ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING EN DEL AF DANSK INDUSTRI
Elektronisk infrastruktur Virksomhedens IT-sikre placering EN DEL AF DANSK INDUSTRI EN DEL AF DANSK INDUSTRI Januar 2005
Udgivet af ITEK og DI Redaktion: Henning Mortensen Tryk: Kailow Graphic ISBN: 87-7353-547-8 1000.1.05
Forord FORORD Enhver virksomhed er i dag en del af den elektroniske infrastruktur, som er bundet sammen via internettet. Det er blevet en betingelse for at drive og udvikle forretningen. På trods af dette er kendskabet til, hvordan elektroniske netværk fungerer, ikke særlig udbredt. Dette er uheldigt især set i lyset af, at infrastrukturen har stor betydning for virksomhedernes muligheder for at have høj grad af IT-sikkerhed. Med dette hæfte ønsker vi at give de ansatte i danske virksomheder, som har ansvaret for virksomhedens IT-systemer, en indføring i, hvordan en kommunikationsinfrastruktur fungerer på et overordnet plan. I hæftet gennemgås det, hvordan protokoller, kabler og apparater fungerer sammen for at bringe data fra en computer til en anden. Desuden indeholder hæftet eksempler på, hvordan virksomhederne kan konfigurere deres netværk. Endelig er der række anbefalinger til, hvilke overvejelser virksomheden bør gøre sig, hvis den vælger at få varetaget nogle af opgaverne af professionelle leverandører uden for virksomheden. ITEK og DI har igennem flere år beskæftiget sig med IT-sikkerhed. Arbejdet har været centreret om at bringe eksperter i IT-sikkerhed hos leverandørvirksomhederne sammen med brugere af IT-sikkerhedsløsninger med det formål at forbedre IT-sikkerheden i industriens virksomheder. Som et vigtigt led i disse bestræbelser har IT-sikkerhedsudvalget besluttet at udgive en serie publikationer om IT-sikkerhed, hvor nærværende er nummer fire. Januar 2005 Tom Togsverd Branchedirektør ITEK
5 Indhold INDHOLD FORORD....................................... 3 INDHOLD...................................... 5 VIRKSOMHEDENS PLACERING I NETTETS INFRASTRUKTUR................................. 7 NETTETS INFRASTRUKTUR.......................... 11 Gennerelt om net............................. 11 Net-terminologi.............................. 20 Begreber relateret til nettrafik.................... 38 OPBYGNING AF NETVÆRK......................... 49 Det helt lille netværk.......................... 50 Det lidt større netværk......................... 51 Det store netværk............................ 53 Koncernløsningen............................ 56 OUTSOURCING.................................. 61 Markedet................................... 61 Overvejelser................................. 62 Hvad kan outsources?......................... 67 CHECKLISTE.................................... 68 NOTER........................................ 69
6
7 Virksomhedens placering i nettets infrastruktur Næsten alle virksomheder er i vore dage koblet på internettet, og mange har også et lokalt netværk inden for virksomhedens vægge. Alligevel mener de fleste virksomheder, at de ikke har behov for at vide noget om, hvordan de er placeret i det globale elektroniske netværk. Så længe man er på, og det hele virker, er der sådan set heller ikke noget galt i denne holdning. Man bruger den elektroniske infrastruktur og koncentrerer kræfterne om at drive og udvikle forretningen. Men når et eller andet går galt og det gør det før eller siden kan det være af afgørende betydning for forretningen at genetablere sine ITsystemer inden for en kort tidshorisont. Hvad koster det f.eks. virksomheden i penge og troværdighed, hvis kunderne ikke kan anvende de sædvanlige elektroniske kanaler? Hvad koster det virksomheden, hvis den i en periode ikke kan bestille råvarer elektronisk? Hvad det koster det virksomheden i lønninger, når de elektroniske produktionssystemer ikke kan kommunikere med hinanden? Der kan derfor være gode forretningsorienterede begrundelser for at beskæftige sig med virksomhedens placering i den elektroniske infrastruktur. Når noget går galt, vil virksomhedens ledelse og personale som regel kontakte den person, der har ansvaret for virksomhedens IT-systemer. Man vil stille spørgsmål af typen: Hvorfor kan min mail ikke komme frem? Hvorfor har jeg ikke adgang til mit netværksdrev? Hvorfor kommer der ikke nogen udskrift på min netværksprinter? Hvorfor har jeg ikke adgang til en given hjemmeside? Hvorfor får jeg en databasefejl, når jeg køber varer på vores leverandørers sædvanlige hjemmesider? For at kunne svare på disse spørgsmål og for at kunne løse dem er det vigtigt, at virksomheden har en person ansat, der ved VIRKSOMHEDENS PLACERING I NETTETS INFRASTRUKTUR
8 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING noget om virksomhedens placering i den elektroniske infrastruktur. Denne person skal kunne finde ud af, om fejlen ligger inden for det netværk, der er virksomhedens eget, om fejlen ligger på et netværk, som virksomhedens internetudbyder (Internet Service Provider, ISP) har indflydelse på, eller om fejlen ligger helt uden for virksomhedens indflydelse. Ved at have viden om dette område kan virksomheden reducere eventuelle tab og forøge sandsynligheden for ikke at miste kunder eller data. Dette hæfte behandler fire forhold. > For det første vil det på objektiv vis blive beskrevet, hvordan nettet er bygget op. Nettet omfatter i denne sammenhæng ikke kun internettet, men også virksomhedens interne net samt det net, der giver adgang til internettet. På nettet sidder en række forskellige apparater, og vi vil beskrive, hvordan disse virker. Desuden vil vi også beskrive de protokoller, som anvendes til at skabe kommunikation f.eks. i form af at hente en hjemmeside på internettet. Endelig er der til nettet relateret en række forskellige begreber, som vi ligeledes vil beskrive. > Nettet og dets tilhørende apparater såvel indenfor som udenfor virksomhedens kontrol udgør på hver deres måde et potentielt svaghedspunkt, som man kan forsøge at udnytte med henblik på at ødelægge det eller sætte det ud af drift. Dette vil forstyrre eller afbryde nettets funktion, og i dette lys udgør det en potentiel IT-sikkerhedstrussel. Vi vil beskrive hvilke svagheder, der kan udnyttes i de forskellige apparater, og beskrive hvordan, man kan minimere risikoen for et succesfuldt angreb. > På baggrund af den viden om nettets infrastruktur, som man har kunnet tilegne sig i de første kapitler i dette hæfte, vil vi komme med nogle normative betragtninger om, hvordan en virksomhed ideelt set bør indrette sin egen elektroniske infrastruktur. Der bliver givet anbefalinger til fire størrelser af netværk: Det lille netværk Det lidt større netværk Det store netværk Koncernløsningen > Mange af de forskellige former for funktionalitet, som virksomheden har brug for, behøver virksomheden ikke drive selv. Vi vil derfor slutte af med nogle overvejelser om IT-outsourcing og belyse, hvornår det kan være relevant, og hvornår man slet ikke bør gøre det. Det overordnede formål med dette hæfte kan sammenfattes til en oplysning af de IT-ansvarlige om virksomhedens placering i nettets infrastruktur suppleret med en
9 De andre hæfter i serien Ledelse af IT-sikkerhed for forretningens skyld anbefaling af, hvordan man mest hensigtsmæssigt kan planlægge og implementere egen IT-infrastruktur på en IT-sikkerhedsmæssig forsvarlig måde. Dele af hæftet er således på et vist teknisk niveau. I det andetkapitel gennemgås protokoller, netværk og apparater på nettet. I næste kapitel gennemgås, hvordan virksomheden kan sætte apparater og kabler sammen til at udgøre virksomhedens netværk. I det fjerde kapitel gennemgås det, hvilke overvejelser virksomheden skal gøre sig, hvis den planlægger at outsource dele af opgaveløsningen til eksterne leverandører. Hæftet afsluttes med en checkliste. I dette hæfte understreges det, at ledelsen har en forpligtelse til at tage hånd om ITsikkerheden i virksomheden som en del af den almindelige ledelse. Ledelsen skal bl.a. gennem fokus på IT-sikkerheden sikre virksomhedens økonomiske grundlag, minimere den risiko, virksomheden står overfor, og sikre, at virksomheden er en troværdig forretningspartner. I hæftet skitseres en model, som ledelsen kan anvende til at iværksætte en proces, der sikrer virksomhedens aktiver og fastholder denne sikkerhed på sigt. VIRKSOMHEDENS PLACERING I NETTETS INFRASTRUKTUR Trusler mod virksomhedens IT-sikkerhed I dette hæfte gives en ikke teknisk beskrivelse af, hvad det er for nogle trusler, virksomheden står overfor. Truslerne grupperes ud fra kategorierne: Personrelaterede trusler, Systemmæssige trusler og Trusler udenfor virksomhedens kontrol. Indenfor disse hovedkategorier falder bl.a. orme, vira, brand og opgradering. Det er formålet, at denne liste over trusler skal kunne anvendes af virksomheden som inspiration til at sikre sig bedre. Forøg virksomhedens IT-sikkerhed I dette hæfte beskrives det, hvordan virksomheden skal beskytte sig mod truslerne. Det gennemgås funktion for funktion, hvilke initiativer der skal tages i virksomheden. Herunder berøres: Risikovurdering, IT-sikkerhedspolitik, Sikkerhedsimplementering, IT-aktiver, Personaleforhold, Fysisk sikring, Styring af drift, Adgangskontrol, Nyt IT-udstyr, Beredskab, Love og kontrakter. E-business og IT-sikkerhed og ledelse Dette hæfte indeholder en gennemgang af forskellige e-business systemers funktionalitet i forhold til eksterne partnere. Det gennemgås, hvilke nye åbninger disse systemer skaber i forhold til virksomhedens interne systemer, hvilke forholdsregler virksomheden skal tage for at sikre sine data samt sin information og viden og endelig, hvilke krav en virksomhed bør stille til sine samarbejdspartnere.
10 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING Det er især kapitlet om nettets infrastruktur, som kræver visse tekniske forudsætninger. Man skal derfor have en vis interesse i emnet eller være uddannet og/eller have en vis erfaring indenfor IT-området, hvis man skal få glæde af dette kapitel. Hæftet er det fjerde i en serie af hæfter om IT-sikkerhed, som udgives af ITEK og Dansk Industri. I de øvrige hæfter er der bl.a. fokuseret på, hvorfor ledelsen i virksomheden bør beskæftige sig med IT-sikkerhed, samt hvordan ledelsen kan iværksætte og fastholde en proces, der øger IT-sikkerheden i virksomheden. Hæfterne indeholder også informationer om, hvordan virksomheden sikrer sig mod en række trusler, hvordan virksomheden på systematisk vis kan beskæftige sig med IT-sikkerhed, og hvordan man skal indtænke IT-sikkerhed i sine e-business løsninger. Hæfterne kan læses uafhængigt af hinanden, men udgør tilsammen en helhed, som viser, hvordan virksomhederne kan beskytte sig. Helheden er tænkt således, at de fem hæfter besvarer hvert sit grundlæggende spørgsmål: > Hvordan kommer man i gang? > Hvad er det for nogle trusler, virksomhederne står overfor? > Hvordan tager man initiativer mod disse trusler? > Hvordan indgår virksomheden i nettets helhed? > Hvilke overvejelser skal virksomheden gøre sig i forhold til egne IT-systemer, der åbnes ud ad til?
11 Nettets infrastruktur NETTETS INFRASTRUKTUR Når vi i dette hæfte taler om nettet, skal det forstås i bredeste forstand. Et net er en forbindelse mellem to eller flere computere. Forbindelsen betyder, at de computersystemer, der er på nettet, kan kommunikere med hinanden. Net bliver hermed en forbindelse, som muliggør kommunikation mellem computersystemer. Eksempler på net inkluderer to computere, der er forbundet med et kabel imellem sig med det formål, at to brugere kan spille det samme spil. Eksempler inkluderer også mange computere forbundet til en server, hvorfra man har adgang til sine filer eller sine mails. Eksempler inkluderer også forbindelser mellem to computere, hvor forbindelsen er trådløs som f.eks. bluetooth og WAP. Når vi taler om net i dette hæfte, tænker vi imidlertid ikke blot på de fysiske forbindelser i form af kabler og apparater mellem nettene. Vi tænker også på den software, som muliggør kommunikationen mellem apparaterne. Vi vil derfor se på noget af den mest almindeligt anvendte software nemlig nogle få af de mest udbredte protokoller. Generelt om net At få en fundamental forståelse af, hvordan net hænger sammen, er af afgørende betydning for de beslutninger, der skal tages for at optimere en virksomheds IT-sikkerhed. Det er tæt forbundet til nettenes infrastruktur, der i vores terminologi inkluderer: 1. En række computere 2. De fysiske forbindelser mellem disse 3. Den software som muliggør kommunikationen Computerne Når en person ønsker at kommunikere med en anden person via en netværksforbindelse, er det en minimumsbetingelse, at der i hver ende findes en enhed som f.eks. en computer. Den ene computer kan f.eks. være en server, der indeholder en hjemmeside, som personen fra sin egen computer kaldet klienten gerne vil have adgang til. I dette tilfælde laves en klient/server forbindelse mellem de to computere. En anden mulighed er, at to klienter gerne vil kommunikere med hinanden. Dette sker f.eks. via mail, hvor to brugere
12 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING sender mails fra hver deres klient til hinandens servere. Det kan også ske i et såkaldt peer-to-peer netværk, hvor to klienter forbinder sig direkte til hinanden for at udveksle informationer. Uanset hvilke eksempler vi fremhæver, foregår kommunikationen via applikationer hos de to parter. Hvis man f.eks. skal hente en hjemmeside, starter man en klientapplikation kaldet en browser (f.eks. Internet Explorer eller Netscape) på klienten, og den kommunikerer så med et program på serveren. De fysiske forbindelser De to computere, der skal kommunikere med hinanden, skal naturligvis være forbundet på en eller anden måde. Dette kan f.eks. ske ved, at de er forbundet med et kabel, men kan lige så godt ske via forskellige trådløse forbindelser (Infrarød, Bluetooth, GPRS m.m). Internettet kan anskues som en stor samling kabler (fysiske og virtuelle), der forbinder de forskellige internetudbydere. Virksomheder og privatpersoner er så forbundet til en eller flere af disse internetudbydere. Software som muliggør kommunikation Kommunikationen mellem to computere muliggøres af en masse forskellig software, der kører på alle de fysiske enheder, som udgør kommunikationskanalen. Softwaren kan være af mange forskellige typer og er i mange tilfælde afhængig af det apparatur, man har opsat i virksomheden. Vi kalder sådant software for proprietært. Proprietært software kan kun anvendes imellem identiske enheder fra samme fabrikant. Andet software er standardiseret gennem internationale organer som IEEE (Institute of Electrical and Electronics Engineers), W3C (World Wide Web Consortium), IETF (Internet Engineering Task Force), ICANN (Internet Corporation of Assigned Names and Numbers) m.v. Vi kalder dette software for åbent, idet det anvender åbne standarder. Denne type software kan anvendes mellem forskellige enheder af varierende fabrikat. Den afgjort vigtigste type software er det, vi kalder protokollerne. Protokollerne har til formål at sikre, at de data, som man ønsker kommunikeret mellem to applikationer, kan sendes gennem de forskellige appa-rater. Protokollerne har hver deres servicemodel, som er bestemmende for, hvordan de lever op til deres formål. Disse inkluderer elementer som error control, flow control, multiplexing og demultiplexing samt connection setup. Vi vil se på nogle af disse services senere i bogen. Protokollerne En protokol kan defineres som et internationalt anerkendt format til transmission af data mellem to en-
13 heder. Når man afsender data, sker det ved at nedbryde informationerne i små pakker, som løber gennem kablerne eller transmitteres i luften via radiobølger. Når data modtages, skal det sikres, at alle pakkerne er modtaget, og at de er samlet rigtigt. Protokoller sikrer bl.a., hvilken fejlkorrektion der sker i løbet af transmissionen, hvilken kompression der anvendes, hvordan den afsendende enhed viser, at den har afsluttet transmissionen af data, og hvordan den modtagende enhed indikerer, at den har modtaget data. Der er mange forskellige typer af protokoller, der hver især har deres fordele og ulemper, hvorfor de typisk har hvert deres anvendelsesområde. De kan eksempelvis være simple, stabile eller hurtige, og disse ting foretager den enkelte programmør så en afvejning af, når der skal vælges en protokol. Ud fra et brugersynspunkt er det udelukkende afgørende, at man har de rigtige protokoller installeret på sin computer til at foretage netop de typer af kommunikation, som man ønsker. Som nævnt findes der nærmest uendeligt mange forskellige protokoller, og vi kan ikke gennemgå dem alle. I stedet vil vi se på de hyppigst anvendte protokoller og deres formål. Når data skal afsendes i et netværk, opdeles de i mindre stykker. Hvis man f.eks. skal hente en hjemmeside, henter man ikke hele siden på én gang. I stedet opdeles siden af afsenderen i små stykker kaldet pakker. Pakkerne modtages så af klienten og sættes sammen igen, således at siden kan vises i sin helhed. Dette sker for at sikre den mest effektive transport af siden. Noget tilsvarende sker, når man sender eller modtager en mail og ved alle andre former for kommunikation over net. Kun hvis datamængden er så lille, at den kan være i én pakke, sker der ikke en opdeling. Hvis en hjemmeside i øvrigt har billeder eller andet multimedie tilknyttet (f.eks. lyd), er hver af disse dele gemt i hver sin fil kaldet objekter. Objekterne opdeles hver for sig i pakker. Protokollerne har til formål at opdele data i pakker og sende dem videre. I praksis ligger der en række protokoller oven på hinanden i en stak. Vi kalder dette for protokolstakken eller blot stakken 1. NETTETS INFRASTRUKTUR
14 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING Der er følgende lag 2 : Lag Eksempel på protokol Pakkens type Applikationslag HTTP, SMTP, FTP Message Transportlag TCP, UDP Segment Netværkslag IP Datagram Linklag Fysisk lag Pakkerne kaldes noget forskelligt afhængig af, hvilket lag de befinder sig på. Formålet med dette er, at vi kan sondre mellem hvilken type pakke, der er tale om. Vi vil bruge pakkernes navne gennem resten af dette hæfte. Lagene har hvert deres navn. Applikationslaget er f.eks. det lag, som er synligt for brugeren. På dette lag kalder brugeren protokollen direkte. F.eks. kalder brugeren http-protokollen, når der bedes om at få vist en hjemmeside. Tilsvarende kalder brugeren f.eks. SMTP-protokollen, når han beder om at afsende en mail. Andre applikationer kalder andre protokoller, når der skal kommunikeres. I applikationslaget er den mest kendte protokol nok http, der står for hyper text transfer protocol, som bruges til at kalde dokumenter af typen hyper text markup language (HTML) m.fl. Desuden simple mail transfer protocol, SMTP, som bruges til at overføre mail fra afsender til modtagers mailserver og file transfer protocol, FTP, som bruges til at sende data mellem FTP-servere og klienter 3. Frame 1. level PDU (protocol data unit) Når en applikation startes op, startes en proces på computeren. I virkeligheden er det disse processer, som kommunikerer, og ikke selve applikationerne. Applikationen vil ved opstart igangsætte en proces. Denne proces laver så en socket (også kaldet API, Application Programmers Interface), der er en slags dør ind til processen. Formålet er, at processen via døren kan lytte, om der er nogen, som vil i kontakt med den om der er nogen, der banker på døren. På den måde lytter processen på en bestemt port. På en webserver lytter processen f.eks. på port 80 for at se, om der er nogen, der banker på med et ønske om at få en hjemmeside vist. Døren har også til formål at sikre, at processen (og dermed applikationen) kan kommunikere med transportlaget, som er det lag, der ligger lige under applikationslaget. Transportlaget har til formål at sikre kommunikation mellem processerne på de forskellige hosts. Når en message modtages gennem en socket fra applikationslaget tilføjes en header, der bl.a. indeholder
15 kilde- og destinations portnummer. Disse bruges til at sikre, at det er de rette processer på server og klient, der taler sammen. Skabelsen af segmenter og afsendelse til netværkslaget kaldes multiplexing, og modtagelse fra netværkslaget plus levering til den rette socket kaldes demultiplexing. De vigtigste protokoller på transportlaget er TCP og UDP. UDP vil ikke blive gennemgået i noget væsentligt omfang her. TCP tilbyder foruden levering fra socket til socket også en række services. De vigtigste er Reliable Data Transfer (RDT), Flow Control og Congestion Control. RDT har til formål at sikre, at data, der ved afsendelse omsættes til 0 er og 1 taller, ikke vendes om (0 bliver til 1 og omvendt), mistes eller leveres i en anden rækkefølge end den, i hvilken de blev sendt. For at forstå hvordan RDT sikres i TCP må vi se på et billede af, hvad det er TCP laver: TCP modtager fra den afsendende applikation i ovenstående figur pakker på højre side. I den buffer, som TCP har til rådighed for afsendelsen af pakker, er der kun plads til de to midterste grupper idet vi siger, at TCP har et vindue af størrelsen N. TCP laver altså pakker og sender dem af sted. Når en pakke ryger ud af vinduet til venstre, er der plads til en ny pakke til højre. Den gruppe pakker, som er sendt af sted, udgøres af de to grupper til venstre i figuren. Når klienten modtager pakkerne, returnerer den en pakke (en acknowledgement, ACK), som bekræftelse på, at den har modtaget en pakke med data. TCP på klienten vil efter at have modtaget et ACK smide denne pakke væk fra sin buffer. Når en pakke smides væk, bliver der automatisk plads til en ny, som modtages fra applikationslaget. På den måde glider TCP s vindue mod højre, efterhånden som flere og flere pakker modtages af klienten. NETTETS INFRASTRUKTUR Har modtaget ACK Afsendt, men ikke ACK et Anvendelige, men endnu ikke afsendt Ikke anvendelige Window med størrelsen N, der glider mod højre Transportlagets TCP-protokol modtager en række messages fra applikationslaget, som det skal lave til segmenter og sende videre til netværkslaget og samtidig vil TCP sikre RDT. Det sker ved, at TCP er en såkaldt sliding window protocol. Flow control er også en funktionalitet, som sikrer, at data kommer frem på en effektiv måde, når de transporteres med TCP. Når forbindelsen mellem klient og server etableres, afsætter begge sider af forbindelsen buffere til at modtage
16 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING data. Hvis der kommer for mange data til disse buffere, vil de blive overfyldte med TCP-segmenter, og dermed tabes pakker. Flow control har til formål at sikre, at afsenderen ved, hvor megen plads der er ledig i bufferen, således at der ikke laves overflow i modtagerens buffer. I praksis får afsenderen denne information ved, at modtageren hver gang den kvitterer for en modtaget pakke (sender et ACK) fortæller hvor meget ledig plads, der findes i bufferen. På denne baggrund vil afsenderen ikke sende flere data, end modtageren kan nå at læse. Congestion Control sikrer, at der ikke sker overflow i de buffere, som routerne har på deres links. En router kan modtage pakker fra mange forskellige kilder og skal også videresende dem til mange forskellige modtagere. Til dette formål findes der en buffer på hvert link, som routeren har. Hvis dette link bliver overbelastet, smider routeren de pakker væk, som ikke kan være i bufferen. Dette finder afsenderens TCP ud af, fordi den ikke modtager et ACK for de afsendte pakker indenfor for et givent tidsinterval eller modtager tre ACK for en tidligere afsendt pakke 4. Hvis en af disse ting sker, vil afsenderen gætte på, at en router er overbelastet og derfor vil den sænke hastigheden, hvormed den afsender pakker. Netværkslaget har til formål at sikre kommunikation mellem de forskellige enheder på nettet. Dette sker ved, at segmenter modtages fra transportlaget og tilføjes en header, der blandt andet indeholder kilde- og destinations IP-adressen. IP-protokollen specificerer, hvordan pakkerne skal se ud, men den flytter ikke selve pakkerne. Netværkslaget er implementeret i alle routere, og det er routerne, som via deres routningstabeller sikrer, at datagrammerne kommer i den rigtige retning på vejen fra afsender til modtager. Routningstabellerne opdateres ved hjælp af forskellige routningsprotokoller, der igen er baseret på forskellige routningsalgoritmer. Det er disse routningsprotokoller, som flytter pakkerne de mest kendte er nok RIP, OSPF og BGP. Vi vil vende tilbage til routerne senere i denne bog. Den nuværende generation af IP-protokollen kaldes sommetider IPv4. En nyere version kaldet IPng (next generation) eller IPv6 er imidlertid under udvikling med henblik på at sikre, at der også i fremtiden vil være tilstrækkeligt med IP-adresser i verden og samtidig afhjælpe en række problemer med IPv4, som efterhånden er ved at være en gammel protokol. Udviklingsarbejdet er placeret hos den ene af de to store internet standardiseringsorganisationer, Internet Engineering Task Force, IETF, http://www.ietf.org, (den anden er Word Wide Web Consortium, w3c, http://www.w3c.org). I TCP/IP netværk kan den nye protokoltype
17 implementeres, når der købes nye routere, som er udstyret med såvel en IPv4-adresse som en IPv6-adresse. Når der så skal kommunikeres over disse nye routere, sker der det, at et IPv6-datagram pakkes ind i et IPv4-datagram og sendes igennem en IPv4-tunnel mellem to IPv4 routere. Linklaget sørger for at transportere frames mellem to netværksenheder (noder). Det er linklaget, der f.eks. sørger for at flytte pakkerne mellem netværkskortet i en given computer og hen til ISP erens router. Linklaget er implementeret i alle netværkskomponenter. Transporten sker ved, at hver netværksenhed f.eks. repeater, hub, bridge, switch og router har en eller flere unikke fysiske adresser, som man kan transportere fra og til. I praksis foregår det ved, at hver node har en unik adresse, som kaldes LAN-, MAC- eller Ethernet-adressen. Adresserne på det lokale netværk holder hver node styr på gennem en ARP-tabel, som indeholder alle de IP- og MAC-adresser, som noden har kommunikeret med indenfor en given tidsenhed. Hvis en node skal kommunikere til en anden på samme netværk, slår den op i ARPtabellen og finder MAC-adressen på den node, den vil kommunikere med. Hvis adressen ikke findes, fordi noden ikke har kommunikeret med modtagernoden indenfor et givent tidsrum, sendes en bestemt ARP-pakke til alle noderne på netværket, og den rigtige node svarer så tilbage med MAC- og IP-adresse, mens alle de øvrige noder dropper pakken. MAC-adresserne betyder altså, at den afsendende node kan sende sin frame til netop den modtager, som den ønsker. Hvis noden skal kommunikere med en node på et andet netværk f.eks. over internettet sender noden sin pakke til routeren, som så sender pakken videre til det fremmede netværk. Det fysiske lag sørger for at flytte de enkelte bit i den pakke, der skal sendes. Hvordan det sker, og hvilke protokoller der anvendes, afhænger af, hvad det er for en forbindelse, der er mellem to hosts. F.eks. kan der være tale om twisted pair kobberkabel, coaxial kabel, fiber og radiobølger. Kommunikationen på den enkelte klient går altså hele vejen ned i gennem protokolstakken, inden pakkerne forlader computeren. Hver gang man går et lag ned i stakken, tilføjes pakken en header, der indeholder forskellige informationer, som protokollerne i de forskellige lag skal bruge for at sende pakken videre. Alle lagene i stakken er implementeret i computerne i begge ender. De apparater, som pakkerne møder undervejs på internettet, implementerer lagene nedefra i større eller mindre grad: F.eks. implementerer en bridge det fysiske lag og linklaget, mens en router foruden disse to lag også implementerer netværkslaget. Dette NETTETS INFRASTRUKTUR
18 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING er illustreret i ovenstående figur. Vi kan opsummere det hele således: > Applikationslaget sikrer, at applikationerne kan transportere data til hinanden over et netværk > Transportlaget sikrer, at kommunikationen kan ske mellem server- og klientproces (portnumre) > Netværkslaget sikrer, at data flyttes mellem hosts (IP-adresser) > Linklaget sikrer transport mellem noderne på vej mellem afsender og modtager (MAC-adresser) > Det fysiske lag transporterer de enkelte bit mellem to noder (protokol afhængig af forbindelse) Et eksempel at hente en hjemmeside Et godt eksempel på en praktisk anvendelse af den ovenfor skitserede model er at gennemgå, hvad der sker, når en bruger forsøger at hente en hjemmeside på internettet. Vi forestiller os simplificeret en situation, hvor en bruger er koblet direkte op til en ISP (og altså ikke sidder på et virksomhedsinternt netværk). Skridtene er som følger: 1. På en webserver et sted på nettet er der startet en proces op, som har til formål at lytte efter henvendelser om at få vist en side. Processen har initieret en socket, der lytter på port 80, hvortil henvendelser fra http-protokollen kommer. 2. En bruger starter sin brugerklient i form af en browser op. Herefter indtastes hjemmesideadressen på den side, som brugeren ønsker at se. Implicit betyder det, at applikationslaget fortæller transportlaget, at det vil lave
19 en forbindelse til en proces på en server. Applikationslaget informerer transportlaget ved at lave en ny socket med hostname og portnummer på den webserver, man vil besøge. Portnummeret bruges til at identificere processen på webserveren. Hostnamet oversættes til en IP-adresse ved opslag i DNS (Domain Name System, som gennemgås senere 5 ). Herefter laver transportlaget TCP-forbindelsen. 3. Når ønsket om at se en hjemmeside er sendt fra transportlaget, vil man, hvis der er installeret en cacheserver, først se, om hjemmesiden er lagret her (gennemgås senere). Hvis det ikke er tilfældet, fortsætter ønsket direkte til den pågældende webserver. Når klienten henvender sig til webserveren, laver serveren en connection socket, og kommunikationen sker så gennem klientens socket og webserverens connection socket. Forbindelsen mellem disse sockets bliver til i løbet af et såkaldt threeway handshake: a) Klienten sender en SYN-pakke for at fortælle serveren, at klienten ønsker at oprette en forbindelse til serveren, b) Serveren allokerer buffere til forbindelsen og returnerer derefter en ACK-pakke til klienten for at fortælle, at den er klar til at oprette forbindelsen og c) Herefter allokerer klienten selv buffere og sender en ACKpakke til serveren. Identifikationen af SYN og ACK pakker sker ved, at bestemte variable i transportlagets TCP-header får tildelt bestemt værdier. Forbindelsen er dermed etableret, og serveren kan begynde at sende data i form af de forskellige objekter på siden til klienten. Det, at forbindelsen sættes op ved hjælp af et three way handshake, betyder, at vi siger, at TCP er connection oriented. Den anden vigtige protokol til kommunikation over internettet er UDP, og i den sendes der bare data mellem klient og server, og afsenderen håber så på, at de kommer frem UDP er dermed connectionless 6. Det skal bemærkes, at forbindelsen mellem klient og server kan være persistent eller nonpersistent. Nonpersitent vil sige, at server eller klient kan lukke TCP-forbindelsen, hver gang et objekt er afsendt, og persistent betyder, at forbindelsen vedligeholdes, indtil samtlige objekter i en anmodning er afsendt. Desuden kan forbindelse ske med eller uden pipelining. Uden pipelining betyder, at klienten først kan ønske at få en ny pakke, når den foregående pakke er blevet anerkendt (ACK ed). Pipelining betyder, at klienten løbende kan anmode om nye pakker. Det skal desuden bemærkes, at vi ovenfor har ladet som om, pak- NETTETS INFRASTRUKTUR
20 ELEKTRONISK INFRASTRUKTUR VIRKSOMHEDENS IT-SIKRE PLACERING kerne blev sendt direkte mellem de to TCP-forbindelser. I virkeligheden sker der det, at applikationslagets message sendes ned gennem klientens socket til transportlaget, hvor TCP laver et segment, der sendes ned til netværkslaget, hvor der laves et IP-datagram, der sendes ned til linklaget, hvor der laves en frame, der sendes ned på det fysiske lag, hvor der laves en 1. level PDU, som afsendes fra netværkskortet. På server siden glider pakkerne tilsvarende op gennem stakken. Net-terminologi Ordet net bruges i mange forskellige sammenhænge og net er i sandhed også mange forskellige ting og kan klassificeres på mange forskellige måder. Vi vil i denne sammenhæng lave en sondring mellem infrastrukturnet og service net. Ved infrastrukturnet forstår vi de net, som udgør selve grundlaget for kommunikationen. Det vil sige: > Virksomhedsinterne netværk (LAN, WAN, VPN, trådløse netværk og metropolitan area networks) > Accessnet > Transportnet Ved de service betonede net forstås de net, som har fået et navn, fordi de har et bestemt serviceformål, men disse net kører på infrastrukturnettene > Intranet > Ekstranet > Internet Sammenhængen mellem de forskellige net kan illustreres som i figuren nedenfor: Firewall