כפתור הקפץ למעלה

4.9 רשתות מחשבים

מבוא לרשתות מחשבים

רשתות מחשבים מהוות את עמוד השדרה של התקשורת המודרנית, המאפשרות למחשבים ולהתקנים אחרים לתקשר ולשתף משאבים ברשת. רשת מחשבים היא אוסף של מכשירים מחוברים המסוגלים לשתף נתונים ומידע. רשת מתייחסת לאוסף של מכשירים מחוברים המסוגלים לחלוק משאבים ולהחליף נתונים. במילים פשוטות, זוהי מערכת המאפשרת למחשבים, סמארטפונים, מדפסות והתקנים אחרים לתקשר זה עם זה, בין אם באמצעות חיבורים קוויים או אלחוטיים.

רשת מתייחסת לאוסף של מכשירים מחוברים המסוגלים לחלוק משאבים ולהחליף נתונים. במילים פשוטות, זוהי מערכת המאפשרת למחשבים, סמארטפונים, מדפסות והתקנים אחרים לתקשר זה עם זה, בין אם באמצעות חיבורים קוויים או אלחוטיים.

שלב ראשון - ההסבר הבסיסי

הסבר פשוט לתקשורת מחשבים הוא שמדובר בדרך שבה מחשבים יכולים להעביר "נתונים" אחד לשני. נתונים יכולים להיות כל דבר, החל ממילים ועד לתמונות.

כדי שהמחשבים יוכלו לתקשר זה עם זה, הם צריכים לדבר בשפה משותפת. השפה הזו נקראת "פרוטוקול תקשורת". כדי לוודא שהקול יעבור לצד השני, יש "רכיבי תקשורת": כבלים, מרכזיות ומגבירים לאורך המסלול.

ראשית, מהו המחשב? מחשב הוא מכשיר אלקטרוני שיכול לעבד נתונים.

רכיב אחר הוא התקן קצה. התקן קצה הוא מכשיר שמתחבר לרשת. דוגמאות להתקני קצה הם: מחשבים, טלפונים חכמים, טאבלטים, מצלמות IP, מדפסות.

אז יש לנו "נתונים", יש לנו "פרוטוקול", יש לנו "מחשב", יש לנו "רכיבי תקשורת".

המחשה

נניח שיש לנו שני אנשים, שרוצים לתקשר זה עם זה. הם יכולים לעשות זאת באמצעות טלפון או באמצעות מחשב.

אם הם משתמשים בטלפון, הם צריכים לשוחח בשפה משותפת, כמו עברית או אנגלית. הם גם צריכים להשתמש בציוד תקשורת, כמו טלפון או מודם.

הקול שלהם יעבור אל הצד השני בצורה מסוימת על גבי פרוטוקול כלשהו, ובאמצעות רכיבי תקשורת,  ושם יתורגם בחזרה לקול. הקול, במקרה הזה, הוא "נתונים".

אם הם משתמשים במחשב, הם צריכים להשתמש בשפה משותפת בציוד תקשורת, כמו כבל רשת או נתב, והנתונים שלהם יעברו לצד השני בצורה מסוימת על-גבי פרוטוקול תקשורת, כמו TCP/IP, ובאמצעות רכיבי תקשורת, ושם יתורגמו בחזרה לנתונים.

פרוטוקולים אפשריים

ישנם סוגים רבים ושונים של פרוטוקול תקשורת. כמה מהפרוטוקולים הפופולריים ביותר הם:

  • TCP/IP - הפרוטוקול הבסיסי המשמש לאינטרנט
  • HTTP - הפרוטוקול המשמש להעברת דפי אינטרנט
  • FTP - הפרוטוקול המשמש להעברת קבצים
  • SSH - הפרוטוקול המשמש להתחברות למחשבים מרחוק

רכיבי תקשורת

דוגמאות לציוד תקשורת הם:

  • כבל רשת: כבל להעברת נתונים בין מכשירים ברשת.
  • מודם: מתאם אותות דיגיטליים לאותות טלפוניים אנלוגיים.
  • נתב (Router): מחבר בין רשתות שונות.
  • מתג (Switch): מחלק את התנועה בתוך הרשת המקומית.
  • נקודת גישה אלחוטית (Wireless Access Point): מאפשרת למכשירים חיבור אלחוטי.

טופולוגיות רשת

טופולוגית רשת היא האופן שבו מורכבת ומאורגנת רשת מחשבים או ציוד תקשורת, כולל הדרך שבה המכשירים השונים מחוברים זה לזה וכיצד הם מתקשרים. היא כוללת הן את המבנה הפיזי - איך הכבלים והחיבורים מונחים - והן את המבנה הלוגי - כיצד מידע מועבר ברשת.

אנלוגיה טובה לטופולוגיות של רשת היא רשת טלפונים. כשחושבים על רשת טלפונים, ישנן כמה דרכים שבהן הטלפונים יכולים להיות מחוברים אחד לשני. לדוגמא:

  • טופולוגיית כוכב: כמו מרכזיה טלפונית שכל טלפון מחובר אליה ישירות. ברשת מחשבים, זה דומה לרשת שבה כל מחשב מחובר למתג מרכזי.

  • טופולוגיית טבעת: דומה למעגל של טלפונים, שבו כל טלפון מחובר לשני הטלפונים שלידו, והאחרון מחובר לראשון. ברשת מחשבים, זה אומר שכל מחשב מחובר לשני המחשבים הסמוכים לו בצורת מעגל.

  • טופולוגיית עץ: שילוב של כוכב ושרשרת, דומה למערכת טלפונים שבה יש קו ראשי שמתפצל לקווים משניים ואלו מתפצלים עוד יותר. ברשת מחשבים, זה אומר שיש נקודה מרכזית שממנה מתפצלות רשתות קטנות יותר.

בחירה בטופולוגיית רשת מסוימת נעשית על פי מספר גורמים, כולל עלויות, יעילות, ודרישות תחזוקה. כל טופולוגיה מציעה יתרונות וחסרונות שונים בהקשר של יציבות, גמישות והתמודדות עם כשלים.

מודל OSI

מודל OSI (Open Systems Interconnection), הוא מודל תיאורטי שנועד לעזור בהבנה ובתכנון של תקשורת מחשבים. המודל מספק מסגרת לאיך שמערכות תקשורת שונות יכולות לתקשר זו עם זו, ולעשות זאת בצורה מסודרת ויעילה.

המודל חולק את התהליך של תקשורת הנתונים לשבע שכבות, כל אחת מהן עוסקת באספקט שונה של התקשורת. הפיצול לשכבות מאפשר גמישות רבה בעיצוב וביישום של רשתות תקשורת, כיוון שכל שכבה יכולה להתפתח ולהשתנות בלי להשפיע על האחרות. זה גם מקל על הבנת התהליכים המורכבים של תקשורת הנתונים.

כל שכבה במודל OSI מתמקדת בפונקציונליות מסוימת ומספקת שירותים לשכבה שמעליה, ומקבלת שירותים מהשכבה שמתחתיה.

השכבות מתחילות מהפיזיקה של התקשורת (כבלים, אותות אלחוטיים) ועולות עד לרמה שבה תוכנות ואפליקציות יכולות לתקשר ביניהן.

המודל עוזר להבין את התהליכים המורכבים של תקשורת הנתונים על ידי פירוקם למרכיבים קטנים יותר וניהוליים יותר. זה מאפשר למערכות ולארגונים שונים לעבוד יחד יותר בקלות, מכיוון שהם יכולים להתאים את הטכנולוגיות והתוכניות שלהם למודל המשותף הזה.

בסופו של דבר, מודל OSI משמש כדרך יעילה להבנה, תכנון, והתאמה של טכנולוגיות תקשורת, וככלי חשוב למומחי רשתות ומערכות מידע ברחבי העולם.

חוזרים למבוא

רשתות יכולות להשתנות בגודלן ובהיקף. רשתות מקומיות (LAN) מוגבלות בדרך-כלל לאזור גיאוגרפי קטן, כגון בית, משרד או קמפוס. רשתות שטח רחבות (WAN), לעומת זאת, משתרעות על פני שטחים גדולים יותר, ולעיתים קרובות מחברות רשתות LAN מרובות בערים או אפילו במדינות. ניתן לראות את האינטרנט עצמו כרשת עצומה של רשתות, חיבור מכשירים ומשתמשים ברחבי העולם.

המטרה העיקרית של רשת מחשבים היא להקל על העברת נתונים, ולאפשר למשתמשים לגשת למידע, לתקשר ולשתף פעולה ביעילות.

רשתות מחשבים הן הכרחיות בעולם המודרני מסיבות שונות:

  • שיתוף מידע: רשתות מקלות על שיתוף מידע ומשאבים בין מכשירים מחוברים, ומשפרות את הנגישות והיעילות.
  • תקשורת: הם מאפשרים צורות שונות של תקשורת, כמו מיילים והודעות מיידיות, מה שהופך את האינטראקציות לחלקות ויעילות.

  • אופטימיזציה של משאבים: רשתות מאפשרות למכשירים לשתף משאבים כמו מדפסות, צמצום יתירות וקידום ניצול אופטימלי של משאבים.

  • ניהול ואחסון נתונים: רשתות מספקות פתרונות לניהול ואחסון נתונים מרכזיים, תוך שיפור שלמות הנתונים והזמינות.

סוגי רשתות מחשבים

  • רשת מקומית (LAN): רשת LAN היא רשת המשתרעת על אזור גיאוגרפי מוגבל, בדרך-כלל בתוך בניין או קמפוס. רשתות LAN משמשות בדרך-כלל בבתים, משרדים, בתי ספר ועסקים קטנים. התקנים ברשת LAN יכולים לתקשר ישירות אחד עם השני ללא צורך בחיבור לאינטרנט.

  • רשת רחבה (WAN): רשת WAN היא רשת המכסה אזור גיאוגרפי גדול, המחברת רשתות LAN ורשתות אחרות ברחבי ערים, מדינות או יבשות. האינטרנט הוא הדוגמה הנרחבת ביותר ל-WAN, המקשר בין מחשבים ורשתות ברחבי העולם.

  • רשת אזור מטרופולין (MAN): MAN היא רשת המשתרעת על פני שטח גדול יותר מ-LAN אך היא קטנה מ-WAN. זה בדרך-כלל מכסה עיר או אזור מטרופולין, ומחבר מספר רשתות LAN ומרכזי נתונים.

  • רשת אזורית אישית (PAN): PAN היא הסוג הקטן ביותר של רשת, המחברת התקנים בסביבתו המיידית של אדם, כגון סמארטפונים, טאבלטים והתקנים לבישים.

רכיבי רשת

  • מכשירים: מכשירים ברשת מחשבים יכולים להיות מחשבים, שרתים, מחשבים ניידים, סמארטפונים, טאבלטים ומכשירי IoT (האינטרנט של הדברים). לכל מכשיר יש מזהה ייחודי הנקרא כתובת בקרת גישה למדיה (MAC), המאפשרת העברת נתונים.
  • כרטיס ממשק רשת (NIC): כרטיס ממשק רשת, המכונה גם מתאם רשת, הוא רכיב חומרה המאפשר למכשירים להתחבר לרשת. הוא מספק את החיבור הפיזי הדרוש ומיישם פרוטוקולי רשת להעברת נתונים.
  • מתגים: מתגים הם התקני רשת המחברים התקנים בתוך רשת LAN. הם משתמשים בכתובות MAC כדי להפנות מנות נתונים למכשיר היעד המתאים, תוך אופטימיזציה של זרימת הנתונים והפחתת העומס ברשת.
  • נתבים: נתבים הם מכשירים המחברים רשתות מרובות יחד, כגון רשתות LAN ו-WAN. הם משתמשים בכתובות IP כדי להעביר מנות נתונים בין רשתות, מה שמבטיח ניתוב נתונים יעיל.
  • רכזת - Hub: התקן רשת בסיסי המחבר מספר מחשבים ברשת LAN, ללא אינטליגנציה לסינון נתונים.
  • מודמים: מודמים הם מכשירים המווסתים ומפרקים נתונים דיגיטליים לאותות אנלוגיים, ומאפשרים למכשירים להתחבר לאינטרנט באמצעות קווי טלפון או חיבורי כבלים.
  • נקודות גישה: נקודות גישה מספקות קישוריות אלחוטית ברשת. הם מאפשרים למכשירים עם יכולות אלחוטיות, כמו סמארטפונים ומחשבים ניידים, להתחבר לרשת ללא כבלים פיזיים.

טופולוגיות רשת

הטופולוגיה מסבירה את האופן הפיזי (הממשי) שרשת מסודרת בו, או האופן הלוגי (הווירטואלי) של הרכיבים השונים ברשת מחשבים. רשת מוגדרת כ"כאוסף של רכיבי קצה" (nodes), וכל קצה יכול להיות מחובר לקצוות אחרים. קצה הוא כל רכיב המתפקד ברשת, בין אם מדובר במחשב, נתב או כל רכיב תקשורת אחר.

טופולוגיית רשת מגדירה אך ורק את הקשרים בין הקצוות, מבחינה גרפית (ציורית). במונח "טופולוגיה" לא עוסקים בתחומים כמו מרחק גאוגרפי, חיבורים פיזיים, רוחב פס, וצורת שידור, למרות שהם עשויים להיות מושפעים ממנה במידה רבה. להלן ההגדרות של ויקיפדיה לטופולוגיות נפוצות כוללות:

  • כוכב: כל הקצוות מחוברים למרכז אחד. בדרך-כלל במרכז יימצא רכיב תקשורת כמו מרכזת (hub), מתג (Switch), או נתב (Router). רשת כזו היא קלה לתחזוקה, וניתן להסיר ולהוסיף אליה קצוות בקלות, עם זאת היא בזבזנית במקצת באורכי הכבלים שהיא דורשת. נקודת החולשה של טופולוגיית הכוכב היא הקצה המרכזי המהווה נקודת כשל בודדת: אם הוא לא פעיל כל הרשת לא יכולה לתפקד. לכן, לרכיב זה יהיו גיבויים וישקיעו בשרידותו (למשל, ריבוי ספקים ומאווררים). אולם אם יש נקודת כשל באחת הקצוות היא לא גורמת להפלת הרשת.

  • כוכב מורחב: טופולוגיית כוכב מורחב (star-bus) היא למעשה טופולוגיית כוכב, כאשר כל אחד מהקצוות החיצוניים הוא מרכזו של כוכב נוסף. לכוכב מורחב יכולות להיות שתי דרגות או יותר, ללא הגבלה. כוכב מורחב יורש את היתרונות והמגרעות של טופולוגיית הכוכב, ומאפשר בנוסף חלוקה היררכית של הרשת.

  • היררכית: טופולוגיה היררכית (hierarchical/tree) היא למעשה כוכב מורחב, שההתייחסות אליו היא שונה במקצת. הקצה המרכזי בטופולוגיית כוכב מורחב עוסק בדרך-כלל רק בניתוב, בעוד הקצה המרכזי של טופולוגיה היררכית מהווה גם פרטנר תקשורת חשוב לקצוות שונים ברשת. מערכת ה-DNS היא דוגמה לרשת היררכית.

  • אפיק (קווית): בטופולוגיית אפיק (bus) מחוברים כל הקצוות לשדרה מרכזית אחת (backbone). טופולוגיה זו חסכונית (באופן יחסי) מבחינת הכבילה, ובכך מוזילה את עלויות הקמת המערכת, וכמו כן הוספת והסרת קצוות נעשית בקלות יחסית, ואינה משפיעה על הקצוות האחרים. עם זאת, ככל שמספר המחשבים ברשת גדל כך קטנה יעילותה, שכן רק קצה אחד יכול לשדר בכל זמן נתון, מכיוון שהתווך משותף. בטופולוגיית אפיק, כל קצה ברשת "רואה" את כל התשדורות שעוברות בה. עובדה זו יכולה להוות יתרון אם רוב המידע צריך לעבור לרוב הקצוות, אך גם חיסרון במקרה שמדיניות האבטחה נוקשה. כאשר לוקחים תיל נחושת ומעבירים עליו אות חשמלי האות ינוע לאורך התיל עד לקצה. מכיוון שאין לו לאן להמשיך ומכיוון שאות חשמלי הוא אנרגיה ואנרגיה אינה יכולה להיעלם האות משנה את הכיוון לקצה השני של התיל ולכן בטופולוגיית אפיק חייבים לשים בשני קצוות הכבל סיומת המאפשרת לאות החשמלי להתפרק כשהוא מגיע לקצה הכבל.

  • טבעת: בטופולוגיית טבעת (ring) כל קצה מחובר לשני הקצוות הסמוכים אליו, ליצירת "טבעת" של קצוות וחיבורים. טופולוגיה פיזית כזו היא חסכונית יחסית בעלות הכבילה, אך כל קצה בה תלוי בקצוות האחרים להעברת הנתונים לשאר חלקי הרשת, אם שני קצוות לא סמוכים מפסיקים לתפקד הם למעשה מחלקים את הרשת לשני "איים" שאין אפשרות להעביר ביניהם מידע. טופולוגיית טבעת מיושמת ברוב המקרים ברמה הלוגית בלבד (ברשתות Token ring למשל) והרמה הפיזית מתבססת על טופולוגיה אחרת. הרעיון הוא שבכל פעם רק אחד יכול לקבל תשדורת עד שהוא עובר לשני.

רכיבי רשת

רכיבי רשת הם החלקים השונים שמרכיבים ומאפשרים תקשורת בין מחשבים ברשת. כמו בכל מערכת מורכבת, כל רכיב ברשת מחשבים מבצע תפקיד ייחודי, והתיאום ביניהם הוא מה שמאפשר העברת מידע ונתונים בצורה חלקה ויעילה.

רכיבים אלו יכולים להיות פיזיים, כמו כבלים ומתגים, או תוכנתיים, כמו פרוטוקולים ותוכנות. הבנת האופן שבו רכיבים אלו פועלים ביחד היא חיונית לכל מי שרוצה להבין את עקרונות יסוד של תקשורת מחשבים.

התקני רשת

  • כרטיס ממשק רשת (NIC): כרטיס ממשק הרשת, הידוע גם בתור מתאם רשת, הוא רכיב חיוני המאפשר למכשירים להתחבר לרשת. הוא מספק את הממשק הפיזי שדרכו מועברים ומתקבלים נתונים. NICs מגיעים בצורות שונות, כולל כרטיסי Ethernet קוויים ומתאמי Wi-Fi אלחוטיים. הם מיישמים פרוטוקולי רשת, כגון תקני Ethernet או Wi-Fi, כדי להבטיח תקשורת חלקה עם מכשירים אחרים ברשת.

  • מתגים: מתגים הם התקני רשת חיוניים המשמשים ליצירת רשתות מקומיות (LAN) ולהקל על העברת נתונים יעילה בתוך רשת. הם פועלים בשכבת קישור הנתונים של מודל ה-OSI ומשתמשים בכתובות MAC כדי להעביר מנות נתונים למכשיר היעד המתאים. בניגוד לרכזות, שמשדרות נתונים לכל המכשירים המחוברים, מעבירים נתונים בצורה חכמה רק למכשיר שאליו הם מיועדים, מה שמפחית את העומס ברשת ומייעל את זרימת הנתונים. מתגים מנוהלים מספקים תכונות נוספות, כגון רשתות LAN וירטואליות (VLAN) והגדרות איכות השירות (QoS), לניהול ושליטה טובים יותר ברשת.

  • נתבים: נתבים הם מכשירים הפועלים בשכבת הרשת של דגם ה-OSI ואחראים על חיבור מספר רשתות יחד. הם משתמשים בכתובות IP כדי להעביר מנות נתונים בין רשתות, ומבטיחים שהנתונים מגיעים ליעדם המיועד דרך רשתות LAN שונות או רשתות רחבות (WAN). נתבים ממלאים תפקיד חיוני באינטרנט, שם הם משמשים שער בין רשת מקומית לרשת העולמית העצומה. לנתבים בדרגה ארגונית יש לרוב תכונות מתקדמות כמו תרגום כתובות רשת (NAT), יכולות חומת אש ותמיכה ברשת פרטית וירטואלית (VPN) לאבטחה משופרת ולפילוח רשת.

  • מודמים: מודמים הם מכשירים המווסתים נתונים דיגיטליים לאותות אנלוגיים לשידור בקווי תקשורת אנלוגיים, כגון קווי טלפון או חיבורי כבלים. הם גם מפרקים אותות אנלוגיים בחזרה לנתונים דיגיטליים בקצה המקבל. מודמים מאפשרים למכשירים להתחבר לאינטרנט באמצעות חיוג, DSL (קו מנוי דיגיטלי) או חיבורי כבלים. עם עליית טכנולוגיות הפס הרחב כמו סיבים אופטיים ואינטרנט בכבלים, מודמים מסורתיים הוחלפו במידה רבה במודמי DSL או מודמי כבלים.

  • נקודות גישה: נקודות גישה (APs) הן מרכיבים חיוניים ברשתות אלחוטיות, המספקות קישוריות אלחוטית למכשירים עם יכולות Wi-Fi. הם פועלים כרכזות תקשורת אלחוטיות, ומאפשרות למכשירים כמו סמארטפונים, מחשבים ניידים וטאבלטים להתחבר לרשת ללא צורך בכבלים פיזיים. נקודות גישה יכולות להיות מכשירים עצמאיים או משולבות בנתבים אלחוטיים. לעתים קרובות הם נפרסים באופן אסטרטגי כדי להבטיח כיסוי חלק ולהימנע מנקודות מתות בסביבות גדולות יותר.

מדיה נושאת של תמסורת ברשת

  • כבל זוג שזור: כבלים זוג מעוותים הם אמצעי הרשת הנפוצים ביותר ברשתות LAN. הם מורכבים מזוגות של חוטי נחושת מבודדים המפותלים יחד כדי להפחית הפרעות אלקטרומגנטיות. כבלי זוג מעוות מגיעים בשתי קטגוריות עיקריות: זוג מעוות לא מסוכך (UTP) וזוג מעוות מוגן (STP). UTP נמצא בשימוש נרחב עבור חיבורי Ethernet ברשתות ביתיות ומשרדיות, בעוד STP משמש בסביבות עם רמות גבוהות יותר של הפרעות אלקטרומגנטיות. כבלים זוג מעוותים הם חסכוניים וקלים להתקנה, מה שהופך אותם לבחירה פופולרית עבור חיבורי LAN.

  • כבל קואקסיאלי: כבלים קואקסיאליים מורכבים ממוליך מרכזי מוקף בבידוד, מגן מתכתי ומעיל מגן חיצוני. הם משמשים בדרך-כלל עבור טלוויזיה בכבלים (CATV) וחיבורי אינטרנט בפס רחב. כבלים קואקסיאליים מספקים רוחב פס גבוה ומתאימים להעברת נתונים למרחקים ארוכים יותר. בעוד שכבלים קואקסיאליים היו בשימוש נרחב בעבר, הם הוחלפו במידה רבה בכבלים סיבים אופטיים וכבלי זוג מעוותים עבור רוב יישומי רשת הנתונים.

  • כבל סיב אופטי: כבלים סיבים אופטיים משתמשים בחוטים דקים של זכוכית או פלסטיק כדי להעביר נתונים כפולסי אור. הם מציעים קצבי העברת נתונים גבוהים במיוחד וחסינים בפני הפרעות אלקטרומגנטיות. כבלים סיבים אופטיים משמשים ברשתות נתונים מהירות, קישורי תקשורת למרחקים ארוכים ומרכזי נתונים שבהם רוחב פס ואמינות גבוהים הם חיוניים. הם הבחירה המועדפת עבור יישומים בעלי ביצועים גבוהים, כגון מרכזי נתונים, רשתות עמוד שדרה וחיבורים למרחקים ארוכים בין ערים ומדינות.

פרוטוקולי תקשורת

פרוטוקול תקשורת הוא "סדר מקובל" שנועד לתקשורת. כלומר, אוסף כללים שמגדירים את הדרך שמתבצעת בקשה וקבלה של נתונים במערכת תקשורת מסוימת, וכן כללים לדרך שהמידע יוצג, כללים לאיתות, לאימות, ושיטות מוסכמות לתיקון שגיאות לצורך העברת המידע בערוץ תקשורת.
 

פרוטוקול מוכר ופשוט הוא שיחת טלפון הכוללת כללים מוסכמים: הרמת השפופרת, קריאת "הלו", הצד מנגד עונה ב"שלום" (זהו שלב האימות) ולאחר מכן יסביר את מהות ההתקשרות ותתחיל העברת המידע. לפני ניתוק השיחה ייפרדו האנשים ב"ביי" או "להתראות". אולם ישנה גמישות, ואין בהכרח צורך בפרוטוקול קשיח ומוחלט, ולכן לא כל שיחת טלפון מתנהלת על-פי הפרוטוקול המדויק הנ"ל. 

כאשר מדובר ברשת תקשורת בין מחשבים, שימוש בפרוטוקולים מדויקים חיוני כדי ששני מחשבים יבינו זה את זה ויוכלו לספק שירותים זה לזה.

קיימים שני "מודלים" שבהם עושים שימוש לתיאור פרוטוקולים, שכבות, והדרך שתקשורת מתקיימת.

  • TCP/IP היא חבילת פרוטוקולי תקשורת שעליה מתקיימת רשת האינטרנט (ה-IP שבביטוי), אבל המונח גם משמש כ"מודל שכבתי" המתאר תקשורת בכלל ברשתות מחשבים. חבילת פרוטוקולים זו ידועה בעיקר כמודל 4 השכבות, או 5 השכבות (כי שכבת הקשר יכולה להיות מתוארת גם כשתי שכבות שונות).

  • מודל ה-OSI מורכב מ- 7 שכבות. התפקיד של כל שכבה הוא לטפל בנתונים שנוצרו על ידי השכבה הקודמת (והשכבות שלפניה), על מנת שיהיה ניתן להעביר אותו לצד השני של ההתקשרות.

מודל TCP/IP

ל- TCP/IP יש 2 שכבות. השכבה העליונה, פרוטוקול בקרת שליחה (TCP), מנהלת את חלוקת הקובץ (ההודעה שברצוננו לשלוח) ל-packets קטנים שנשלחים ברשת האינטרנט ואוספת מחדש את ה-packets עד לקבלת ההודעה המקורית. השכבה התחתונה, פרוטוקול אינטרנט (IP), מטפלת בכתובת אליה נשלח כל packet כדי שיגיע ליעד הנכון. כל מחשב gateway ברשת בודק כתובת זו כדי לדעת לאן לשלוח את ההודעה. גם כשחלק מה-packets של אותה הודעה מנותבים באופן שונה, הם יקובצו מחדש ביעד.

הפרוטוקולים הללו הם אוסף של כללים שקובעים איזה הודעה לשלוח ומתי, וכיצד לפענח את ההודעה הנכנסת. כל הודעה הנשלחות על ידי הפרוטוקולים בשכבות שונות נקראת יחידות מידע פרוטוקולית (Protocol Data Unit, - PDU).

כל תכנית מורכב מ"תתי תוכניות" שנקראות שכבות. כל שכבה נותנת שירות לשכבה שמעליה ומקבלת שירות מזו שמתחתיה. לכל שכבה יש תפקיד: השירות שהיא נותנת לשכבה שמעליה באותו מחשב, ויחסי הגומלין שלה עם שכבה מקבילה במחשב שבצד השני.

שיתוף הפעולה בין פרוטוקול IP (כאמור: פרוטוקול אינטרנט) ופרוטוקול TCP (שהוא פרוטוקול הבקרה על השידור) מאפשר את העברת המידע בצורה תקינה, בתהליך כדלקמן:

פרוטוקול IP מאפשר העברת חבילות מידע בין שתי כתובות לוגיות (בלי וידוא שהמידע יגיע או שניתן יהיה לארגנו מחדש, או שתהיה אפשרות להפריד בין חבילות מידע השייכות לשיחות לוגיות שונות). 

ה-TCP אחראי לסידור של המידע בסדר בו נשלח, לווידא שכל המידע הגיע ולבקרה על זרימת הנתונים. TCP משתמש בפורטים על מנת להפריד בין חבילות מידע, וכך ניתן לנהל מספר שיחות לוגיות במקביל בין שתי כתובות.

פרוטוקול TCP רלבנטי רק כשכבה מעל פרוטוקול IP.

מודל OSI – מודל 7 השכבות

מודל ה־OSI הוא מודל המציג את הפעולות השונות הנדרשות על-מנת להעביר נתונים ברשת תקשורת, ואת הסדר בין הפעולות השונות. המודל מתייחס לחומרה, לתוכנה ולשידור וקליטת הנתונים, ובין השאר, מספק הסבר כללי על מרכיביה השונים של הרשת ועל תפקידי המרכיבים. המודל נוצר על ידי ארגון התקינה הבינלאומי בצורה של מודל שכבתי בעל 7 שכבות שכל שכבה בו מבצעת חלק מסוים מהפעולות הדרושות לביצוע התקשורת.

מודל ה-OSI מורכב משבע שכבות. התפקיד של כל שכבה הוא לטפל בנתונים שנוצרו על ידי השכבה הקודמת (והשכבות שלפניה), על מנת שיהיה ניתן להעביר אותו לצד השני של ההתקשרות. הטיפול בכל שכבה כולל ניתוח וסיווג הנתונים שהוסיפה השכבה הקודמת, והוספת נתונים טכניים חדשים, אשר יסייעו לשכבה הבאה להמשיך לטפל בהעברת הנתונים אל היעד. לאחר שהנתונים הגיעו לצד השני, יש צורך לפענח את התוספות של השכבות הקודמות על מנת להגיע חזרה למידע המקורי. על מנת ששני הצדדים יוכלו לתקשר ביניהם - הם עובדים בדרך-כלל על פי פרוטוקול מוסכם.

מודל OSI מתאר כיצד מידע עובר מתוכנית יישום שמופעלת במחשב אחד ברשת לתוכנית יישום המופעלת במחשב אחר ברשת. בהקשרי ההגנה בסייבר אנו נתמקד בעיקר בשכבות 2-4 שבמודל.

 

פירוט מודל OSI

1. שכבה ראשונה: PHYSICAL

השכבה הפיזית, מסמלת את הרכיבים הפיזיים, היכולת להעביר מידע ברמת הביטים (1 ו0) ומגדירה את ההתקשרות בין הרכיב הפיזי לבין ההתקשרות ומגדיר את סוג ההתקשרות Simplex, Half Duplex, Full Duplex. שכבה זו מיוצגת על ידי תקשורת אנלוגית ותקשורת דיגיטלית:

תקשורת אנלוגית: היא תקשורת העוברת באותו רציפים אל היעד ועל כך כל פעם שהערך בינארי 1 או 0 משתנים זה על ידי שהאות עובר בכל אחד מהם אל יעדה, רוחב הפס נמדד לפי תדר בHz

תקשורת דיגיטלית: היא תקשורת המשתמשת במרווח קבוע על מנת לעבור מ 0 ל1 ועל כן עוברת באותו הרגע, הקו המקווקו בשרטוט מתאר “אמצע” והוא למעשה ההגדרה לכבוי , הוא נמדד לפי BPS או לרוב תמדדו למשל את מהירות האינטרנט בMBPS.

בשכבה זו נמצא את כרטיסי הרשת, HUB ,Bridge ,כבלים, חיבורים (RJ-45), משחזר (Repeater).

ברמת הפרוטוקולים: DSL, 10Base-T, E1 וכו’. בכל אחד מהם רוחב הפס אל יעדה, נמדד לפי תדר בHz.

2. שכבה שניה: DATA LINK

קו התקשורת או העברת הנתונים מנקודה לנקודה (פריימים - Frame או Packets - חבילות). ה- Data Link מגדיר חוקים בנוגע לכיצד יישלח המידע והטופולוגיה בה תפעל הרשת, או כיצד הנתונים יישלחו ברשתות מסוג LAN, WAN, PAN וכו’ (במקרים מסוימים תספק גם כלים לבדיקת שגיאות בקו) משני סוגים:

  • MAC: Media Access Control האחראי על הכתובות הפיזיות של המכשיר השולח והמקבל, כמו ה- MAC Address של כרטיס הרשת, המחזיק כתובת ב-48 סיביות ואותה הכתובת היא ייחודית ועל כן לא קיימת דומה לה (ובכל זאת ניתנת לזיוף בקלות רבה). 

  • LLC: Logical Link Control האחראי על התקשרות עם ה Network Layer והוא אומר ל- Frame באיזה פרוטוקול ברמת ה- Network הוא משתמש, ובכך הוא מאפשר ל-Layer 3 של ה-Network לעבוד בצורה נכונה עם Layer 2.

  • Isochronous - המחשבים מקבלים שעון חיצוני השולח את ה Frame במרווחי זמן קבועים.

  • Asynchronous - מתאר את המצב בו אחד המחשבים מתחיל לשלוח מידע ברמת הביטים ומתי יפסיק ואילו המקבל משתמש בשעון שלו על מנת לקבוע את את הזמן ועל ידי Parity הוא יבדוק אם יש בעיה בשליחה.

  • Synchronization או Synchronous - המקבל וגם השולח משתמשים בשעון שלהם (ברגע שאחד מהם מתחיל לשלוח) אך הם ישתמשו בשעון חיצוני על מנת לקבוע את השעון שלהם וכך להיות מתואמים ועל ידי CRC פירוש: Cyclic Redundancy Check u לבדוק אם יש שגיאות.

דוגמאות, מתג (Switch), נתב (אמור יותר להיות בשכבת הרשת השכבה השלישית), Bridge.

בשכבה זו נמצא לדוגמה את המתג - בשכבה זו המידע המתקבל ברמת הביטים מנותח ונפתח על ידי המתג על מנת לקבל את המידע אל מי מיועדת החבילה.

ברמת הפרוטוקולים: PPP שהוא Point To Point, Ethernet, Token Ring, FDDI, HDLC, ADCCP.

 

 

3. שכבה שלישית: NETWORK

שכבת הרשת היא השכבה השלישית במודל ה-OSI בה עובר המידע Datagrams או חבילות Packets. השכבה אחראית על דרך העברת החבילה (Packet Switching), אל מי ממוענת החבילה, מה מקורה  ודרך הניתוב שלה (נתב). בנוסף, השכבה מגדירה את ה-QOS ברשת לבצע ניתוב על פי עומסים (פרוטוקולי ניתוב).

בשכבה זו קיימים גם Circuit Switch – חיבור זמני אשר תפוס לאורך כל השידור (למשל קו טלפון) או Message Switch – ומשתמש בשיטת Store & Forward.

ברמת הפרוטוקול: IP, IPX, ICMP, IPSEC, IGMP, EGIRP, RIP, BGP, OSPF.

4. שכבה רביעית: TRANSPORT

בשכבה הרביעית במודל ה OSI קיימת שכבת התעבורה והיא אחראית על הקשר הלוגי בהעברת המידע והיא מגדירה על פי איזה פרוטוקול יעבור המידע לדוגמה: TCP \ UDP.

Buffering – כאשר מחברים לדוגמה מתג עם ג’יביק (פורט) במהירות של 10GBps לראוטר אחר עם פורט במהירות 100GBps, והראוטר עם החיבור המהיר מעוניין להעביר בפורט זה “מידע”, השאלה הנשאלת מה קורה כאשר מהירות חבילה המגיעה במהירות כזו גדולה, מ- 10GBps ל- 100GBps יכולה לעבור, או להיות מטופלת כראוי בדרך כלשהי. במקרה כזה מתקיים תהליך Buffering (המתנה) או Queue שאומר שהראוטר יאחסן את המידע עד שאותו חיבור יוכל להעביר את המידע בגלל שהגיע אליו במהירות גבוהה והוא רוצה להעביר את המידע הלאה במהירות נמוכה יותר.

ברמת הפרוטוקול: UDP, TCP, SCTP.

5. שכבה חמישית: SESSION

שכבת השיחה ב-OSI היא השכבה החמישית, שכבה זו אחראית על השיחה, ייזום השיחה, להשאיר אותה “דלוקה” ולסיים את השיחה.

ברמת הפרוטוקול: NetBios, Name, L2TP, P2P, SIP.

6. שכבה שישית: PRESENTATION

שכבת הייצוג היא סוג של מתרגם לרשת או הצפנה ברשת וכן מנתחת את המידע המתקבל מהרשת ומציגה אותו בתצורה בה המשתמש או בתוכנה שקיבלה אותה לדוגמה קבלת המידע בצורת ASCII ומוגדרת כבסיס המבנה של התכונה.

7. שכבה שביעית: APPLICATION

שכבת האפליקציה הוא השכבה השביעית והאחרונה במודל OSI, שכבה זו היא השכבה האחראית כל מתן השירותים ברשת ומגדירה את אופי העברה של אותם נתונים תחת אותו שרות, והיא דומה לשני השכבות האחרונות שכבת הייצוג ושכבת השיחה בגלל ששכבה זו מבצעת את מה ששניהם מבצעים יחד, יצירת תקשורת על המשתמש אשר משתמש בתוכנה מסוימת, אורזת את המידע עוד לפני שהוא נשלח (הצפנה, צורה, חלוקה וכו’) אל תתבלבלו בין תוכנה לשירות, שכבה זו אחראית על השירות ה (Service).

ברמת הפרוטוקול: HTTP, SMTP, FTP, DNS, DHCP, SNMP, IMAP, LDAP, FTP, WINS, POP, NFS, CIFS, וכו’

תהליך העברת נתונים

  1. המשתמש מפעיל תוכנה (לדוגמה מקיש שם של אתר אינטרנט בשורת הכתובות בדפדפן), שמודול התקשורת שלה מהווה את שכבת היישום.

  2. שכבת היישום מורידה את הנתונים לשכבת הייצוג - שקובעת את שיטת ייצוג הנתונים, לעיתים דוחסת אותם ולעיתים מקודדת אותם. לדוגמה, שכבה זו מקודדת את כתובת האתר שהוקשה בדפדפן האינטרנט בקידוד ASCII .

  3. שכבת הייצוג מעבירה את הייצוג של פעולת המשתמש לשכבת השיחה, שכבת השיחה קובעת מתי ניתן לפנות בבקשה לשכבות התחתונות לצורך העברת הנתונים הלאה. בדוגמת שם אתר בדפדפן, יפעל ברמה זו שירות ה-DNS, אשר יתרגם את שם האתר לכתובת בשכבת הרשת.

  4. מכאן יורד המידע לשכבת התעבורה, השכבה שולחת את הנתונים על פי פרוטוקול השיחה. השכבה אחראית על יצור שיחה (לחיצת יד).

  5. שכבת הרשת אחראית על הדרך שהנתונים יעברו עד להגעתם ליעד. את היעד היא מקבלת מהשכבות העליונות. שכבת הקו אחראית להעביר את אוסף הסיביות שהתקבלו משכבת הרשת לנקודה הבאה - בדרכו של המידע ליעדו. השכבה תעביר לשכבה הפיזית סיביות שיגרמו למידע להיקרא על ידי צומת התקשורת הבא בדרך לשרת.

  6. השכבה הפיזית מתרגמת מידע סיביות למשל למתחים חשמליים או אותות אופטיים, ומשדרת את הנתונים על קו מוגדר.

בצד הקולט, כל הפעולות מתבצעות בכיוון השני:

  1. שכבה פיזית קולטת את המתחים החשמליים או אותות אופטיים, מתרגמת אותם לביטים ומעבירה אותם לשכבת הקו.
  2. שכבת קו מפענחת את חלק ההודעה שהוא "הכתובת", אם הכתובת היא הצומת הזה - ההודעה עוברת לשכבת הרשת.
  3. שכבת הרשת מפענחת את המשך ההודעה - אם ההודעה היא לפעולת הצומת הזה - ההודעה עוברת הלאה לשכבת התעבורה. אם ההודעה רק צריכה לעבור בצומת הזה - ההודעה חוזרת ומשודרת לכיוון היעד האמיתי שלה.
  4. שכבת התעבורה בודקת האם זו ההודעה שציפו לה ברצף השיחה עם הצד השני. אם כן - ההודעה עולה לשכבת השיחה. אם לא - נשלחת בקשה לשידור חוזר לשכבת הרשת.
  5. שכבת השיחה מסנכרנת את ההודעה עם האפליקציות שמעליה.
  6. שכבת הייצוג פורסת דחיסה ומפענחת קידוד ומעבירה לשכבת היישום נתונים בצורה בה היישום דורש.
  7. שכבת היישום מעבירה לשאר היישום את הנתונים, והם מוצגים כאתר האינטרנט המבוקש.

עטיפה (ENCAPSULATION)

נתונים שעוברים ברשת עוברים תהליך של עטיפה (Encapsulation), בצד השולח כל שכבה מוסיפה נתוני בקרה שונים למידע המועבר, ובצד המקבל נתונים אלו מוסרים, שלב אחר שלב. במהלך שלבי העטיפה נהוג לכנות את הנתונים בשלבים שונים:

  1. בשלוש השכבות העליונות הפרוטוקולים השונים מוסיפים פתיח ו/או סוגר לנתונים, והם מכונים "רצף נתונים" (Data stream).
  2. בשכבת התעבורה הנתונים מחולקים למקטעים (Segments) כדי שאפשר יהיה לבצע בקרה על ההעברה שלהם ברשת.
  3. בשכבת הרשת כל מקטע מחולק לחבילות (Ppackets) ולכל חבילה מוצמדת הכתובת הלוגית של היעד.
  4. בשכבת הקו (Data link) לכל חבילה מוצמדת הכתובת הפיזית של היעד, והחבילות מכונות מסגרות (Frames).
  5. השכבה הפיזית עוסקת רק בייצוג הבינארי של המסגרות, ולכן מכונים - רצף בינארי (Binary stream).

TCP\IP Stack

שכבה ראשונה: NETWORK: בהשוואה ל- OSI Model- היא מכילה בתוכה את שכבת ה- Physical ושכבת ה Data Link.

שכבה שניה: INTERNET: מכילה בתוכה את שכבת הרשת ה- Network של שכבת ה- OSI Model והתייחסות היא לכתובת הIP.

שכבה שלישית: TRANSPORT: מכילה בתוכה את שכבת ה Transport כמו ב OSI Model.

שכבה רביעית: APPLICATION: מכילה בתוכה את שלושת השכבות האחרונות ב- OSI Model: שכבת Session, Presentation, ושכבת ה- Application.

פרוטוקול ניהול רשת פשוט (SNMP)

פרוטוקול SNMP משמש לניטור וניהול התקנים ברשת כמו מתגים, נתבים, שרתים והתקני קצה. הוא מאפשר למערכות ניהול רשת לאסוף מידע על מצב וביצועים של ההתקנים, לקבל התרעות על בעיות, ולבצע שינויי קונפיגורציה מרחוק.

SNM פועל על גבי מודל לקוח-שרת, כאשר סוכני SNMP מותקנים על ההתקנים ברשת ומנהל SNMP מתקשר איתם כדי לבצע ניטור וניהול. 

פרוטוקול Simple Network Management (SNMP) פועל בשכבת היישום (7) של מודל OSI, והוא משתמש בפרוטוקול TCP/IP ועובד מעל UDP בפורטים 161 ו-162. הפרוטוקול פועל במודל שרת–לקוח, כאשר צד הסוכן הוא השרת ותחנת הניהול היא הלקוח, והוא נועד לאסוף נתונים סטטיסטיים ממכשירים המחוברים לרשת TCP / IP. הוא פרוטוקול תקשורת לניהול התקני רשת ברשתות IP.

הפרוטוקול מאפשר להגדיר את תצורת ההתקן (Configuration), ולאסוף מידע מהתקן הרשת לגבי מצבו (Status) ולגבי הגדרות התצורה שלו. 

רשת המנוהלת באמצעות SNMP מורכבת מתחנות ניהול רשת (Network Management Stations) הכוללות יישום לניטור ולשליטה בהתקני הרשת. התקני רשת הם התקנים כגון מתגים, נתבים, שרתים ועוד, הכוללים סוכני ניהול המתקשרים עם תחנת ניהול הרשת, באמצעות פרוטוקול SNMP, ומבצעים את הוראותיה.

למרות יכולותיו, השימוש בפרוטוקול ברוב המקרים הוא לקבלת נתונים ולא לשינוי הגדרות תצורה.

תשתית SNMP מכילה חבילה של שלושה רכיבים המורכבים מהצומת המנוהל SNMP, סוכן SNMP ותחנת הניהול של רשת SNMP.

סוכן SNMP פועל במכשירי רשת ומשדר נתונים לתחנת הניהול. גרסאות 2 ו -3 יש רמות אימות טובות (גרסה 2, למשל משתמשת ב- MD5 לצורך אימות).

תיאור כללי

בפרוטוקול זה מדברים ביניהם שני צדדים: 

  1. סוכן SNMP - זוהי תוכנה שרצה על ההתקנים המנוהלים ברשת. הסוכן הוא זה שנגיש אל המידע המקומי של ההתקן המנוהל.
  2. תחנת הניהול הראשית (Network Management Station או בקיצור NMS), המשמשת כתחנה מרכזית לניטור ואיסוף מידע. ה-NMS יכול לשלוח בקשות אל סוכן ה-SNMP לקבלת או שינוי המידע עבור ההתקן הספציפי עליו הוא יושב. המידע המבוקש יתקבל בהודעת תגובה מהסוכן.

במודל הקלאסי של הפרוטוקול, ישנו NMS אחד ברשת, ועל כל רכיב מנוהל יושב סוכן. בפועל, במקרים רבים ישנם מספר NMS ברשת, בעיקר לצורכי נוחות ונגישות.

אופן פעולת הפרוטוקול

בעת פעילות סטנדרטית של הפרוטוקול, מתבצעים השלבים הבאים:

  1. ה-NMS שולח בקשה אל סוכן ספציפי (ב-UDP אל פורט 161) תוך שימוש בכתובת ה-IP של הסוכן.
  2. הסוכן מקבל את הבקשה, שולף את המידע הנחוץ ומחזיר אותו אל ה-NMS.
  3. ה-NMS מקבל אליו את התשובה של הסוכן.

לפרוטוקול קיימת גם גרסה מאובטחת (secure SNMP) הפועלת בפורטים 10161 ו-10162.

מתג - Switch

מרבית המתגים פועלים בשכבת קישור נתונים (שכבה 2) של דגם OSI (אם כי מודלים חדשים יותר עוברים עכשיו לשכבת הרשת), והם הבסיס לרוב Ethernet based local networks. כל יציאה במתג היא תחום התנגשות נפרד מה שהופך מתגים ליעילים יותר מרכזות (Hubs), אשר בהם כל היציאות שייכות לאותו collision domain, שבו משודרים נתונים עבור לקוח רשת ספציפי בכל יציאות הרכזת, ולא רק על היציאה שאליה נקשר לקוח היעד. הניתוב מבוסס על כתובות MAC של התקנים המחוברים למתג.

בדומה לנתבים, נדרשת אבטחה של הגישה הניהולית למכשירי מיתוג באמצעות סיסמאות קפדניות ופרוטוקולי תקשורת מאובטחים בזמן גישה מרחוק.

אמצעי האבטחה שמספק מתג הם:

  • Port Security - מאפשר הגבלת מספר ההתקנים שיוכלו להתחבר לממשק במתג.

בנוסף ניתן להגדיר כתובת פיסית שהממשק ילמד.

  • VLAN
  • IEEE 802.1X - זהו תקן שעובד בשכב 3 ומספק מנגנון אימות זהות למכשירים שמבקשים להתחבר לרשת מקומית - קווית (LAN) ואלחוטית (WLAN) וזאת לפני קבלת יכולת להעביר אינפורמציה של ממש ברשת.

כך ניתן לשלוט מי מתחבר לרשת על ידי הגבלת הגישה למשתמשים מסוימים.

את ההגדרות אנו מגדירים על מתג/ Access pointשכבה 3.  

שרת האימות יהיה בדרך-כלל מסוג Radius/Tacacs+.

 

נתב - Router

רשת האינטרנט היא רשת תקשורת הנתונים הגדולה בעולם. רשת האינטרנט איננה עשויה מקשה אחת, אלא מורכבת מתתי-רשתות שונות, המחוברות זו לזו. עם השנים הלכה וגדלה רשת האינטרנט עד שהגיעה לגודלה הנוכחי. עמודי אינטרנט, תמונות, שירים, וכל מידע דיגיטלי אחר, מועברים ממקום למקום וממחשב למחשב.

מבחינות רבות דומה תנועת הנתונים באינטרנט לתנועת כלי הרכב בכבישים. כלי רכב מסוגים שונים עושים את דרכם ממקורות שונים ליעדים שונים על-פני רשת הכבישים בארץ, וגורמים שונים מסייעים בהכוונת התנועה: תמרורים, רמזורים, סימוני כבישים ושוטרי תנועה.

גורמים אלו מנתבים את התנועה ממקום אחד למקום אחר במסלול מסוים. לדוגמה, בהתרחש תאונה בכביש, ייתכן ששוטר תנועה יכוון את התנועה לדרך חליפית.

בתפקיד שוטרי התנועה של רשת האינטרנט - משמשים הנתבים. נתבים משמשים במגוון תפקידים רחב כדי להכווין את תנועת המידע הדיגיטלי ממקום למקום.

נתבים הם מכשירים המשמשים לחיבור בין חלקים שונים ב- LAN ובין LAN ל- WAN, לכן הם משמשים כקו גבול ויש להם את היכולת להחליט איזה חבילות יכולות לעבור או לחסום. הם פועלים בשכבת הרשת של OSI (שכבה 3'). נתבים פועלים על ידי בחינת כל המנות שהתקבלו ושימוש באלגוריתמים יחד עם טבלאות ניתוב בכדי לקבוע את הנתיב האופטימלי לנתונים להגיע ליעדם הסופי. 

כחלק ממשימת הניתוב, עשוי הנתב להשתמש בספירת צעדים. בשיטה זו מנסה הנתב לחשב את מספר "הצעדים" שעשויה חבילת המידע שברשותו לעשות בדרך ליעדה. לצורך כך, כל רכיב תקשורת בו תיאלץ לעבור החבילה בדרכה ליעד, ובפרט, נתבים נוספים, נחשב כצעד נוסף. במידה וקיימים כמה מסלולים אפשריים ליעד, יבחר הנתב בזה בעל מספר הצעדים הקטן ביותר, ובכך יחסך חלק מזמן המסע של החבילה (באופן תאורטי כמובן). הדבר דומה במקצת לבחירת נתיב הנסיעה בעל מספר הרמזורים הקטן ביותר לאורך הדרך. בהנחה שהעיכוב הממוצע בכל רמזור ורמזור הוא זהה, הרי שעדיף לנו לנסוע בדרך בה יש פחות רמזורים. כיום, נוטים נתבים להתחשב פחות במספר הצעדים בדרך אל היעד, ומתחשבים בנתונים נוספים המשפיעים יותר על זמן המסע של חבילת הנתונים. הנתב עשוי להשתמש בפרוטוקולי ניתוב נוספים (כגון: ICMP, OSPF), על מנת לאסוף נתונים (כגון קצב, השהייה, עומס, אמינות) של הקישורים האפשריים ממנו ועד היעד של החבילה, ובמטרה להחליט כיצד יש להעביר הלאה כל אחת מחבילות הנתונים המגיעות אליו. השימוש בפרוטוקולים אלו נקרא ניתוב. פרוטוקולים אלו נקראים פרוטוקולי ניתוב, או פרוטוקולים מנתבים.

כאשר הנתב מקבל חבילת נתונים, הוא בודק מהי כתובת היעד של החבילה, ומסתמך על פרוטוקולי הניתוב על מנת להחליט מה יש לעשות עם החבילה. חבילה שכזאת נקראת "חבילה מנותבת". במטרה להעבירה לתחנה הבאה בשרשרת (ולקרב אותה אל היעד), עושה הנתב שימוש בסוג נוסף של פרוטוקולים, המעבירים את החבילות על פי החלטת הניתוב שהתקבלה. פרוטוקולים אלו נקראים פרוטוקולים מנותבים. הבולט שבפרוטוקולים אלו, הוא פרוטוקול האינטרנט - IP.
קיימים פרוטוקולים מנותבים נוספים (לדוגמה, IPX), אך השימוש בהם הוא פחות בהרבה מהשימוש בפרוטוקול האינטרנט.

נתבים מהווים למעשה את עמוד השדרה של האינטרנט. טבלאות ניתוב מתעדכנות באופן ידני על ידי מנהל מערכת, לצורך הגדרת תצורה אוטומטית תוך שימוש במגוון פרוטוקולים שונים כולל פרוטוקול ניתוב (RIP), פרוטוקול ניתוב שער פנימי (IGRP), פרוטוקול ניתוב משופר לשער פנים (EIGRP) ופתיחת הדרך הקצרה ראשונה (OSPF).

הנתבים כוללים גם אבטחה מסוימת בצורה של רשימות בקרת גישה (ACL) החוסמות מנות על בסיס כללים שהוגדרו מראש, בדיקת מצב וסינון מנות.

סיכון האבטחה הפוטנציאלי הגדול ביותר עבור נתבים כרוך בגישה מרחוק לפונקציות פנימיות ואפשרויות להגדיר תצורה. בשל אופיים המבוזר, כל הנתבים מספקים תכונות של ניהול מרחוק. לכן חיוני כי מיושמים סיסמאות קפדניות וכי משתמשים בתקשורת מוצפנת בעת הכניסה לנתב מרוחק.

מרבית הנתבים תומכים ב- Packet Filtering (ACL).  רבים מהנתבים החדשים יותר מספקים גם פונקציות מתקדמות של חומת אש.

ישנם שני סוגים עיקריים של נתבים:

  • נתבים ביתיים
  • נתבים תעשייתיים

נתב ביתי

גישור בין רשתות

נתב ביתי, הוא רכיב תקשורת פשוט וזול יחסית, הנמצא כיום בחלק ניכר של הבתים והעסקים הקטנים.

תפקידו לגשר בין רשת האינטרנט העולמית, לרשת הפרטית של המשתמש הביתי. בבתים רבים כיום יש מספר מחשבים. מחשבים אלו יוצרים ביחד רשת זעירה. למחשבים שונים ולמשתמשים שונים, יכולות להיות בקשות שונות מרשת האינטרנט.

אם בבית זה יש נתב, הבקשות השונות של משתמשי הקצה לרשת האינטרנט עוברות דרכו. הנתב מצידו, רושם איזה משתמש ביקש איזה עמוד אינטרנט, ומעביר את הבקשות לספק האינטרנט. ספק האינטרנט בתורו, מחזיר את העמודים המבוקשים. הנתב, שקיבל שני עמודי אינטרנט שונים, מחפש ברשימת הבקשות השמורה אצלו, מי המשתמש שביצע את הבקשה, ומעביר אליו את העמוד (או חבילת הנתונים) המבוקשים.

בכך, מאפשר הנתב לכמה מחשבים לחלוק חיבור אינטרנט יחיד. מנקודת מבטו של ספק האינטרנט, הדבר שקוף לחלוטין. מבחינת ספק האינטרנט אין הבדל בין הבקשות השונות (ויקיפדיה, מנוע חיפוש), הן כולן בקשות שבוצעו על ידי אותו מנוי, בעל אותה כתובת אינטרנט.

הדבר דומה לממיין דואר במשרד גדול. נניח כתובת הדואר של משרד שבו מספר עובדים, המטפלים בנושאים מגוונים. כדי ליצור קשר עם עובדי המשרד יש לשלוח את המכתב אל הכתובת של המשרד, וכאשר המען המופיע על המעטפת המכתב הוא כתובת המשרד. כאשר המעטפה מגיעה למשרד, היא נפתחת על ידי ממיין הדואר של המשרד.

הממיין רואה שהמדובר בבקשה מתחום מסוים, ומעביר את המכתב אל העובד המטפל בתחום זה. ממיין הדואר מבצע פעולה דומה לזו של הנתב הביתי. מבחינתו של העולם החיצוני - יש למשרד כתובת אחת ויחידה. כל הבקשות והחבילות יגיעו לכתובת זו בלבד. בתוך המשרד ישנה תיבת דואר עובד ועובד, וממיין הדואר, דואג לנתב את המכתבים ליעד המתאים. 

תצורה

נתב ביתי תקני, מסוגל לתמוך הן בחיבורים פיזיים לנתב, והן בחיבורים אלחוטיים. לנתב תקני יש בדרך-כלל כניסה אחת, המשמשת להכנסת מידע מרשת האינטרנט, בדרך-כלל באמצעות מודם אינטרנט. בנוסף, לנתב מספר יציאות פיזיות (בדרך-כלל בין 2 ל-8), אליהן אפשר לחבר מחשבים לנתב באמצעות כבל רשת. בדרך-כלל, יתמוך הנתב גם בחיבורים אלחוטיים. באמצעות חיבורים אלו, מחשבים שונים יכולים להתחבר לנתב תוך שימוש בקשר רדיו, וללא צורך בחוטים. נתב ביתי תקני, מסוגל בדרך-כלל לתמוך במספר רב של חיבורים אלחוטיים, עד כ-100-200 חיבורים, בהתאם לנתב. דבר זה מאפשר שימוש בנתבים ביתיים, כנקודות גישה חמות, גם בבתי קפה ובמקומות הצפויים להחזיק כמה עשרות משתמשים, ואף יותר מכך.

מעבר לתפקידו הראשי כמגשר בין רשתות, הנתב הביתי מסוגל לספק שירותים נוספים למשתמש. שירותים אלו חורגים לרוב מהגדרתו של נתב במודל ה-OSI. הנתב מאפשר יצירת רשת ביתית. בעצם עובדת חיבורם הפיזי של המחשבים לנתב, נוצרת רשת ביתית פנימית - גם ללא חיבור חיצוני לאינטרנט. בכך מתאפשרים שיתוף והעברת קבצים, בין מחשבים שונים המחוברים לאותו נתב.

תרומה נוספת אותה מבצעים נתבים היא בתחום אבטחת המחשבים המחוברים לרשת. כאשר מגיע לנתב עמוד אינטרנט (או חבילת נתונים), הנתב בודק ברשימותיו, מי המשתמש שביקש דף זה. במידה והנתב לא רואה שחבילת המידע נדרשה על ידי מי מהמשתמשים המחוברים אליו, הוא פשוט משליך אותה, ולא מעביר אותה הלאה.

בכך, מונע הנתב התקפות רבות ביותר על מחשבים המחוברים לרשת האינטרנט. מרבית הנתבים הביתיים מסוגלים להעמיד חומת אש על ידי סינון בקשות מתקדם יותר. במידה והנתב משמש גם כחומת אש, הוא מבצע סדרה של החלטות הנוגעות לטיפול בכל בקשה ומידע המגיעים אליו. בצורה הבסיסית ביותר, יש בידי הנתב רשימה שחורה. זוהי רשימת כתובות של אתרים אסורים או לא בטוחים. כאשר מגיעה לנתב בקשה ממשתמש לעמוד אינטרנט, הוא משווה את הכתובת המבוקשת, אל מול הכתובות שברשימה השחורה. במידה, וישנה התאמה (המשתמש ביקש דף אסור), השרת לא יטפל בבקשה, והמשתמש לא יקבל את הדף המבוקש. נתבים מתקדמים מעט, מסוגל לאכוף מדיניות גישה מורכבת יותר הכוללת מאפיינים כגון: שעות גישה מותרות והקצאת רוחב פס אישית לכל משתמש.

מאפיין נוסף של נתבים ביתיים רבים, הוא שילוב של חייגן ומודם אינטרנט. על-מנת להקים קשר עם ספק האינטרנט, יש לתקשר עמו באמצעות מודם אינטרנט. בבתים רבים נמצא המודם בין שקע התשתית (כבלים או טלפון) לבין הנתב. עם זאת, ישנם נתבים רבים המסוגלים גם לשמש כמודם אינטרנט. במקרה כזה, מחברים את הנתב ישירות לשקע התשתית, ואין צורך ברכיב מגשר בדמות מודם. הדבר חוסך חוטים מיותרים, שקע חשמלי ולעיתים אף מסייע בחיבור קל ונח.

נתבים תומכים בשירותים ובתכונות הבאות: DHCP, DMZ, Port Forwarding, NAT, QoS.

נתב תעשייתי

נפח עבודה גבוה - נתבים תעשייתיים, דומים בתכונותיהם לנתבים ביתיים. עם זאת, נפח המידע, כמות הבקשות ומספר המשתמשים בהם מסוגל לתמוך נתב תעשייתי, גדולים בהרבה מאלו של הנתב הביתי. נתבים תעשייתיים, נועדו לעמוד בעומסי עבודה אינטנסיביים ביותר. בשל כך, נמצאים נתבים אלו בארגונים גדולים, בתי ספר, אוניברסיטאות, מאגרי מידע, בתי חולים - ובכל מקום בו ישנם משתמשים רבים וניהול הרשת מורכב.

אחד המקומות בהם נמצאים נתבים אלו בשימוש רב, הוא בקרב ספקיות אינטרנט. היקף הניתוב בנתבים אלה הוא עצום בגודלו, ספק אינטרנט מטפל בעשרות אלפים עד מיליונים של בקשות ברגע נתון. חלק מהבקשות הן לעמודי אינטרנט השוכנים על שרתי החברה, חלק לעמודי אינטרנט על שרתים אחרים באותה מדינה, וחלק לעמודים השוכנים במדינות רחוקות. חלק מהבקשות הן למידע דיגיטלי אחר, למשל שיתוף קבצים ברשת עמית לעמית.

אינטרנט ופרוטוקולים

האינטרנט הפך לחלק הכרחי מחיי היומיום שלנו, ומחבר בין אנשים, עסקים ומכשירים ברחבי העולם. זוהי רשת עצומה של רשתות המאפשרת תקשורת נתונים חלקה וגישה למגוון רחב של שירותים ומידע. במאמר מקיף זה, נחקור את ההיסטוריה והארכיטקטורה של האינטרנט, כמו גם את הפרוטוקולים הבסיסיים השולטים בתפקודו, ומעצבים את הנוף הדיגיטלי המוכר לנו היום.

ניתן לאתר את מקורות האינטרנט בשנות ה-60 של המאה ה-20, כאשר משרד ההגנה של ארצות הברית יזם פרויקט מחקר בשם Advanced Research Projects Agency Network (ARPANET). המטרה הייתה ליצור רשת תקשורת מבוזרת שתוכל לעמוד בהתקפות גרעיניות על ידי ניתוב מחדש של מנות נתונים באופן דינמי. בשנת 1969, ARPANET הקימה בהצלחה את חיבור האינטרנט הראשון אי פעם בין אוניברסיטת קליפורניה, לוס אנג'לס (UCLA) ומכון המחקר של סטנפורד (SRI).

במהלך העשורים הבאים, האינטרנט התרחב במהירות, וחיבר יותר מוסדות מחקר, אוניברסיטאות וסוכנויות ממשלתיות. הפיתוח של פרוטוקול בקרת שידור (TCP) ופרוטוקול אינטרנט (IP) בשנות ה-70 סלל את הדרך לאינטרנט המודרני כפי שאנו מכירים אותו היום. בשנת 1991, ה-World Wide Web (WWW) הוצג על ידי מדען המחשבים הבריטי טים ברנרס-לי, חולל מהפכה באינטרנט על ידי הפיכתו לנגיש לקהל הרחב ומתן דרך ידידותית למשתמש לניווט וגישה למידע.

ארכיטקטורת אינטרנט

האינטרנט הוא רשת מבוזרת ומבוזרת של רשתות המשתרעת על פני כל הגלובוס. היא אינה נשלטת על ידי אף ישות בודדת אלא פועלת באמצעות שיתוף פעולה של מספר מערכות אוטונומיות. ניתן להמשיג את ארכיטקטורת האינטרנט במספר רבדים, שכל אחד מהם תורם לפונקציונליות הכוללת של הרשת.

  • שכבת היישום: שכבת האפליקציה היא השכבה העליונה ביותר של ארכיטקטורת האינטרנט ואחראית על אינטראקציה עם משתמשי קצה ומתן גישה לשירותים ויישומים שונים. שכבה זו כוללת פרוטוקולים כגון Hypertext Transfer Protocol (HTTP) לגלישה באינטרנט, Simple Mail Transfer Protocol (SMTP) לתקשורת דואר אלקטרוני ומערכת שמות דומיין (DNS) לתרגום שמות דומיין לכתובות IP. שכבת האפליקציה מאפשרת למשתמשים לגשת למידע, לתקשר ולעסוק במגוון מגוון של שירותים מקוונים.

  • שכבת תחבורה: שכבת התחבורה אחראית להעברת נתונים אמינה בין מכשירים ואפליקציות. הוא מבטיח שהנתונים מועברים בצורה מדויקת, ללא שגיאות או אובדן, ובסדר הנכון. פרוטוקול התחבורה הנפוץ ביותר הוא פרוטוקול בקרת השידור (TCP), אשר יוצר חיבור בין השולח למקלט לפני שידור הנתונים. פרוטוקול תחבורה נוסף, User Datagram Protocol (UDP), משמש ליישומים בזמן אמת, כגון ועידת וידאו ומשחקים מקוונים, שבהם מהירות ותגובתיות מועדפות על פני אמינות.

  • שכבת אינטרנט: שכבת האינטרנט, המכונה גם שכבת הרשת, מטפלת בניתוב של מנות נתונים על פני רשתות שונות. הוא מבוסס על פרוטוקול האינטרנט (IP), המקצה כתובות IP ייחודיות למכשירים המחוברים לאינטרנט. IP מאפשר העברת נתונים מרשת אחת לאחרת עד שהם מגיעים ליעד המיועד. שכבה זו גם מנהלת את הפיצול וההרכבה מחדש של מנות נתונים כדי להתאים ליכולות שונות של קישורי רשת.

  • שכבת קישור: שכבת הקישור אחראית לשידור הפיזי של נתונים דרך קישור רשת ספציפי, כגון Ethernet, Wi-Fi או חיבורי סיבים אופטיים. זה מבטיח שמנות נתונים נשלחות ומתקבלות בצורה נכונה בין מכשירים המחוברים באותה רשת מקומית. שכבת הקישור משתמשת בכתובות Media Access Control (MAC) כדי לזהות התקנים בתוך רשת.

פרוטוקולי אינטרנט

פרוטוקולים הם קבוצות של כללים ומוסכמות השולטות על האופן שבו נתונים מועברים, מתקבלים ומתפרשים ברשת מחשבים. הם מבטיחים שמכשירים ברשת יכולים לתקשר ביעילות ולהבין את פורמטי הנתונים של זה. מספר פרוטוקולי אינטרנט בסיסיים מהווים את עמוד השדרה של העברת נתונים באינטרנט:

  • פרוטוקול בקרת שידור (TCP): TCP הוא פרוטוקול מכוון חיבור המשמש ברוב התקשורת באינטרנט. זה מבטיח העברת נתונים אמינה על ידי יצירת חיבור בין השולח למקלט לפני חילופי נתונים. TCP מפרק נתונים לחבילות קטנות יותר ומרכיב אותם מחדש ביעד כדי להבטיח את שלמות הנתונים ואת הסדר הנכון. אם מנות אובדות במהלך השידור, TCP מבקש אוטומטית שידור חוזר, מה שמבטיח אמינות נתונים.

  • פרוטוקול אינטרנט (IP): IP הוא הבסיס למערכת הכתובת של האינטרנט. הוא מקצה כתובות IP ייחודיות למכשירים המחוברים לרשת, ומאפשר לזהות אותם ולמקם אותם באינטרנט. IPv4 (אינטרנט פרוטוקול גרסה 4) היא הגרסה הנפוצה ביותר, המשתמשת בכתובות של 32 סיביות. עם זאת, עקב הצמיחה המהירה של האינטרנט והדלדול של כתובות IPv4 זמינות, IPv6 (גרסה 6 של פרוטוקול אינטרנט) הוצג, תוך שימוש בכתובות של 128 סיביות כדי להכיל מספר כמעט אינסופי של מכשירים.

  • פרוטוקול העברת היפרטקסט (HTTP): HTTP הוא הפרוטוקול המשמש להעברת דפי אינטרנט ומשאבים אחרים ברשת העולמית. זה מאפשר לדפדפני אינטרנט לבקש ולאחזר מידע משרתי אינטרנט. כאשר אתה מקליד כתובת אתר בשורת הכתובת של הדפדפן, הדפדפן שולח בקשת HTTP לשרת האינטרנט, אשר יגיב לאחר מכן עם התוכן של דף האינטרנט המבוקש.

  • מערכת שמות מתחם (DNS): DNS הוא פרוטוקול קריטי שמתרגם שמות דומיינים הניתנים לקריאה על ידי אדם (לדוגמה, www.example.com) לכתובות ה-IP המתאימות הנדרשות להעברת נתונים. כאשר אתה מזין שם דומיין בדפדפן, שרתי DNS מפנים את שם הדומיין לכתובת ה-IP המשויכת, ומאפשרים למכשיר להתחבר לשרת האינטרנט הנכון ולאחזר את התוכן המבוקש.

  • פרוטוקול העברת דואר פשוט (SMTP): SMTP משמש לשליחה וקבלה של הודעות דואר אלקטרוני בין שרתי דואר. כאשר אתה שולח דוא"ל, לקוח הדוא"ל משתמש ב-SMTP כדי לתקשר עם שרת הדוא"ל ולמסור את ההודעה לשרת הדוא"ל של הנמען. SMTP מבטיח שידור אמין של מיילים, ומאפשר להם להגיע לנמענים המיועדים להם.

  • פרוטוקול העברת קבצים (FTP): FTP הוא פרוטוקול המשמש להעברת קבצים בין לקוח לשרת ברשת מחשבים. זה מאפשר למשתמשים להעלות ולהוריד קבצים לשרתים מרוחקים וממנו. בעוד ש-FTP היה בשימוש נרחב בעבר לשיתוף קבצים ותחזוקת אתרים, כיום הוא מוחלף לעתים קרובות בפרוטוקולים מאובטחים יותר כמו Secure File Transfer Protocol (SFTP) ו-Secure Shell (SSH).

רשתות אלחוטיות

רשתות אלחוטיות מציעות את הנוחות של ניידות וגמישות, ומאפשרים לסמארטפונים, מחשבים ניידים וטאבלטים להתחבר לאינטרנט ללא צורך בכבלים. לצד קלות הגישה יש סיכוני אבטחה, מה שמחייב ליישם אמצעי אבטחה חזקים כדי להגן על נתונים רגישים ולשמור על שלמות הרשת. במאמר זה, נחקור את עולם הרשתות האלחוטיות, היתרונות והפגיעויות שלהן, ואת השיטות המומלצות להבטחת סביבה אלחוטית מאובטחת.

סוגי רשתות אלחוטיות

  • Wi-Fi (Wireless Fidelity): Wi-Fi הוא הסוג הנפוץ ביותר של רשת אלחוטית המשמשת לחיבור לאינטרנט בבתים, עסקים ומקומות ציבוריים. הוא משתמש בגלי רדיו כדי להעביר נתונים בין מכשירים ונקודת גישה אלחוטית, המחוברת לרשת קווית או לאינטרנט. רשתות Wi-Fi יכולות לספק גישה לאינטרנט למספר מכשירים בו זמנית, ולאפשר קישוריות חלקה בתוך אזור כיסוי ספציפי, המכונה נקודה חמה של Wi-Fi.

  • רשתות סלולריות: רשתות סלולריות הן רשתות אלחוטיות המסופקות על ידי מפעילי רשתות סלולריות, המאפשרות למכשירים כמו סמארטפונים להתחבר לאינטרנט באמצעות מגדלים סלולריים. רשתות אלו משתמשות בטכנולוגיות סלולריות כגון 3G, 4G ו-5G כדי לספק שירותי נתונים וקול. רשתות סלולריות מציעות כיסוי רחב יותר מאשר Wi-Fi, מה שהופך אותן למתאימות לאזורים מרוחקים ולקישוריות בדרכים.

חששות אבטחת רשת אלחוטית

בעוד שרשתות אלחוטיות מציעות יתרונות רבים, הן גם מציגות אתגרי אבטחה ייחודיים. בניגוד לרשתות קוויות, שבהן נדרשת גישה פיזית כדי לפרוץ את הרשת, רשתות אלחוטיות יכולות להיות רגישות לגישה לא מורשית מרחוק. חלק מדאגות האבטחה המרכזיות ברשתות אלחוטיות כוללות:

  • צִתוּת: האזנת סתר, המכונה גם רחרוח או חטטנות, מתרחשת כאשר אנשים לא מורשים מיירטים ומנטרים נתונים המועברים ברשת אלחוטית. תוקפים יכולים להשתמש בכלים זמינים כדי ללכוד מידע רגיש, כגון אישורי התחברות, מיילים ונתונים פיננסיים, המועברים ללא הצפנה.
  • גישה לא מורשית: גישה לא מורשית כוללת שחקנים זדוניים המקבלים כניסה לרשת אלחוטית ללא ידיעתו או רשותו של בעל הרשת. הם יכולים לנצל הגדרות אבטחה חלשות או ברירת מחדל, לפצח מפתחות הצפנה או לעקוף מנגנוני אימות כדי לקבל גישה.

  • נקודות גישה מתחזות (Rogue Access Points): נקודות גישה מתחזות הן נקודות גישה אלחוטיות לא מורשות המוגדרות על ידי תוקפים כדי לחקות רשתות Wi-Fi לגיטימיות. משתמשים מתחברים ללא ידיעתו לנקודות גישה מתחזות אלו, מה שמאפשר לתוקפים ליירט ולתפעל נתונים או להפעיל התקפות נוספות.

  • התקפות מניעת שירות (DoS): התקפות DoS מטרתן לשבש או להשבית רשת אלחוטית על ידי הצפתה בכמות עצומה של תעבורה. זה מונע ממשתמשים לגיטימיים לגשת לרשת ועלול לגרום להשבתה משמעותית והפרעות שירות.

  • התקפות Man-in-the-Middle (MitM): התקפות MitM כוללות תוקפים המיירטים ומעבירים תקשורת בין שני צדדים, מה שמוביל אותם להאמין שהם מתקשרים ישירות אחד עם השני. זה מאפשר לתוקפים לצותת, לתפעל נתונים או להחדיר תוכן זדוני לתקשורת.
  • יירוט נתונים וחבלה: רשתות אלחוטיות לא מאובטחות נתונות ליירוט נתונים, כשמידע רגיש נקלט במהלך שידור. תוקפים יכולים גם להתעסק בנתונים, לשנות את תוכנם כדי לגרום לבלבול או להוביל להחלטות שגויות.

שיטות עבודה מומלצות לאבטחת רשת אלחוטית

כדי להפחית את סיכוני האבטחה הקשורים לרשתות אלחוטיות, ארגונים ואנשים יכולים ליישם את השיטות המומלצות הבאות:

  • אפשר הצפנת Wi-Fi: הפעלת הצפנת Wi-Fi, כגון Wi-Fi Protected Access 3 (WPA3) או Wi-Fi Protected Access 2 (WPA2), מצפינה נתונים המועברים בין מכשירים ונקודת הגישה האלחוטית. זה מבטיח שרק גורמים מורשים יכולים לגשת ולהבין את הנתונים.

  • השתמש בסיסמאות חזקות ובשיטות אימות: רשתות אלחוטיות מאובטחות צריכות להשתמש בסיסמאות חזקות וייחודיות לגישה ל-Wi-Fi. הימנע משימוש בסיסמאות ברירת מחדל שסופקו על ידי היצרן, מכיוון שהן ידועות וניתנות לניצול בקלות. בנוסף, שקול ליישם אימות רב-גורמי (MFA) עבור שכבת אבטחה נוספת.

  • עדכן באופן קבוע תיקוני קושחה ואבטחה: שמור על נקודות גישה אלחוטיות, נתבים ומכשירים מעודכנים עם הקושחה ותיקוני האבטחה העדכניים ביותר. לעתים קרובות יצרנים משחררים עדכונים כדי לטפל בפרצות ידועות ולשפר את האבטחה.

  • פלח רשתות אלחוטיות: פילוח רשתות אלחוטיות יכול להגביל את ההשפעה של פריצה אפשרית. צור רשתות אורחים נפרדות עם גישה מוגבלת למשאבים קריטיים, מניעת גישה לא מורשית לנתונים רגישים.

  • השבת תכונות שאינן בשימוש: השבת תכונות ושירותים שאינם בשימוש במכשירים אלחוטיים ונקודות גישה. צמצום משטח ההתקפה עוזר למזער פגיעויות פוטנציאליות.

  • מעקב אחר פעילות הרשת: עקוב באופן קבוע אחר פעילות הרשת לאיתור סימנים להתנהגות חשודה, כגון ניסיונות גישה לא מורשית או תעבורת נתונים חריגה. מערכות זיהוי חדירות (IDS) ומערכות מניעת חדירות (IPS) יכולות לסייע באיתור ובמניעת איומי אבטחה.

  • הטמעת רשתות וירטואליות פרטיות (VPNs): שימוש ב-VPN מוסיף שכבת אבטחה נוספת לתקשורת אלחוטית, ומצפין תעבורת נתונים בין המכשיר לשרת ה-VPN. זה חשוב במיוחד בעת חיבור לנקודות Wi-Fi ציבוריות, שבהן יש סיכוי גבוה יותר ליירוט נתונים.

  • ערכו הדרכה למודעות אבטחה: למד את המשתמשים לגבי שיטות עבודה מומלצות לאבטחת רשת אלחוטית, כולל הסיכונים בחיבור לרשתות לא מאובטחות והחשיבות של זיהוי איומי אבטחה פוטנציאליים.

לסיכום, הצפנה, שיטות אימות וניטור רשת, יחד עם עדכוני אבטחה קבועים והדרכה למודעות המשתמש, יכולים לשפר משמעותית את אבטחת הרשת האלחוטית. על ידי אימוץ שיטות עבודה מומלצות אלה, אנשים וארגונים יכולים ליהנות מהיתרונות של קישוריות אלחוטית תוך שמירה על נתונים רגישים ושמירה על שלמות הרשת.

 

עבור למאמר הבא

MORE ARTICLES

10.1 מבוא לאבטחת רשת
עבור למאמר
10.2 עקרונות עיצוב רשת וארכיטקטורה
עבור למאמר
10.3 VLAN - רשת מקומית וירטואלית
עבור למאמר