаков на обеих компах. Хотя есть способ полегче. В командной строке введите команду "ping" и IP-адрес друга (192.168.1.2).

Если всё ОК, то вы увидите, что ваша машина послала и приняла пакеты данных. Но вернемся к нашим играм, ведь ради них (скорее всего) вы это все развернули.

Покажу на примере Казаков, как рождается игра по сети. Этот принцип используется почти во всех игрушках. Запускаем игру на обоих компьютерах. Выбираем Сетевую игру (режим мультиплеер). Соединение TCP/IP. А теперь важный момент! Один выбирает "Создать игру" и, следовательно, он будет сервером, т. е. будет настраивать игру (карта, противники, примочки и т. д.); другой выбирает "Соединиться" и, выбрав сервер, дает разрешение начать игру. Сервер жмет старт и... вы в игре. Всё просто.

ЧАСТЬ 3 - дополнениеНо всё это только малая доля того, на что способна ваша домашняя сеть! Предлагаю небольшой обзор полезного софта для сетки.

WINPING В Win9x/Me есть простенькая и совершенно непригодная прога для общения. Запустив её на обеих машинах, вы сможете разве что посылать одиночные сообщения. Но это никак нельзя назвать удобным общением. Таких программ много.

INTERCOM Вот это уже другое дело. Программка построена по принципу общения в чате. В главном окне вы видите весь процесс переписки, а в дополнительном пишете ваше сообщение.

Общаться в сети таким образом весьма удобно и интересно. Более того, прога умеет посылать картинки и файлы, а также одним щелчком вставлять смешные рожицы в ваши сообщения. Постоянно находясь в системном трее, intercom может оповещать вас о включении другого компьютера и о новых сообщениях миганием и/или звуковым сигналом.

И вот, наконец, проги, позволяющие превратить вашу сеть в телефон. TEAMSOUND, ROGER WILCO, VYPRESS TONECAST. Все эти программы идеально подходят для голосового общения по протоколу TCP/IP. Это пригодится всем любителям игр. Ведь как иначе заставить вашего противника по компьютерным баталиям задрожать от страха, как не громким и ужасающим возгласом: "Оглянись! Вот он Я сзади!"

SUPERVISOR Программа, напоминающая по своим способностям не что иное как Windows Commander. На одном компьютере запускаем сервер, на другом клиент. Все, теперь клиентская машина полностью в нашем распоряжении! Вы можете просматривать все её диски (при этом не обязательно, чтобы вам был дан к ним доступ!), удалять, копировать файлы, делать скриншоты рабочего стола и даже перезагружать компьютер. Досадно только, что большинство этих функций в незарегистрированной версии не работают.

Вот мы и справились с нашим заданием. В мире существует ещё много неизведанного. Так что не стесняйтесь и двигайтесь в ногу со временем. Думаю, это совсем не сложно. Более того, интересно и увлекательно. GOOD LUCK!

Будущее предсказать нельзя, однако можно с уверенностью сказать, что требования вашей сети будут расти. Это определяется двумя факторами: возрастающей сложностью сетевого программного обеспечения и все большим влиянием сети на работу каждого сотрудника вашей организации. Критический вопрос в планировании любой сети - это сохранение инвестиций в оборудование: приобретаемое сегодня аппаратное обеспечение должно служить вам и завтра, когда сеть расширится. Если говорить конкретно, то следует выбирать решения, отвечающие перечисленным ниже требованиям.

МасштабируемостьВы должны иметь возможность начать с инвестиций в оборудование, отвечающее вашим нынешним требованиям, а затем использовать его для наращивания пропускной способности, производительности и функциональности, причем делать это в нужном вам темпе. Таким образом, важно заранее планировать и просчитывать пути "миграции", используя в качестве основы первоначально имевшуюся у вас сетевую технологию.

Например, можно начать с наращиваемого концентратора Ethernet/Fast Ethernet 10/100 Мбит/с, такого как 3Com SuperStack II Dual Speed Hub 500, а затем подключать дополнительное число пользователей и добавлять серверы, установив коммутатор SuperStack II Switch 1100. При этом исходный концентратор, серверы и даже пользователи, решающие ресурсоемкие задачи, получают выделенные соединения 10 или 100 Мбит/с.

Затем можно расширять пропускную способность этого "стека" устройств, добавляя к нему коммутаторы, концентраторы, маршрутизаторы, серверы удаленного доступа и системы резервного питания. Все эти устройства управляются встроенными или факультативными средствами. Семейство решений OfficeConnect компании 3Com предлагает аналогичные функции и возможности расширения для малых компаний (сети которых содержат менее 25 узлов).

Еще одна стратегия масштабируемости в больших сетях заключается в инсталляции концентратора в корпусном исполнении, например, такого как 3Com CoreBuilder. Это позволяет добавлять к концентратору модули или платы, дополнять его новыми функциями или постепенно, в нужные вам сроки, увеличивать избыточность.

ГибкостьПоскольку предъявляемые к сети требования меняются очень быстро, ваша конфигурация должна быть рассчитана на адаптацию к новым потребностям без крупных модификаций. Выбираемые решения должны поддерживать несколько типов сетевых кабелей, включая витую пару, коаксиальный или оптоволоконный кабель. Инсталляция решений 10/100-Мбит/с Ethernet/Fast Ethernet, таких как 3Com SuperStack II Dual Speed Hub 500, гарантирует, все возрастающие требования к сети в рабочей группе и необходимость выделения дополнительных каналов не заставят вас врасплох. Для сетей разного типа потребуются решения, соответствующие нескольким технологиям, от Ethernet и Fast Ethernet до Gigabit Ethernet.

ОтказоустойчивостьРезервные линии обеспечивают защиту от отказа и позволяют подключать сетевое оборудование различными путями. Если одно из соединений выходит из строя, трафик мгновенно передается по резервным линиям. Например, можно подключить сервер к двум концентраторам с резервными линиями. Если один концентратор отключается или отказывает, автоматически, без прерывания работы пользователей, активизируется резервное соединение с сервером.

НадежностьПо мере того, как растет ваша зависимость от сети, ее простои обходятся все дороже. Необходимо искать такие решения, которые обеспечивают повышенную надежность, необходимую гарантию и стратегии обслуживания. Следует принимать во внимание такие критические факторы, как отказоустойчивость и избыточность.

Например, продукты компании 3Com имеют такие средства, как монтируемый в стойке наращиваемых устройств сдвоенный источник питания, двойная подсистема коммутации и поддержка избыточных линий (если одна из них отказывает, то резервная автоматически включается в работу для предотвращения простоя). Кроме того, компания 3Com поддерживает создание сетей бесперебойной работы с помощью сетевого программного обеспечения Transcend, представляющего собой полный набор инструментальных средств, которые позволяют предотвращать появление проблем.

УправляемостьС ростом сети все более важное значение приобретает возможность мониторинга и управления потоками трафика, прогнозирование разного рода проблем и диагностика неисправностей. Поддержка в сетевых коммутаторах, концентраторах и сетевых платах средств RMON обеспечивает эффективный способ сбора данных о производительности сети, ее трафике и выявления тенденций, способных привести к проблемам. Следует выбирать решения, поддерживающие SNMP - широко распространенный стандарт управления разнообразными устройствами в сетевой среде. Возможности администрирования на базе Web позволяют управлять устройствами с любого ПК, применяя Web-браузер для удаленной настройки конфигурации и устранения проблем.

Кроме того, мощный набор графических инструментальных средств управления, таких как Transcend, программное обеспечение управления сетью от 3Com, дает полное представление о сети. Это позволяет определить, где, когда и почему возникает "узкое место", предотвратить задержки в работе сети, легко и прозрачно перемещать пользователей из одного сегмента в другой, изменять конфигурацию устройств в сети - и все это централизованно, с управляющей рабочей станции. ПО Transcend даже предлагает средства управления крупными сетями с помощью любого Web-браузера. Таким образом, администраторы всегда будут "держать руку на пульсе" своих сетей.

ЗащитаКаждая сеть нуждается в той или иной форме защиты. Простой защиты с использованием пароля, предлагаемой операционными системами, редко оказывается достаточно. Следует искать сетевые решения, предлагающие дополнительные возможности защиты на уровне концентратора, коммутатора, маршрутизатора и сервера удаленного доступа. Это позволяет блокировать доступ к отдельным устройствам, создавать разные категории доступа к критическим данным, блокировать внутреннюю сеть от вторжения через Internet или телефонную сеть общего пользования.

Нужно иметь в виду, что организованная должным образом защита не ограничивается одним устройством или группой устройств. Сильная защита - это подробный набор правил, управляющих совместным использованием ПК и переносимых носителей (таких как дискеты), переносом данных из сети и т.д.

РезюмеМожно перечислить следующие "золотые правила" успешного построения сети:
# идентификация будущих потребностей вашей сети - особенностей развития сети, увеличение числа удаленных филиалов и мобильных сотрудников,
# расширение применения приложений мультимедиа;
# планирование изменений - выбор масштабируемых и гибких продуктов;
# поиск поставщика, способного предложить надежные продукты;
# основанные на открытых отраслевых стандартах и имеющие твердую гарантию;
# создание исчерпывающего плана защиты и выбор продуктов,
# обеспечивающих несколько уровней защиты критических сетевых ресурсов.

Даже в век развития компьютерных сетей и сетевых технологий время от времени возникает задача переноса файлов с одного компьютера на другой, но встречаются машины, не связанные ни локальной, ни глобальной сетью. Производители компьютеров, как настольных, так и портативных, предусмотрительно оснастили свою продукцию набором интерфейсов ввода-вывода, предназначенных для подключения разнообразных периферийных устройств или собратьев-компьютеров.

Самыми популярными интерфейсами ввода-вывода являются последовательные (COM) и параллельные (LPT) порты.
К последовательным чаще подключаются устройства, которые должны не только передавать информацию в компьютер, но и принимать ее — например, мышь, модем, сканер. Всеми устройствами, которым необходима двунаправленная связь с компьютером, используется стандартный последовательный порт RS232C (Reference Standart number 232 revision C), который позволяет передавать данные между несовместимыми устройствами. Классическое соединение двух компьютеров выполняется нуль-модемным кабелем и обеспечивает скорость передачи данных не более 115,2 Кбит/с. Кабель для такого соединения несложно изготовить самостоятельно. Параллельные порты обычно используются для подключения принтеров и работают в однонаправленном режиме, хотя могут передавать информацию в обоих направлениях. Отличие двунаправленного порта от однонаправленного не только в толщине кабеля, но и в самом интерфейсе. Возможность переключения параллельного порта в двунаправленный режим можно проверить в настройках CMOS. Расширенный параллельный порт (ECP) обеспечивает скорость передачи данных не более 2,5 Мбит/с и является самым дешевым и доступным решением.

Портативные компьютеры и другие устройства иногда оснащаются инфракрасным IrDA-портом ввода-вывода. Современные мобильные устройства поддерживают скорость передачи данных до 4 Мбит/с, но даже у старых моделей с IrDA-портом скорость передачи достигала 1 Мбит/с. В настоящее время для настольных и портативных компьютеров разработано два высокоскоростных устройства с последовательной шиной, получивших название USB (Universal Serial Bus — универсальная последовательная шина) и IEEE 1394, называемая также i.Link или FireWare.

Практически любой современный компьютер имеет разъемы подключения USB. В разработке этого стандарта принимали участие семь компаний: Digital Equipment, IBM, Intel, Compaq, NEC, Microsoft и Northern Telecom. На физическом уровне кабель представляет собой две скрученные пары проводников: по одной передаются данные в двух направлениях, вторая является линией питания (+5 В), обеспечивающей ток до 500 мА, благодаря чему USB позволяет применять периферийные устройства без блока питания. Скорость передачи данных составляет 12 Мбит/с — это даже выше 10 Мбит/с LAN. Но величина затухания сигнала в USB гораздо выше, поэтому расстояние между подключенными устройствами ограничивается несколькими метрами. USB-порты лишены несовместимости, которая иногда встречается у СOM- или LPT-портов. Все подключенные через USB устройства конфигурируются автоматически (PnP) и допускают горячее Hot Swap включение/выключение.

К одному компьютеру теоретически можно подсоединить до 127 устройств через цепочку концентраторов по топологии "звезда". На практике это число ниже — не более 16-17 — ограничительными факторами выступают сила тока и пропускная способность шины. Передача данных по шине может осуществляться как в асинхронном, так и в синхронном режиме.

Скоростные характеристики различных портов ввода-вывода: скорость передачи данных (Мбит/сек) USB — 12; IrDA — 4; LPT (ECP) — 2,5; COM — 0,115
Организовать связь между двумя компьютерами можно посредством стандартного комплекта ПО, встроенного в Windows. Это Direct Cable Connection (DCC) — прямое кабельное соединение по параллельному или последовательному порту. Но оно не всегда будет успешным из-за неполной аппаратной совместимости СOM- или LPT-портов в соединяемых машинах.

Для соединения двух компьютеров по USB нельзя использовать простой кабель USB A-A. Потребуется специальный кабель USB Smart Link, который оснащен оптронной развязкой и специальной микросхемой-контроллером, выполняющей функцию моста (bridge).

Установка и конфигурация драйвера осуществляется автоматически, после установки драйверов устройство сразу готово к работе, потребуется только установить программу — что-то вроде менеджера файлов. В комплекте с кабелем и драйвером обычно поставляется программа USB Link. Она позволяет передавать файлы от одного компьютера к другому, имеет простой интерфейс, который разделен на два окна: свой компьютер и удаленный. В правом нижнем углу программы есть два индикатора, зеленый цвет которых свидетельствует об установлении полнодуплексной связи. При запуске она автоматически производит поиск устройства USB Smart Link и пытается обнаружить удаленный компьютер и запущенную на нем аналогичную программу. После этого происходит полная синхронизация файловых систем на всех дисках обоих компьютеров. Программа работает в режиме Hot Swap, при отключении и подключении второго компьютера срабатывает автоматически. К сожалению, поставляемый драйвер стабильно работает и без проблем устанавливается только под операционной системой Windows 98 SE, но зато в этой "тарелке" обеспечивается высокая скорость передачи данных, а также простота настройки и подключения.

Еще одно решение для соединения между собой двух компьютеров предоставляет PC-Link USB Bridge Cable Link-100. Это USB-кабель с разъемами типа А с обеих сторон и утолщением, в котором смонтирована плата на чипсете компании Prolific. Вместе с драйвером устанавливается программа PC-Linq — разновидность Link Commander. Работа и внешний вид программы аналогичны USB Link, но у нее есть преимущества в поддержке операционных систем Windows XP и Windows 2000.

Скорость обмена данными между компьютерами значительно превышает скорость соединения через последовательный и даже параллельный порт и сопоставима со скоростью работы локальной сети на 10 Мбит/с. Успешно решаются задачи регулярной перекачки как малого, так и значительного объема файлов, например, между портативным и настольным компьютером.

Разумеется, такой набор полезных функций может показаться недостаточным. А как же поддержка работы компьютерных игр, совместные сетевые ресурсы и доступ всех пользователей к одному каналу Интернет? Все это становится возможным с помощью другого устройства — модели Link-200. Она позволит организовать на основе USB-связи одноранговую сеть, к которой можно подключить до 16 компьютеров. Link-200 использует контроллер и драйверы от фирмы AnchorChips. Устройство представляет собой небольшую полупрозрачную коробочку с интегрированным в нее кабелем USB A. На другой стороне коробочка снабжена USB-разъемом типа B. В комплекте поставляется кабель A-B и дискета с драйверами.
Для построения сети используется топология типа "звезда". Один компьютер выполняет роль ведущего, а остальные находятся под его управлением. Это связано с тем, что сеть на основе EZ-Link имеет свою внутреннюю структуру из собственных цифровых имен и через драйверы, которые являются бриджами, подключаются к обычной сети. Есть возможность совместно использовать принтеры и другую периферию, как в обычной локальной сети. Также можно использовать этот кабель для подключения портативного компьютера к корпоративной сети. Для этого потребуется компьютер, уже подключенный к сети и имеющий свободный USB-порт. В данной конфигурации настольный компьютер будет работать как шлюз между корпоративной и USB-сетями.

Как обычно для USB-устройств, установка очень простая. Программа автоустановки установит необходимые драйверы и программное обеспечение EZ-Link manager. Если на вашем компьютере до этого не была установлена сеть, то вам придется ввести имя компьютера, под которым он будет виден в сети. После установки драйверов необходимо перезагрузить компьютер и только после этого подключить Link 200 к свободному порту. В настройках драйвера Link 200 в разделе Advanced можно изменить уникальный номер компьютера, под которым он виден в USB-сети на основе Link 200.

EZ-Link manager будет запускаться при каждой загрузке компьютера. Если компьютер не подключен к сети, иконка будет серой, а после подключения кабеля Link 200 к USB-портам двух компьютеров он автоматом определит наличие связи, активирует сетевое соединение, и иконка сменит цвет на синий. Работа с сетью на основе адаптеров Link 200 полностью идентична работе с обычной сетью: можно подключать сетевые диски и прочие сетевые ресурсы, запускать сетевые игры через протокол TCP/IP или IPX.

Таким образом, Link 200 дает возможность создать полнофункциональную сеть при минимальных затратах. Установка и настройка драйверов осуществляется очень просто. При сравнительно небольшой цене за комплект для соединения двух машин Link 200 создает серьезную конкуренцию обычным сетевым картам. К сожалению, данное решение пока работает только под Windows 98/95, но производители обещают выпустить драйверы и под Windows 2000.

Еще одно устройство, USBNet, позволяет соединить два компьютера, построив сеть без установки сетевых карт. Минимальные требования к компьютерам — Windows 98 и наличие USB. При использовании USBNet компьютеры в сети получают возможность совместного использования файлов, программ и периферийного оборудования: дисководов гибких и жестких дисков, CD-ROM, принтеров, сканеров, модемов. USBNet — это идеальное решение для небольших офисов, сетевых игр и небольших домашних сетей. Количество пользователей в такой сети может достигать 17. Скорость передачи данных до 5 Мб/сек. Устанавливается специалный протокол соединения USB, имеется поддержка TCP/IP и других сетевых протоколов. Устройство устанавливается как адаптер локальной сети.

USB Smart link позволяет соединять для работы не только PC и PC, но и PC/Mac, Mac/Mac. При подключении через USBLink достаточно установить драйвер устройства на оба компьютера и программу USB Bridge cable. С помощью этой программы можно переносить файлы и папки с одного компьютера на другой примерно так, как это происходит в любом из файловых менеджеров. Но копирование файлов можно производить только в одну сторону — одновременно не получится. Кстати, USBNet лишен этого недостатка. Драйвер устройства, все необходимые сетевые протоколы и службы доступа устанавливаются автоматически. Специфические протоколы, именуемые чаще всего USB-USB Bridge net, необходимо установить только на внешний компьютер, у которого есть подключение к локальной сети, причем установка произойдет автоматом — вам нужно лишь согласиться с запросом: да или нет. Недостаток USBNet — низкая скорость прокачки: при заявленных 5 Мбит/с чаще всего получается 3 Мбит/с. Но это компенсируется возможностью доступа не только к файлам, но и к приложениям второго компьютера, а также использование по сети принтера, сканера и других периферийных устройств. Различия в операционных системах и процессорах соединяемых компьютеров на их работу не влияют.

Для примера монтажа Wi Fi сети имеется стационарный компьютер с постоянным подключением к Интернет, и ноутбук, который мы хотели бы соединить в локальную сеть, а также обеспечить совместный выход в Интернет.

Открываем свойства сетевого окружения, где отображаются все, имеющиеся на нашем компьютере сетевые соединения. Теперь открываем "свойства беспроводное соединения 3" этого соединения, где нас интересует вторая закладка «Беспроводные сети». Именно здесь будут проводиться все настройки беспроводной сети.

Опция «Использовать Windows для настройки сети» позволяет выбрать, какими инструментами будет производиться настройка.

На следующем этапе создаем беспроводное соединение путем нажатия кнопки «добавить» в разделе «Предпочитаемые сети», где необходимо ввести имя сети, а также установить некоторые специальные параметры, обеспечивающие определенный уровень безопасности.

Средства Windows XP позволяют создать беспроводную сеть с помощью специального мастера, доступного в разделе «Доступные сети». Для этого необходимо нажать кнопочку «Беспроводные сети» и в открывшемся менеджере беспроводных сетей нажать кнопку «Установить беспроводную сеть». Главным отличием этого мастера является возможность сохранения настроек беспроводной сети на Flash диске, что заметно упрощает перенос конфигурации сети на другие компьютеры, однако для ситуации, когда необходимо соединить два компьютера, эта особенность не актуальна.

Рассмотрим второй способ настройки с помощью утилиты поставляемой в комплекте с контроллером LevelOne WNC -0101 USB. Для того, чтобы разрешить использование фирменной утилиты необходимо убрать галочку «Использовать Windows для настройки сети» в закладке «Беспроводные сети».

Утилита включает несколько больший набор особенностей, чем средства Windows. Здесь имеется шесть закладок. Первая закладка «LAN Status» отображает все, найденные вокруг, беспроводные сети, а также показывает мощность и качество сигнала.

Создать новую сеть можно, открыв закладку «Setting».

Данная утилита имеет ряд особенностей, здесь можно создать до пяти профилей, позволяющих быстро менять параметры соединения. Создаем первый профиль, первоначально нужно указать имя сети ( SSID ), тип сети ( AD - Hoc ). Используемый канал связи и страну можно оставить без изменений. Дополнительные свойства соединения доступны в окне «Advance». Здесь пользователь может выбрать скорость передачи, режим сохранения энергии (важно для ноутбуков), а также режим шифрования.

На этом первый этап настройки настольного компьютера завершен и теперь необходимо настроить беспроводную сеть на ноутбуке.

Данный процесс полностью идентичен настройке настольного компьютера, которую мы рассмотрели выше, за исключением Wi Fi контроллера и специализированной программы для его настройки.

Устанавливаем соединение между двумя компьютерами. Для этого используется как фирменная утилита, так и менеджер сетевого соединения Windows XP. Необходимо выполнить перезагрузку обоих компьютеров, что позволит установить автоматическое соединение, о чем будет свидетельствать иконка в системной области рабочего стола.

В случае если соединения не произошло, нужно открыть утилиту настройки Wi Fi контроллера или менеджер сетевого соединения Windows XP.

В основном окне менеджера отображается список обнаруженных сетей.

Теперь приступим к настройки IP соединения, настройки шлюза и совместного доступа к файлам и принтерам.

Для решения этой задачи необходимо зайти в свойства сетевого окружения, установить необходимые протоколы, путем нажатия кнопки добавить, а так же установить необходимые службы (служба доступа к файлам и папкам сетей Микрософт и клиент для сетей Микрософт). Так же необходимо правильно сконфигурировать ip адрес, таким образом чтобы он не был задействован во внутренней сети, что вызовет конфликт адресов в результате которого не удастся настроить шлюз. Далее нужно настроить файрвол.

Запускаем мастер настройки сети имя компьютера и описание (необязательно), а также имя рабочей группы.

Архитектура, компоненты сети и стандарты

Стандарт RadioEthernet IEEE 802.11 - это стандарт организации беспроводных коммуникаций на ограниченной территории в режиме локальной сети, т.е. когда несколько абонентов имеют равноправный доступ к общему каналу передач. 802.11 - первый промышленный стандарт для беспроводных локальных сетей (Wireless Local Area Networks ), или WLAN. Стандарт был разработан Institute of Electrical and Electronics Engineers (IEEE), 802.11 может быть сравнен со стандартом 802.3 для обычных проводных Ethernet сетей.

Стандарт RadioEthernet IEEE 802.11 определяет порядок организации беспроводных сетей на уровне управления доступом к среде (MAC-уровне) и физическом (PHY) уровне. В стандарте определен один вариант MAC (Medium Access Control) уровня и три типа физических каналов.
Подобно проводному Ethernet, IEEE 802.11 определяет протокол использования единой среды передачи, получивший название carrier sense multiple access collision avoidance (CSMA/CA). Вероятность коллизий беспроводных узлов минимизируется путем предварительной посылки короткого сообщения, называемого ready to send (RTS), оно информирует другие узлы о продолжительности предстоящей передачи и адресате. Это позволяет другим узлам задержать передачу на время, равное объявленной длительности сообщения. Приемная станция должна ответить на RTS посылкой clear to send (CTS). Это позволяет передающему узлу узнать, свободна ли среда и готов ли приемный узел к приему. После получения пакета данных приемный узел должен передать подтверждение (ACK) факта безошибочного приема. Если ACK не получено, попытка передачи пакета данных будет повторена.

В стандарте предусмотрено обеспечение безопасности данных, которое включает аутентификацию для проверки того, что узел, входящий в сеть, авторизован в ней, а также шифрование для защиты от подслушивания.
На физическом уровне стандарт предусматривает два типа радиоканалов и один инфракрасного диапазона.

В основу стандарта 802.11 положена сотовая архитектура. Сеть может состоять из одной или нескольких ячеек (сот). Каждая сота управляется базовой станцией, называемой точкой доступа (Access Point, AP). Точка доступа и находящиеся в пределах радиуса ее действия рабочие станции образуют базовую зону обслуживания (Basic Service Set, BSS). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему (Distribution System, DS), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняется непосредственно рабочими станциями.

В настоящее время существует множество стандартов семейства IEEE 802.11:

1. 802.11 - первоначальный основополагающий стандарт. Поддерживает передачу данных по радиоканалу со скоростями 1 и 2 (опционально) Мбит/с.
2. 802.11a - высокоскоростной стандарт WLAN. Поддерживает передачу данных со скоростями до 54 Мбит/с по радиоканалу в диапазоне около 5 ГГц.
3. 802.11b - самый распространенный стандарт. Поддерживает передачу данных со скоростями до 11 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
4. 802.11c - Стандарт, регламентирующий работу беспроводных мостов. Данная спецификация используется производителями беспроводных устройств при разработке точек доступа.
5. 802.11d - Стандарт определял требования к физическим параметрам каналов (мощность излучения и диапазоны частот) и устройств беспроводных сетей с целью обеспечения их соответствия законодательным нормам различных стран.
6. 802.11e - Создание данного стандарта связано с использованием средств мультимедиа. Он определяет механизм назначения приоритетов разным видам трафика - таким, как аудио- и видеоприложения. Требование качества запроса, необходимое для всех радио интерфейсов IEEE WLAN.
7. 802.11f - Данный стандарт, связанный с аутентификацией, определяет механизм взаимодействия точек связи между собой при перемещении клиента между сегментами сети. Другое название стандарта - Inter Access Point Protocol. Стандарт, описывающий порядок связи между равнозначными точками доступа.
8. 802.11g - устанавливает дополнительную технику модуляции для частоты 2,4 ГГц. Предназначен, для обеспечения скоростей передачи данных до 54 Мбит/с по радиоканалу в диапазоне около 2,4 ГГц.
9. 802.11h – Разработка данного стандарта связана с проблемами при использовании 802.11а в Европе, где в диапазоне 5 ГГц работают некоторые системы спутниковой связи. Для предотвращения взаимных помех стандарт 802.11h имеет механизм "квазиинтеллектуального" управления мощностью излучения и выбором несущей частоты передачи. Стандарт, описывающий управление спектром частоты 5 ГГц для использования в Европе и Азии.
10. 802.11i (WPA2) – Целью создания данной спецификации является повышение уровня безопасности беспроводных сетей. В ней реализован набор защитных функций при обмене информацией через беспроводные сети - в частности, технология AES (Advanced Encryption Standard) - алгоритм шифрования, поддерживающий ключи длиной 128, 192 и 256 бит. Предусматривается совместимость всех используемых в данное время устройств - в частности, Intel Centrino - с 802.11i-сетями. Затрагивает протоколы 802.1X, TKIP и AES.
11. 802.11j - Спецификация предназначена для Японии и расширяет стандарт 802.11а добавочным каналом 4,9 ГГц.
12. 802.11n - Перспективный стандарт, находящийся на сегодняшний день в разработке, который позволит поднять пропускную способность сетей до 100 Мбит/сек.
13. 802.11r - Данный стандарт предусматривает создание универсальной и совместимой системы роуминга для возможности перехода пользователя из зоны действия одной сети в зону действия другой.

Из всех существующих стандартов беспроводной передачи данных IEEE 802.11, на практике наиболее часто используются всего три, определенных Инженерным институтом электротехники и радиоэлектроники (IEEE), это: 802.11b, 802.11g и 802.11a.

802.11b. В окончательной редакции широко распространенный стандарт 802.11b был принят в 1999 г. и благодаря ориентации на свободный от лицензирования диапазон 2,4 ГГц завоевал наибольшую популярность у производителей оборудования. Пропускная способность (теоретическая 11 Мбит/с, реальная — от 1 до 6 Мбит/с) отвечает требованиям большинства приложений. Поскольку оборудование 802.11b, работающее на максимальной скорости 11 Мбит/с, имеет меньший радиус действия, чем на более низких скоростях, то стандартом 802.11b предусмотрено автоматическое понижение скорости при ухудшении качества сигнала.

К началу 2004 года в эксплуатации находилось около 15 млн. радиоустройств 802.11b.
В конце 2001-го появился - стандарт беспроводных локальных сетей 802.11a, функционирующих в частотном диапазоне 5 ГГц (диапазон ISM). Беспроводные ЛВС стандарта IEEE 802.11a обеспечивают скорость передачи данных до 54 Мбит/с, т. е. примерно в пять раз быстрее сетей 802.11b, и позволяют передавать большие объемы данных, чем сети IEEE 802.11b.

К недостаткам 802.11а относятся большая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300 м, а для 5 ГГц — около 100 м). Кроме того, устройства для 802.11а дороже, но со временем ценовой разрыв между продуктами 802.11b и 802.11a будет уменьшаться.

802.11g является новым стандартом, регламентирующим метод построения WLAN, функционирующих в нелицензируемом частотном диапазоне 2,4 ГГц. Максимальная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет 54 Мбит/с. Стандарт 802.11g представляет собой развитие 802.11b и обратно совместим с 802.11b. Соответственно ноутбук с картой 802.11g сможет подключаться и к уже действующим точкам доступа 802.11b, и ко вновь создаваемым 802.11g. Теоретически 802.11g обладает достоинствами двух своих предшественников. В числе преимуществ 802.11g надо отметить низкую потребляемую мощность, большую дальность действия и высокую проникающую способность сигнала. Можно надеяться и на разумную стоимость оборудования, поскольку низкочастотные устройства проще в изготовлении.

Организация сети

Стандарт IEEE 802.11 работает на двух нижних уровнях модели ISO/OSI: физическом и канальном. Другими словами, использовать оборудование Wi Fi так же просто, как и Ethernet: протокол TCP/IP накладывается поверх протокола, описывающего передачу информации по каналу связи. Расширение IEEE 802.11b не затрагивает канальный уровень и вносит изменения в IEEE 802.11 только на физическом уровне.

В беспроводной локальной сети есть два типа оборудования: клиент (обычно это компьютер, укомплектованный беспроводной сетевой картой, но может быть и иное устройство) и точка доступа, которая выполняет роль моста между беспроводной и проводной сетями. Точка доступа содержит приемопередатчик, интерфейс проводной сети, а также встроенный микрокомпьютер и программное обеспечение для обработки данных.

Физический уровень IEEE 802.11

Стандарт IEEE 802.11 предусматривает передачу сигнала одним из двух методов - прямой последовательности (Direct Sequence Spread Spectrum, DSSS) и частотных скачков (Frequency Hopping Spread Spectrum, FHSS) различающиеся способом модуляции, но использующие одну и ту же технологию расширения спектра. Основной принцип технологии расширения спектра (Spread Spectrum, SS) заключается в том, чтобы от узкополосного спектра сигнала, возникающего при обычном потенциальном кодировании, перейти к широкополосному спектру, что позволяет значительно повысить помехоустойчивость передаваемых данных

Метод FHSS предусматривает изменение несущей частоты сигнала при передаче информации. Для повышения помехоустойчивости нужно увеличить спектр передаваемого сигнала, для чего несущая частота меняется по псевдослучайному закону, и каждый пакет данных передается на своей несущей частоте. При использовании FHSS конструкция приемопередатчика получается очень простой, но этот метод применим, только если пропускная способность не превышает 2 Мбит/с, так что в дополнении IEEE 802.11b остался один DSSS. Из этого следует, что совместно с устройствами IEEE 802.11b может применяться только то оборудование стандарта IEEE 802.11, которое поддерживает DSSS, при этом скорость передачи не превысит максимальной скорости в "узком месте" (2 Мбит/с), коим является оборудование, использующее старый стандарт без расширения.

В основе метода DSSS лежит принцип фазовой манипуляции (т.е. передачи информации скачкообразным изменением начальной фазы сигнала). Для расширения спектра передаваемого сигнала применяется преобразование передаваемой информации в так называемый код Баркера, являющийся псевдослучайной последовательностью. На каждый передаваемый бит приходится 11 бит в последовательности Баркера. Различают прямую и инверсную последовательности Баркера. Из-за большой избыточности при кодировании вероятность того, что действие помехи превратит прямую последовательность Баркера в инверсную, близка к нулю. Единичные биты передаются прямым кодом Баркера, а нулевые - инверсным.

Под беспроводные компьютерные сети в диапазоне 2,4 ГГц отведен довольно узкий "коридор" шириной 83 МГц, разделенный на 14 каналов. Для исключения взаимных помех между каналами необходимо, чтобы их полосы отстояли друг от друга на 25 МГц. Несложный подсчет показывает, что в одной зоне одновременно могут использоваться только три канала. В таких условиях невозможно решить проблему отстройки от помех автоматическим изменением частоты, вот почему в беспроводных локальных сетях используется кодирование с высокой избыточностью. В ситуации, когда и эта мера не позволяет обеспечить заданную достоверность передачи, скорость с максимального значения 11 Мбит/с последовательно снижается до одного из следующих фиксированных значений: 5,5; 2; 1 Мбит/с. Снижение скорости происходит не только при высоком уровне помех, но и если расстояние между элементами беспроводной сети достаточно велико.

Канальный уровень IEEE 802.11

Подобно проводной сети Ethernet, в беспроводных компьютерных сетях Wi Fi канальный уровень включает в себя подуровни управления логическим соединением (Logical Link Control, LLC) и управления доступом к среде передачи (Media Access Control, MAC). У Ethernet и IEEE 802.11 один и тот же LLC, что значительно упрощает объединение проводных и беспроводных сетей. MAC у обоих стандартов имеет много общего, однако есть некоторые тонкие различия, принципиальные для сравнения проводных и беспроводных сетей.

В Ethernet для обеспечения возможности множественного доступа к общей среде передачи (в данном случае кабелю) используется протокол CSMA/CD, обеспечивающий выявление и обработку коллизий (в терминологии компьютерных сетей так называются ситуации, когда несколько устройств пытаются начать передачу одновременно).

В сетях IEEE 802.11 используется полудуплексный режим передачи, т.е. в каждый момент времени станция может либо принимать, либо передавать информацию, поэтому обнаружить коллизию в процессе передачи невозможно. Для IEEE 802.11 был разработан модифицированный вариант протокола CSMA/CD, получивший название CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Работает он следующим образом. Станция, которая собирается передавать информацию, сначала "слушает эфир". Если не обнаружено активности на рабочей частоте, станция сначала ожидает в течение некоторого случайного промежутка времени, потом снова "слушает эфир" и, если среда передачи данных все еще свободна, осуществляет передачу. Наличие случайной задержки необходимо для того, чтобы сеть не зависла, если несколько станций одновременно захотят получить доступ к частоте.

Если информационный пакет приходит без искажений, принимающая станция посылает обратно подтверждение. Целостность пакета проверяется методом контрольной суммы. Получив подтверждение, передающая станция считает процесс передачи данного информационного пакета завершенным. Если подтверждение не получено, станция считает, что произошла коллизия, и пакет передается снова через случайный промежуток времени.
Еще одна специфичная для беспроводных сетей проблема - две клиентские станции имеют плохую связь друг с другом, но при этом качество связи каждой из них с точкой доступа хорошее. В таком случае передающая клиентская станция может послать на точку доступа запрос на очистку эфира. Тогда по команде с точки доступа другие клиентские станции прекращают передачу на время "общения" двух точек с плохой связью. Режим принудительной очистки эфира (протокол Request to Send/Clear to Send - RTS/CTS) реализован далеко не во всех моделях оборудования IEEE 802.11 и, если он есть, то включается лишь в крайних случаях.

В Ethernet при передаче потоковых данных используется управление доступом к каналу связи, распределенное между всеми станциями. Напротив, в IEEE 802.11 в таких случаях применяется централизованное управление с точки доступа. Клиентские станции последовательно опрашиваются на предмет передачи потоковых данных. Если какая-нибудь из станций сообщает, что она будет передавать потоковые данные, точка доступа выделяет ей промежуток времени, в который из всех станций сети будет передавать только она.

Следует отметить, что принудительная очистка эфира снижает эффективность работы беспроводной сети, поскольку связана с передачей дополнительной служебной информации и кратковременными перерывами связи. Кроме этого, в проводных сетях Ethernet при необходимости можно реализовать не только полудуплексный, но и дуплексный вариант передачи, когда коллизия обнаруживается в процессе передачи (это повышает реальную пропускную способность сети). Поэтому, увы, при прочих равных условиях реальная пропускная способность беспроводной сети IEEE 802.11b будет ниже, чем у проводного Ethernet. Таким образом, если сетям Ethernet 10 Мбит/с и IEEE 802.11b (максимальная скорость передачи информации 11 Мбит/с) с одинаковым числом пользователей давать одинаковую нагрузку, постепенно увеличивая ее, то, начиная с некоторого порога, сеть IEEE 802.11b начнет "тормозить", а Ethernet все еще будет функционировать нормально.

Поскольку клиентские станции могут быть мобильными устройствами с автономным питанием, в стандарте IEEE 802.11 большое внимание уделено вопросам управления питанием. В частности, предусмотрен режим, когда клиентская станция через определенные промежутки времени "просыпается", чтобы принять сигнал включения, который, возможно, передает точка доступа. Если этот сигнал принят, клиентское устройство включается, в противном случае оно снова "засыпает" до следующего цикла приема информации.

Типы и разновидности соединений

Соединение Ad-Hoc (точка-точка).

Все компьютеры оснащены беспроводными картами (клиентами) и соединяются напрямую друг с другом по радиоканалу работающему по стандарту 802.11b и обеспечивающих скорость обмена 11 Mбит/с, чего вполне достаточно для нормальной работы.

Инфраструктурное соединение.

Все компьютеры оснащены беспроводными картами и подключаются к точке доступа. Которая, в свою очередь, имеет возможность подключения к проводной сети.

Данная модель используется когда необходимо соединить больше двух компьютеров. Сервер с точкой доступа может выполнять роль роутера и самостоятельно распределять интернет-канал.

Точка доступа, с использованием роутера и модема.

Точка доступа включается в роутер, роутер — в модем (эти устройства могут быть объединены в два или даже в одно). Теперь на каждом компьютере в зоне действия Wi Fi , в котором есть адаптер Wi Fi, будет работать интернет.

Клиентская точка.

В этом режиме точка доступа работает как клиент и может соединятся с точкой доступа работающей в инфраструктурном режиме. Но к ней можно подключить только один МАС-адрес. Здесь задача состоит в том, чтобы объединить только два компьютера. Два WiFi-адаптера могут работать друг с другом напрямую без центральных антенн.

Соединение мост.

Компьютеры объединены в проводную сеть. К каждой группе сетей подключены точки доступа, которые соединяются друг с другом по радио каналу. Этот режим предназначен для объединения двух и более проводных сетей. Подключение беспроводных клиентов к точке доступа, работающей в режиме моста невозможно.

Репитер.

Точка доступа просто расширяет радиус действия другой точки доступа, работающей в инфраструктурном режиме.

Безопасность Wi-Fi сетей

Как и любая компьютерная сеть, WiFi – является источником повышенного риска несанкционированного доступа. Кроме того, проникнуть в беспроводную сеть значительно проще, чем в обычную, — не нужно подключаться к проводам, достаточно оказаться в зоне приема сигнала.
Беспроводные сети отличаются от кабельных только на первых двух - физическом (Phy) и отчасти канальном (MAC) - уровнях семиуровневой модели взаимодействия открытых систем. Более высокие уровни реализуются как в проводных сетях, а реальная безопасность сетей обеспечивается именно на этих уровнях. Поэтому разница в безопасности тех и других сетей сводится к разнице в безопасности физического и MAC-уровней.

Хотя сегодня в защите WiFi-сетей применяются сложные алгоритмические математические модели аутентификации, шифрования данных и контроля целостности их передачи, тем не менее, вероятность доступа к информации посторонних лиц является весьма существенной. И если настройке сети не уделить должного внимания злоумышленник может:

• заполучить доступ к ресурсам и дискам пользователей WiFi-сети, а через неё и к ресурсам LAN;
• подслушивать трафик, извлекать из него конфиденциальную информацию;
• искажать проходящую в сети информацию;
• воспользоваться интернет-траффиком;
• атаковать ПК пользователей и серверы сети
• внедрять поддельные точки доступа;
• рассылать спам, и совершать другие противоправные действия от имени вашей сети.

Главной же защитой долгое время являлось использование цифровых ключей шифрования потоков данных с помощью функции Wired Equivalent Privacy (WEP). Сами ключи представляют из себя обыкновенные пароли с длиной от 5 до 13 символов ASCII. Данные шифруются ключом с разрядностью от 40 до 104 бит. Но это не целый ключ, а только его статическая составляющая. Для усиления защиты применяется так называемый вектор инициализации Initialization Vector (IV), который предназначен для рандомизации дополнительной части ключа, что обеспечивает различные вариации шифра для разных пакетов данных. Данный вектор является 24-битным. Таким образом, в результате мы получаем общее шифрование с разрядностью от 64 (40+24) до 128 (104+24) бит, в результате при шифровании мы оперируем и постоянными, и случайно подобранными символами.

Но, как оказалось, взломать такую защиту можно соответствующие утилиты присутствуют в Интернете (например, AirSnort, WEPcrack). Основное её слабое место — это вектор инициализации. Поскольку мы говорим о 24 битах, это подразумевает около 16 миллионов комбинаций, после использования этого количества, ключ начинает повторяться. Хакеру необходимо найти эти повторы (от 15 минут до часа для ключа 40 бит) и за секунды взломать остальную часть ключа. После этого он может входить в сеть как обычный зарегистрированный пользователь.

Как показало время, WEP тоже оказалась не самой надёжной технологией защиты. После 2001 года для проводных и беспроводных сетей был внедрён новый стандарт IEEE 802.1X, который использует вариант динамических 128-разрядных ключей шифрования, то есть периодически изменяющихся во времени. Таким образом, пользователи сети работают сеансами, по завершении которых им присылается новый ключ. Например, Windows XP поддерживает данный стандарт, и по умолчанию время одного сеанса равно 30 минутам. IEEE 802.1X — это новый стандарт, который оказался ключевым для развития индустрии беспроводных сетей в целом. За основу взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности, возможность взлома WEP, зависимость от технологий производителя и т. п. 802.1X позволяет подключать в сеть даже PDA-устройства, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1X и 802.11 являются совместимыми стандартами. В 802.1X применяется тот же алгоритм, что и в WEP, а именно — RC4, но с некоторыми отличиями. 802.1X базируется на протоколе расширенной аутентификации (EAP), протоколе защиты транспортного уровня (TLS) и сервере доступа Remote Access Dial-in User Server. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

В конце 2003 года был внедрён стандарт WiFi Protected Access (WPA), который совмещает преимущества динамического обновления ключей IEEE 802.1X с кодированием протокола интеграции временного ключа TKIP, протоколом расширенной аутентификации (EAP) и технологией проверки целостности сообщений MIC. WPA — это временный стандарт, о котором договорились производители оборудования, пока не вступил в силу IEEE 802.11i. По сути, WPA = 802.1X + EAP + TKIP + MIC, где:

• WPA — технология защищённого доступа к беспроводным сетям
• EAP — протокол расширенной аутентификации (Extensible Authentication Protocol)
• TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol)
• MIC — технология проверки целостности сообщений (Message Integrity Check).

От внешнего проникновения и изменения информации также обороняет технология проверки целостности сообщений (Message Integrity Check). Достаточно сложный математический алгоритм позволяет сверять отправленные в одной точке и полученные в другой данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются.
Правда, TKIP сейчас не является лучшим в реализации шифрования, поскольку в силу вступают новые алгоритмы, основанные на технологии Advanced Encryption Standard (AES), которая, уже давно используется в VPN. Что касается WPA, поддержка AES уже реализована в Windows XP, пока только опционально.

Помимо этого, параллельно развивается множество самостоятельных стандартов безопасности от различных разработчиков, в частности, в данном направлении преуспевают Intel и Cisco. В 2004 году появляется WPA2, или 802.11i, который, в настоящее время является максимально защищённым.
Таким образом, на сегодняшний день у обычных пользователей и администраторов сетей имеются все необходимые средства для надёжной защиты WiFi, и при отсутствии явных ошибок (пресловутый человеческий фактор) всегда можно обеспечить уровень безопасности, соответствующий ценности информации, находящейся в такой сети.

• заполучить доступ к ресурсам и дискам пользователей WiFi-сети, а через неё и к ресурсам LAN;
• подслушивать трафик, извлекать из него конфиденциальную информацию;
• искажать проходящую в сети информацию;
• воспользоваться интернет-траффиком;
• атаковать ПК пользователей и серверы сети
• внедрять поддельные точки доступа;
• рассылать спам, и совершать другие противоправные действия от имени вашей сети.

• WPA — технология защищённого доступа к беспроводным сетям
• EAP — протокол расширенной аутентификации (Extensible Authentication Protocol)
• TKIP — протокол интеграции временного ключа (Temporal Key Integrity Protocol)
• MIC — технология проверки целостности сообщений (Message Integrity Check).

• Шифровать данные путем использования различных систем. Максимальный уровень безопасности обеспечит применение VPN;
• использовать протокол 802.1X;
• запретить доступ к настройкам точки доступа с помощью беспроводного подключения;
• управлять доступом клиентов по MAC-адресам;
• запретить трансляцию в эфир идентификатора SSID;
• располагать антенны как можно дальше от окон, внешних стен здания, а также ограничивать мощность радиоизлучения;
• использовать максимально длинные ключи;
• изменять статические ключи и пароли;
• использовать метод WEP-аутентификации "Shared Key" так как клиенту для входа в сеть необходимо будет знать WEP-ключ;
• пользоваться сложным паролем для доступа к настройкам точки доступа;
• по возможности не использовать в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего до