Обеспечение безопасности в сетях X.25
Основные понятия компьютерной безопасности. Обеспечение защиты информации в сетях. Протоколы и преимущества сетей X.25 - семейства протоколов канального уровня сетевой модели OSI, доступ пользователей. Сборщики-разборщики пакетов, центры коммутации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | реферат |
Язык | русский |
Дата добавления | 04.06.2009 |
Размер файла | 110,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
2
Министерство образования Республики Таджикистан
Таджикский технический университет им. М.С. Осими
Кафедра АСОИиУ
Реферат на тему:
«Обеспечение безопасности в сетях X.25»
Душанбе, 2008
Оглавление
Введение
Основные понятия компьютерной безопасности
Обеспечение защиты информации в сетях
Протоколы сетей X.25
Преимущества сетей X.25
Доступ пользователей к сетям x.25. Сборщики-разборщики пакетов
Узлы сети x.25. Центры коммутации пакетов
Достоинства и недостатки сети x.25
Заключение
Список использованных источников
Введение
X.25 -- семейство протоколов канального уровня сетевой модели OSI. Предназначалось для организации WAN на основе телефонных сетей с линиями с достаточно высокой частотой ошибок, поэтому содержит развитые механизмы коррекции ошибок. Ориентирован на работу с установлением соединений. Исторически является предшественником протокола Frame Relay.
X.25 обеспечивает множество независимых виртуальных каналов (Permanent Virtual Circuits, PVC и Switched Virtual Circuits, SVC) в одной линии связи, идентифицируемых в X.25-сети по идентификаторам подключения к соединению (идентификаторы логического канала (Logical Channel Identifyer, LCI) или номера логического канала (Logical Channel Number, LCN).
Благодаря надёжности протокола и его работе поверх телефонных сетей общего пользования X.25 широко использовался как в корпоративных сетях, так и во всемирных специализированных сетях предоставления услуг, таких как SWIFT (банковская платёжная система) и SITA (фр. Societe Internationale de Telecommunications Aeronautiques -- система информационного обслуживания воздушного транспорта), однако в настоящее время X.25 вытесняется другими технологиями канального уровня (Frame Relay, ISDN, ATM) и протоколом IP, оставаясь, однако, достаточно распространённым в странах и территориях с неразвитой телекоммуникационной инфраструктурой.
Основные понятия компьютерной безопасности
Угроза безопасности компьютерной системы - это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.
Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.
Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости.
Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".
Угроза целостности включает в себя любое умышленное изменение данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
В локальных вычислительных системах (ВС) наиболее частыми являются угрозы раскрытия и целостности, а в глобальных на первое место выходит угроза отказа в обслуживании.
Особенности безопасности компьютерных сетей
Основной особенностью любой сетевой системы является то, что её компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удалённые) атаки (remote или network attacks). Они характеризуются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удалённые атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удалённым атакам приобретает первостепенное значение.
Классификация компьютерных атак
Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:
Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть);
Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают;
Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем;
Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают;
Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам;
Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернет в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки;
Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей;
Сетевые анализаторы (sniffers): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика;
Модификация передаваемых данных или подмена информации;
Подмена доверенного объекта распределённой ВС (работа от его имени) или ложный объект распределённой ВС (РВС).
Социальная инженерия - несанкционированный доступ к информации иначе, чем взлом программного обеспечения. Цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы;
Обеспечение защиты информации в сетях
В сети сосредотачивается информация, исключительное право на пользование которой принадлежит определённым лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в ВС должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т.е. должен быть исключён доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяжённость. По этой причине в ВС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
· копирование носителей информации и файлов информации с преодолением мер защиты;
· маскировка под зарегистрированного пользователя;
· маскировка под запрос системы;
· использование программных ловушек;
· использование недостатков операционной системы;
· незаконное подключение к аппаратуре и линиям связи;
· злоумышленный вывод из строя механизмов защиты;
· внедрение и использование компьютерных вирусов.
Обеспечение безопасности информации в сетях и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.
К организационным мерам защиты информации относятся:
· ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
· допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
· хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
· исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
· использование криптографических кодов при передаче по каналам связи ценной информации;
· уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.
Организационно-технические меры защиты информации включают:
· осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
· установку на дверях помещений кодовых замков;
· использование для отображения информации при вводе-выводе жидкокристаллических или плазменных дисплеев, а для получения твёрдых копий - струйных принтеров и термопринтеров, поскольку дисплей даёт такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
· уничтожение информации, хранящейся в ПЗУ и на НЖМД, при списании или отправке ПЭВМ в ремонт;
· установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
· ограничение электромагнитного излучения путём экранирования помещений, где происходит обработка информации, листами из металла или из специальной пластмассы.
Технические средства защиты информации - это системы охраны территорий и помещений с помощью экранирования машинных залов и организации контрольно-пропускных систем. Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:
· контроля доступа к различным уровням памяти компьютеров;
· блокировки данных и ввода ключей;
· выделение контрольных битов для записей с целью идентификации и др.
Архитектура программных средств защиты информации включает:
· контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
· реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
· контроль мандатов доступа;
· формальный контроль защищённости операционных систем (базовой общесистемной и сетевой);
· контроль алгоритмов защиты;
· проверку и подтверждение правильности функционирования технического и программного обеспечения.
Для надёжной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, её тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события. Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.
К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.
Один из распространённых способов защиты - явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи и таблицы) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.
В отдельную группу выделены средства защиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения ПК.
Протоколы сетей X.25
Глобальные сети (WAN) с коммутацией пакетов
Глобальные сети характеризуются двумя типами технологий соединений:
сеть "точка - точка" (point-to-point);
сеть "облако" (cloud).
В сети с технологий "точка - точка" каждым двум узлам выделяется отдельная линия, а для объединения N узлов требуется N(N - 1)/2 линий связи. В этом случае получаем высокую пропускную способность и большие расходы на линии связи и интерфейсное оборудование.
Более экономичной технологией сетей WAN являются сети типа "облако". В этом случае для подключения одного узла требуется только одна линия.
По принципу коммутации технология "облако" разделяется на:
коммутацию каналов (в телефонных линиях связи);
коммутацию сообщений (в E-mail);
коммутацию пакетов (в сетях IP, X.25), кадров (в сетях Frame Relay), ячеек (в сетях ATM).
В сетях с коммутацией каналов обеспечивается прямое физическое соединение между двумя узлами только в течение сеанса связи. Достоинством сетей коммутации каналов является возможность передачи аудиоинформации и видеоинформации без задержек.
Кроме того, преимуществом этой технологии является простота ее реализации (образование непрерывного составного физического канала), а недостатком - низкий коэффициент использования каналов, высокая стоимость передачи данных, повышенное время ожидания других пользователей (в узлах коммутации образуются очереди).
В сетях с пакетной коммутацией (PSN - Packet-Switched Network) осуществляется обмен небольшими пакетами фиксированной структуры, поэтому в узлах коммутации не создаются очереди. К достоинствам сетей с коммутацией каналов относятся: эффективность использования сети, надежность, быстрое соединение.
Основным недостатком сетей с пакетной коммутацией является временные задержки пакетов в узлах сети (промежуточном коммуникационном оборудовании), что затрудняет передачу аудиоинформации и видеоинформации, которые чувствительные к задержкам. Технология коммутации кадров (ретрансляция кадров), а особенно коммутация ячеек устраняют эти недостатки сетей с коммутацией пакетов и обеспечивают качественную передачу данных, аудио - и видеоинформации.
Сети с коммутацией каналов представляют для сетей с коммутацией пакетов услуги физического уровня. Аналоговые и цифровые линии применяются в качестве магистралей сетей с коммутацией пакетов, сообщений и кадров. К глобальным сетям с коммутацией пакетов относятся: сети IP; X.25; Frame Relay; ATM.
Коммутация пакетов в сетях PSN осуществляется двумя способами:
· Первый способ ориентирован на предварительное образование виртуальных каналов. Существуют два типа виртуальных каналов: коммутируемые и постоянные. Виртуальным каналом называется логическое соединение, осуществляемое по различным существующим физическим каналам, которое обеспечивает надежный двухсторонний обмен данными между двумя узлами. Коммутируемый виртуальный канал обмена данными требует установления (устанавливается динамически), поддержания и завершения сеанса связи каждый раз при обмене данными между узлами. Постоянный виртуальный канал устанавливается вручную и не требует сеанса связи, узлы могут обмениваться данными в любой момент, так как постоянное виртуальное соединение всегда активно.
· Второй способ основан на самостоятельном продвижении пакетов в пакетных сетях без установления логических каналов. Пакеты снабжены адресом назначения, и они независимо друг от друга движутся в узлы назначения. Маршрутизация в глобальных сетях TCP/IP осуществляется на основе IP-протокола, т.е. основана на самостоятельном продвижении пакетов. Принцип маршрутизации в глобальных сетях: X.25, Frame Relay, ATM основан на предварительном образовании виртуального канала и передаче в пункт назначения пакетов, кадров или ячеек по этому каналу, т.е. одному маршруту.
Сети X.25
Сети X.25 получили свое название по имени рекомендации - "X.25", выпущенной МККТТ (Международный консультативный комитет по телефонии и телеграфии). Данная рекомендация описывает интерфейс доступа пользователя в сеть передачи данных и интерфейс взаимодействия с удаленным пользователем через сеть передачи данных.
Внутри же самой сети передача данных может происходить в соответствии с другими правилами. Ядро сети может быть построено и на более скоростных протоколах frame relay. Мы, однако, рассматривая вопросы построения сетей X.25 в рамках этой статьи, будем иметь в виду сети, передача данных внутри которых производится также по протоколам, описанным в рекомендации X.25.
Первый вариант рекомендации был выпущен в 1976 году. За прошедшее время все стандарты были проверены практикой и при необходимости дополнены.
Сегодня достигнут достаточно высокий уровень совместимости оборудования, выпускаемого различными фирмами, как в рамках одной сети, так и разнообразных сетей X.25. Наибольшие проблемы в области совместимости возникают в тех случаях, когда надо управлять из одного центра узлами сети, построенными на базе оборудования разных фирм. Однако, благодаря установке на оборудовании X.25 агентов SNMP, и эта проблема в ближайшем будущем будет, видимо, решена. Одновременно ведется работа по расширению возможностей протокола SNMP в части его соответствия задачам управления большими территориально-распределенными сетями.
Сети Х.25 являются первой сетью с коммутацией пакетов и на сегодняшний день самыми распространенными сетями с коммутацией пакетов, используемыми для построения корпоративных сетей. Сети Х.25 разработаны для линий низкого качества с высоким уровнем помех (для аналоговых телефонных линий) и обеспечивают передачу данных со скоростью до 64 Кбит/с. Х.25 хорошо работает на линиях связи низкого качества благодаря применению протоколов подтверждения установления соединений и коррекции ошибок на канальном и сетевом уровнях.
Стандарт Х.25 определяет интерфейс "пользователь - сеть" в сетях передачи данных общего пользования или “интерфейс между оконечным оборудованием данных и аппаратурой передачи данных для терминалов, работающих в пакетном режиме в сетях передачи данных общего пользования”. Другими словами Х.25 определяет двухточечный интерфейс (выделенную линию) между пакетным терминальным оборудованием DTE и оконечным оборудованием передачи данных DCE.
На рисунке представлена структурная схема сети X.25, где изображены основные элементы.
TE (data terminal equipment) - аппаратура передачи данных (кассовые аппараты, банкоматов, терминалы бронирования билетов, ПК, т.е. конечное оборудование пользователей).
CE (data circuit-terminating equipment) - оконечное оборудование канала передачи данных (телекоммуникационное оборудование, обеспечивающее доступ к сети).
SE (packet switching exchange) - коммутаторы пакетов.
Интерфейс Х.25 обеспечивает:
1) доступ удаленному пользователю к главному компьютеру;
2) доступ удаленному ПК к локальной сети;
3) связь удаленной сети с другой удаленной сетью.
Интерфейс Х.25 содержит три нижних уровня модели OSI: физический, канальный и сетевой. Особенностью этой сети является использование коммутируемых виртуальных каналов для осуществления передачи данных между компонентами сети. Установление коммутируемого виртуального канала выполняется служебными протоколами, выполняющими роль протокола сигнализации.
Физический уровень
Описывает уровни сигналов и логику взаимодействия в терминах физического интерфейса. На физическом уровне Х.25 используются аналоговые выделенные линии, которые обеспечивают двухточечное соединение. Могут использоваться аналоговые телефонные линии, а также цифровые выделенные линии. На сетевом уровне нет контроля достоверности и управления потоком. На физическом уровне Х.25 реализуется один из протоколов X.21 или X.21bis.
Канальный уровень
На канальном уровне сеть Х.25 обеспечивает гарантированную доставку, целостность данных и контроль потока. На канальном уровне поток данных структурируется на кадры. Контроль ошибок производится во всех узлах сети. При обнаружении ошибки выполняется повторная передача данных. Канальный уровень реализуется протоколом LAP-B, который работает только с двухточечными каналами связи, поэтому адресация не требуется.
Для реализации всех указанных выше функций в протоколах второго уровня вводится понятие "кадра" (frame). Кадром называется порция информации (битов), организованная определенным образом. Начинает кадр флаг, т.е. последовательность битов строго определенного вида, являющаяся разделителем между кадрами. Затем идет поле адреса, которое в случае двухточечного соединения представляет собой адрес А или адрес B. Далее следует поле типа кадра, указывающее на то, несет ли кадр в себе информацию или является чисто служебным (например тормозит поток информации или извещает передающую сторону о приеме/неприеме предыдущего кадра). В кадре имеется также поле номера кадра. Кадры нумеруются циклически. Это означает, что при достижении заданного порогового значения нумерация опять начинается с нуля. И наконец, заканчивается кадр контрольной последовательностью, подсчитываемой при передаче кадра по определенным правилам. По этой последовательности на приеме происходит проверка на предмет искажения информации при передаче кадра. Длину кадра можно менять при настройке параметров протокола к физическим характеристикам линии. Чем короче кадр, тем меньше вероятность того, что он будет искажен при передаче. Однако если линия хорошего качества, то лучше работать с более длинными информационными кадрами, т.к. уменьшается процент избыточной информации, передаваемой по каналу (флаг, служебные поля кадра). Кроме того, число кадров, посылаемое передающей стороне без подтверждения от принимающей стороны, тоже можно менять. Данный параметр связан с так называемым "модулем нумерации", т.е. со значением порога, достигнув которого нумерация снова начинается с нуля. Это поле может быть задано равным в пределах от 8 (для тех каналов, задержка передачи информации в которых не слишком велика) до 128 (для спутниковых каналов, например, когда задержка при передаче информации по каналу велика).
Сетевой уровень
Он наиболее интересен в контексте обсуждения сетей X.25, так как их специфику, в первую очередь, определяет именно он. Функционально данный протокол отвечает прежде всего за маршрутизацию в сети передачи данных X.25, т. е. за доведение информации от "точки входа" в сеть до "точки выхода" из нее. Со своей стороны протокол третьего уровня также структурирует информацию, иными словами, разбивает ее на "порции". На третьем уровне порция информации называется "пакетом" (packet). Структура пакета во многом аналогична структуре кадра. В пакете имеется свой модуль нумерации, собственные поля адреса, тип пакета, контрольная последовательность. При передаче пакет помещается в поле данных информационных кадров (кадров второго уровня). Функционально поля пакета отличаются от соответствующих полей кадра. Главным образом это касается поля адреса, которое в пакете состоит из 15 цифр; поле пакета должно обеспечивать идентификацию абонентов в рамках всех сетей пакетной коммутации по всему миру. Структуру сетевого адреса определяет рекомендация X.121.
Сетевой уровень Х.25 реализуется протоколом PLP (Packet-Layer Protocol - протокол уровня пакета). На сетевом уровне кадры объединяются в один поток, а общий поток разбивается на пакеты. Протокол PLP управляет обменом пакетов через виртуальные цепи. Сеанс связи устанавливается между двумя устройствами DTE по запросу от одного из них. После установления коммутируемой виртуальной цепи эти устройства могут вести полнодуплексный обмен информации. Сеанс может быть завершен по инициативе любого DTE, после чего для последующего обмена снова потребуется установление соединения.
Протокол PLP определяет следующие режимы:
Установление соединения используется для организации коммутируемой виртуальной цепи между DTE. Соединение устанавливается следующим образом. DTE вызывающей стороны посылает запрос своему локальному устройству DCE, которое включает в запрос адрес вызывающей стороны и неиспользованный адрес логического канала для использования его соединением. DCE определяет PSE, который может быть использован для данной передачи. Пакет, передаваемый по цепочке PSE, достигает конечного удаленного DCE, где определяется DTE узла назначения, к которому пакет и доставляется. Вызывающий DTE дает ответ своему DCE, а тот передает ответ удаленному DCE для удаленного DTE. Таким образом, создается коммутируемый виртуальный канал.
Режим передачи данных, который используется при обмене данными через виртуальные цепи. В этом режиме выполняется контроль ошибок и управление потоком.
Режим ожидания используется, когда коммутируемая виртуальная цепь установлена, но обмен данными не происходит.
Сброс соединения используется для завершения сеанса, осуществляется разрыв конкретного виртуального соединения.
Как же происходит доставка информации от одного абонента до другого через сеть X.25? Для этого используется так называемый метод "коммутации пакетов" (packet switching), в связи с чем сети X.25 еще именуют сетями пакетной коммутации. Данный метод реализуется посредством установления между абонентами виртуальных, т.е. логических (в отличие от физических) соединений (virtual circuits). Для того чтобы передать информацию от абонента A к абоненту B, между ними прежде устанавливается виртуальное соединение, иначе - происходит обмен пакетами "запрос вызова" ("call request") - "вызов принят" ("call accept"). Только после этого между двумя абонентами может производиться обмен информацией.
Виртуальные соединения могут быть как постоянными (permanent), так и коммутируемыми (switched). Коммутируемое соединение, в отличие от постоянного виртуального соединения, устанавливается в каждом сеансе обмена информацией. Тут можно привести прямые аналогии из области телефонии. Действительно, если вы имеете выделенный ("постоянный") телефонный канал между двумя абонентами, то не надо каждый раз набирать номер вашего абонента, - достаточно лишь снять трубку телефона. Количество виртуальных соединений, одновременно поддерживаемых на базе одного физического канала, зависит от конкретного типа оборудования, используемого для обеспечения таких соединений. Что вполне понятно, т.к. для поддержки каждого соединения на этом оборудовании должен резервироваться определенный ресурс (например оперативная память).
Преимущества сетей X.25
Метод коммутации пакетов, лежащий в основе сетей X.25, определяет основные преимущества таких сетей или, другими словами, их область применения. В чем же это преимущество? Рассматриваемые сети позволяют в режиме реального времени разделять один и тот же физический канал нескольким абонентам, в отличие, например, от случая использования пары модемов, соединенных через канал того или иного типа. На самом деле, если у вас и вашего абонента на компьютерах установлены модемы, вы можете обмениваться с ним информацией. Однако используемой телефонной линией одновременно с вами не сможет воспользоваться уже никто другой.
Благодаря реализованному в сетях X.25 механизму разделения канала сразу между несколькими пользователями, во многих случаях оказывается экономически выгодней производить оплату за каждый байт переданной или полученной информации, а не оплачивать время применения телефонной линии при передаче данных по сети X.25. Особенно ощутимо такое преимущество в случае международных соединений.
Метод разделения физического канала между абонентами в сетях X.25 называют еще мультиплексированием канала, точнее, "логическим" или "статистическим" мультиплексированием (Рис. 1). Термин "логическое мультиплексирование" вводится, чтобы отличить этот метод, например, от временного разделения канала. При временном разделении канала каждому из разделяющих его абонентов выделяется в каждую секунду строго определенное количество миллисекунд для передачи информации. При статистическом разделении канала нет строго регламентированной степени загрузки каждым из абонентов канала в данный момент времени.
Рисунок 1. Мультиплексирование канала в сетях X.25.
Эффективность использования статистического мультиплексирования зависит от статистических или вероятностных характеристик мультиплексируемого потока информации. Означает ли это, что вам, прежде чем подключаться к уже действующей сети X.25 или начинать создавать свою сеть, необходимо проводить детальный анализ вероятностных характеристик потоков информации, циркулирующих в вашей системе? Конечно, нет. Такие расчеты уже проведены. Накоплен большой опыт использования сетей X.25. Известно, что использование сети X.25 эффективно для широкого спектра задач передачи данных. Среди них и обмен сообщениями между пользователями, и обращение большого количества пользователей к удаленной базе данных, а также к удаленному хосту электронной почты, связь локальных сетей (при скоростях обмена не более 512 Кбит/с), объединение удаленных кассовых аппаратов и банкоматов. Иными словами, все приложения, в которых трафик в сети не является равномерным во времени.
Какие еще преимущества дает сеть X.25? Может быть, одно из самых важных достоинств сетей, построенных на протоколах, описанных в рекомендации X.25, состоит в том, что они позволяют передавать данные по каналам телефонной сети общего пользования (выделенным и коммутируемым) оптимальным образом. Под "оптимальностью" имеется в виду достижение максимально возможных на указанных каналах скорости и достоверности передачи данных.
Эффективный механизм оптимизации процесса передачи информации через сети X.25 - это механизм альтернативной маршрутизации. Возможность задания помимо основного маршрута альтернативных, т.е. резервных, имеется в оборудовании X.25, производимом практически всеми фирмами. Различные образцы оборудования отличаются алгоритмами перехода к альтернативному маршруту, а также допустимым количеством таких маршрутов. В некоторых типах оборудования, например, переход к альтернативному маршруту происходит только в случае полного отказа одного из звеньев основного маршрута. В других же переход от одного маршрута к другому происходит динамически в зависимости от загруженности маршрутов, и решение принимается на основании многопараметрической формулы (оборудование фирмы Motorola ISG, например). За счет альтернативной маршрутизации может быть значительно увеличена надежность работы сети, а это значит, что между любыми двумя точками подключения пользователя к сети должно быть, по крайней мере, два различных маршрута. В связи с этим построение сети по звездообразной схеме можно считать вырожденным случаем. Правда, там, где есть только один узел сети X.25, установленный в рамках той или иной сети общего пользования, такая топология сети все еще используется довольно часто.
Доступ пользователей к сетям X.25. Сборщики-разборщики пакетов
Рассмотрим теперь, каким образом на практике реализуется доступ разных типов пользователей к сети X.25. Прежде всего, возможна организация доступа в пакетном режиме (рекомендации X.25). Для осуществления доступа с компьютера в сеть в пакетном режиме можно, например, установить в компьютер специальную плату, обеспечивающую обмен данными в соответствии со стандартом X.25. Для подключения локальной сети через сеть X.25 используются также платы компаний Microdyne, Newport Systems Solutions и др. Кроме того, доступ из локальной сети в сеть X.25 может быть организован еще и при помощи мостов/маршрутизаторов удаленного доступа, поддерживающих протокол X.25 и выполненных в виде автономных устройств. Преимущества таких устройств над встраиваемыми в компьютер платами, помимо большей производительности, заключается в том, что они не требуют установки специального программного обеспечения, а сопрягаются с локальной сетью по стандартному интерфейсу, что позволяет реализовать более гибкие и универсальные решения. Вообще, подключение пользовательского оборудования к сети в пакетном режиме очень удобно, когда требуется многопользовательский доступ к этому оборудованию через сеть. Если же вам надо подключить компьютер к сети в монопольном режиме, то тогда подключение производится по другим стандартам. Это стандарты X.3, X.28, X.29, определяющие функционирование специальных устройств доступа в сеть - сборщиков/разборщиков пакетов - СРП (packet assembler/dissasembler-PAD).
PAD - Packet Assembler/Disassembler - устройство, используемое для подключения к сети X.25 асинхронных терминалов. Производит «нарезание» асинхронного потока данных на пакеты и передачу их в сеть X.25, а также обратную процедуру. Во многих типах оборудования X.25 любой порт может быть настроен как PAD, что исключает необходимость в отдельном устройстве. Кроме стандартного PAD, описываемого рекомендациями X.3, X.28, X.29, некоторые типы оборудования имеют дополнительные функции (Multiprotocol PAD), позволяющие подключать к сети X.25 различные нестандартные типы терминалов, включая синхронные и асинхронные, в том числе использующие многоточечное подключение (несколько устройств на один порт).
PAD обычно имеет несколько асинхронных портов и один синхронный (порт X.25). PAD накапливает поступающие через асинхронные порты данные, упаковывает их в пакеты и передает через порт X.25 (Рис. 2).
Рисунок 2. Пример сложной сети X.25 с подключением устройств различного типа: от компьютеров до банковского терминального оборудования.
Конфигурируемые параметры PAD определяются выполняемыми задачами. Эти параметры описываются стандартом X.3. Совокупность параметров носит название "профайла" (profile); стандартный набор состоит из 22 параметров. Функциональное назначение данных параметров одинаково для всех PAD. В профайл входят параметры, задающие скорость обмена по асинхронному порту, параметры, характерные для текстовых редакторов (символ удаления знака и строки, символ вывода на экран предыдущей строки и т.п.), параметры, включающие режим автоматической добивки строки незначащими символами (для синхронизации с медленными терминалами), а также параметр, определяющий условие, при выполнении которого формирование пакета заканчивается.
Узлы сети X.25. Центры коммутации пакетов
Параметры, описывающие канал X.25, являются немаловажными и для узловых элементов собственно сети X.25, называемых Центрами Коммутации Пакетов - ЦКП (или коммутатор пакетов, packet switch), однако ими список параметров ЦКП, конечно, не исчерпывается. В процессе конфигурации ЦКП обязательно требуется заполнить таблицу маршрутизации (routing table), позволяющую определить, на какой из портов ЦКП направляются поступившие в них пакеты в зависимости от адресов, содержащихся в этих пакетах. В таблице задаются как основные, так и альтернативные маршруты. Кроме того, важная функция некоторых ЦКП - это функция стыковки сетей (шлюза между сетями).
Действительно, в мире существует великое множество сетей X.25 и общего пользования, и частных, или иначе - корпоративных, ведомственных. Естественно, в различных сетях могут быть установлены разные значения параметров передачи по каналам X.25 (длина кадра и пакета, величины пакетов, система адресования и т.д.). Для того чтобы все эти сети могли стыковаться друг с другом, была разработана рекомендация X.75, определяющая правила согласования параметров при переходе из сети в сеть. Сопряжение вашей и соседних сетей рекомендуется производить через ЦКП, в котором с достаточной полнотой реализована поддержка шлюзовых функций, - такой ЦКП, например, должен уметь "транслировать" адреса при переходе из одной сети в другую. Эта функция обычно реализуется с помощью конфигурации специальной таблицы трансляции адресов в шлюзовом ЦКП. Для ЦКП, несопрягающихся с узлами другой сети пакетной коммутации, наличие шлюзовых функций не является обязательным.
При всех достоинствах сетевой технологии, базирующейся на протоколе X.25, у нее есть и свои ограничения. Одно из них - невозможность передавать по сетям X.25 такие виды информации, как голос и видео. Указанные ограничения преодолеваются в технологии, базирующейся на протоколе frame relay.
Достоинства и недостатки сети X.25
Достоинства сети Х.25:
Могут быть использованы как аналоговые, так и цифровые каналы передачи данных (выделенные и коммутируемые линии связи).
еждународный стандарт CCITT.
Способность осуществлять соединения по всему миру - связь с любым пунктом в любой стране.
Стандарт взаимодействия открытых систем (OSI).
Функционирование на уровнях 1, 2 и 3 модели OSI, что обеспечивает возможность реализации соединений с оборудованием любого производителя, совместимого со стандартом OSI.
Возможность осуществления соединений между продуктами IBM, DEC, Unisys, HP,Prime, Wang, Tandem, NCR и других основных производителей в пределах единой сети (т.к. Х.25 является общим стандартом протокола передачи данных; большинство изготовителей поддерживают Х.25, встраивая средства осуществления доступа прямо в host-компьютеры, контроллеры или коммуникационные пред-процессоры).
Целостность данных.
Возможность обнаружения ошибок и их коррекции, что гарантирует достоверность передачи данных от одного терминала до другого. Это обеспечивает применение сетей пакетной коммутации для компаний любого типа, включая финансовые/банковские корпорации, для которых передача данных при выполнении финансовых транзакций имеет огромное значение.
Высокая надежность. Х.25 по своей природе практически невосприимчив к отказам в процессе передачи данных благодаря своим возможностям автоматически осуществлять перемаршрутизацию.
Безопасность. Сети пакетной коммутации имеют несколько степеней сетевой безопасности благодаря назначаемым паролям, уровням доступа и другим техническим особенностям, гарантирующим безопасность при передаче данных.
Гибкость. Вследствие того, что Х.25 является стандартом, дополнительное оборудование от того же или от других изготовителей может быть легко добавлено для производства изменений в сети и/или наращивания сети.
Сетевое администрирование. Администрирование в сетях пакетной коммутации можно организовать с центрального пункта управления, обеспечивая выдачу диагностической информации, технологических данных и других сообщений для полного контролирования этих сетей.
Недостатки сети:
Значительные задержки передачи пакетов, поэтому ее невозможно использовать для передачи голоса и видеоинформации.
Заключение
С точки зрения безопасности передачи информации, сети X.25 предоставляют ряд весьма привлекательных возможностей. Прежде всего, благодаря самой структуре сети, стоимость перехвата информации в сети X.25 оказывается достаточно велика, чтобы уже служить неплохой защитой. Проблема несанкционированного доступа также может достаточно эффективно решаться средствами самой сети. Если же любой - даже сколь угодно малый - риск утечки информации оказывается неприемлемым, тогда, конечно, необходимо использование средств шифрования, в том числе в реальном времени. Сегодня существуют средства шифрования, созданные специально для сетей X.25 и позволяющие работать на достаточно высоких скоростях - до 64 кбит/с. Такое оборудование производят компании Racal, Cylink, Siemens.
Из достоинств технологии стоит выделить:
Высокая надежность (Х.25 по своей природе практически невосприимчив к отказам в процессе передачи данных благодаря своим возможностям автоматически осуществлять перемаршрутизацию)
Безопасность (Сети пакетной коммутации имеют несколько степеней сетевой безопасности благодаря назначаемым паролям, уровням доступа и другим техническим особенностям, гарантирующим безопасность при передаче данных)
Возможность обнаружения ошибок и их коррекции, что гарантирует достоверность передачи данных от одного терминала до другого
Способность осуществлять соединения по всему миру - связь с любым пунктом в любой стране
Администрирование в сетях пакетной коммутации можно организовать с центрального пункта управления, обеспечивая выдачу диагностической информации, технологических данных и других сообщений для полного контролирования этих сетей.
Недостатком технологии X.25 является наличие ряда принципиальных ограничений по скорости. Первое из них связано именно с развитыми возможностями коррекции и восстановления. Эти средства вызывают задержки передачи информации и требуют от аппаратуры X.25 большой вычислительной мощности и производительности, в результате чего она просто "не успевает" за быстрыми линиями связи. Хотя существует оборудование, имеющее двухмегабитные порты, реально обеспечиваемая им скорость не превышает 250 - 300 кбит/сек на порт. С другой стороны, для современных скоростных линий связи средства коррекции X.25 оказываются избыточными и при их использовании мощности оборудования часто работают вхолостую.
Подобные документы
Общие сведения о глобальных сетях с коммутацией пакетов, построение и возможности сетей, принцип коммутации пакетов с использованием техники виртуальных каналов. Характеристики и возможности коммутаторов сетей, протоколы канального и сетевого уровней.
курсовая работа [2,0 M], добавлен 26.08.2010Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.
контрольная работа [30,5 K], добавлен 24.01.2009Свойства социальных сетей. Функционирование информационной сети объекта управления как среды информационного влияния, управления и противоборства. Обеспечение социальной безопасности сетей. Создание теоретико-игровой модели информационного противоборства.
курсовая работа [837,1 K], добавлен 17.07.2012Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа [225,1 K], добавлен 16.06.2012Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.
дипломная работа [1,5 M], добавлен 19.06.2015Принципы построения составных сетей. Согласование протоколов канального уровня. Маршрутизация в сетях с произвольной топологией. Сетевой уровень и модель OSI. Система MFG/PRO, языки QAD. Обзор, архитектура системы. Некоторые возможности интерфейса.
курсовая работа [1,6 M], добавлен 29.09.2013Теоретические основы организации локальных сетей. Общие сведения о сетях. Топология сетей. Основные протоколы обмена в компьютерных сетях. Обзор программных средств. Аутентификация и авторизация. Система Kerberos. Установка и настройка протоколов сети.
курсовая работа [46,3 K], добавлен 15.05.2007Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
дипломная работа [1,6 M], добавлен 26.05.2014