3. Профилактика компьютерных вирусов начинается с выявления путей проникновения вируса в компьютер и компьютерные сети.

4. Основными путями проникновения вирусов в компьютеры пользователей являются: глобальные и локальные сети, пиратское программное обеспечение, персональные компьютеры "общего пользования", сервисные службы.

5. Основной источник вирусов на сегодняшний день - глобальная сеть Интернет.

6. Наибольшее число заражений вирусом происходит при обмене электронными письмами через почтовые серверы E-mail.

7. Для исключения заражения вирусами внимательно относитесь к программам и документам, которые получаете из глобальных сетей.

8. Прежде чем запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте его на наличие вирусов.

9. Используйте специализированные антивирусы - для проверки "налету" (например, SpIDer Guard из пакета Dr. Web и др.) всех файлов, приходящих по электронной почте (и из Интернета в целом).

10. Постоянно обновляйте вирусные базы используемого антивируса.

2.5.5. Вопросы для самоконтроля

1. Перечислите наиболее распространенные пути заражения компьютеров вирусами.

2. Какие особенности заражения вирусами при использовании электронной почты?

3. Особенности заражения компьютеров локальных сетей.

4. Перечислите основные правила защиты от компьютерных вирусов, получаемых не из вычислительных сетей.

5. Как ограничить заражение макровирусом при работе с офисными приложениями?

2.5.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Основные:

1. Касперский Е. Компьютерные вирусы в MS-DOS. - М.: Эдель, 1992.

2. Касперский Е. Компьютерные вирусы, 2003. - Электронная энциклопедия. - Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.

3. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. - М.: Издательство Молгачева С. В., 2001.

4. Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. - М.: ДИАЛОГ-МИФИ, 1996.

5. Галатенко В. А. Основы информационной безопасности. - М: Интернет-Университет Информационных Технологий - ИНТУИТ. РУ, 2003.

6. www.jetinfo.ru.

Тема 2.6. Обнаружение неизвестного вируса

2.6.1 Введение

Цели изучения темы

· изучить характерные черты неизвестных вирусов и методики их обнаружения.

Требования к знаниям и умениям

Студент должен знать:

· общий алгоритм обнаружения неизвестного вируса.

Студент должен уметь:

· проверить систему на наличие макровируса.

Ключевой термин

Ключевой термин: неизвестный вирус.

Второстепенные термины

· загрузочный вирус;

· резидентный вирус;

· макровирус;

· общий алгоритм обнаружения вируса.

Структурная схема терминов

В этой теме рассмотрим ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных антивирусных программ не дает положительного результата.

2.6.2 Обнаружение загрузочного вируса

В загрузочных секторах дисков расположены, как правило, небольшие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке операционной системы (для boot-сектора).

В начале следует прочитать содержимое сектора, подозрительного на наличие вируса. Для этой цели удобно использовать DISKEDIT из "Нортоновских утилит". Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса. Другие вирусы, поражающие boot-секторы дисков, наоборот, определяются по отсутствию строк, которые обязательно должны присутствовать в boot-секторе. К таким строкам относятся имена системных файлов и строки сообщений об ошибках. Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.

Однако существуют вирусы, которые внедряются в загрузчик без изменения его текстовых строк и с минимальными изменениями кода загрузчика. Для того чтобы обнаружить такой вирус, в большинстве случаев достаточно отформатировать дискету на заведомо незараженном компьютере, сохранить в виде файла ее boot-сектор, затем некоторое время использовать ее на зараженном компьютере (записать/прочитать несколько файлов), а после этого на незараженном компьютере сравнить ее boot-сектор с оригинальным. Если в коде загрузочного сектора произошли изменения - вирус обнаружен.

2.6.3 Обнаружение резидентного вируса

Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.

Обнаружение резидентного Windows-вируса является крайне сложной задачей. Вирус, находясь в среде Windows как приложение или VxD-двайвер, практически невидим, поскольку одновременно активны несколько десятков приложений и VxD, и вирус по внешним признакам от них ничем не отличается. Для того чтобы обнаружить программу-вирус в списках активных приложений и VxD, необходимо разбираться во всех тонкостях Windows и иметь полное представление о драйверах и приложениях, установленных на данном компьютере, поэтому приемлемый способ обнаружить резидентный Windows-вирус - загрузить DOS и проверить запускаемые файлы Windows.

2.6.4 Обнаружение макровируса

Характерными проявлениями макровирусов являются:

· Word: невозможность конвертирования зараженного документа Word в другой формат.

· Word: зараженные файлы имеют формат Template (шаблон), поскольку при заражении Word-вирусы конвертируют файлы из формата Word Document в Template.

· Excel/Word: в STARTUP (Автозагрузка)-каталоге присутствуют "посторонние" файлы.

· Excel: наличие в Книге (Book) лишних и скрытых Листов (Sheets)..

Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос. Если обнаружены "чужие макросы", то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые запрещают работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.

Многие вирусы имеют ошибки или некорректно работают в различных версиях Word/Excel, в результате чего Word/Excel выдают сообщения об ошибке.

Если такое сообщение появляется при редактировании нового документа или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком заражения системы.

Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню, разрешают или запрещают некоторые функции, устанавливают на файлы пароль при их заражении. Большое количество вирусов создает новые секции и/или опции в файле конфигурации Windows (WIN. INI).

Естественно, что к проявлениям вируса относятся такие очевидные факты, как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.

2.6.5 Общий алгоритм обнаружения вируса

При анализе алгоритма вируса необходимо выяснить:

· способ(ы) размножения вируса;

· характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;

· метод лечения оперативной памяти и зараженных файлов (секторов).

При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.

При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор.

Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии.

Для анализа макровирусов необходимо получить текст их макросов. Для нешифрованных ("не-стелс") вирусов это достигается при помощи меню Сервис/Макрос. Если же вирус шифрует свои макросы или использует "стелс"-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако, они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.

В любом случае, если есть возможность, правильнее всего передавать зараженные файлы специалистам антивирусных лабораторий.

2.6.6 Выводы по теме

1. Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса.

2. Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.

3. Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из "стелс"-вирусов.

4. Обнаружить резидентный Windows-вирус можно, если загрузить DOS и проверить запускаемые файлы Windows.

5. Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос, если обнаружены неизвестные макросы, то они могут принадлежать вирусу.

6. Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows.

7. При анализе алгоритма вируса необходимо выяснить: способ(ы) размножения вируса, характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках, метод лечения оперативной памяти и зараженных файлов (секторов).

2.6.7 Вопросы для самоконтроля

1. Как обнаружить загрузочный вирус?

2. Как обнаружить резидентный вирус?

3. Характерные черты макровируса.

4. Как проверить систему на наличие макровируса?

5. Является ли наличие скрытых листов в Excel признаком заражения макровирусом?

6. Перечислите основные этапы алгоритма обнаружения вируса.

2.6.8 Ссылки на дополнительные материалы (печатные и электронные ре-сурсы)

Основные:

1. Касперский Е. Компьютерные вирусы в MS-DOS. - М.: Эдель, 1992.

2. Касперский Е. Компьютерные вирусы, 2003. - Электронная энциклопедия. - Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.

3. Щербаков А. Ю. Введение в теорию и практику компьютерной безо-пасности. - М.: Издательство Молгачева С. В., 2001.

4. Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. - М.: ДИАЛОГ-МИФИ, 1996.

5. Галатенко В. А. Основы информационной безопасности. - М: Интернет-Университет Информационных Технологий - ИНТУИТ. РУ, 2003.

6. www.jetinfo.ru.

Раздел 3. Информационная безопасность вычислительных сетей

Тема 3.1 Особенности обеспечения информационной безопасности в компьютерных сетях

3.1.1 Введение

Цели изучения темы

· изучить особенности обеспечения информационной безопасности в компьютерных сетях и специфику средств защиты компьютерных сетей.

Требования к знаниям и умениям

Студент должен знать:

· особенности обеспечения информационной безопасности компьютерных сетей;

· основные цели информационной безопасности компьютерных сетей;

· специфику методов и средств защиты компьютерных сетей.

План изложения материала

1. Особенности информационной безопасности в компьютерных сетях.

2. Специфика средств защиты в компьютерных сетях.

Ключевой термин

Ключевой термин: информационная безопасность компьютерной сети.

Особенности обеспечения информационной безопасности компьютерной сети заключаются в том, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений.

Второстепенные термины

· удаленная угроза;

· средства защиты компьютерных сетей.

Структурная схема терминов

В этой теме рассмотрим ситуации, с которыми может столкнуться пользователь в том случае, если он подозревает, что его компьютер поражен вирусом, но ни одна из известных антивирусных программ не дает положительного результата.

3.1.2 Особенности информационной безопасности в компьютерных сетях

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что наряду с локальными угрозами, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид угроз, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые или удаленные угрозы. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей с точки зрения противостояния удаленным атакам приобретает первостепенное значение. Специфика распределенных вычислительных систем состоит в том, что если в локальных вычислительных сетях наиболее частыми являются угрозы раскрытия и целостности, то в сетевых системах на первое место выходит угроза отказа в обслуживании.

Удаленная угроза - потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому при рассмотрении вопросов информационной безопасности вычислительных сетей рассматриваются два подвида удаленных угроз - это удаленные угрозы на инфраструктуру и протоколы сети и удаленные угрозы на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах.

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих "информационной безопасности":

· целостности данных;

· конфиденциальности данных;

· доступности данных.

Целостность данных - одна из основных целей информационной безопасности сетей - предполагает, что данные не были изменены, подменены или уничтожены в процессе их передачи по линиям связи, между узлами вычислительной сети. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.

Конфиденциальность данных - вторая главная цель сетевой безопасности. При информационном обмене в вычислительных сетях большое количество информации относится к конфиденциальной, например, личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и др.

Доступность данных - третья цель безопасности данных в вычислительных сетях. Функциями вычислительных сетей являются совместный доступ к аппаратным и программным средствам сети и совместный доступ к данным. Нарушение информационной безопасности как раз и связана с невозможностью реализации этих функций.

В локальной сети должны быть доступны: принтеры, серверы, рабочие станции, данные пользователей и др.

В глобальных вычислительных сетях должны быть доступны информационные ресурсы и различные сервисы, например, почтовый сервер, сервер доменных имен, web-сервер и др.

При рассмотрении вопросов, связанных с информационной безопасностью, в современных вычислительных сетях необходимо учитывать следующие факторы:

· глобальную связанность;

· разнородность корпоративных информационных систем;

· распространение технологии "клиент/сервер".

Применительно к системам связи глобальная связанность означает, что речь идет о защите сетей, пользующихся внешними сервисами, основанными на протоколах TCP/IP, и предоставляющих аналогичные сервисы вовне. Весьма вероятно, что внешние сервисы находятся в других странах, поэтому от средств защиты в данном случае требуется следование стандартам, признанным на международном уровне. Национальные границы, законы, стандарты не должны препятствовать защите потоков данных между клиентами и серверами.

Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, общее усложнение проблем, связанных с защитой от несанкционированного доступа, необходимость привлечения для их решения новых программно-технических средств, например, межсетевых экранов.

Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возможность встраивания этих систем в современные корпоративные информационные структуры. Если, например, продукт, предназначенный для криптографической защиты, способен функционировать исключительно на платформе Wintel (Windows+Intel), то его практическая применимость вызывает серьезные сомнения.

Корпоративные информационные системы оказываются разнородными еще в одном важном отношении - в разных частях этих систем хранятся и обрабатываются данные разной степени важности и секретности.

Использования технологии "клиент/сервер" с точки зрения информационной безопасности имеет следующие особенности:

· каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);

· каждый сервис имеет свою трактовку понятий субъекта и объекта;

· каждый сервис имеет специфические угрозы;

· каждый сервис нужно по-своему администрировать;

· средства безопасности в каждый сервис нужно встраивать по-особому.

3.1.3 Специфика средств защиты в компьютерных сетях

Особенности вычислительных сетей и, в первую очередь, глобальных, предопределяют необходимость использования специфических методов и средств защиты, например:

· защита подключений к внешним сетям;

· защита корпоративных потоков данных, передаваемых по открытым сетям;

· защита потоков данных между клиентами и серверами;

· обеспечение безопасности распределенной программной среды;

· защита важнейших сервисов (в первую очередь - Web-сервиса);

· аутентификация в открытых сетях.

Вопросы реализации таких методов защиты будут рассмотрены далее.

И в заключение рассмотрим еще одну особенность информационной безопасности, связанную с вычислительными сетями. В последнее время все четче просматривается незащищенность вычислительных сетей от глобальных атак.

Исторически первой глобальной атакой на компьютерные сети считается распространение вируса Морриса (4 ноября 1988) в сети "Arpanet", когда примерно из 60 000 компьютеров в сети было заражено около 10% (примерно 6 000). Неконтролируемый процесс распространения вируса привел к блокировке сети.

За последние два года как минимум успешными были три глобальные атаки:

1. 21 октября 2002. Сеть "Internet". Запланированная DoS-атака на Интернет. В момент атаки нагрузка на Европейский сегмент Интернета возросла на 6%.

2. 25 января 2003. Сеть "Internet". Флеш-червь "SQL. Slammer". Неконтролируемый процесс распространения вируса привел к перегрузке каналов передачи данных в Ю. Корее. Нагрузка на Европейский сегмент Интернета возросла примерно на 25%.

3. 12 августа 2003. Сеть "Internet". Сетевой червь "Lovesan".

Успешные глобальные сетевые атаки, безусловно, являются самым разрушительным явлением, которое может произойти в современных сетях.

3.1.4 Выводы по теме

1. Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно - при помощи механизма сообщений.

2. Все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

3. Удаленная угроза - потенциально возможное информационное разрушающее воздействие на распределенную вычислительную сеть, осуществляемая программно по каналам связи.

4. Цели сетевой безопасности могут меняться в зависимости от ситуации, но основные цели обычно связаны с обеспечением составляющих информационной безопасности.

5. Особенности вычислительных сетей и, в первую очередь, глобальных, предопределяет необходимость использования специфических методов и средств защиты, таких как аутентификация в открытых сетях, защита подключений к внешним сетям, защита потоков данных между клиентами и серверами и др.

3.1.5 Вопросы для самоконтроля

1. Особенности обеспечения информационной безопасности компьютерных сетей.

2. Дайте определение понятия "удаленная угроза".

3. Основные цели информационной безопасности компьютерных сетях.

4. В чем заключается специфика методов и средств защиты компьютерных сетей?

5. Поясните понятие "глобальная сетевая атака", приведите примеры.

3.1.6 Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Основные:

1. Галатенко В. А. Основы информационной безопасности. - М: Интернет-Университет Информационных Технологий - ИНТУИТ.РУ, 2003.

2. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. - М.: Издательство Молгачева С. В., 2001.

3. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. - СПб: Питер, 2000.

4. Новиков Ю. В., Кондратенко С. В. Локальные сети: архитектура, алгоритмы, проектирование. - М.: ЭКОМ, 2001.

5. Карпов Е.А., Котенко И.В., Котухов М.М., Марков А.С., Парр Г.А., Рунеев А.Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей: Под ред. И.В.Котенко. - СПб.: ВУС, 2000.

6. Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. - М.: ТИД "ДС", 2002.

7. www.jetinfo.ru.

Тема 3.2 Сетевые модели передачи данных

3.2.1 Введение

Цели изучения темы

· изучить теоретические основы построения современных вычислительных сетей.

Требования к знаниям и умениям

Студент должен знать:

· теоретические основы построения компьютерных сетей;

· протоколы передачи данных.

Студент должен уметь:

· объяснить процесс передачи сообщений на примере модели ТСР/IР.

План изложения материала

1. Понятие протокола передачи данных.

2. Принципы организации обмена данными в вычислительных сетях.

3. Транспортный протокол TCP и модель ТСР/IР.

Ключевой термин

Ключевой термин: сетевая модель передачи данных.

Сетевая модель передачи данных - многоуровневая модель, описывающая порядок передачи данных в вычислительной сети, включающая стек протоколов управления передачей данных между узлами вычислительной сети.

Второстепенные термины

· модель открытых систем;

· протокол передачи данных;

· виртуальное соединение.

Структурная схема терминов

3.2.2 Понятие протокола передачи данных

Обмен информацией между ЭВМ на больших расстояниях всегда казался более важной задачей, чем локальный обмен. Поэтому ему уделялось больше внимания и, соответственно, велось большее финансирование во многих странах. Один из немногих открытых проектов по исследованию вычислительных сетей, финансировавшийся военным ведомством США, известен под названием сеть ARPA - Advanced Research Projects Agency. С самого начала в рамках этого проекта велись работы по объединению ресурсов многих вычислительных машин различного типа. В 1960-1970-е годы многие результаты, полученные при эксплуатации сети ARPA, были опубликованы в открытой печати. Это обстоятельство, а также тот факт, что почти все страны занялись практически слепым копированием не только аппаратной архитектуры американских машин, но и базового программного обеспечения, обусловили сильное влияние сети ARPA на многие другие сети, именно поэтому принято считать, что сеть ARPA является предшественницей знаменитой всемирной компьютерной сети Интернет.

Основной задачей сетевой общественности явилась разработка протоколов обмена информацией. Эта задача совершенно справедливо представлялась важнейшей, поскольку настоятельно требовалось заставить понимать друг друга компьютеры, обладавшие различной архитектурой и программным обеспечением. Первоначально разработчики многочисленных корпоративных сетей договаривались о внутренних протоколах информационного обмена в своих сетях. Никакой стандартизации не было. Но уже в 70-е годы специалистам стало совершенно ясно, что стандартизация необходима и неизбежна. В эти годы шел бурный процесс создания многочисленных национальных и международных комитетов и комиссий по стандартизации программных и аппаратных средств в области вычислительной техники и информационного обмена.

В общем случае протокол сетевого обмена информацией можно определить как перечень форматов передаваемых блоков данных, а также правил их обработки и соответствующих действий. Другими словами, протокол обмена данными - это подробная инструкция о том, какого типа информация передается по сети, в каком порядке обрабатываются данные, а также набор правил обработки этих данных.

Человек - оператор компьютера, включенного в сеть, тем или иным способом, например, с помощью программ-приложений, формирует и передает по сети сообщения, предназначенные для других людей или компьютеров. В ответ он также ожидает поступления сообщения. В этом смысле сообщение представляет собой логически законченную порцию информации, предназначенную для потребления конечными пользователями - человеком или прикладной программой. Например, это может быть набор алфавитно-цифровой и графической информации на экране или файл целиком. Сейчас сообщения неразрывно связывают с прикладным уровнем или, как его еще называют, уровнем приложений сетевых протоколов.

Сообщения могут проходить довольно сложный путь по сетям, стоять в очередях на передачу или обработку, в том числе, не доходить до адресата, о чем отправитель также должен быть уведомлен специальным сообщением.

Первоначально вычислительные сети были сетями коммутации сообщений. Это было оправдано, пока сообщения были сравнительно короткими. Но параллельно с этим всегда существовали задачи передачи на расстояние больших массивов информации. Решение этой задачи в сетях с коммутацией сообщений является неэффективным, поскольку длины сообщений имеют большой разброс - от очень коротких до очень длинных, что характерно для компьютерных сетей.

В связи с этим было предложено разбивать длинные сообщения на части - пакеты и передавать сообщения не целиком, а пакетами, вставляя в промежутках пакеты других сообщений. На месте назначения сообщения собираются из пакетов. Короткие сообщения при этом были вырожденным случаем пакета, равного сообщению.

В настоящее время почти все сети в мире являются сетями коммутации пакетов. Но способов обмена пакетами тоже может быть множество. Это связано со стратегией подтверждения правильности передачи.

3.2.3 Принципы организации обмена данными в вычислительных сетях

Существуют два принципа организации обмена данными:

1. Установление виртуального соединения с подтверждением приема каждого пакета.

2. Передача датаграмм.

Установление виртуального соединения или создание виртуального канала является более надежным способом обмена информацией. Поэтому он более предпочтителен при передаче данных на большие расстояния и (или) по физическим каналам, в которых возможны помехи. При виртуальном соединении пункт приема информации уведомляет отправителя о правильном или неправильном приеме каждого пакета. Если какой-то пакет принят неправильно, отправитель повторяет его передачу. Так длится до тех пор, пока все сообщение не будет успешно передано. На время передачи информации между двумя пунктами коммутируется канал, подобный каналу при телефонном разговоре. Виртуальным его называют потому, что в отличие от телефонного коммутированного канала обмен информацией может идти по различным физическим путям даже в процессе передачи одного сообщения.

Термин датаграмма образован по аналогии с термином телеграмма. Аналогия заключается том, что короткие пакеты - собственно датаграммы - пересылаются адресату без подтверждения получения каждой из них. О получении всего сообщения целиком должна уведомить целевая программа.

3.2.4 Транспортный протокол TCP и модель ТСР/IР

За время развития вычислительных сетей было предложено и реализовано много протоколов обмена данными, самыми удачными из которых явились семейство протоколов TCP/IP (Transmission Control Protocol/Internet Protocol - протокол управления передачей/межсетевой протокол).

ТСР/IР - это набор протоколов, состоящий из следующих компонентов:

· межсетевой протокол (Internet Protocol), обеспечивающий адресацию в сетях (IP-адресацию);

· межсетевой протокол управления сообщениями (Internet Control Message Protocol - ICMP), который обеспечивает низкоуровневую поддержку протокола IP, включая такие функции, как сообщения об ошибках, квитанции, содействие в маршрутизации и т. п.;

· протокол разрешения адресов (Address Resolution Protocol - ARP), выполняющий преобразование логических сетевых адресов в аппаратные, а также обратный ему RARP (Reverse ARP);

· протокол пользовательских датаграмм (User Datagramm Protocol - UDP);

· протокол управления передачей (Transmission Control Protocol - TCP).

Протокол UDP обеспечивает передачу пакетов без проверки доставки, в то время как протокол TCP требует установления виртуального канала и соответственно подтверждения доставки пакета с повтором в случае ошибки.

Этот набор протоколов образует самую распространенную модель сетевого обмена данными, получившую название - TCP/IP. Модель TCP/IP иерархическая и включает четыре уровня.

Уровень	Название	Функция
4	Прикладной	Приложения пользователей, создание сообщений
3	Транспортный	Доставка данных между программами в сети
2	Сетевой	Адресация и маршрутизация
1	Канальный	Сетевые аппаратные средства и их драйверы

Прикладной уровень определяет способ общения пользовательских приложений. В системах "клиент-сервер" приложение-клиент должно знать, как посылать запрос, а приложение-сервер должно знать, как ответить на запрос. Этот уровень обеспечивает такие протоколы, как HTTP, FTP, Telnet.

Транспортный уровень позволяет сетевым приложениям получать сообщения по строго определенным каналам с конкретными параметрами.

На сетевом уровне определяются адреса включенных в сеть компьютеров, выделяются логические сети и подсети, реализуется маршрутизация между ними.

На канальном уровне определяется адресация физических интерфейсов сетевых устройств, например, сетевых плат. К этому уровню относятся программы управления физическими сетевыми устройствами, так называемые, драйверы.

Как уже отмечалось ранее, в сетях с коммутацией пакетов, а модель TCP/IP относится к таким, для передачи по сети сообщение (сформированное на прикладном уровне) разбивается на пакеты или датаграммы. Пакет или датаграмма - это часть сообщения с добавленным заголовком пакета или датаграммы.

На транспортном уровне к полезной информации добавляется заголовок - служебная информация. Для сетевого уровня полезной информацией является уже пакет или датаграмма транспортного уровня. К ним добавляется заголовок сетевого уровня.

Полученный блок данных называется IP-пакетом. Полезной нагрузкой для канального уровня является уже IP-пакет. Здесь перед передачей по каналу к нему добавляются собственный заголовок и еще завершитель. Получившийся блок называется кадром. Он и передается по сети.

Переданный по сети кадр в пункте назначения преобразуется в обратном порядке, проходя по уровням модели снизу вверх.

3.2.5 Выводы по теме

1. Протокол сетевого обмена информацией - это перечень форматов передаваемых блоков данных, а также правил их обработки и соответствующих действий.

2. Протокол обмена данными - это подробная инструкция о том, какого типа информация передается по сети, в каком порядке обрабатываются данные, а также набор правил обработки этих данных.

3. В настоящее время почти все сети в мире являются сетями коммутации пакетов.

4. Существуют два принципа организации обмена данными: установление виртуального соединения с подтверждением приема каждого пакета и передача датаграмм.

5. При виртуальном соединении пункт приема информации уведомляет отправителя о правильном или неправильном приеме каждого пакета. Виртуальным его называют потому, что в отличие от телефонного коммутированного канала обмен информацией может идти по различным физическим путям даже в процессе передачи одного сообщения.

6. При передаче датаграммы короткие пакеты пересылаются адресату без подтверждения получения каждой из них, а о получении всего сообщения целиком должна уведомить целевая программа.

7. ТСР/IР - это набор протоколов, состоящий из следующих компонентов: межсетевой протокол (IP), межсетевой протокол управления сообщениями (ICMP), протокол разрешения адресов (ARP), протокол пользовательских датаграмм (UDP) и протокол управления передачей (TCP).

3.2.6 Вопросы для самоконтроля

1. Что понимается под протоколом передачи данных?

2. Охарактеризуйте сети с коммутацией сообщений и коммутацией пакетов.

3. Чем отличается соединение по виртуальному каналу от передачи датаграмм?

4. Какие протоколы образуют модель TCP/IP?

5. Какие уровни входят в сетевую модель TCP/IP?

6. Дайте характеристику всех уровней модели TCP/IP и укажите соответствующие этим уровням протоколы.

7. Соотнесите по уровням модели TCP/IP понятия "пакет" и "кадр". Чем они отличаются?

8. Какой протокол обеспечивает преобразование логических сетевых адресов в аппаратные?

3.2.7 Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Основные:

1. Галатенко В. А. Основы информационной безопасности. - М: Интернет-Университет Информационных Технологий - ИНТУИТ.РУ, 2003.

2. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. - М.: Издательство Молгачева С. В., 2001.

3. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. - СПб: Питер, 2000.

4. Новиков Ю. В., Кондратенко С. В. Локальные сети: архитектура, алгоритмы, проектирование. - М.: ЭКОМ, 2001.

5. Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. - М.: ТИД "ДС", 2002.

6. www.jetinfo.ru.

Тема 3.3 Модель взаимодействия открытых систем OSI/ISO

3.3.1 Введение

Цели изучения темы

· изучить концепцию построения открытых систем на модели OSI/ISO.

Требования к знаниям и умениям

Студент должен знать:

· структуру модели открытых систем OSI/ISO и назначение ее уровней.

Студент должен уметь:

· использовать модель OSI/ISO для описания процесса передачи данных между узлами компьютерной сети.

План изложения материала

1. Сравнение сетевых моделей передачи данных TCP/IP и OSI/ISO.

2. Характеристика уровней модели OSI/ISO.

Ключевой термин

Ключевой термин: модель взаимодействия открытых систем (Open System Interconnection, OSI).

Модель взаимодействия открытых систем (Open System Interconnection, OSI) определяет различные уровни взаимодействия систем в сетях с коммутацией пакетов, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

Второстепенные термины

· уровни сетевой модели OSI/ISO.

Структурная схема терминов

3.3.2 Сравнение сетевых моделей передачи данных TCP/IP и OSI/ISO

В конце 80-х годов наблюдался подлинный бум, вызванный разработкой Международной организации по стандартизации коммуникационных протоколов - (International Standard Organization). Разработанная ISO спецификация, названная моделью взаимодействия открытых систем (OSI - Open Systems Interconnection), заполонила научные публикации. Казалось, что эта модель займет первое место и оттеснит широко распространившийся TCP/IP. Но этого не произошло. Одной из причин этого явилась тщательная проработка протоколов TCP/IP, их функциональность и открытость к наращиванию функциональных возможностей, хотя к настоящему времени достаточно очевидно, что они имеют и множество недостатков.

Приведем сравнительную схему уровневых моделей протоколов OSI и TCP/IP.

Многоуровневое представление средств сетевого взаимодействия имеет свою специфику, связанную с тем, что в процессе обмена сообщениями участвуют две стороны, то есть в данном случае необходимо организовать согласованную работу двух "иерархий", работающих на разных компьютерах. Оба участника сетевого обмена должны принять множество соглашений. Например, они должны согласовать уровни и форму электрических сигналов, способ определения длины сообщений, договориться о методах контроля достоверности и т. п. Другими словами, соглашения должны быть приняты для всех уровней, начиная от самого низкого - уровня передачи битов - до самого высокого, реализующего сервис для пользователей сети.

3.3.3 Характеристика уровней модели OSI/ISO

Модель взаимодействия открытых систем (Open System Interconnection, OSI) определяет различные уровни взаимодействия систем в сетях с коммутацией пакетов, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

Модель OSI была разработана на основании большого опыта, полученного при создании компьютерных сетей, в основном глобальных, в 70-е годы.

В модели OSI средства взаимодействия делятся на семь уровней: прикладной, представительный, сеансовый, транспортный, сетевой, канальный и физический. Каждый уровень имеет дело с определенным аспектом взаимодействия сетевых устройств.

Физический уровень имеет дело с передачей битов по физическим каналам связи, таким, как коаксиальный кабель, витая пара, оптоволоконный кабель или цифровой территориальный канал. К этому уровню имеют отношение характеристики физических сред передачи данных, такие как полоса пропускания, помехозащищенность, волновое сопротивление и другие.

Одной из задач канального уровня является проверка доступности среды передачи. Другая задача канального уровня - реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в наборы, называемые кадрами (frames). Канальный уровень обеспечивает корректность передачи каждого кадра.

Сетевой уровень служит для образования единой транспортной системы, объединяющей несколько сетей, причем эти сети могут использовать различные принципы передачи сообщений между конечными узлами и обладать произвольной структурой связей. Внутри одной сети доставка данных обеспечивается канальным уровнем, а вот доставкой данных между различными сетями занимается сетевой уровень, который и поддерживает возможность правильного выбора маршрута передачи сообщения даже в том случае, когда структура связей между составляющими сетями имеет характер, отличный от принятого в протоколах канального уровня.

Сети соединяются между собой специальными устройствами, называемыми маршрутизаторами. Маршрутизатор - это устройство, которое собирает информацию о топологии межсетевых соединений и пересылает пакеты сетевого уровня в сеть назначения. Чтобы передать сообщение от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач между сетями.

Транспортный уровень обеспечивает приложениям или верхним уровням стека - прикладному и сеансовому - передачу данных с той степенью надежности, которая им требуется. Модель OSI определяет пять классов сервиса, предоставляемых транспортным уровнем. Эти виды сервиса отличаются качеством предоставляемых услуг: срочностью, возможностью восстановления прерванной связи, наличием средств мультиплексирования нескольких соединений между различными прикладными протоколами через общий транспортный протокол, а главное - способностью к обнаружению и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов.

Сеансовый уровень обеспечивает управление диалогом: фиксирует, какая из сторон является активной в настоящий момент, предоставляет средства синхронизации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться назад к последней контрольной точке, а не начинать все сначала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется в виде отдельных протоколов, хотя функции этого уровня часто объединяют с функциями прикладного уровня и реализуют в одном протоколе.

Представительный уровень имеет дело с формой представления передаваемой по сети информации, не меняя при этом ее содержания. За счет уровня представления информация, передаваемая прикладным уровнем одной системы, всегда понятна прикладному уровню другой системы. С помощью средств данного уровня протоколы прикладных уровней могут преодолеть синтаксические различия в представлении данных или же различия в кодах символов, например, в кодах ASCII и EBCDIC. На этом уровне может выполняться шифрование и дешифрование данных, благодаря которому секретность обмена данными обеспечивается сразу для всех прикладных служб. Примером такого протокола является протокол Secure Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для протоколов прикладного уровня стека TCP/IP.

Прикладной уровень - это набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организуют совместную работу, например, с помощью протокола электронной почты. Единица данных, которой оперирует прикладной уровень, обычно называется сообщением.

Функции всех уровней модели OSI могут быть отнесены к одной из двух групп: либо к функциям, зависящим от конкретной технической реализации сети, либо к функциям, ориентированным на работу с приложениями.

Три нижних уровня - физический, канальный и сетевой - являются сетезависимыми, то есть протоколы этих уровней тесно связаны с технической реализацией сети и используемым коммуникационным оборудованием.

Три верхних уровня - прикладной, представительный и сеансовый - ориентированы на приложения и мало зависят от технических особенностей построения сети. На протоколы этих уровней не влияют какие бы то ни было изменения в топологии сети, замена оборудования или переход на другую сетевую технологию.

Транспортный уровень является промежуточным, он скрывает все детали функционирования нижних уровней от верхних. Это позволяет разрабатывать приложения, не зависящие от технических средств непосредственной транспортировки сообщений.

Столь подробное рассмотрение модели OSI/ISO связано с тем, что при разработке стандартов и спецификации по сетевой безопасности специалисты ориентируются на эту перспективную модель. Так в "Общих критериях" приводится распределение функций безопасности по уровням эталонной семиуровневой модели OSI.

Функции безопасности	Уровень OSI
	1	2	3	4	5	6	7
Аутентификация	-	-	+	+	-	-	+
Управление доступом	-	-	+	+	-	-	+
Конфиденциальность соединения	+	+	+	+	-	+	+
Конфиденциальность вне соединения	-	+	+	+	-	+	+
Избирательная конфиденциальность	-	-	-	-	-	+	+
Конфиденциальность трафика	+	-	+	-	-	-	+
Целостность с восстановлением	-	-	-	+	-	-	+
Целостность без восстановления	-	-	+	+	-	-	+
Избирательная целостность	-	-	-	-	-	-	+
Целостность вне соединения	-	-	+	+	-	-	+
Неотказуемость	-	-	-	-	-	-	+

"+" - данный уровень может предоставить функцию безопасности;

"-" - данный уровень не подходит для предоставления функции безопасности.

3.3.4 Выводы по теме

1. Модель взаимодействия открытых систем (Open System Interconnection, OSI) определяет различные уровни взаимодействия систем в сетях с коммутацией пакетов, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

2. Многоуровневое представление средств сетевого взаимодействия имеет свою специфику, связанную с тем, что в процессе обмена сообщениями участвуют две стороны, то есть в данном случае необходимо организовать согласованную работу двух "иерархий", работающих на разных компьютерах.

3. В модели OSI средства взаимодействия делятся на семь уровней: прикладной, представительный, сеансовый, транспортный, сетевой, канальный и физический. Каждый уровень имеет дело с определенным аспектом взаимодействия сетевых устройств.

4. Функции всех уровней модели OSI могут быть отнесены к одной из двух групп: либо к функциям, зависящим от конкретной технической реализации сети, либо к функциям, ориентированным на работу с приложениями.

5. Три нижних уровня - физический, канальный и сетевой - являются сетезависимыми, то есть протоколы этих уровней тесно связаны с технической реализацией сети и используемым коммуникационным оборудованием.

6. Три верхних уровня - прикладной, представительный и сеансовый - ориентированы на приложения и мало зависят от технических особенностей построения сети.

7. Транспортный уровень является промежуточным, он скрывает все детали функционирования нижних уровней от верхних.

3.3.5 Вопросы для самоконтроля

1. Проведите сравнительную характеристику моделей передачи данных TCP/IP и OSI/ISO.

2. Перечислите уровни модели OSI/ISO.

3. Назначение прикладного и представительного уровней модели OSI/ISO.

4. Какие функции выполняет транспортный уровень?

5. Назначение сетевого уровня и его характеристика.

6. Какие физические устройства реализуют функции канального уровня?

7. В чем особенности физического уровня модели OSI/ISO?

8. На каких уровнях модели OSI/ISO должна обеспечиваться аутентификация?

9. На каком уровне модели OSI/ISO реализуется сервис безопасности "неотказуемость" (согласно "Общим критериям")?

3.3.6 Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Основные:

1. Галатенко В. А. Основы информационной безопасности. - М: Интернет-Университет Информационных Технологий - ИНТУИТ.РУ, 2003.

2. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. - М.: Издательство Молгачева С. В., 2001.

3. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. - СПб: Питер, 2000.

4. Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. - М.: Солон-Р, 2002.

5. Новиков Ю. В., Кондратенко С. В. Локальные сети: архитектура, алгоритмы, проектирование. - М.: ЭКОМ, 2001.

6. Карпов Е.А., Котенко И.В., Котухов М.М., Марков А.С., Парр Г.А., Рунеев А.Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей: Под ред. И.В.Котенко. - СПб.: ВУС, 2000.

7. Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. - М.: ТИД "ДС", 2002.

8. www.jetinfo.ru.

Тема 3.4 Адресация в глобальных сетях

3.4.1 Введение

Цели изучения темы

· изучить принципы адресации в глобальных вычислительных сетях, типы адресов и структуру IP-адреса.

Требования к знаниям и умениям

Студент должен знать:

· принципы адресации в современных вычислительных сетях;

· классы адресов протокола IP и структуру IP-адреса;

· иерархический принцип системы доменных имен.

Студент должен уметь:

· преобразовывать двоичный IP-адрес в десятичный;

· определять тип сети по IP-адресу.

План изложения материала

1. Основы IP-протокола.

2. Классы адресов вычислительных сетей.

3. Система доменных имен.

Ключевой термин

Ключевой термин: система адресации в глобальной вычислительной сети.

Система адресации в глобальной вычислительной сети основана на протоколе IP (Internet Protocol), в соответствии с которым каждый узел вычислительной сети идентифицируется уникальным 32-х битовым двоичным адресом.

Второстепенные термины

· класс IP-адреса;

· доменное имя;

· система доменных имен.

Структурная схема терминов

3.4.2 Основы IP-протокола

Одной из главных проблем построения глобальных сетей является проблема адресации. С одной стороны, постоянное расширение глобальной сети Интернет привело к нехватке уникальных адресов для вновь подключаемых узлов. С другой стороны, система адресации в таких сетях должна быть защищена от возможного вмешательства злоумышленников, связанных с подменой адресов и реализацией обходных маршрутов передачи сообщений.

Адресация современного Интернета основана на протоколе IP (Internet Protocol), история которого неразрывно связана с транспортным протоколом TCP.

Концепция протокола IP представляет сеть как множество компьютеров (хостов), подключенных к некоторой интерсети. Интерсеть, в свою очередь, рассматривается как совокупность физических сетей, связанных маршрутизаторами. Физические объекты (хосты, маршрутизаторы, подсети) идентифицируются при помощи специальных IP-адресов. Каждый IP-адрес представляет собой 32-битовый идентификатор. Принято записывать IP-адреса в виде 4-х десятичных чисел, разделенных точками.

Для этого 32-х битовый IP-адрес разбивается на четыре группы по 8 бит (1 байт), после чего каждый байт двоичного слова преобразовывается в десятичное число по известным правилам. Например, IP-адрес:



преобразовывается указанным способом к следующему виду:

147.135.14.229.

3.4.3 Классы адресов вычислительных сетей

Каждый адрес является совокупностью двух идентификаторов: сети - NetID, и хоста - HostID. Все возможные адреса разделены на 5 классов, схема которых приведена на рис. 3.4.1.

Рисунок 3.4.1 Классы IP адресов

Из рисунка видно, что классы сетей определяют как возможное количество этих сетей, так и число хостов в них. Практически используются только первые три класса:

Класс А определен для сетей с числом хостов до 16777216. Под поле NetID отведено 7 бит, под поле HostID - 24 бита.

Класс В используется для среднемасштабных сетей (NetID - 14 бит, HostID - 16 бит). В каждой такой сети может быть до 65 536 хостов.

Класс С применяется для небольших сетей (NetId - 21 бит, HostID - 8 бит) с числом хостов до 255.

3.4.4 Система доменных имен

Во времена, когда ARPANET состояла из довольно небольшого числа хостов, все они были перечислены в одном файле (HOSTS. TXT). Этот файл хранился в сетевом информационном центре Станфордского исследовательского института (SRI-NIC - Stanford Research Institute Network Information Center). Каждый администратор сайта посылал в SRI-NIC дополнения и изменения, происшедшие в конфигурации его системы. Периодически администраторы переписывали этот файл в свои системы, где из него генерировали файл /etc/hosts. С ростом ARPANET это стало чрезвычайно затруднительным. С переходом на TCP/IP совершенствование этого механизма стало необходимостью, поскольку, например, какой-то администратор мог присвоить новой машине имя уже существующей. Решением этой проблемы явилось создание доменов, или локальных полномочий, в которых администратор мог присваивать имена своим машинам и управлять данными адресации в своем домене.