Задачи LAN

Теперь поговорим о том, зачем же люди вообще создают эти самые локальные сети и почему в некоторых случаях нельзя пользовать глобальной.

Итак, цели создания LAN могут быть следующими:

1. Предоставление доступа к файлам только определенным устройствам. В глобальных сетях полноценной такой возможности нет, но есть некоторые обходные пути. Если вы хотите дать возможность использовать и изменять файлы определенным людям, к примеру, сотрудникам своей компании, самый простой и надежный способ – создание локальной сети.
2. Совместное использование принтеров, сканнеров и других подобных устройств. Эти самые устройства можно просто внести в локальную сеть и подключить к ней все компьютеры в том же здании. Если не использовать LAN, нужно было бы подключать тот же принтер к каждому компьютеру по отдельности, а это весьма непрактично и дорого.
3. Таким же образом используются и ресурсы всех компьютеров, в частности, память. Все просто – если на компьютере одного сотрудника не хватает места для хранения какой-то информации, он может оставить ее на компьютере своего коллеги, который также подключен к локальной сети.

Собственно, это все цели, которые преследуют люди, когда объединяют устройства в локальные сети. Как видим, все оказалось достаточно просто и незамысловато.

Осталось рассмотреть один вопрос – как же выглядит использование LAN?

Очень просто – пользователь, который подключен к сети, переходит на своем компьютере в папку «Сеть» и видит там папку «Users».

Он заходит в нее, затем выбирает желаемого пользователя (открывает его, как обычную папку) и видит все его ярлыки, папки и другую информацию, будто она находится на его компьютере.

Рис. 6. Папка «Сеть» на подключенном к локальной сети компьютере.

Разумеется, перед этим необходимо выполнить ряд манипуляций по настройке LAN, а также убедиться в том, что все устройства подходят для использования в локальной сети.

Но это, как говорится, «уже совсем другая история».

Еще больше понять изложенную выше информацию можно, если посмотреть обучающий урок в видео ниже.

что это, чем отличаются разъемы, расшифровка, подключение

Антон Богданов

Инженер-проектировщик сетей связи

При первом взгляде на сетевой маршрутизатор можно обнаружить несколько портов под коннектор RJ-45. Обычно на корпусе устройства их от трех до пяти штук. Но воткнув кабель от интернет-провайдера в любой из портов, доступ к интернету вы не получите. Если посмотреть внимательнее, то можно увидеть, что порты выделены разными цветами и имеют подписи “WAN” и “LAN”. Обычно маршрутизаторы имеют один или в редких случаях два WAN, и от двух до четырёх LAN портов. Разобраться во всех различиях между этими портами, а также узнать, почему их нельзя путать, можно в этой статье.

Что такое WAN?

“WAN” дословно это “Wide Area Network”. Что можно перевести на русский язык как “Глобальная вычислительная сеть”. Такая сеть объединяет огромное количество различных узлов, находящихся в разных местах и на различной удалённости друг от друга. Она может объединять города, страны и даже континенты. Другими словами, “WAN” – это то, что мы привыкли называть интернетом.

WAN на роутере

Как уже не сложно догадаться, WAN порт (ВАН порт) на роутере служит для подключения кабеля с сигналом интернет. Именно в этот порт (или порты, если маршрутизатор поддерживает подключение двух каналов связи) и нужно подключать WAN кабель, идущий от оборудования интернет провайдера. Поскольку только на этом порте имеется возможность произвести все необходимые настройки, такие как ввод логина, пароля, IP адреса и прочего.

Также некоторые модели роутеров позволяют использовать LAN для подключения интернета. Это актуально для устаревших DSL роутеров, поскольку в них отсутствует WAN и подключить туда современный высокоскоростной интернет по технологии FTTx можно только благодаря этой функции. Чтобы её задействовать, нужно в настройках маршрутизатора выбрать один из LAN портов и настроить как WAN. Далее нужно будет вставить кабель в этот разъём и произвести настройку для доступа в интернет.

Что такое LAN порт?

Расшифровка “LAN” означает “Local Area Networks” или “Локальная вычислительная сеть”. Она объединяет узлы, находящиеся на небольшом расстоянии друг от друга. Примером такой сети может стать сеть в офисе или университете. Другими словами, через LAN можно соединять друг с другом компьютеры напрямую.

Для этого есть специально созданные устройства – хабы и свитчи. Это такие коммутаторы с сетевыми разъёмами, которые помогают создавать огромные локальные сети. Также если воспользоваться маршрутизатором, то можно дать такой частной сети доступ в глобальный интернет.

Отличие WAN от LAN

Если судить только по названию, то можно увидеть, что у WAN и LAN есть общие слова “Area Networks”, что означает то, что обе эти технологии подразумевают вычислительную сеть, объединяющую множество устройств. Разница лишь в размерах этой сети, она может быть глобальной (Wide) или локальной (Local).

Но для пользователя гораздо важнее знать то, чем отличаются LAN и WAN на роутере. В WAN разъём подключается кабель от провайдера, по которому приходит интернет в устройство. Иногда в целях резервации канала приобретают роутер, в котором имеется двойной WAN. Таким образом можно обеспечить непрерывный доступ в сеть. Если у провайдера, чей канал выбран как основной, возникнут какие-либо проблемы связи или же она вовсе пропадёт, маршрутизатор переключится на резервную линию и проблем с интернетом не будет.

Обычно WAN порт на роутере выделен синим цветом и имеет аналогичную надпись. Также там может быть написано слово “Internet”. Располагается он в левой или правой стороне. Нужно не только подключить провод в WAN, но и произвести его настройку, введя предоставленные провайдером данные.

LAN порты могут быть выделены жёлтым цветом или же не выделены вовсе. Также на них имеются подписи, обычно это их порядковые номера – 1,2,3 и т.д. Эти разъёмы нужны для подключения устройств к роутеру, и их доступу к интернету. Для подключения используется Ethernet кабель.

Сейчас такие порты в роутерах, используемых в частных жилых помещениях, обычно не задействованы, потому что всё больше и больше устройств в доме имеют беспроводной интерфейс и необходимость в сетевых проводах отпала. А вот в офисах и на предприятиях эти порты применяются, и даже их количества на роутере не хватает. Поэтому в LAN порты подключаются свитчи и хабы и уже в эти устройства подключают компьютеры и прочую сетевую технику. Поэтому количество портов для локальной сети может быть увеличено при помощи этих устройств.

Также порты различаются скоростью передачи данных. Скорость передачи данных в локальной сети зачастую выше, чем скорость загрузки данных из сети интернет. Это может быть как из-за ограничения в тарифном плане от провайдера, так и из-за ограничений самого разъёма. Например, LAN порты могут иметь скорость до 1000 мбит/с, а WAN – до 100 мбит/с. Поэтому устройства могут обмениваться друг с другом данными на большой скорости при условии, что и сетевые карты устройств поддерживают такую скорость. А вот скорость обмена с “внешним миром” будет ограничена WAN.

Стандартная схема подключения роутера для настройки и использования интернета:

Индикация

Для того чтобы узнать, какие соединения активны, в маршрутизаторах применяются индикаторы. Это лампочки на передней или верхней части устройства.

Индикатор для сети WAN обозначен как буква “I” или же на нём может быть изображён земной шар. Если в соответствующий разъём ничего не подключено, светодиод не активен. Также он может быть неактивен, если повреждён провод или есть проблема на коммутаторе провайдера. В общем, если индикатор интерфейса WAN не активен, это означает, что сигнал до роутера не доходит.

Если индикатор мигает жёлтым цветом, это означает то, что сигнал доходит, но интернета на устройстве нет. Либо введены неправильные настройки на роутере, либо это проблемы с оборудованием провайдера. Неисправность кабеля в таком случае исключается.

Если светодиод горит или мигает зелёным цветом, значит соединение WAN активно и можно пользоваться интернетом.

У LAN портов тоже есть индикация. Обычно это цифры, соответствующие порядковым номерам разъёмов, или значки мониторов. Каждому  разъёму соответствует свой светодиод, который показывает, какие порты сейчас подключены. Однако появляются модели без индикации LAN портов или с одним светодиодом на все порты.

Если индикатор не активен, это означает, что в порт ничего не подключено или подключенное устройство выключено из сети. Также это может означать неполадки с кабелем.

Если произвести подключение в WAN порт кабеля от любого устройства, например, ноутбука, то ничего не сломается, как и если подключить в LAN кабель от интернета. Индикатор подключённого порта будет так же светиться, сигнализируя о подключённом устройстве, но работать сеть не будет.

WAN сеть

WAN сеть глобальна, это совокупность всех компьютеров, подключённых к интернету. В состав такой сети входят более маленькие сети. Такие сети делятся на:

• LAN – маленькая сеть для дома или рабочего помещения. Для связи между офисами в разных городах существует VLAN (Virtual Local Area Networks). Эта технология связывает удалённые узлы и позволяет им пользоваться общими сетевыми устройствами, например, принтером или файловым хранилищем так, как будто они находятся в одном офисе.
• PAN (Personal Area Network) – объединяет устройства, которыми пользуется один человек;
• CAN(Campus Area Network) – совокупность зданий, в которых уже есть своя локальная сеть, для обмена между ними данными;
• MAN(Metropolitan Area Network) – более крупная сеть, которая объединяет устройства в городе или нескольких городах.

WAN IP

У каждого устройства в сети есть IP адрес. Он идентифицирует устройство, чтобы другие участники могли к нему обращаться. В рамках локальной сети идентификаторы назначаются вручную администратором сети или автоматически по протоколу DHCP.

Такие адреса обычно начинаются с 192.168.1.1. – это локальный адрес маршрутизатора. Все остальные устройства будут иметь адреса 192.168.1.2, 192.168.1.3. и т.д. И в рамках одной сети эти адреса будут уникальны. Но чтобы пользоваться интернетом, нужен идентификатор, уникальный в интернете. Поэтому провайдер присваивает внешний адрес – WAN IP. Он может быть как строго заданным (статическим), так и изменяемым время от времени (динамическим). Именно под этим IP и будут отображаться все устройства локальной сети в интернете.

Отличия систем СКС и ЛВС

Чем отличается СКС от ЛВС?

В этой статье мы объясним простым языком отличие ЛВС от СКС, для тех, кто не занимается проектированием и монтажом этих систем и не знает их особенностей.

Что такое ЛВС и СКС? Многие думают, что это одно и то же, а именно, офисная компьютерная сеть. В этом есть доля правды, так как офисная компьютерная сеть как раз является ЛВС или LAN. Но СКС подразумевает нечто большее, и ЛВС обычно является ее частью. Рассмотрим этот момент подробнее.

Сегодня в зданиях любого назначения, будь то офисные, промышленные, административные, главными инструментами являются компьютеры и телефоны, соединенные в одну сеть для слаженной совместной работы. Ее конфигурация определяется потребностями организаций и сотрудников, работающих в этих зданиях.

А собраны эти системы на базе универсальной структурированной кабельной сети СКС, покрывающей весь объект, и предназначенной для реализации на ее основе единой информационной структуры, включающей в себя:

• локальные вычислительные сети ЛВС,
• телефонные сети и АТС,
• слаботочные системы безопасности: охранную и пожарную сигнализацию, оповещение и управление эвакуацией,
• видеонаблюдение, контроль и управление доступом,
• автоматизацию и диспетчеризацию инженерного оборудования,
• телевидения и радио.

Список впечатляет, не правда ли? Для надежной интеграции и эксплуатации этих систем важно правильно выполнить проектирование СКС, с учетом всех требований и стандартов и исходной документации. Проще говоря, чтобы при дальнейшей эксплуатации хватило с запасом пропускной способности, но при этом не было значительного перерасхода материалов и комплектующих.

Структурированная кабельная система состоит из медных и оптоволоконных кабелей, коммутационных комплектующих, шкафов, кабельных лотков, кабель-каналов и других необходимых элементов, проложенных в виде многоуровневой структуры во все места объекта, где понадобится подключение.

Локальная вычислительная сеть (LAN) обычно покрывает офис, здание или группу зданий, занимаемые одной организацией или бизнесом, и охватывает компьютерное и периферийное оборудование, позволяя обмениваться данными. Монтаж локальной вычислительной сети осуществляется на основе рабочего проекта.

Проекты СКС и ЛВС включают в себя примерно одинаковый набор данных: пояснительную записку, чертежи, документацию, пакет разрешительной документации и так далее.

Монтаж сетей ЛВС и СКС обычно отличают объемы и условия работ.

• Монтаж СКС чаще всего производится до отделочных работ, и включает в себя строительные и земляные работы, установку лотков, шкафов и коммутационного оборудования и прокладку кабелей, пусконаладку.
• Монтаж ЛВС обычно производится в отделанных помещениях, и включает в себя установку и настройку серверов, прокладку кабель-каналов, укладку кабелей, установку розеток, пусконаладку.

Качество проектирования и монтажа СКС и ЛВС будет определять безопасность и комфорт работы в здании на долгие годы вперед.

Надеемся, что теперь вы точно знаете назначение и отличия между этими системами!

© «KRON construction», при полном или частичном копировании материала ссылка на первоисточник обязательна.

Что такое WAN и LAN в роутере

На каждом роутере есть порты LAN для подключения к нему компьютера, принтера и других устройств, в частности коммутаторов, то есть для создания локальной сети. Порт WAN обычно один, его маркируют или выделяют другим цветом. К нему подключается интернет кабель от провайдера.

Что такое LAN порт в роутере

Термин LAN, как таковой, это аббревиатура от Local Area Network, что переводится как «Локальная Вычислительная Сеть» (ЛВС). Это широкое название, объединяющее в себя группу компьютеров и периферийных устройств, объединенных в одну общую сеть посредством коммутаторов, кабелей и беспроводного соединения.

LAN порт – этот разъем используется для организации локальной сети, через него с помощью сетевых кабелей подключается все оборудование:

• Компьютеры
• Принтеры
• SIP телефоны
• другая техника

Его так же называют портом Ethernet. Не стоит путать аппаратный порт LAN с сетевыми портами, такими как, например 80-й порт HTTP.

Данное подключение используется для организации  сети в квартире, офисе, в загородном доме, то есть, когда подключаемые компьютеры расположены на близком расстоянии.

Теперь разберемся, как настроить LAN на роутере. В начале, необходимо присвоить роутеру IP адрес, по которому к нему можно будет подключаться с других компьютеров.

Ни всегда роутер будет отвечать на проверку соединения с помощью команды «ping», в некоторых роутерах не поддерживается эта опция, а в некоторых она настраиваемая.

А так же настройкой DHCP: включение – отключение сервера и диапазон раздаваемых IP адресов.

Чтобы не было возможной путаницы при использовании DHCP, желательно зарезервировать вручную на роутере IP адреса, которые он будет раздавать для всего оборудования в сети. Для упрощения этого можно посмотреть таблицу клиентов, и переписать из нее MAC адреса подключенного оборудования и выданные каждому IP адреса, вот их и зарезервировать.

Если количества LAN портов не достаточно для подключения всего оборудования, то можно использовать коммутатор, предварительно его настроив: задав IP адрес, маску сети, в качестве шлюза по умолчанию следует выбрать IP адрес главного роутера, имеющего выход в интернет.

При использовании коммутатора не забудьте отключить на нем раздачу IP адресов по DHCP.

Конечно же, локальная сеть включает в себя и беспроводное соединение устройств с различными мобильными устройствами, но это уже относится скорее к настройкам Wi-Fi.

Что значит WAN на роутере

Термин WAN – это аббревиатура от Wide Area Network и переводится как «Глобальная Вычислительная Сеть» (ГВС), представляет собой географически распределенную сеть, объединяющую в себя несколько локальных сетей. Благодаря этому можно подключаться из одной локальной сети к ресурсам других, если, конечно, к ним предоставлен доступ.

WAN порт используется для подключения роутера ко внешней сети, в частности для подключения к сети провайдера с целью получения доступа в интернет. Обычно он выделяется другим цветом и маркируется надписью «WAN» или «INTERNET».

То есть, данное подключение используется для связи между собой удаленных компьютеров, расположенных в разных зданиях, городах, странах.

В некоторых моделях присутствуют два WAN порта, или вообще количество их настраивается. Наличие их обычному пользователю не очень важно, но, для справки, они используются для резервного доступа в интернет через другого провайдера или для балансировки нагрузки.

Индикация

На каждом и портов WAN и LAN есть два светодиода, которые могут показывать есть ли линк (link) — подключено ли ответное устройство, скорость соединения, обычно:

• Зеленый – 1 Гбит/с
• Желтый – 100 Мбит/с
• Не горит – 10 Мбит/с

Во время обмена данными индикаторы могут мигать.

На некоторых устройствах может вообще отсутствовать желтый светодиод. Может быть устроено так, что один индикатор горит зеленым только в случае подключения 1 Гбит/с, а индикатор справа загорается в момент передачи пакета данных.

Помимо индикаторов на разъеме, очень часто делают индикаторы и на корпусе, для WAN обычно он изображается в виде планеты, для LAN изображается в виде компьютера. Если все хорошо — он горит или мигает зеленым цветом.

Что такое lan на компьютере. Сравниваем LAN и WAN. В чем различие между портами Local Area и Wide Area

Сегодня многие пользователи ищут в интернете такую информацию: LAN – что это такое и зачем это нужно? Конечно, во всемирной сети можно найти очень простое и короткое определение.

Звучит оно следующим образом: LAN – это локальная сеть. Вот и все.

Но эта расшифровка не дает абсолютно ничего, особенно если с этим приходится иметь дело начинающему пользователю.

На самом же деле такой подход к делу только усложняет всю ситуацию. Поэтому мы попытаемся объяснить, что такое LAN, простым языком, так, чтобы это смог понять даже ребенок.

Если Вам все-таки что-то будет непонятно, пишите об этом в комментариях, мы с удовольствием ответим на все Ваши вопросы. Итак, начнем с простой теории.

Теоретическая страничка

Итак, LAN расшифровывается как Local Area Network. Это действительно переводится как .

Если сказать проще, то LAN – это несколько объединенных между собой компьютеров, и других устройств, которые могут подключаться к сети.

А объединены они между собой либо с помощью кабелей, либо с помощью . На рисунке 1 Вы можете видеть довольно яркий пример локальной сети.

Рис. 1. Пример LAN

Как видим, здесь основным элементом сети является роутер, который подключен к интернету (WAN). Запомните эту аббревиатуру, о ней мы еще поговорим.

А пока что разберем показанную выше схему. На ней цифрами обозначены сегменты сети, а конкретно:

3. DVD-плеер, подключенный к роутеру при помощи кабеля. Для этого на роутере есть специальные разъемы LAN, которые обычно обозначены желтым цветом. В большинстве случаев таких разъема 4.

Как мы говорили выше, для подключения к роутеру через кабель используется LAN разъем. Мы можем видеть это на рисунке 3.

Рис. 3. Роутер – вид сзади

Как видим, в этой модели все стандартно – 4 разъема LAN, но есть еще один и он уже отличается синим цветом.

Собственно, это и есть WAN (помните, мы говорили о том, что это понятие нужно запомнить?). Чтобы более точно понять, что же такое LAN, можно сравнить его с этим самым WAN.

К слову: И LAN, и WAN подключаются через самый обычный кабель с наконечником RJ45, показанным на рисунке 4. Выше мы говорили о том, что, к примеру, сегмент №3 на рисунке 1, то есть DVD-плеер, подключается к роутеру с помощью кабеля. Этот кабель представляет собой обычная витая пара с наконечниками RJ45 с обеих сторон. Вот так все просто!

Рис. 4. Наконечник RJ45

Сравниваем LAN и WAN

Начнем с того, что вообще такое WAN. Опять же, если сказать просто, это интернет. То есть это та же сеть, но не локальная, как LAN, а глобальная.

В нее входят все устройства и миллионы локальных сетей. WAN расшифровывается как Wide Area Network.

По этой самой сети каждый пользователь может получать доступ к ресурсам другого компьютера или иного устройства, которое можно подключить к сети.

Кстати: Информация эта хранится на серверах. Если сказать просто, это огромное количество дисков большой вместимости, собранные в один большой аппарат, который может выдавать эту информацию.

Рис. 5. Пример рабочего сервера

Отличия LAN и WAN:

1. Размеры. Обычно локальная сеть охватывает небольшие участки, например, квартиру или же какое-то производственное помещение. А вот глобальная сеть распространяется по всей поверхности земного шара.
2. Количество пользователей. Разумеется, к глобальной сети может подключаться гораздо больше людей, чем к локальной. Там и оборудование используется намного более мощное, и вообще обычно подключается очень много людей. На это и расчет.
3. Тип сервисов. В локальных сетях есть собственные сервисы, такие как служба доступа к файлам, служба работы с принтерами и так далее, в общем, все то, что нужно для небольшой сети. А вот в глобальной сети используется, к примеру, сервис маршрутизации (определение маршрута следования информации по узлам сети) и многое другое, что необходимо для работы в больших сетях.

Что касается расстояния или площади, которую могут охватывать эти два вида сетей, то выше мы уже говорили о том, что глобальная сеть распространяется на всей поверхности земного шара.

Соответственно, она может работать и на далеких космических кораблях, если те подключены к какому-либо устройству в рамках этой сети.

Так вот, интересно, что локальные сети тоже могут достигать достаточно больших размеров

Самая большая на сегодняшний день такая сеть имела устройства, которые располагались на расстоянии в 14 000 км друг от друга. Это были космические станции и орбитальные центры.

Хотя обычно локальная сеть охватывает те же офисы, дома, фирмы или небольшую группу зданий.

И его установке каждый из нас имел дело с разъёмами LAN и WAN. Они предназначены для разных целей, но используются вместе, из-за чего нередко возникает путаница. Давайте разберёмся, что они собой представляют, какова разница между ними.

Через гнездо WAN подключают кабель интернета, через LAN – локальные устройства

Что представляет собой LAN

Этот вид подключения позволит объединить в локальное окружение некоторое число компьютеров, находящихся на небольшом расстоянии друг от друга.

При покупке маршрутизатора вы можете заметить на его задней стороне четыре одинаковых гнёзда одного типа. Все они созданы с целью соединения нескольких ПК в одной точке доступа.

LAN-порт нужен, если вы хотите создать группу, чтобы подключить к интернету всё оборудование внутри дома. Таким образом, можно создать сеть, которая будет охватывать площадь в пару километров, для чего покупают кабель с высокой пропускной способностью.

Что такое WAN

При помощи этого типа подключения создаётся внешняя сеть, которая представляет собой большое количество групп, пользователей независимо от их местонахождения. Главное отличие состоит в том, что предыдущий формат предназначен для внутреннего объединения нескольких ПК , а этот тип соединения является внешним.

Существует множество глобальных сетей, но наиболее известной и часто используемой является Всемирная паутина. Именно её предпочитает большинство клиентов на разных расстояниях, поскольку она не ограничена территориально, создаётся посредством телефонных проводов и более современных технологий.

Разъём типа WAN вы наверняка видели при покупке и установке маршрутизатора — в него подключается кабель от провайдера. Совместная работа обоих портов заключается в том, что один из них передаёт сигнал, который затем раздаётся на устройства, подсоединённые к роутеру .

Технические моменты

Основные отличия этих форматов:

• Первый вид помогает создавать внутреннюю сеть, WAN используют для глобального объединения пользователей.
• Локальная группа имеет ограничение по количеству клиентов, а также территории, глобальная — нет.
• В портах разные протоколы передачи данных — Ethernet и 802.11 для локального и PPP, HDLC, Frame Relay для внешнего.

На каждом роутере есть порты LAN для подключения к нему компьютера, принтера и других устройств, в частности коммутаторов, то есть для создания локальной сети. Порт WAN обычно один, его маркируют или выделяют другим цветом. К нему подключается интернет кабель от провайдера.

Что такое LAN порт в роутере

Термин LAN, как таковой, это аббревиатура от Local Area Network, что переводится как «Локальная Вычислительная Сеть» (ЛВС). Это широкое название, объединяющее в себя группу компьютеров и периферийных устройств, объединенных в одну общую сеть посредством коммутаторов, кабелей и беспроводного соединения.

LAN порт – этот разъем используется для организации локальной сети, через него с помощью сетевых кабелей подключается все оборудование :

• Компьютеры
• Принтеры
• SIP телефоны
• другая техника

Его так же называют портом Ethernet. Не стоит путать аппаратный порт LAN с сетевыми портами, такими как, например 80-й порт HTTP.

Данное подключение используется для организации сети в квартире, офисе, в загородном доме, то есть, когда подключаемые компьютеры расположены на близком расстоянии.

Теперь разберемся, как настроить LAN на роутере. В начале, необходимо присвоить роутеру IP адрес, по которому к нему можно будет подключаться с других компьютеров.

Ни всегда роутер будет отвечать на проверку соединения с помощью команды «ping», в некоторых роутерах не поддерживается эта опция, а в некоторых она настраиваемая.

А так же настройкой DHCP: включение – отключение сервера и диапазон раздаваемых IP адресов.

Чтобы не было возможной путаницы при использовании DHCP, желательно зарезервировать вручную на роутере IP адреса, которые он будет раздавать для всего оборудования в сети. Для упрощения этого можно посмотреть таблицу клиентов, и переписать из нее MAC адреса подключенного оборудования и выданные каждому IP адреса, вот их и зарезервировать.

Если количества LAN портов не достаточно для подключения всего оборудования, то можно использовать коммутатор, предварительно его настроив: задав IP адрес, маску сети, в качестве шлюза по умолчанию следует выбрать IP адрес главного роутера, имеющего выход в интернет.

При использовании коммутатора не забудьте отключить на нем раздачу IP адресов по DHCP.

Конечно же, локальная сеть включает в себя и беспроводное соединение устройств с различными мобильными устройствами, но это уже относится скорее к настройкам Wi-Fi.

Что значит WAN на роутере

Термин WAN – это аббревиатура от Wide Area Network и переводится как «Глобальная Вычислительная Сеть» (ГВС), представляет собой географически распределенную сеть, объединяющую в себя несколько локальных сетей. Благодаря этому можно подключаться из одной локальной сети к ресурсам других, если, конечно, к ним предоставлен доступ.

WAN порт используется для подключения роутера ко внешней сети, в частности для подключения к сети провайдера с целью получения доступа в интернет . Обычно он выделяется другим цветом и маркируется надписью «WAN» или «INTERNET».

То есть, данное подключение используется для связи между собой удаленных компьютеров, расположенных в разных зданиях, городах, странах.

В некоторых моделях присутствуют два WAN порта, или вообще количество их настраивается. Наличие их обычному пользователю не очень важно, но, для справки, они используются для резервного доступа в интернет через другого провайдера или для балансировки нагрузки.

Индикация

На каждом и портов WAN и LAN есть два светодиода, которые могут показывать есть ли линк (link) – подключено ли ответное устройство, скорость соединения, обычно:

• Зеленый – 1 Гбит/с
• Желтый – 100 Мбит/с
• Не горит – 10 Мбит/с

Во время обмена данными индикаторы могут мигать.

На некоторых устройствах может вообще отсутствовать желтый светодиод. Может быть устроено так, что один индикатор горит зеленым только в случае подключения 1 Гбит/с, а индикатор справа загорается в момент передачи пакета данных.

Помимо индикаторов на разъеме, очень часто делают индикаторы и на корпусе, для WAN обычно он изображается в виде планеты, для LAN изображается в виде компьютера. Если все хорошо – он горит или мигает зеленым цветом.

Нередко возникают вопросы относительно того, что собой представляет витая пара. Она является одним из видов кабеля, который использует изолированные проводники, скрученные попарно. Данный тип кабеля активно используется в телекоммуникационной сфере. Его можно назвать неотъемлемым элементом кабельных систем структурированного типа.

Очевидно, что кабель так называется исходя из использования там свивающихся проводников. В техническом плане это дает определенные преимущества. Проводники свиваются для того, чтобы можно было уменьшить степень влияния со стороны электромагнитных помех. Ведь иногда на жилы влияют посторонние источники. Кабели, которые относятся к категории 5e, обладают жилами, которые свиваются с различным шагом. Благодаря такому подходу удается сократить помехи от витых пар между собой.

Для предохранения от разнообразных помех могут употреблять и экранирование кабелей. Можно выделить два ключевых вида кабелей на основе такой технологии. Они бывают экранированными и неэкранированными . Надо понимать, что означает конкретная маркировка кабеля, чтобы можно было уяснить, какой степенью экранирования он обладает.
Маркировка кабелей и ее особенности

Во время подбора кабеля в обязательном порядке придется столкнуться со специальной маркировкой . Каждая ее часть отвечает за
какие-то особенности конструкции. Например, одна часть может говорить о том, что кабель экранирован. К примеру, есть такой продукт, как “ cat. 5e CCA”. Каждый символ в названии что-то обозначает. Надо понять, что именно, чтобы грамотно разбираться в этом вопросе. Во время маркировки могут использоваться различные обозначения , среди которых:

• TP — витая пара по типу скрутки;
• U — отсутствие специального защитного экрана;
• F — использование фольги в виде экрана;
• S — использование проволочной оплетки в виде экрана.

Согласно современным стандартам для маркировки применяются определенные комбинации обозначений. Они записываются в конкретном порядке, например XX/YZZ. В таком случае “XX” означает общий кабельный экран, а символ “Y” — экран для всякой пары. “ZZ” является маркером типа проводной скрутки.

Маркировка кабеля витая пара

Однако в практике могут возникать разнообразные ситуации с путаницей. Это обусловлено тем фактором, что изготовители нередко

маркируют кабель только при помощи трех букв. Надо знать особенности такой маркировки, чтобы иметь возможность грамотно разобраться в ней. Маркировка производителей обозначает следующее:
UTP — это отсутствие экранирования, STP — все пары обладают экраном из фольги, FTP — общий экран, STP — использование экрана из проволочной оплетки,
S-FTP — фольга либо же оплетка в качестве экрана, FFTP — экранирование каждой отдельной пары и всего изделия в целом, SSTP — экранирование фольгой каждой пары плюс дополнительное помещение каждой пары в специальный экран из проволочной оплетки.

На данный момент чаще всего встречаются кабели типа UTP, в которых нет никакого экранирования. Также нередко эксплуатируются и изделия типа FTP, когда применяется общий фольговой экран для всех пар.
Категории витой пары (LAN-кабель)

На сегодняшний день принято выделять семь ключевых категорий данного типа кабеля. Каждый из них обладает своими специфическими особенностями. Ключевым отличием является полоса пропускания кабеля. Она играет роль определяющего фактора для обеспечения скорости трансляции данных. От нее также зависит вероятность употребления специальных технологий сетей.

Скорость передачи данных бывает различной. Благодаря этому всегда можно выбрать наилучший вариант для сети.

• Скорость первой категории составляет до 56 Кбит/с;
• Вторая категория — до 4 Мбит/с;
• Третья — до 10 Мбит/с;
• Четвертая — до 16 Мбит/с;
• Пятая — до 100 Мбит/с при применении двух пар;
• Шестая — до 1 Гбит/с при применении четырех пар;
• Седьмая — до 10 Гбит/с при употреблении четырех пар.

Материал и сечение проводника

Обычно в этих целях используется медь или сочетание стали, алюминия с медью. Омедненка нередко может применяться в изделиях

пятой категории. Наиболее распространенный вариант витой пары UTP CCA. Кабель UTP CCA имеют сердцевину из алюминия с покрытием из меди (Cu). Кабели CCA действительно проходят по нормам 5-й категории за счет поверхностного эффекта. В изделиях категории шесть или семь принято использовать только лишь медный проводник.

Во время подбора изделия надо обращать внимание на употребляемый материал. От этого зависит многое. Медь представляет собой оптимальный проводник, что накладывает свой отпечаток на стоимость. Но лучше в такой ситуации не экономить. Если возникнут вопросы с кабелем, его переделывание может повлечь существенные расходы. Поэтому лучше сразу выбрать надежный кабель. Оптимальным выбором будет приобретение качественного кабеля от проверенного изготовителя, потому что экономия может повлечь за собой проблемы. Купить витая пара Skynet можно у специалистов компании AVS Electronics.

Прошли времена, когда компьютер был подключен к интернету с помощью кабеля. Сегодня в наших домах прочно закрепились wi-fi роутеры, благодаря которым мы можем дома войти в интернет с любого устройства, не подключая специальный провод. C обратной стороны wi-fi роутера можно заметить несколько портов, причем один из них имеет надпись WAN, а все остальные — LAN. На первый взгляд неопытному пользователю покажется, что они абсолютно одинаковы, но это не так. Итак, разберемся подробнее: WAN и LAN — в чем разница?

Понятие портов LAN и WAN

Сокращение WAN расшифровывается как глобальная сеть, которая объединяет миллионы компьютеров всех стран и континентов.

Термин LAN понимает под собой сеть, действующую локально и объединившую некоторое небольшое число машин, причем на ограниченном участке.

В чем различие между портами Local Area и Wide Area

Главное различие этих двух портов — в предназначении сетей. Wide Area — сеть глобальная, с помощью которой объединены группы небольших сетей, а также компьютеры, причем их место положения никак не влияет на процесс объединения. Пользователи, машины которых подключены к сети WAN, способны общаться друг с другом из разных уголков планеты. Ограничение на процесс взаимодействия абонентов накладывает лишь скорость передачи данных.

Всемирно известная Wide Area — это Интернет, однако это далеко не единственная внешняя сеть в нашем мире. LAN является сетью внутренней, локальной, с помощью которой можно объединить части сети, выделенные вычислительные машины, которые расположены относительно неподалеку. Работу между ними обеспечивают проводные, беспроводные технологии.

Обратимся вновь к роутеру. Главное предназначение порта WAN — подключение кабеля, отвечающего за интернет-соединение. Порты LAN, в свою очередь, необходимы для подсоединения и настройки компьютера и других устройств.

Локальные сети (LAN) охватывают всего несколько километров, а связь на участках поддерживается при помощи высококачественных кабелей, которые характеризуются большой пропускной способностью (обычно это витая пара).

Глобальная Wide Area не ограничена охватом какой-то территории, но при такой организации используются телефонные провода, которые не могут похвастать ни высоким качеством, ни скоростью. Но соединения типа WAN могут основываться и на современных видах связи. Еще одно различие этих двух сетей — топология. LAN допускает использование только прямой топологии, а WAN основана на смешанной иерархической топологии.

Что касается канального уровня, то в локальных LAN один канал связи использует лишь один клиент. Глобальные же отличаются тем, что один канал связи может быть разделен сразу между несколькими клиентами.

Что скрывается в вашей сети? Узнайте, расшифровав SSL

Организации потратили огромные суммы денег на системы безопасности, и при правильном развертывании и эксплуатации они играют ключевую роль в защите организации. Однако у большинства систем есть одна критическая зависимость: проходящий трафик должен быть читаемым. Если трафик зашифрован, многие системы почти полностью бесполезны, что дает владельцу системы ложное ощущение безопасности.

Насколько сильно это проблема? Недавний отчет, опубликованный Palo Alto Networks, проливает некоторый свет.Согласно отчету о рисках приложений и использования, 7-е издание, 36% пропускной способности корпоративных сетей зашифровано. Это 36 из 100 шансов, что ваши сетевые системы защиты информации пропустят что-то плохое. А в действительности вероятность больше 36%, потому что плохие парни знают, где спрятать плохие вещи, чтобы ваши инструменты не увидели этого. Кроме того, процент зашифрованного трафика увеличивается, поскольку все больше приложений и веб-сайтов используют политики шифрования по умолчанию.

ТЕСТ «ЧИСТЫЙ ВЫБОР»: SonicWall демонстрирует высокие результаты в тестировании дешифрования SSL

БОЛЬШЕ: SSL-дешифрование может потребоваться по соображениям безопасности, но сотрудники могут «взбеситься»

Итак, что можно сделать? Очевидно, что заблокировать весь зашифрованный трафик на границе предприятия невозможно.Ответ кроется в технологических возможностях, которые позволяют нам заглядывать внутрь зашифрованного трафика: дешифрование на лету. Остальная часть статьи посвящена объяснению, как это можно сделать. Я не буду ссылаться на реализацию какого-либо одного поставщика, а скорее попытаюсь придерживаться основ и объяснить, как работает технология.

Вопреки тому, что вы думаете, вам не нужна команда математиков или суперкомпьютеры уровня NSA для выполнения этой задачи. Напротив, на самом деле это довольно просто, если вы понимаете основы.

Шифрование 101

Когда вы открываете браузер на своем компьютере (смартфоне или планшете) и переходите на безопасный веб-сайт, например ваш банк, вы замечаете, что URL-адрес начинается с HTTPS (обратите внимание на букву «S»). Это указывает на то, что все данные, которыми обменивается удаленный веб-сервер, шифруются с помощью схемы шифрования, называемой PKI (инфраструктура открытого ключа). Это работает следующим образом:

• У веб-сервера есть секретный ключ шифрования, называемый закрытым ключом, который представляет собой длинную, на первый взгляд случайную строку символов, хранящуюся в компьютерном файле.Только веб-сервер имеет доступ к закрытому ключу. Он также имеет открытый сертификат (который также является просто компьютерным файлом), который содержит другой ключ шифрования, называемый открытым ключом, который отличается от секретного ключа.
• Закрытый ключ и открытый ключ связаны математически, так что все, что зашифровано открытым ключом, может быть расшифровано только закрытым ключом. Другими словами, операцию шифрования нельзя отменить с помощью открытого ключа. (То, как именно работает умопомрачительная математика, выходит за рамки этой статьи и, честно говоря, моего интеллекта).

Когда ваш браузер хочет установить связь с зашифрованным веб-сервером, происходит следующая последовательность событий (изображенная графически на рисунке 1 для тех, кто любит изображения).

1. Веб-браузер запрашивает у веб-сервера его открытый сертификат (который, помните, содержит открытый ключ).
2. Веб-сервер с радостью обязывает и отправляет сертификат.
3. Затем браузер генерирует совершенно новый случайный ключ шифрования (я назову его сеансовым ключом, потому что он уникален для данного конкретного сеанса просмотра).
4. Используя открытый ключ шифрования из сертификата сервера, браузер шифрует сеансовый ключ. Помните, что только закрытый ключ может расшифровать то, что зашифровано открытым ключом.
5. Браузер отправляет зашифрованный сеансовый ключ на веб-сервер.
6. Веб-сервер расшифровывает сеансовый ключ, используя свой закрытый ключ. Браузер и веб-сервер теперь имеют общий секретный ключ, который они могут использовать как кольцо декодера для установления зашифрованной связи до конца сеанса просмотра.

Имеет смысл? Ключом к пониманию шифрования PKI является взаимосвязь между открытым и закрытым ключами; открытый ключ используется для шифрования, а закрытый ключ используется для дешифрования. А поскольку единственный объект во всем мире, имеющий доступ к закрытому ключу, — это сервер, все, что зашифровано открытым ключом, может быть расшифровано только веб-сервером.

Теперь, когда у нас есть базовое понимание PKI, давайте вернемся к нашей теме. Чтобы расшифровать трафик, чтобы ваши инструменты безопасности могли его изучить, нам нужно войти в середину сеанса.Как мы это делаем, зависит от функции или типа трафика, который вы пытаетесь расшифровать. Есть две категории:

1. Входящий трафик, инициированный клиентским компьютером во внешнем мире, возможно, в Интернете, и направлен на сервер в вашей организации, возможно, на веб-сервер.
2. И исходящий трафик, инициированный клиентским компьютером в вашей организации и направленный на сервер во внешнем мире, возможно, в Интернете.

Давайте посмотрим на каждый из них и узнаем, как расшифровать каждый.

Расшифровка входящего трафика

Допустим, у вашей компании есть веб-сайт, размещенный на веб-сервере в вашем центре обработки данных. Веб-сайт использует SSL, поэтому весь трафик на веб-сайт и с него зашифрован. Когда клиент в Интернете обращается к сайту с помощью компьютера, смартфона или планшета, между браузером клиента и веб-сервером устанавливается сквозное SSL-шифрованное соединение, что делает соединение полностью невидимым для средств сетевой безопасности вашей организации.

Расшифровка этого трафика, чтобы сделать его видимым для ваших инструментов безопасности, требует двух шагов:

1. Размещение копии закрытого ключа сервера на устройстве с возможностью дешифрования
2. Получение данных или копии данных для дешифрования -capable device

Первый шаг прост, но второй шаг может быть выполнен несколькими способами (изображенными на рисунке 2):

1. Зеркально отразите трафик на устройство дешифрования с помощью сетевого ответвителя или другого подобного механизма.Устройство безопасности использует закрытый ключ сервера для расшифровки сеансового ключа, отправленного браузером клиента, так же, как это делает фактический сервер, а затем следует за сеансом SSL, расшифровывая весь трафик к серверу и от него. Эти устройства являются реактивными по своей природе. Другими словами, они не могут активно блокировать текущую атаку, потому что устройство безопасности просматривает только копию трафика.
2. Разместите устройство дешифрования непосредственно между клиентом и сервером. Таким же образом, как и в сценарии выше, устройство дешифрования использует закрытый ключ сервера для расшифровки сеансового ключа и затем может следить за сеансом SSL.Преимущество этого решения по сравнению с решением, приведенным выше, заключается в способности устройства безопасности упреждающе блокировать текущие атаки из-за того, что фактическое соединение маршрутизируется через устройство безопасности.
3. Фактическое завершение SSL-соединения на самом устройстве безопасности. В этом сценарии, когда клиентский браузер инициирует соединение с веб-сайтом, соединение фактически устанавливается с устройством безопасности. Затем устройство безопасности устанавливает собственное соединение с реальным веб-сервером, извлекает контент, запрошенный клиентом, и отправляет контент клиенту.Соединение между устройством безопасности и реальным веб-сервером также может быть зашифровано (устройство безопасности становится клиентом с точки зрения веб-сервера), но не обязательно. Например, если устройство безопасности и реальный веб-сервер расположены в одном и том же безопасном объекте, может не потребоваться защищать связь между ними, что позволяет экономить ресурсы на веб-сервере.

Каждый из вышеперечисленных методов имеет свои сильные и слабые стороны, и то, что используется в данной архитектуре, зависит от многих факторов.Однако все они имеют один ключевой момент: незашифрованные данные никогда не покидают устройство. В результате поддерживается сквозное шифрование данных.

Расшифровка исходящего трафика

Что касается исходящего трафика, подавляющее большинство исходит от сотрудников, просматривающих Интернет, проверяющих свою электронную почту, публикуя сообщения в Facebook и т. Д. Этот трафик потенциально опасен для вашей организации множеством способов: Пользователи могут отправлять конфиденциальную информацию компании по электронная почта в Интернете, публикация конфиденциальных данных в социальных сетях и т. д.Каждый пользователь в вашей организации, который получает доступ к зашифрованному веб-сайту, является потенциальной точкой входа в вашу сеть или точкой выхода для конфиденциальной информации.

Расшифровка исходящего трафика немного сложнее, чем расшифровка входящего. Как мы только что обсуждали, при расшифровке входящего трафика мы загружаем закрытый ключ для сервера на устройство дешифрования, давая ему возможность расшифровывать трафик на сервер или с него. Но мы не можем загрузить закрытый ключ для каждого веб-сервера в Интернете на ваше устройство безопасности, поэтому необходима другая стратегия.

Стратегия дешифрования исходящего трафика требует более детального понимания PKI. Вернитесь к разделу «Шифрование 101» выше. Я намеренно пропустил важную деталь сразу после шага 2, чтобы не усложнять. Что на самом деле происходит после того, как сервер отправляет свой сертификат браузеру, прежде чем продолжить, браузер решает, доверяет ли он сертификату. Это решение принимается на основе того, кто подписал сертификат. Субъект, подписывающий сертификаты, называется центром сертификации, и в компьютерные браузеры предварительно загружен список доверенных центров сертификации.Любой сертификат веб-сайта, подписанный центром сертификации, которому доверяет браузер, также будет доверенным. Мы можем использовать это поведение для расшифровки исходящего трафика следующим образом:

• Сделайте устройство дешифрования центром сертификации, дав ему возможность подписывать сертификаты
• Настройте браузер пользователей на доверие новому центру сертификации
• Поместите устройство дешифрования в строку между пользователями и Интернетом

MOXIE MARLINSPIKE ВЕС: Индустрия сертификатов SSL может и должна быть заменена

Вы понимаете, к чему мы стремимся? Когда пользователь переходит на зашифрованный веб-сайт, устройство шифрования перехватывает запрос, на лету генерирует новый сертификат, выдавая себя за веб-сервер, подписывает его и отправляет пользователю.А поскольку браузер пользователя настроен на доверие к сертификатам, подписанным центром сертификации устройства дешифрования, он не будет знать, что ему заткнули глаза, и продолжит устанавливать зашифрованное соединение. Затем устройство дешифрования устанавливает собственное соединение с реальным веб-сервером и прозрачно передает все запросы между пользователем и сервером.

Не все методы дешифрования, описанные выше, подходят для каждого сценария. Вам нужно будет проанализировать свою архитектуру, чтобы определить, какое решение подходит для вашей среды.Многие поставщики производят системы с возможностью дешифрования, и я рекомендую вам взглянуть на сильные и слабые стороны нескольких, прежде чем решать, какие из них следует развернуть. Убедитесь, что вы понимаете ограничения каждого из них, и протестируйте их в лабораторной или пилотной среде перед производственным развертыванием.

Имея нужные инструменты в нужном месте, вы можете заглянуть внутрь своего трафика и увидеть, что скрывается внутри.

Хедер, CCIE No. 24788, является сетевым архитектором в NES Associates в Александрии, штат Вирджиния., специализирующаяся на проектировании сетей крупных предприятий и центров обработки данных. Хедер имеет степень магистра в области сетевой архитектуры и дизайна и имеет патент на технологию IPv6. С ним можно связаться по адресу [email protected].

Copyright © 2013 IDG Communications, Inc.

Анализатор LAN и декодер протокола — CommView

В дополнение к физическим и виртуальным сетевым адаптерам CommView позволяет выбрать один из «Расшифрованных» SSL-адаптеры для захвата и дешифрования локального SSL-трафика. Это не настоящие переходники; скорее, они эмулируются и называются «адаптерами» для простота. Когда вы захватываете дешифрованный локальный SSL-трафик из этих адаптеры, CommView эмулирует TCP-пакеты, используя перехваченный SSL сеансы.В результате вы можете работать с этими пакетами так же, как вы обычно будете работать с любыми другими пакетами из реальных переходники.

При работе с расшифрованным трафиком SSL помните о следующий:

·Только локальный трафик SSL может расшифровать. Другими словами, CommView (или любое другое программное обеспечение) не может расшифровать зашифрованный трафик других компьютеров. Если бы это было возможно, мы наверняка получил бы многомиллионную награду за величайший прорыв в криптографии.

·Это настоятельно рекомендуется закрыть ваши браузеры раньше вы начинаете перехватывать SSL-трафик и открываете их после того, как вы начали захват. Это необходимо для того, чтобы браузеры могли обновлять их список доверенных сертификатов; CommView добавляет свой сертификат в доверенный магазин, что позволяет перехватывать и расшифровать SSL-трафик.

·Мы не может гарантировать, что CommView сможет расшифровать каждый SSL сеанс, исходящий с вашего компьютера.Некоторые приложения используют настраиваемые компоненты для шифрования SSL. Однако мы сделали убедитесь, что все поддерживаются современные популярные браузеры.

·Один раз вы начали захват, некоторые приложения могут жаловаться на неизвестно» или «ненадежный» SSL-сертификат. Это нормально, поскольку CommView выступает посредником между программное обеспечение, работающее на вашем компьютере, и сервер, к которому оно подключается. Это временное (только когда CommView собирает данные) замена сертификата сервера на собственный CommView сертификат.Если вы видите такое сообщение «неизвестный сертификат», просто перезапустите соответствующее приложение. Это должно решить проблема в большинстве случаев. Если это не поможет, вы можете добавить Сертификат CommView на доверенный сертификат приложения магазин, если он есть. Сертификат можно найти в C: \ Program Файлы (x86) \ CommView \ certs \ SSL \ CommView CA 2.cer (для 64-битная Windows) или C: \ Program Files \ CommView \ certs \ SSL \ CommView CA 2.cer (для 32-битная Windows).Если и это не поможет, к сожалению, есть мы ничего не можем сделать.

· The Пакеты TCP / IP, которые вы видите в этом режиме захвата, эмулируются. Этот означает, что у них есть искусственные Заголовки Ethernet, IP и TCP. Такие пакеты имеют определенные MAC-адреса источника и назначения: 00: 00: 00: 00: 10 и 00: 00: 00: 00: 20 для входящих пакетов и наоборот наоборот для исходящих пакетов. Они также эмулировали SEQ и ACK. значения.

·Потому что пакеты эмулируются, они не могут полностью отражать структуру реального SSL сеанс.Например, веб-страница длиной 10 000 байт, зашифрованная с помощью SSL, отправленная на ваш браузер может быть передан с использованием 7 или 8 зашифрованных TCP-пакетов в на самом деле, но в CommView вся страница может быть представлена ​​как один TCP-пакет длиной 10 000 байт, содержащий расшифрованные данные. Точно так же не отображаются подтверждения сеанса SSL, поскольку они несут нет полезной нагрузки.

На выбор доступны три типа дешифрованных эмулируемых адаптеров SSL. из:

1.Местный SSL (расшифрованный)

2. местный SSL (расшифрованный) + HTTP

3. местный SSL (расшифрованный) + TCP

Первый захватывает только сеансы SSL. Второй захватывает Сеансы SSL и HTTP (незашифрованные) сеансы. Третий захватывает сеансы SSL и любые другие сеансы TCP. Обратите внимание, что все три режима представляют собой эмулированные сеансы TCP, с особенности описаны выше.Если хочешь увидеть оригинал, неизмененные пакеты, отправленные / полученные вашим сетевым адаптером, затем выберите этот адаптер, а не один из эмулируемых адаптеров в CommView.

Как расшифровать обмен HTTPS с помощью Wireshark?

Это второй блог из серии из трех частей. Если вы пропустили «3 вещи, которые вы должны знать о трафике HTTPS, SSL или TLS с Wireshark», посетите сайт Lovemytool

Мост Интернет-трафик теперь зашифрован, и внутренние приложения также часто используют шифрование, основанное на Secure Socket Layer (SSL) или Transport Layer Безопасность (TLS), чтобы гарантировать их безопасность.Это делает анализ пакетов с использованием Wireshark сложнее, чем раньше.

Эта статья прояснит, что можно, а что нельзя расшифровать, и какая информация еще остается доступны вам, когда трафик SSL / TLS не может быть расшифрован.

Можно ли расшифровать трафик SSL / TLS с помощью Wireshark? Да и нет.

Это зависит от используемая версия SSL / TLS. В некоторых случаях с этим справится Wireshark, в других случаев не будет. См. Ниже варианты.

Как расшифровать сеанс SSL / TLS с помощью Wireshark?

Некоторые TLS версии позволят вам расшифровать сеанс с помощью закрытого ключа сервера.

1. Нагрузка закрытый ключ в Wireshark в формате PEM / PKCS.
   1. Перейдите в «Правка»> «Настройки». Откройте протоколы дерево и выберите SSL
   1. Откройте список ключей RSA, нажав Edit

• Вам будет предложено добавить следующее:
  • IP-адрес / подсеть сервера (ов)
  • Протокол, используемый для расшифрованных данных (например, HTTP если вы смотрите на HTTPS)
  • Путь для загрузки закрытого ключа RSA
  • Пароль: не используется для закрытого ключа, закодированного в PEM файлы, необходимые для PKCS

2.При условии что ваше устройство анализа видит настройку сеанса SSL / TLS, это будет способен расшифровать сеанс

Подробнее Подробную процедуру см. на этой странице в Wireshark: http://wiki.wireshark.org.

Работает ли он для всех соединений TLS? Нет !

Некоторые реализации TLS не позволит расшифровать трафик, в частности при использовании:

• Диффи Шифры Hellmann (DHE)
• Новый TLS 1.3 протокол

Расшифровка сеанс TLS возможен при соблюдении следующих условий:

• Вы используете инфраструктуру открытых ключей, например RSA, которая основан на принципе закрытых / открытых ключей
• Вы владеете закрытым ключом

Они имеют был разработан для предотвращения атак типа «злоумышленник посередине», а это означает, что он никогда не будет возможно декодировать трафик HTTPS, пассивно получая его копию.

Итак, применимо ли это только к Wireshark?

№ Все устройства анализа, основанные на пассивном анализе трафика, столкнутся с теми же ограничениями.

Есть ли обходной путь?

Если только вы готовы изменить вашу инфраструктуру или точку захвата, есть обходного пути нет.

на с другой стороны, если некоторые устройства в вашей сети нарушают / проксируют сеансы SSL и Вы хотите, чтобы вас было видно, у вас есть возможность увидеть этот трафик в чистом виде.Эти устройства могут быть прокси-серверами или балансировщиками нагрузки для приложений, которые вы размещаете.

Окончание срока с ростом уровня шифрования многие организации развертывают решения для проверки SSL. в своем интернет-шлюзе, чтобы гарантировать, что они сохранят трафик, такой как Интернет и SaaS-трафик — под контролем. Эти решения предлагают возможность получить полную видимость TLS-трафика. <ССЫЛКА на WP для видимости SaaS с A10>

Отсутствие расшифровки означает, что я не виден?

№До тех пор теперь всегда зашифровывается только полезная нагрузка, что означает:

• TCP / IP часть пакетов читается
• Большая часть Информация протокола TLS также доступна для чтения, по крайней мере, на данный момент.

Что можно увидеть на уровне TCP?

Мы видим все уровни до транспортного уровня. Некоторые примеры включают:

• Уровень Ethernet: MAC-адреса, VLAN и т. Д.
• IP: клиент, IP-адреса серверов, порты
• TCP: все окна TCP, флаги и т. д.

Добавить что вся статистика, основанная на пакетных данных, собранных на этих уровнях, также в наличии, в том числе:

• Объемы (пакеты, данные, полезная нагрузка и т. д.)
• Сессии
• Временные интервалы отражая сетевую задержку и время обработки сервера
• Повторные передачи

В конце концов, даже если они не могут быть связаны с точным запросом к серверу (для например, транзакция приложения, такая как GET), вся сеть условия и время отклика конечного пользователя можно оценить на уровне 3/4.

Какую информацию я могу собрать из данных TLS?

• Кто, что и как классифицировать TLS-трафик. Имя сертификата и SNI будут очень полезно для определения характера зашифрованной службы. Это может поможет понять, какому интернет-трафику или SaaS соответствует этот поток.
• Охрана реализация TLS: это дает полезную информацию для оценки уровень безопасности разговора:
  • Срок действия сертификата
• Выполнение и устранение неполадок: TLS также будет сообщать о таких событиях, как:
  • Показатели производительности, измеренные во времени интервалы, такие как время соединения TLS

In В заключение следует отметить, что анализ пакетов с помощью Wireshark сложнее, чем раньше.Важно знать, что можно расшифровать, а что нельзя и что это за информация. все еще доступен вам, когда трафик SSL / TLS не может быть расшифрован.

Если вы пропустили первый блог в этой серии, читайте здесь.

Следите за обновлениями третьего и последнего блога в этой серии. А пока запустите нашу демонстрацию, чтобы узнать больше!

Руководство по настройке безопасности Cisco SD-WAN, Cisco IOS XE Release 17.x — SSL / TLS-прокси для расшифровки трафика TLS [Cisco SD-WAN]

О центрах сертификации (CA)

ЦС управляет запросами сертификатов и выдает сертификаты участвующим объектам, таким как хосты, сетевые устройства или пользователи.CA обеспечивает централизованное управление идентификацией для участвующих объектов.

Цифровые подписи, основанные на криптографии с открытым ключом, обеспечивают цифровую аутентификацию устройств и отдельных пользователей. В криптографии с открытым ключом например, система шифрования RSA, каждое устройство или пользователь имеет пару ключей, содержащую как закрытый, так и открытый ключи.В закрытый ключ хранится в секрете и известен только устройству-владельцу. Однако открытый ключ может быть известен каждому. В ключи действуют как дополнения. Все, что зашифровано одним из ключей, можно расшифровать другим. Подпись формируется, когда данные зашифрованы с помощью закрытого ключа отправителя. Получатель проверяет подпись, расшифровывая сообщение с помощью открытый ключ.Этот процесс зависит от того, что получатель имеет копию открытого ключа отправителя и знает с высокой степенью уверенность в том, что он действительно принадлежит отправителю, а не кому-то, претендующему на роль отправителя.

Как работают вместе CA и TLS-прокси

После настройки ЦС для прокси-сервера TLS ЦС выдает сертификаты для подписи прокси-устройству TLS.Затем устройство надежно хранит подчиненные ключи CA, а также динамически генерирует и подписывает сертификаты прокси. Затем прокси-устройство TLS выполняет следующие сертификационные задачи:

Параметры CA для настройки прокси-сервера TLS

Для настройки прокси-сервера TLS поддерживаются следующие параметры CA:

Предприятие CA

Используйте этот параметр для управления выпуском сертификатов через ЦС предприятия или ваш собственный внутренний ЦС. Для Enterprise CA это не поддерживает Simple Certificate Enrollment Protocol (SCEP), требуется ручная регистрация. Ручная регистрация предполагает загрузку запрос на подпись сертификата (CSR) для вашего устройства, получение его подписью вашим центром сертификации, а затем загрузка подписанного сертификата к устройству через Cisco vManage.

Центр сертификации предприятия с SCEP

Используйте этот параметр для управления выпуском сертификатов через ЦС предприятия или ваш собственный внутренний ЦС.Если ваш центр сертификации поддерживает SCEP, вы можете настроить его для автоматизации процесса управления сертификатами.

vManage as CA

Используйте эту опцию, если у вас нет корпоративного центра сертификации и вы хотите использовать Cisco vManage для выдачи сертификатов доверия.

vManage as Intermediate CA: преимущества и ограничения

Используйте этот вариант, если у вас есть внутренний ЦС предприятия, но вы хотите использовать Cisco vManage в качестве промежуточного ЦС для выдачи сертификатов подчиненного ЦС и управления ими.

Руководство по настройке Cisco Firepower Threat Defense для диспетчера устройств Firepower, версия 6.2.3 — Расшифровка SSL [Cisco Firepower NGFW]

Приложение критерии правила дешифрования SSL определяют приложение, используемое в IP соединение или фильтр, определяющий приложения по типу, категории, тегу, риску, или бизнес-актуальность. По умолчанию используется любое приложение с протоколом SSL. ярлык. Вы не можете сопоставить правила расшифровки SSL ни одному незашифрованному приложению.

Хотя можно указать отдельные приложения в правиле, фильтры приложений упрощают создание и администрирование политик. Например, вы можете создать SSL правило дешифрования, которое расшифровывает или блокирует все с высоким риском и низкой актуальностью для бизнеса Приложения.Если пользователь пытается использовать одно из этих приложений, сеанс расшифровывается или блокируется.

Кроме того, Cisco часто обновляет и добавляет дополнительные детекторы приложений через систему и обновления базы данных уязвимостей (VDB). Таким образом, правило для приложений с высоким риском может автоматически применяться к новым приложениям без необходимости обновлять правило вручную.

Можно указать приложения и фильтры прямо в правиле или создать фильтр приложений объекты, определяющие эти характеристики. Технические характеристики эквивалентны, хотя использование объектов может облегчить пребывание в Ограничение системы 50 элементами на критерий, если вы создаете сложное правило.

Чтобы изменить список приложений и фильтров, вы нажимаете + кнопку в условии, выберите желаемый приложения или объекты-фильтры приложений, которые перечислены на отдельных вкладках, и нажмите ОК во всплывающем диалоговом окне.На любой вкладке вы можете щелкнуть Передовой Фильтр для выбора критериев фильтрации или помощи в поиске конкретных Приложения. Щелкните значок x для приложения, фильтра или объекта, чтобы удалить его из политики. Щелкните значок Сохранить как Ссылка фильтра, чтобы сохранить объединенные критерии, которые еще не как новый объект фильтра приложения.

Для получения дополнительной информации о критериях заявки и о том, как настроить расширенные фильтры и выбрать приложения, см. Настройка объектов фильтра приложений.

Рассмотрим следующее советы при использовании критериев приложения в правилах расшифровки SSL.

• Система может выявлять незашифрованные приложения, которые зашифровываются с помощью StartTLS. Этот включает такие приложения, как SMTPS, POPS, FTPS, TelnetS и IMAPS. В кроме того, он может идентифицировать определенные зашифрованные приложения на основе Сервера Указание имени в сообщении TLS ClientHello или сертификате сервера значение отличительного имени субъекта.

• Система может идентифицировать приложение только после обмена сертификатом сервера. Если трафик обмен во время подтверждения SSL соответствует всем другим условиям в правиле SSL содержащие условие приложения, но идентификация не завершена, Политика SSL позволяет пакету пройти.Такое поведение позволяет рукопожатию заполните так, чтобы приложения можно было идентифицировать. После того, как система завершит свою идентификация, система применяет действие правила SSL к оставшейся сессии трафик, соответствующий условиям его применения.

• Если выбранное приложение было удалено обновлением VDB, после имени приложения отображается «(Устарело)».Вы должны удалить эти приложения из фильтра или последующие развертывания и обновления системного программного обеспечения будут заблокированы.

tls — Как подслушать и расшифровать HTTP-соединение устройства IoT?

Сеть обмена стеков

Сеть Stack Exchange состоит из 178 сообществ вопросов и ответов, включая Stack Overflow, крупнейшее и пользующееся наибольшим доверием онлайн-сообщество, где разработчики могут учиться, делиться своими знаниями и строить свою карьеру.

2. 0
3. +0
6. Авторизоваться Зарегистрироваться

Information Security Stack Exchange — это сайт вопросов и ответов для профессионалов в области информационной безопасности.Регистрация займет всего минуту.

Кто угодно может задать вопрос

Кто угодно может ответить

Лучшие ответы голосуются и поднимаются наверх

Спросил 2 года, 8 мес назад

Просмотрено 2k раз

Я пытаюсь настроить сценарий MitM между устройством IoT и глобальной сетью.Можно и довольно легко добиться того же для приложения, запущенного на мобильном устройстве, установив доверенный сертификат моего прокси-сервера (Fiddler).

Поскольку тестируемое устройство IoT не позволяет заставить его считать сертификат надежным, я ищу альтернативные методы. Есть ли способ прервать соединение HTTP и увидеть весь контент в виде обычного текста?

Создан 05 ноя.

Вы в основном хотите взломать HTTPS.

Есть несколько способов, которыми это может сработать, но вы в основном полагаетесь на ошибки где-то в процессе. Это далеко не полный список.

• Проблемы со стороны устройства

  • Устройство может проверить, что сертификат подписан доверенным центром сертификации (ваш прокси-сервер MITM может просто сгенерировать сертификат).
  • Устройство может проверить, что сертификат подписан доверенным центром сертификации, но забывает проверить поле CN (доменное имя), поэтому любой действительный сертификат работает.
  • Device позволяет вам установить собственный CA (так же, как вы это делаете на мобильном устройстве).
  • sslstrip атаки типа, при которых устройство инициирует соединения по HTTP и полагается на сервер для обновления до HTTPS.
  • Атаки с пониженной версии на менее безопасное / небезопасное шифрование.
  • Модификация прошивки для работы с вашими сертификатами.

• Целевой домен

  • Приватный ключ может быть доступен (возможно, нет, но было замечено раньше, чаще используется для самозаверяющих сертификатов).
  • Любой скомпрометированный или неправильно настроенный CA может быть использован для генерации действительных сертификатов для всех доменов (доверие ко всем этим CA — большая проблема PKI).
  • Атаки на целевой веб-сайт или DNS позволят злоумышленникам сгенерировать действительные сертификаты.

(Не), к счастью, это довольно сложно сделать при правильной настройке. Если бы это было просто, в HTTPS не было бы особого смысла.