การรักษาความปลอดภัยบนระบบเครือข่าย

การรักษาความปลอดภัยในเครือข่าย

                การใช้งานเครือข่ายแม้ว่าจะมีประโยชน์ต่อการสื่อสารข้อมูล แต่ยังคงมีความเสี่ยง หากไม่มีการควบคุมหรือป้องกันที่ดี การโจมตีหรือบุกรุกเครือข่าย หมายถึงความพยายามของผู้บุกรุก หรือผู้ประสงค์ร้ายที่จะเข้าใช้ระบบ (Access Attack) การแก้ไขข้อมูลหรือระบบ (Modification Attack)การทำให้ระบบไม่สามารถใช้งานได้ (Deny of Service Attack) และ การบิดเบือนข้อมูล (Repudiation Attack) เพื่อลักลอบนำข้อมูลที่สำคัญหรือ เข้าใช้ระบบโดยไม่ได้รับอนุญาต

รูปแบบการโจมตีเครือข่าย

-                   Packet Sniffer

-                   IP Spoofing

-                   Password Attacks

-                   Man in the Middle

-                   Denial of Service

-                   Trojan Horse & Virus

Packet Sniffer

                คือความพยายามของผู้บุกรุก โดยการใช้โปรแกรมที่มีความสามารถในการตรวจจับ Packet ที่เคลื่อนที่อยู่บนเครือข่าย โดยเฉพาะอย่างยิ่งPacket ของข้อมูลที่ไม่มีการเข้ารหัส (Clear text) ซึ่งอาจจะนำไปสู่การโจมตีเครือข่ายในรูปแบบอื่นๆ ต่อไป เช่น ชื่อผู้ใช้ และรหัสผ่านPacket Sniffer อาจโจมตีโดยใช้ชื่อผู้ใช้ และรหัสผ่านที่ตรวจจับได้ เข้าใช้งานระบบ

IP SpoofingIP Spoofing

                คือ การปลอมแปลงหมายเลข IP Address ให้เป็นหมายเลขซึ่งได้รับอนุญาตให้เข้าใช้งานเครือข่ายนั้นๆ ได้ เพื่อบุกรุกเข้าไปขโมย หรือทำลายข้อมูล หรือกระทำการอื่นๆ อันเป็นการโจมตีเครือข่าย เช่น การเข้าไปลบค่า Routing table ทิ้งเพื่อให้สามารถส่งข้อมูลผ่านไปยังภายนอกได้

การได้มาซึ่งหมายเลข IP Address ที่ได้รับอนุญาตอาจได้มาจากการ Sniffer ดูแพคเกจข้อมูลจากหมายเลข IP ต่างๆ ที่วิ่งผ่านเพื่อจับสังเกตหาหมายเลข IP Address ที่คาดว่าจะเป็นไปได้ หรือใช้วิธีการอื่นๆ ที่ได้มาซึ่งหมายเลข IP Address

Password AttacksPassword Attacks

                คือ ความพยายามบุกรุกเข้าสู่เครือข่าย เพื่อโจมตีเครือข่ายรูปแบบอื่นๆ ต่อไป โดยการใช้วิธีการต่างๆ เพื่อให้ได้มาซึ่ง รหัสผ่าน สำหรับเข้าสู่เครือข่าย เช่น Packet Sniffer, IP spoofing หรือใช้วิธีการเดารหัสผ่าน (Brute-Force)

Man in the MiddleMan in the Middle

                คือ ผู้โจมตีที่ทำตัวเป็นตัวกลาง หรือ ปลอมตัวเป็นตัวกลางระหว่างเครือข่าย เช่น ปลอมเป็นผู้ให้บริการอินเทอร์เน็ต ISP ที่ทำหน้าที่ให้บริการเชื่อมโยงเครือข่ายระหว่างองค์กร เพื่อโจมตีเครือข่ายองค์กรใดๆ โดยการอาศัยวิธีการต่างๆ เช่น Packet Sniffer ในการขโมยข้อมูล

Denial of ServiceDenial of Service

                คือ ความพยายามของผู้บุกรุก ในการทำให้เครือข่าย หรือ Server นั้น ไม่สามารถให้บริการได้ ด้วยวิธีการต่างๆ เช่น การใช้ทรัพยากรของ Server จนหมด ถือเป็นการโจมตีจุดอ่อน หรือ ข้อจำกัดของระบบ เช่น การส่ง Packet จำนวนมากอย่างต่อเนื่องเพื่อให้ Traffic เต็ม

Trojan Horse & VirusTrojan Horse & Virus

                คือ ความพยายามในการทำลายระบบ โดยการส่ง Trojan horse, Worm หรือ Virus เข้าโจมตีเครือข่าย

-                   Trojan horse คือโปรแกรมทำลายระบบที่แฝงมากับโปรแกรมอื่นๆ เช่น Screen Saver

-                   Worm คือโปรแกรมที่แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ในเครือข่าย

-                   Virus คือโปรแกรมที่ทำลายระบบและโปรแกรมภายในเครื่องคอมพิวเตอร์

การรักษาความปลอดภัยของเครือข่ายการรักษาความปลอดภัยของเครือข่าย

                แม้ว่าการปกป้องข้อมูลเป็นสิ่งที่มีลำดับความสำคัญสูงสุด แต่การรักษาเครือข่ายให้ทำงานอย่างถูกต้องก็เป็นปัจจัยที่สำคัญในการปกป้องข้อมูลที่อยู่ในเครือข่ายนั้น ถ้ามีช่องโหว่ของระบบเครือข่ายที่อนุญาตให้โจมตีได้ ความเสียหายที่เกิดขึ้นอาจใช้ทั้งเวลาและความพยายามอย่างมากที่จะทำให้ระบบกลับมาทำงานให้เหมือนเดิม

รูปแบบการรักษาความปลอดภัยของเครือข่าย

-                   Firewall

-                   Intrusion Detection System

-                   Cryptography

-                   Authorized

-                   Secure Socket Layer

-                   Virtual Private Network

Firewall

                คือ ฮาร์ดแวร์ และซอฟต์แวร์ ที่ใช้เพื่อให้ผู้ใช้ที่อยู่ภายในสามารถใช้บริการเครือข่ายภายในได้เต็มที่ และใช้บริการเครือข่ายภายนอก เช่นอินเตอร์เน็ตได้ และในขณะเดียวกันจะป้องกันมิให้ผู้อื่นเข้าใช้บริการเครือข่ายที่อยู่ข้างในได้ โดยการควบคุมและกำหนดนโยบายการใช้เครือข่ายโดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้

Firewall แบ่งออกเป็น 2 ประเภทคือ

-                   Application Layer Firewall หรือเรียกว่า Proxy Firewall ทำหน้าที่ควบคุมและกำหนดนโยบายการใช้งาน Application ต่างๆ โดยทำหน้าที่เชื่อมต่อกับ Client แทน Server

-                   Packet Filtering Firewall ทำหน้าที่กรองแพ็คเก็ตที่ผ่านเข้า-ออกเครือข่าย และอนุญาต / ไม่อนุญาตให้ผ่าน Firewall ได้ ตามนโยบายที่กำหนดไว้

Intrusion Detection SystemIntrusion Detection System

                เป็นเครื่องมือสำหรับการรักษาความปลอดภัยอีกประเภทหนึ่งที่ใช้สำหรับตรวจจับความพยายามที่จะบุกรุกเครือข่าย โดยระบบจะแจ้งเตือนผู้ดุแลระบบเมื่อการบุกรุกหรือพยายามที่จะบุกรุกเครือข่ายIDS ไม่ใช่ระบบป้องกันผู้บุกรุก แต่มีหน้าที่เตือนภัย ในการเข้าใช้เครือข่ายที่ผิดปกติเท่านั้น ดังนั้นจะต้องมีความสามารถในการระบุได้ว่าเหตุการณ์ใดผิดปกติ และผิดปกติอย่างไร

    

Intrusion Detection System (ต่อ)

                โดยส่วนใหญ่จะจำแนกประเภทความผิดปกติออกเป็น 3 ระดับ

          -  การสำรวจเครือข่าย : ความพยายามในการรวบรวมข้อมูลก่อนการโจมตีของผู้บุกรุก เช่น การสแกนหา IP Address (IP Scans),การสแกนหาพอร์ต (Port Scans), การสแกนหาพอร์ตที่สามารถส่งโทรจันเข้าสู่เครือข่ายได้ (Trojan Scans), การสแกนหาจุดอ่อนของระบบ (Vulnerability Scans)

และ การทดสอบสิทธิการใช้งานไฟล์ต่างๆ (File Snooping)

                -  การโจมตี: ความพยายามในการโจมตีเครือข่าย ซึ่งควรให้ระดับความสำคัญสูงสุด เช่น การ

พบความผิดปกติของการส่ง packet ซ้ำๆ เข้าสู่เครือข่าย หรือ ลักษณะของ Packet บนเครือข่ายจากคนละผู้ส่งแต่มี signature เดียวกัน

                -  เหตุการณ์น่าสงสัยหรือผิดปกติ : เหตุการณ์อื่นๆ ที่ผิดปกติที่ไม่ได้จัดอยู่ในประเภทต่างๆ

CryptographyCryptography

                CryptographyCryptographyคือการเข้ารหัสข้อมูลเพื่อป้องกันการดักดูข้อมูลจาก Sniffer โดยปัจจุบันการเข้ารหัสข้อมูลจะแบ่งออกเป็น 2 ประเภทคือ

-                   Symmetric Key Cryptography

-                   Public Key

Authorized

                การพิสูจน์ตัวตนบนเครือข่าย เป็นการระบุถึงผู้ส่งและผู้รับข้อมูลบนเครือข่ายว่าเป็นตัวจริงหรือไม่ โดยมีวิธีการ 2 วิธีคือ

-                   Digital Signature คือ ลายเซ็นอิเล็กทรอนิกส์ที่ลงท้ายไปกับข้อมูลที่ส่งไปบนเครือข่าย โดยขึ้นอยู่กับนโยบายการใช้งานของแต่ละเครือข่ายดังนั้น Digital Signature อาจเป็น รหัสผ่าน, ลายนิ้วมือ หรือ Private Key เป็นต้น

-                   Certificate Authority คือ หน่วยงานหรือองค์กรที่ตั้งขึ้นเพื่อรับรองสิทธิการเข้าถึงเครือข่ายและข้อมูลบนเครือข่าย ของทั้งผู้ให้บริการ และผู้ใช้บริการ ซึ่งจะเกี่ยวข้องกับธุรกรรมต่างๆ บนเครือข่ายอินเตอร์เน็ต

  

Secure Socket LayerSecure Socket Layer

                คือ เทคโนโลยีที่พัฒนาขึ้นเพื่อความปลอดภัยในการทำธุรกรรมต่างๆ ผ่านเครือข่าย โดยเฉพาะอย่างยิ่งเครือข่ายอินเตอร์เน็ต ถือเป็นโปรโตคอลตัวหนึ่ง มีหน้าที่หลักๆ คือ

-                   Server Authentication คือการพิสูจน์ตัวตนของผู้ให้บริการ โดยติดต่อกับ CA: Certificate Authority เพื่อตรวจสอบความมีอยู่จริง

-                   Client Authentication คือการพิสูจน์ตัวตนของผู้รับบริการ เพื่อตรวจสอบความมั่นใจว่า ผู้ให้บริการติดต่อกับใครอยู่ (IP อะไร) หรือ ข้อมูลที่เกี่ยวข้อง สามารถพิสูจน์ตัวตนได้จริง

                -       Encrypted Session คือการเข้ารหัสข้อมูลที่อยู่ในระหว่างการทำธุรกรรมครั้งนั้นๆ อยู่

Virtual Private NetworkVirtual Private Network

                คือ เครือข่ายส่วนบุคคลเสมือน หรืออุโมงค์ข้อมูลที่ทำงานอยู่บนเครือข่ายสาธารณะ สามารถแบ่งออกตามลักษณะการใช้งานได้ 3 ประเภท

-                   Access VPN คือ VPN สำหรับผู้ที่เชื่อมต่อระยะไกล

-                   Intranet VPN คือ VPN ที่ใช้ส่งข้อมูลที่เป็นความลับระหว่างบุคคล หรือหน่วยงานภายในองค์กร

-                   Extranet VPN คือ VPN ที่ใช้ในการเชื่อมโยงข้อมูลสำคัญระหว่างองค์กร

สายสัญญาณ

           

               สายโคแอ็กเชียล (Coaxial Cable) เป็นสายสัญญาณประเภทแรกที่ใช้ และเป็นที่นิยมมากในเครือข่ายคอมพิวเตอร์สมัย แรก ๆ แต่ในปัจจุบันสายโคแอ็กซ์ถือได้ว่าเป็นสายที่ล้าสมัยสำหรับเครือข่ายคอมพิวเตอร์ในปัจจุบัน อย่างไรก็ตามยังมีระบบ เครือข่ายบางประเภทที่ยังใช้สายประเภทนี้อยู่
               สายโคแอกเชียล มีตัวนำไฟฟ้าอยู่สองส่วน คำว่า โคแอ็กซ์ มีความหมายว่า "มีแกนร่วมกัน" โครงสร้างของสาย
ประกอบด้วยสายทองแดงเป็นแกนกลาง แล้วห่อหุ้มด้วยวัสดุที่เป็นฉนวน ชั้นต่อมาจะเป็นตัวนำไฟฟ้าอีกชั้นหนึ่ง ซึ่งจะเป็นแผ่น โลหะบาง ๆ หรืออาจจะเป็นใยโลหะที่ถักเปียปุ้มอีกชั้นหนึ่ง สุดท้ายก็หุ้มด้วยฉนวนและวัสดุป้องกันสายสัญญาณ

 สายคู่บิดเกลียว (twisted pair) ประกอบด้วยเส้นลวดทองแดงที่หุ้มด้วยฉนวนพลาสติก 2 เส้นพันบิดเป็นเกลียว ทั้งนี้เพื่อลดการรบกวนจากคลื่นแม่เหล็กไฟฟ้าจากคู่สายข้างเคียงภายในเคเบิลเดียวกันหรือจากภายนอก เนื่องจากสายคู่บิดเกลียวนี้ยอมให้สัญญาณไฟฟ้าความถี่สูงผ่านได้ สำหรับอัตราการส่งข้อมูลผ่านสายคู่บิดเกลียวจะขึ้นอยู่กับความหนาของสายด้วย กล่าวคือ สายทองแดงที่มีเส้นผ่านศูนย์กลางกว้าง จะสามารถส่งสัญญาณไฟฟ้ากำลังแรงได้ ทำให้สามารถส่งข้อมูลด้วยอัตราส่งสูง โดยทั่วไปแล้วสำหรับการส่งข้อมูลแบบดิจิทัล สัญญาณที่ส่งเป็นลักษณะคลื่นสี่เหลี่ยม สายคู่บิดเกลียวสามารถใช้ส่งข้อมูลได้ถึงร้อยเมกะบิตต่อวินาที ในระยะทางไม่เกินร้อยเมตร เนื่องจากสายคู่บิดเกลียว มีราคาไม่แพงมาก ใช้ส่งข้อมูลได้ดี จึงมีการใช้งานอย่างกว้างขวาง

Fiber Optic หรือใยแก้วนำแสงคือสายนำสัญญาณข้อมูลในระบบเครือข่ายที่สามารถรับส่งข้อมูลได้ไกลหลายๆกิโลเมตร
และมีการสูญเสียของสัญญาณน้อยมาก  รองรับการส่งข้อมูลที่มีปริมาณมากมายมหาศาลได้  Fiber  Optic  ถูกใช้แพร่หลาย
ในโครงข่ายการส่งข้อมูลความเร็วสูง เช่น ระบบเอสดีเอช (SDH)  หรือระบบโซเน็ท (SONET), ระบบเส้นใยนำแสงสู่บ้าน
(Fiber To The Home: FTTH) เป็นต้น
        การสื่อสารผ่านใยแก้วนำแสง เป็นระบบการสื่อสารที่ใช้แสงผสมกับข้อมูลที่ต้องการส่งในรูปแอนาลอกหรือแบบดิจิตอล
แล้วจึงส่งผ่านตัวกลางคือใยแก้วเส้นผ่านศูนย์กลางขนาดเล็กมากมีเส้นผ่าศูนย์กลางเป็น ไมครอน ซึ่งมีขนาดเล็กมากทำให้สายเคเบิล
1 เส้นสามารถรวมเอาสายสัญญาณหลายเส้นเข้าด้วยกัน แสงจะถูกส่งผ่านไปยังตัวรับคือโฟโตดีเทคเตอร์เพื่อแปลผลค่าสัญญาณ
จากแสงเป็นสัญญาณไฟฟ้า แล้วใช้ระบบอิเล็กทรอนิกส์แปรผลเป็นข้อมูลอีกครั้งหนึ่ง การสื่อสารผ่านเส้นใยนำแสงมีจุดเด่นคือสามารถ
ส่งสัญญาณหลายๆช่องไปได้พร้อมๆกัน โดยใช้เทคนิคการผสมสัญญาณ (Multiplexing) ที่นิยมใช้คือการทำ WDM (Wavelength Divison Multiplexing) เป็นการส่งสัญญาณแต่ละช่องด้วยแสงที่มีความยาวคลื่นต่างกัน ทำให้สามารถส่งข้อมูลได้มากมหาศาล เมื่อเทียบกับ
การสื่อสารผ่านสายทองแดงแบบเดิม

การ์ดเครือข่าย

การ์ดเครือข่าย (Network Adapter) หรือ การ์ด LAN

เป็นอุปกรณ์ทำหน้าที่สื่อสารระหว่างเครื่องต่างกันได้ไม่จำเป็นต้องเป็นรุ่นหรือยี่ห้อเดียวกันแต่หากซื้อพร้อมๆกันก็แนะนำให้ซื้อรุ่นและยีห้อเดียวกันจะดีกว่าและควรเป็น การ์ดแบบ PCI เพราะสามารถส่งข้อมูลได้เร็วกว่าแบบ ISAและเมนบอร์ดรุ่นใหม่ๆมักจะไม่มี Slot  ISA ควรเป็นการ์ดที่มีความเร็วเป็น 100 Mbpsซึ่งจะมีราคามากกว่าการ์ดแบบ 10 Mbps ไม่มากนัก แต่ส่งขอมูลได้เร็วกว่า นอกจากนี้คุณควรคำหนึงถึงขั้วต่อหรือคอนเน็กเตอร์ของการ์ดด้วยโดยทั่วไปคอนเน็กเตอร์ ของการ์ด LAN จะมีหลายแบบ เช่น BNC , RJ-45 เป็นต้น ซึ่งคอนเน็กเตอร์แต่ละแบบก็จะใช้สายที่แตกต่างกัน

อุปกรณ์เครือข่าย

 Hub (ฮับ) หรือบางทีก็เรียกว่า "รีพีตเตอร์ (Repeater)" คือ อุปกรณ์ที่ใช้เชื่อมต่อกลุ่มของคอมพิวเตอร์ Hub มีหน้าที่รับส่งเฟรมข้อมูลทุกเฟรมที่ได้รับจากพอร์ตใดพอร์ตหนึ่งไปยังทุก ๆ พอร์ตที่เหลือ คอมพิวเตอร์ที่เชื่อมต่อเข้ากับ Hub จะแชร์แบนด์วิธหรืออัตราข้อมูลของเครือข่าย ฉะนั้นยิ่งมีคอมพิวเตอร์เชื่อมต่อเข้ากับ Hub มากเท่าใด ยิ่งทำให้แบนด์วิธต่อคอมพิวเตอร์แต่ละเครื่องลดลง ในท้องตลาดปัจจุบันมี Hub หลายชนิดจากหลายบริษัท ข้อแตกต่างระหว่าง Hub เหล่านี้ก็เป็นจำพวกพอร์ต สายสัญญาณที่ใช้ ประเภทของเครือข่าย และอัตราข้อมูลที่ Hub รองรับได้

Switch (สวิตซ์) คือ อุปกรณ์เครือข่ายที่ทำหน้าที่ใสเลเยอร์ที่ 2 Switch บางทีก็เรียกว่า Switching Hub (สวิตชิ่งฮับ) ซึ่งในช่วงแรกนั้นจะเรียกว่า Bridge (บริดจ์) เหตุผลที่เรียกว่าบริดจ์ในช่วงแรกนั้น เพราะส่วนใหญ่บริดจ์จะมีแค่สองพอร์ต และใช้สำหรับแยกคอลลิชันโดเมน ปัจจุบันที่เรียกว่า Switch เพราะหมายถึง บริดจ์ที่มีมากกว่าสองพอร์ตนั่นเอง

 

Gateway  เป็นอุปกรณ์ที่มีความสามารถสูงในการเชื่อมต่อเครือข่ายต่างๆ เข้าด้วยกัน โดยสามารถเชื่อมต่อ LAN หลายๆ เครือข่ายที่ใช้โปรโตคอลต่างกัน และใช้สื่อส่งข้อมูลต่างชนิดกันได้อย่างไม่มีขีดจำกัด ตัวอย่างเช่น เชื่อมต่อ Ethernet LAN ที่ใช้สายส่งแบบ UTP เข้ากับ Token Ring LAN ได้

 

โมเด็ม (Modem) มาจากคำว่า MOdulator/DEModulator (ใช้คำหน้าทั้งสองคำมารวมกัน) โดยแยกการทำงานออกเป็น Modulation เป็นอุปกรณ์ที่ทำหน้าที่แปลงสัญญาณ คอมพิวเตอร์ให้สามารถเชื่อมต่อกับคอมพิวเตอร์ที่อยู่ระยะไกลเข้าหากันได้โดยการผ่านสายโทรศัพท์  โดยโมเด็มทำหน้าที่แปลงสัญญาณ  ซึ่งแบ่งออกเป็นภาคส่ง และภาครับ ซึ่งภาคส่งจะทำการแปลงสัญญาณคอมพิวเตอร์ (Digital)ให้เป็นสัญญาณโทรศัพท์ (Analog)  ในขณะที่ภาครับนั้นจะทำการแปลงสัญญาณโทรศัพท์(Analog)กลับมาเป็นสัญญาณคอมพิวเตอร์ (Digital) ดังนั้นในการเชื่อมต่อเครือข่ายระยะไกลๆ เช่น อินเทอร์เน็ต มีความจำเป็นต้องใช้โมเด็ม โดยโมเด็มนั้นมีทั้งแบบภายใน (Internal Modem) ที่มีลักษณะเป็นแบบการ์ด, โมเด็มภายนอก (External Modem) ที่มีลักษณะเป็นแบบกล่องแยกออกต่างหาก และโมเด็มที่เป็นแบบ PCMCIA ที่จะใช้กับเครื่องคอมพิวเตอร์โน้ตบุ๊ค  นอกจากนี้ ก็ยังมีระบบปฏิบัติการเครือข่าย (Network Operating System) เป็นซอฟต์แวร์ที่สำคัญตัวหนึ่งในการทำทั้งเครื่องศูนย์บริการและเครื่องลูกข่ายสามารถติดต่อสื่อสารถึงกันได้ รวมทั้งการจัดการทรัพยากรและด้านต่างๆ ให้สามารถใช้ร่วมกันได้  มีการควบคุมระบบความปลอดภัยบนเครือข่ายอีกด้วย

 



 Router (เราท์เตอร์) คือ อุปกรณ์ที่ทำหน้าที่ในเลเยอร์ 3 หรือเลเยอร์เครือข่าย Router จะฉลาดกว่า Hub และ Switch   จะอ่านที่อยู่ (Address) ของสถานีปลายทางที่ส่วนหัว (Header) ของแพ็กเก็ตข้อมูล เพื่อใช้ในการกำหนด หรือเลือกเส้นทางที่จะส่งแพ็กเก็ตนั้นต่อไป ใน Router จะมีข้อมูลเกี่ยวกับการจัดเส้นทางให้แพ็กเก็ต เรียกว่า Routing Table (เราติ้งเทเบิ้ล) หรือ ตารางการจัดเส้นทาง ข้อมูลในตารางนี้จะเป็นข้อมูลที่ Router ใช้ในการเลือกเส้นทางที่ดีที่สุดไปยังปลายทาง ถ้าเส้นทางหลักเกิดขัดข้อง Router ก็สามารถเลือกเส้นทางใหม่ได้

 

Bridge  อุปกรณ์ฮาร์ดแวร์ที่ใช้ในเครือข่ายเพื่อต่อเครือข่ายภายใน (แม้ว่าจะใช้สายหรือโปรโตคอลในเครือข่ายที่ต่างกัน) เข้าด้วยกันเพื่อให้แลกเปลี่ยนข้อมูลกันได้ บริดจ์จะทำงานอยู่ในดาต้าลิงก์เลเยอร์ตามมาตรฐานของการสื่อสารระหว่างคอมพิวเตอร์กับคอมพิวเตอร์ของ International Organization’s Standards Open Systems Interconnection (ISO/OSI) บริดจ์ทำหน้าที่จัดการกับข้อมูลที่ส่งไปมาระหว่าง 2 เครือข่าย ด้วยการอ่านตำแหน่งของข้อมูลทุกแพคเกตที่ได้รับ

 

 

รีพีตเตอร์ (repeater) 
ในระบบ LAN โดยทั่วไปนั้นยิ่งคอมพิวเตอร์แต่ละเครื่องอยู่ไกลกันมากเท่าไร สัญญาณที่ส่งถึงกันก็จะเริ่มเพี้ยน และจางลงจนหายไปในที่สุด ซึ่งเมื่อสายที่ต่อกันระหว่างเครื่องคอมพิวเตอร์มีความยาวเกินกว่าที่มาตรฐานกำหนด ก็จะต้องมีการเพิ่มอุปกรณ์พิเศษที่เรียกว่า รีพีตเตอร์ ขึ้นมาเพื่อทำหน้าที่ทวนสัญญาณ คือช่วยขยายสัญญาณไฟฟ้าที่ส่งบนสาย LAN ให้แรงขึ้นและจัดรูปสัญญาณที่เพี้ยนไปให้กลับเหมือนเดิม จากนั้นจึงค่อยส่งต่อไป
แต่ข้อจำกัดของรีพีตเตอร์ คือ มันจะทำงานในระดับต่ำ โดยไม่สนใจสัญญาณที่ส่งว่าเป็นข้อมูลอะไร จากไหนถึงไหน รู้แต่ว่าถ้ามีสัญญาณเข้ามาทางฟากหนึ่งก็จะขยายแล้วส่งต่อออกไปยังอีกฝากหนึ่งให้เสมอ ไม่สามารถกลั่นกรองสัญญาณที่ไม่จำเป็นออกไปได้ ดังนั้นรีพีตเตอร์จึงไม่ได้มีส่วนช่วยจัดการจราจรหรือลดปริมาณข้อมูลที่ส่งออกมาบนเครือข่าย LAN