Высокоскоростные технологии Ethernet. Функциональная организация сети. Методы передачи данных

SMTP - простой протокол передачи почты.

POP3 - протокол почтового отделения 3-ей версии. Используется почтовым клиентом в паре с SMPT.

IMAP - протокол доступа к электронной почте. Обеспечивает доступ пользователей к хранилищу электронных писем, является альтернативой РОР3, но с большими возможностями.

TELNET - виртуальный текстовый терминал, предназначенный для реализации текстового интерфейса в сети.

PPTP - это туннельный протокол точка-точка, позволяющей устанавливать защищенные соединения с сервером.

П3: Протоколы транспортного уровня

TCP - протокол управления передачей данных с установлением соединения. Реализует обмен данными на основе соглашения об управлении потоками данных.

UDP - дейтаграмный протокол передачи данных в виде независимых единиц - дейтаграмм.

RTP - протокол предназначенный для передачи трафика реального времени. Заголовок пакета этого протокола содержит данные необходимые для восстановления мультимедиа данных, а также временную метку и номер пакета, которые позволяют декодировать последовательность переданных пакетов.

П4: Протоколы межсетевого уровня

IP - интернет протокол. Основной протокол стека TCP\IР, реализующий передачу пакетов от узла к узлу. Протокол IP:

1) Не гарантирует доставку пакетов, их целостность и сохранение порядка их номеров

2) Не различает логические процессы, порождающие поток данных

Эти задачи решаются протоколами более высокого уровня: TCP и UDP. Эти протоколы транспортного уровня различают приложения и передают данные от приложения к приложению.

В настоящее время используется версия 4 протокола IP (IPv4), на смену ему должна прийти версия 6 (IPv6).

ICMP - межсетевой протокол управляющих сообщений. Используется для передачи сообщений об ошибках.

IGMP - протокол управления группами, предназначенный для групповой передачи данных.

ARP - протокол разрешения адресов. Позволяет находить IP-адрес по его физическому MAC-адресу.

RARP - решает обратную задачу: нахождение физического МАС-адреса по его IP-адресу.

RIP - протокол маршрутизации. Реализует обмен информации о доступных сетях и расстояниях.

OSPF - протокол маршрутизации. Реализует обмен информацией о состоянии каналов.

П5: Протоколы канального уровня

SLIP - первый стандарт канального уровня для выделенных линий. Благодаря своей простоте может использоваться как для коммутируемых, так и для выделенных каналов. Поддерживается только протоколом сетевого уровня IP.

HDLC - высокоуровневый протокол управления каналом.

PPP- протокол пришедший на смену SLIP. Предназначен для двухточечного соединения. В настоящее время он является стандартным протоколом Internet, используется вместе HDLС.

В3: Архитектурная концепция Интернет

Структура сети Интернет может быть представлена как множество компьютеров, которые называются хостами подключенные к единой интерсети.

Интерсеть представляет собой совокупность физических сетей называемых подсетями, соединенных маршрутизаторами. В качестве сетей могут использоваться сети по любой технологии(Ethernet, TokenRing) или коммуникационные системы по любой технологии (x.25, FrameRelay, FDDI, ATM) при этом все функции протокола IP выполняют хосты и маршрутизаторы, называемые узлами сети.

Протокол IPвыполняет при этом следующие функции:

1. Негарантированную доставку пакетов, то есть передаваемые по сети пакеты могут быть утеряны, дублированы, задержаны или прийти в неправильном порядке.

2. Обеспечивают дейтаграммную доставку, т.е. доставку без установления соединения, каждый пакет обрабатывается независимо от других, причем пакеты могут передаваться по различным путям.

3. Обеспечивается максимально возможная доставка пакета, т.е. пакет теряется только в том случае, если нет физических средств для его доставки - все линии обрезаны.

В4: адресация в IP-сетях

В стеке протоколов TCP\IPиспользуется 3 типа адресов:

1. Физические адреса, которые используются для адресации узлов в пределах подсети. Для сетей Ethernet, TokenRing, FDDI это MAC-адрес. Для сети IPX\SPX - это IPX-адрес.

2. Сетевые (IP-адреса), которые используются для идентификации узлов в пределах всей сети.

3. Доменные адреса - символьные идентификаторы узлов, которыми оперируют пользователи.



П1: Сетевые IP-адреса

Наличие трех уровней адресации требует применение процедуры преобразования адресов для установления соответствия между адресами разных уровней. Эта процедура реализуется соответствующим протоколом.

Наиболее удобными для пользователей являются доменные имена (доменные адреса). Маршрутизация в сети реализуется на основе сетевых адресов, в то же время все устройства в сети имеют уникальный адрес канального уровня или физический адрес.

IP-адрес идентификатор сетевого уровня, т.е. один и тот же комп, подключенный к двум сетям имеет 2 разных IP- адреса.

IP- адрес представляет собой 32-х битный идентификатор. Для удобства написания он отображается в виде десятичного представления четырех байт, разделенных точками.

Первоначально в Интернете была принята классовая адресация. Все IP-адреса был разделены на 5 классов: А, В, С, D, Е. Практическое применение находят первых три класса. Класс Dпредназначен для задания группового адреса, а класс Е зарезервирован для последующего применения. Класс А соответствует большой сети с максимальным числом узлов - 16 777 254. Класс В - средняя сеть 65 534. И класс С - 254 адреса.

Максимальное число узлов в сети определяется как 2ⁿ- 2. Нулевой номер означает адрес сети. Единички обозначают передачу пакетов всем узлам сети.

В зависимости от размера сети используются IP-номера для А от 1.0.0.0 до 126.0.0.0, для В - 128.0.0.0 до 191.255.0.0, для С - 223.255.255.0.

П2: Специальные, автономные и групповые IP-адреса

IP-адресация поддерживает специальные адреса, обращенные к множеству узлов. Они делятся на 2 класса:

1. Широковещательные - обращенные ко всем

2. Групповые - обращенные к заданному множеству объектов

Адресация основывается на том, что при обращении к конкретному объекту адресные поля заполняются нулями, а при обращении ко всем объектам - единицами.

В стандартах Интернет определяется несколько автономных адресов, рекомендуемых для автономного использования в пределах одной подсети. В классе А - одна такая сеть 10.0.0.0, в классе В - 16 сетей 176.16.0.0 - 172.31.0.0 и в классе С - 256 сетей 192.168.П0.0 - 192.168.255.0. в качестве группового адреса обычно используются адреса класса D. Групповой адрес может объединять узлы из разных сетей. Каждый узел может в любой момент подключиться к определенной группе или выйти из нее.

Групповые адреса разделяются на 2 класса:

1. Постоянные - для постоянных групп

2. Временные - для создаваемых на какой-то срок групп

П3: Распределение IP-адресов

Распределение адресов может осуществляться 2 способами:

1. Централизованное распределение, реализуемое специальными органами

2. Автоматизированное распределение

Протокол для автоматического распределения адресов DHCPподдерживает следующие способы распределения:

- ручное распределение - при участии администратора DHCP-сервер всегда выделяет пользователю один и тот же адрес

- автоматическое статическое распределение - адрес при первом подключении выбирается из свободных и в дальнейшем не изменяется.

- автоматическое динамическое распределение - при каждом подключении назначается новый адрес либо устанавливается ограничение по времени на использование данного адреса.

Кроме IP-адреса DHCP-сервер может назначать другие параметры: маску, адрес маршрутизатора, адрес DNS-сервера, доменное имя компьютера.

Постоянный рост сети Интернет приводит к дефициту IP-адресов, особенно класса А, кроме того, имеющееся адресное пространство используется нерационально, например, используются не все из 254 возможных адресов.

П4: Бесклассовая междоменная маршрутизация

Использование масок произвольной длины позволяет расширить адресное пространство за счет увеличение количества номеров в сети. Например, если сети требуется адреса для 10 компьютеров, нет смысла выделять этой сети адресное пространство 254 номера. Для этого была разработана система бесклассовой междоменной маршрутизации CIDR. Для реализации этой технологии необходимо, чтобы организация, выделяющая IP-адреса имела в своем распоряжении непрерывный диапазон адресов. Это позволяет выделять сетям ограниченное количество IP-адресов, имеющих одинаковое значение в старших разрядах.

П5: Протоколы разрешения адресов ARP и RARP

Протокол ARPподдерживает в каждом узле ARP-таблицу, содержащую IP-адрес, МАС-адрес тип записи: динамический или статический. По этой таблице можно определить физический адрес узла и указать его в заголовке кадра. Если в ARP-таблице отсутствует такой адрес, формируется широковещательное сообщение. Ответ на это сообщение возвращает только узел, которому он был адресован. Отсюда выясняется МАС-адрес по искомому IP-адресу.

В глобальных сетях, не поддерживающих широковещательных сообщений, ARP-таблица формируется администратором, либо выделяется специальный маршрутизатор, который автоматически формирует таблицу для всех узлов сети.

Протокол RARPиспользуется в первую очередь для бездисковых рабочих станций. В момент включения питания такая станция ничего не знает о себе и окружающих, поэтому не может произвести дистанционную загрузку ОС. Поэтому широковещательно вызывается обслуживающий сервер, при этом в пакет вкладывается свой физический адрес. В сети должен быть хотя бы 1 такой RARP-сервер, который в ответ на запрос выделяет IP-адрес включающемуся компьютеру.

Поскольку эта функция очень важна в сети с бездисковыми станциями, то обычно создается несколько RARP-серверов.

П6: Система доменных имен DNS

Доменное имя представляет собой символьное имя компьютера в сети. В стеке TCP\IPприменяется система доменных имен с иерархической древовидной структурой. В имени допускается использование произвольного количества составных частей. Совокупность имен, у которых несколько старших составных частей совпадают образуют домен. Примеры доменов .by, .org, .net, .gov. Соответствие между доменными именами и IP-адресами устанавливается либо средствами локального узла, либо средствами централизованной службы. Такая служба носит название DNS. Она использует в своей работе протокол типа клиент-сервер, который поддерживает распределенную базу доменных имен. Каждый DNS-сервер хранит имена следующего уровня иерархии. Для ускорения поиска IP-адресов в DNS-серверах используется процедура кэширования, в которой хранятся имена доменные и IP-адреса в течение определенного промежутка времени: от нескольких часов до нескольких суток.



Л21: Протоколы сети Интернет

В1: Протокол IPv.4

Протокол IP определяет 3 основных элемента:

1. Блок данных, т.е. пакет IP, с которым работает протокол

2. Механизм маршрутизации пакетов

3. Способ обработки конфликтных ситуации

Протокол IPобрабатывает только поля заголовков. Заголовок имеет следующую структуру:

0-3	4-7	8-15	16-23	24-31
Версия	Длина	Сервис	Общая длина
Идентификатор	Смещение
Время жизни	Протокол	Контрольная сумма заголовка
IP источника
IP назначения
Параметры

В2: Коммуникационный протокол версии 6

В 90х годах 20го века созрела необходимость создания новой версии протокола IP. Он должен был обеспечивать:

1. Масштабируемую систему адресации

2. Уменьшение таблиц маршрутизации

3. Предоставление гарантии качества транспортных услуг

4. Более надежную безопасность

5. Сосуществование старого и нового протоколов

6. Возможность его развития в будущем

Была разработана 6я версия, которая отличалась:

1. Длина IP-адреса увеличена до 16 байт

2. Упрощена структура заголовка - 7 полей вместо 13 в 4й версии

3. Улучшена поддержка необязательных параметров, т.е. если параметр не используется, его можно пропустить

4. Улучшена система безопасности

5. Предусмотрена возможность расширения услуг

П2: Адресация IPv.6

Основной целью создания новой версии было увеличение адресного пространства. Длина IP-адреса увеличена до 16 байт - 128 бит, что дает возможность адресовать более миллиона адресов.

В 6й версии используется 4х уровневая система иерархии, вместо 2х уровневой в 4й версии.

3 уровня для идентификации сетей и 1 уровень для идентификации компьютера.

Для записи используется шестнадцатеричная форма, при этом каждый 4 цифры отделяются двоеточием: АВ25:169:0:Е12В:6:0:С2С4:1234 или ВDА5::3217:19:0:F084.

Для упрощения:

1. Вместо 4х нулей записывается один ноль

2. Нули вначале поле опускаются

3. Если в адресе имеется длинная последовательность нулей, она заменяется двумя двоеточиями, причем это может быть выполнено только 1 раз

4. Для сетей, использующих обе версии протокола, разрешается в 4х младших байтах использовать традиционную десятичную запись :BC18:192.168.0.1

В 6й версии протокола предусмотрено 3 типа адресов:

1. Индивидуальный (unicast)

2. Групповой (multicast)

3. Адрес произвольной рассылки (anycast). Введен только в 6й версии. В этом случае определяется группа интерфейсов, к первому из которых и доставляется пакет, обычно ближайшему.

Индивидуальные адреса могут быть 3х типов:

1. Глобальный уникальный адрес - однозначно определяет узел в сети

2. Адрес обратной петли - вызывает сам себя - тоже самое что в 4й версии 127.0.0.1

3. Неопределенный адрес, состоящий из одних нулей - 0:0:0:0:0:0:0:1

П3: Структура пакета IPv.6

Структура пакета существенно отличается от 4й версии, в первую очередь наличием подзаголовков. Используются следующие подзаголовки:

1. Маршрутизации

2. Фрагментации

3. Аутентификации

4. Безопасности

5. Специальные

В3: Фрагментация

В объединяемых сетях могут использоваться пакеты разной длины от 53 байт в ATM до 65535 байт в IP. При объединении большой пакет необходимо разбить на мелкие. Это называется фрагментацией. При фрагментации каждый фрагмент получает свой заголовок длиной 20 байт.

Фрагментация реализуется двумя способами:

1. Прозрачная. При ней выходной шлюз должен собрать все фрагменты, относящиеся к одному пакету и восстановить исходный пакет, при этом приходится добавлять в фрагменты номера фрагментов, приходится отправлять все фрагменты через один и тот же маршрутизатор. Такая фрагментация вызывает дополнительные накладные расходы.

2. Сквозная. Подразумевает сборку и преобразование пакета в выходном узле, т.е. по сети фрагменты перемещаются как самостоятельные пакеты.

В4: Транспортные протоколы стека TCP\IP

Различают 2 транспортных протокола:

1. TCP

2. UDP

Они обеспечивают передачу данных между прикладными процессами. Для каждого процесса формируется несколько точек входа, выступающих в качестве транспортных адресов, которые называются портами.

Существуют 2 способа присвоения порта приложению:

1. Централизованный, при котором номера портов от 0 до 1023 стандартно присвоены определенным процессам, например FTP - 21й порт, telnet- 23й порт.

2. Динамическое присвоение. Совокупность портов от 1024 до 65535 используется для динамического присвоения. Осуществляется при поступлении запроса от приложения. Динамические номера портов являются уникальными в пределах компьютера, но могут повторяться на другом компьютере, поэтому совокупность IP-адрес: номер порта однозначно определяет прикладной процесс в сети и называется сокетом.

Необходимо отметить, что UDPи TCPпротоколы могут использовать одинаковые номера портов, поэтому принято обозначать порты с указанием протокола: 2345/UDP, 2345/TCP.



П1: Транспортный протокол UDP

Обеспечивает передачу данных в виде дейтаграмм при передаче данных между любыми двумя процессами. Используется при выполнении клиент-серверных приложений. Протокол не выполняет контроля потоков, контроля ошибок и повторной передачи пакетов.

П2: Транспортный протокол TCP

TCP обеспечивает надежную передачу данных между процессами за счет установления логического соединения.Информация, поступающая к протоколу TCP от протоколов более высокого уровня заносится в буфер и рассматривается как неструктурированный поток байтов. Для передачи на сетевой уровень из буфера вырезается сегмент размером не более 64 кбайт. На практике размер сегмента обычно равен 1460 байт, что позволяет поместить его в кадр Ethernet.

П3:Псевдозаголовок протоколов TCP и UDP

При передаче данных на транспортный уровень к ним добавляется псевдозаголовок перед основным заголовком. Его размер не превышает 12 байт. Он содержит адрес отправителя, адрес получателя, нулевое поле, поле протокол для опознания UDPили TCP и длину UDP-дейтаграммы или TCP-сегмента.

В5: Переход с IPv4 на IPv6

В настоящее время известно, что крупнейшие провайдеры и Интернет-корпорацииGoogle, Microsoft, Facebook с 6 июня 2012 года обеспечивают поддержку 6й версии интернет протокола. Используемая сейчас 4я версия является 32-х разрядной и число адресов в ней составляет 2³², т.е. 4,3 млрд. Раньше такого количества казалось более чем достаточно, однако сегодня уже наблюдается уже нехватка IP-адресов. Специалисты компании Cisco считают, что к середине этого десятилетия количество различных устройств, имеющих доступ к сети составит порядка 15 млрд, т.е. в 2 раза больше, чем население земли. Все это диктует необходимость внедрения 128-битного протокола с числом адресов 2¹²⁸. Следует отметить, что IPv.6 не имеет обратной совместимости с 4й версией, и операторам необходимо будет обновлять аппаратную базу. Ожидается, что операторы будут поддерживать либо оба протокола, либо преобразовывать 4ю версию в 6ю. Однако второй вариант может привести к задержкам и перегрузкам сети. Вероятнее всего, что после того как адресное пространство 4й версии закончится, оба протокола будут использоваться параллельно с увеличением доли IPv.6. это связано с тем, что огромное количество узлов не имеют поддержки 6й версии IP-протокола.

8 июня 2011 года состоялся всемирный день IPv.6. Ведущие интернет провайдеры и компании, предоставляющие контент, в течение 24 часов предоставляли доступ как по 4й, так и по 6й версии IP. При этом на 6ю версию перешли многие крупные пользователи. Производители сетевого оборудования специально к этому дню встроили в качестве настроек по умолчанию 6ю версию протокола IP.

В6: Управляющий протокол ICMP

Протокол межсетевых управляющих сообщений предназначен для выявления и обработки внештатных ситуаций, например потери пакета. Он определяет тип ошибки, формирует сообщение и отправляет его узлу, сформировавшему пакет.

К основным функциям этого протокола относятся:

1. Обмен текстовыми сообщениями для выявления активности узлов сети.

2. Анализ достижимости узла получателя и уничтожение пакетов, предназначенных для недостижимого узла.

3. Изменение маршрутов

4. Уничтожение пакетов с истекшем временем жизни

5. Синхронизация времени в узлах сети

6. Управление потоком путем регулирования частоты посылки пакетов

Протокол ICMPформирует следующие сообщения:

1. Адресат недоступен

2. Время истекло

3. Проблема с параметрами

4. Переадресовать

5. Запрос отклика

6. Отклик

Одной из наиболее интересных функций является изменение маршрута. Этот протокол может оптимизировать таблицу маршрутизации. Это одно из наиболее важных изменений в протоколе TCP\IP.

ICMP-пакеты инкапсулируются в IP-пакеты. Однако следует отметить, что даже этот протокол не делает IPнадежным средством доставки пакетов. За это отвечает протокол TCP (за доставку отвечает).

В7: Протоколы канального уровня для выделенных линий

Такие протоколы должны обеспечивать надежную передачу, предоставлять возможность управления потоком кадров для предотвращения перегрузки соседних узлов.

К протоколам канального уровня относятся:

1. Семейство протоколов SLIP

2. Семейство протоколов HDLC

3. Семейство протоколов PPP

П1: Протокол SLIP

Это первый стандарт для протоколов TCP\IP, который может использоваться как для коммутируемых, так и для выделенных каналов. SLIP поддерживается только протоколом сетевого уровня IP.

Основная и единственная функция этого протокола - распознавание начала и конца IP-пакета. Для этого в качестве границ используется специальный символ - СО₁₆ (в 16-ричном коде). Если в самом пакете встречается такой символ, то используется процедура байт-стаффинга., заключающаяся в замене этого символа другими обусловленными символами.

К недостаткам этого протокола следует отнести:

1. Отсутствие возможности обмена адресной информацией

2. Использование только IP-пакетов

3. Отсутствие процедур обнаружения и коррекции ошибок

П2: Протоколы семейства HDLC

Это высокоуровневый протокол управления каналом. Состоит из следующих протоколов:

- LAP-Bдлях.25

-LAP-DдляISDN

- LAP-Mдля модема

- LAP-Fдля FrameRelay



П3: Протокол РРР

Это протокол двухточечного соединения, построенный на основе формата кадров семейства HDSL с дополнением собственных полей. Он является стандартным протоколом Интернета и представляет собой семейство протоколов:

1. Протокол управления соединением

2. Протокол управления сетью

3. Многоканальный протокол

Этот протокол основан на 4х принципах:

1. Переговорное принятие параметров соединения

2. Многопротокольная поддержка

3. Расширяемость протокола

4. Независимость от глобальных служб

В8: Многопротокольная коммутация MPLS

MPLS - многопротокольная коммутация на основе меток, она определяет два способа передачи пакета: дейтаграмма и виртуальный канал.

В основе этой технологии лежит IP - коммутация. Для ее реализации были разработаны специальные ATM- коммутаторы со встроенными маршрутизаторами. Эти устройства предназначены для уменьшения задержек при передаче кратковременных данных. Для этого IP - пакет разбивается на АТМ ячейки, в то же время долговременные потоки передаются с помощью установления виртуального канала.

Дальнейшее усовершенствование IP - коммутации привело к созданию технологии MPLS. Она реализуется с помощью специального маршрутизатора на основе меток. Для любого пакета с помощью меток устанавливается определенный приоритет, он действует только на промежутке между двумя маршрутизаторами. На следующем маршрутизаторе процедура присвоения приоритета повторяется вновь. Распределение меток приводит к установлению внутри домена MPLS путей с коммутацией по меткам. Они заносятся в специальные таблицы продвижения, содержащие:

· Порт, по которому поступает пакеты

· Идентификатор или метка, по которому определяется принадлежность пакета к определенному типу трафика

· Порт, через который пакет покидает маршрутизатор

· Указатель, который определяет действия, выполняемые с меткой: заменить, удалить и т.д.

Обычно используются следующие операции с метками:

· Поместить метку в стек

· Заменить текущую метку новой

· Удалить верхнюю метку

Таким образом, получив пакет, по номеру интерфейса и номеру метки маршрутизатор определяет устройства. Эта операция выполняется однажды для идентификации меток в первом пакете. Использование меток сокращает заголовок и, в конце концов, увеличивает скорость трафика.

П2: Заголовок MPLS

Он имеет длину 32 бита и вставляется между заголовками 2 и 3 уровней OSI-модели. Заголовок содержит следующие поля: метка, по которой осуществляется коммутация; класс обслуживания, определяющий класс трафика; признак дна стека меток, время жизни пакета, пакеты с истекшим временем жизни отбрасывается.



П3: Многоуровневая коммутация по меткам.

Для создания системы путей заголовок MPLS кадра формируется в виде стека меток, включающего столько заголовков MPLS, сколько уровней иерархии содержит сеть, при этом можно опознать вершину стека, который используется для текущей адресации и дно стека, показывающее, что метки закончились.



Л22: Безопасность компьютерных сетей

В1: Средства безопасности

Широкое применение компьютерных сетей делает весьма актуальной проблему компьютерной безопасности. Защита информации в компьютерных сетях является одной из важнейших задач, которые необходимо решать в процесс их разработки и эксплуатации.

Средства защиты информации можно подразделить на 2 класса:

1) Средства, защищающие информацию, находящуюся на локальных компьютерах пользователей

2) Средства, защищающие информацию в процессе ее передачи по сети

Средства компьютерной безопасности должны обеспечить защиту от несанкционированного доступа всех ресурсов сети, как аппаратных, так и программных.

Кроме того необходимо обеспечить защиту данных, хранящихся в файлах на компьютере. Для этого необходимо контролировать трафик, и стараться перекрыть доступ извне для любой информации с помощью, которой злоумышленник попытается добраться до внутренних ресурсов компьютера.

Наиболее часто для этого используется брандмауэрfirewall, располагающийся на месте подключения компьютеру к сети. Он представляет собой межсетевой экран, контролирующий трафик межу локальной сетью и Интернет и не пропускает подозрительный трафик в сети.

Для обеспечения сетевой безопасности необходимо также защищать информацию передаваемую через сеть в виде пакетов. Для решения этой задачи широко используется механизм виртуальных частных сетей (VPN).

Автономно работающий компьютер, на сегодняшний день, можно более-менее надежно защитить от вредоносных программ. Гораздо сложнее это сделать, если компьютер общается с другими компьютерами. Для этого каждому пользователю сети должны быть четко определены права на доступ к информации. Дополнительно необходимо обеспечить защиту от перехвата передаваемых по сети данных и создание ложного трафика.

Вопросы безопасности приобретают особое значение в связи с тем, что во многих корпорациях Интернет используется для передачи локальных данных.

В2: Конфиденциальность, доступность и целостность

Безопасная информационная система должна:

1) Защищать данные от несанкционированного доступа

2) Быть всегда готовой предоставить свои данные пользователю

3) Надежно хранить информацию и гарантировать неизменность данных

Для этого система должна обладать следующими свойствами:

1) Конфиденциальность. Данные должны быть доступны только авторизованным пользователям

2) Доступность. Гарантия доступа к данным авторизованных пользователей

3) Целостность. Гарантия сохранности данных

Требования безопасности меняются в зависимости от назначения системы, типа данных и типа возможных угроз. Например, если целостность и доступность обязательно для любых данных, то конфиденциальность для широковещательных данных не обязательна.

Перечисленные понятия могут применяться не только по отношению к информации, но и по отношению к другим ресурсам сети.

Конфиденциальность, применительно к какому-либо устройству обозначает доступ к нему, только авторизованных пользователей, при этом они могут выполнять только разрешенные им операции.

Свойство доступности подразумевает готовность оборудования к использованию в момент возникновения такой необходимости.

Благодаря свойству целостности злоумышленники не могут изменить параметры устройства, что может вывести его из строя.

Для защиты данных используются средства, называемые средствами сетевой безопасности, они обеспечивают контроль доступа к ресурсам. Такой контроль включает процедуры:

1) Шифрования информации

2) Аутентификации

3) Авторизации

4) Антивирусную защиту

5) Контроль сетевого трафика

Средства безопасности могут быть встроены в программное обеспечение, как прикладное, так и системное, в аппаратное обеспечение: компьютеры и маршрутизаторы, а также могут быть реализованы в виде отдельных продуктов, нацеленных на защиту информации.

Рассмотрим основные сервисы сетевой безопасности:

1) Шифрование. Это процедура превращающая информацию из обычного в зашифрованный вид. Для расшифровки используется система дешифрования. Система, обеспечивающая шифрование и дешифрование носит название криптосистемы. Шифрование может применяться для аутентификации, авторизации пользователей, а также в системах защиты канала связи и канала данных

2) Аутентификация. Подтверждение подлинности. Предотвращает несанкционированный доступ к сети и разрешает доступ легальным пользователям. В качестве объектов, требующих аутентификации могут выступать не только пользователи, но и различные приложения, устройства, данные. Примером аутентификации на уровне приложения может служить взаимная аутентификация клиента и сервера. Клиент, доказавший свою достоверность серверу должен убедиться, что работает с нужным ему сервером, даже при установлении связи между 2-мя пользователя может использоваться процедура аутентификации. Аутентификация данных обозначает доказательство целостности данных и их принадлежности автору. Для этого может использоваться механизм электронной подписи. Аутентификацию не следует путать с идентификацией и авторизацией

3) Идентификация заключается в сообщении пользователю своего идентификатора, в то время как аутентификация - это процедура доказательства того, что пользователь именно тот, которым он себя назвал. Идентификаторы пользователей не всегда связаны с обеспечением безопасности

4) Авторизация - это процедура контроля легальных пользователей, с целью предоставления им именно тех прав, которые были ему, предоставлены администратором. Помимо предоставления прав доступа система авторизации контролирует также возможность выполнения различных функций

5) Аудит - это фиксация в системном журнале событий, связанных с доступом к защищаемым ресурсам. Подсистема аудита позволяет задавать перечень событий с помощью графического интерфейса. Средства учета и наблюдения позволяют зафиксировать все события, связанные с безопасностью, например, неудачную попытку связанную с доступом к ресурсу, либо удаление системных ресурсов

В3: Технология защищенного канала

Эта технология позволяет обеспечить безопасность передачи данных по открытой транспортной системе. Это реализовано за счет:

1) Взаимной аутентификации пользователей при установлении соединения

2) Защиты передаваемых сообщений от несанкционированного доступа

3) Обеспечение целостности поступающих по каналу сообщений

Защищенный канал можно построить на базе различных уровней OSI-модели. Защита данных средствами верхних уровней: прикладного и сеансового, не зависит от технологии транспортировки данных. Однако приложения зависят от конкретного протокола канала, так как они должны вызывать функции этого протокола.

Протокол безопасности прикладного уровня защищает только вполне определенную сетевую службу, например, электронную почту. Средства защищенного канала становятся прозрачными для приложений в тех случаях, когда они защищают кадры сетевого и канального уровней. При этом защищенный канал зависит от протокола нижних уровней.

Компромиссным вариантом, который в настоящее время, достаточно широко используется, является протокол IPSec, работающий на сетевом уровне. С одной стороны он прозрачен для приложений, а с другой стороны может работать практически во всех сетях, так как основан на протоколе IP.

IPSec - это набор протоколов, позволяющий обеспечить защиту данных, передаваемых по протоколу IP за счет подтверждения подлинности и шифрования пакетов. Применение этого протокола гарантирует целостность, аутентичность и конфиденциальность данных. Путь прохождения таких пакетов между 2-мя узлами сети получи название защищенного канала.

IPSec протоколы можно разделить на 2 класса:

1) Протоколы, отвечающие за защиту потока передаваемых пакетов, сюда относятся:

a. Протокол, обеспечивающий шифрование и целостность передаваемых данных

b. Протокол, гарантирующий аутентичность данных

2) Протокол, обмена криптографическими ключами, автоматически предоставляющий конечным точкам защищенного канала секретные ключи, необходимые для аутентификации и шифрования данных

Для шифрования данных в протоколе IPSec применяет симметричный алгоритм шифрования. В симметричных схемах шифрования отправитель и получатель обладают общим известным только им ключом шифрования.

Данные могут защищаться в 2-х режимах:

1) Транспортном, когда шифруется только содержимое пакета, но не его заголовок

2) Туннельном, когда пакет шифруется целиком и помещается в новый IP-пакет

Эти режимы не являются взаимоисключающими и могут применяться совместно.

Применение того или иного режима. Тип протокола зависит от требований к защите данных и от типа узла, завершающего защищенный канал.

В4: Общие меры по повышению безопасности сети

1) Оперативная установка исправлений для программ. Обычно этим занимаются системные администраторы. К сожалению, при большом количестве компьютеров в сети невозможно оперативно отслеживать обновления в сети, которые появляются достаточно часто. Для этого необходимо вносить исправления хотя бы на наиболее важных участках

2) Обнаружение вирусов и троянских коней. Для максимальной эффективности антивирусные программы должны быть установлены на всех компьютерах. Несмотря на то, что на это уходит достаточно много времени, компьютеры с отсутствующим антивирусном в сети может принести огромный вред. Помимо антивирусных программ необходимо обеспечить сканирование приложений и электронных писем на почтовом сервере

3) Межсетевые экраны. Это самое важное средство защиты сети организации. Они контролируют сетевой трафик. Межсетевой экран может блокировать передачу в сеть любого трафика, либо выполнять его проверку. Хорошо сконфигурированный сетевой экран в состоянии остановить большинство известных компьютерных атак

4) Вскрыватели паролей. Хакеры часто используют уязвимые места в компьютерах, чтобы украсть файл с зашифрованными паролями. Расшифровав их, они могут получить доступ к слабым местам на компьютере. Хотя это средство используется хакерами сетевые администраторы, также должны иметь набор таких средств, чтобы выявить слабые места в своей сети

5) Шифрование. Атакующие часто проникают в сеть с помощью прослушивания сетевого трафика. Они выделяют имена пользователей и сопровождающие их пароли, поэтому соединение с удаленными машинами, осуществляемое с помощью пароля, должно быть зашифрованным. Особенно важно если такое соединение осуществляется через Интернет. Имеется большое количество бесплатных программ, шифрующих пароли

6) Сканирование уязвимых мест. Такие программы сканируют сеть в поисках наиболее уязвимых к определенному виду атак компьютеру. Сканеры имеют большую базу данных уязвимых мест, которые используются при проверке сети

7) Грамотное конфигурирование компьютеров, в отношении безопасности

8) Средство для поиска подключенных модемов. Для этого могут использоваться программы обзвонки большого количества телефонных номеров, так как пользователи обычно конфигурируют свои компьютеры сами, они оказываются плохо защищенными и обеспечивают возможность атаки на сеть

9) Рекомендации по безопасности. Эти рекомендации представляют собой предупреждение публикуемые группами по борьбе с вирусами. Рекомендации обычно описывают самые серьезные угрозы, возникшие в уязвимых местах. Они дают также конкретные советы, что нужно сделать для устранения этого уязвимого места

10) Средства обнаружения атак. Системы обнаружения атак могут оперативно обнаружить компьютерные атаки. Их можно установить за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Средства этого типа имеют разнообразные возможности

11) Средства выявления топологии сети и сканеры портов. Программы позволяют определить устройство сети и выявить все сервисы, которые работают на каждой машине. Это используется для выявления уязвимых компьютеров и программ. Системные администраторы должны использовать такие средства для выявления уязвимости в сети

12) Инструкции по действию в критических ситуациях. В любой сети возникают ситуации, связанные с угрозой безопасности, зачастую ложные. Пользователи сети должны заранее знать, что нужно делать в случае такой опасности

13) Политика безопасности. В организации должен содержаться документ, определяющий ожидаемый уровень защиты, и содержащий единые требования к трафику, проходящему через межсетевые экраны. Политика безопасности должна определять какие средства защиты должны использоваться в сети

14) Тестирование межсетевых экранов и серверов на устойчивость к попыткам их блокирования. Атаки и блокирование компьютеров распространены достаточно широко. Сети заботящиеся о совей безопасности должны организовывать атаки против себя, чтобы выяснить какой урон может быть нанесен им в этом случае



Л23: Выявление уязвимостей компьютерных сетей

В1: Обнаружение компьютерных атак

Существует 3 этапа осуществления атаки:

1. Подготовительный заключается в поиске предпосылок для осуществления атаки. На этом этапе ищутся уязвимости использование которых приводит к реализации атаки.

2. Собственно осуществление самой атаки.

3. Завершающий. Заметаются следы

Первый и третий этап по некоторым классификациям также рассматриваются как атака. Например, поиск уязвимости сети при помощи сканера безопасности.

Существующие механизмы защиты реализованы в межсетевых экранах, в системах разграничения доступа и т.д. они работают на втором этапе. Такие средства являются блокирующими, а не упреждающими, т.е. они защищают от атак, которые находятся в стадии осуществления.

Намного более эффективно было бы устранение самих предпосылок вторжения. Система обеспечения информационной безопасности должна работать на всех трех этапах. В частности при этом особая важность оказывается информационной безопасности проявляется на 3 этапе, когда можно оценить ущерб и разработать меры по устранению дальнейших попыток.

Классическими методами борьбы с атаками являются обнаружение реализуемых атак. И хотя они зачастую позволяют минимизировать вред от предпринимаемой атаки, однако они не обеспечивают страховку от последующих атак.

Более актуальной является задача предотвращения атаки до ее реализации, она осуществляется путем поиска уязвимостей. Таким образом, системы обнаружения атак могут быть классифицированы по этапам ее осуществления. Это можно представить в виде следующей блок-схемы:

Обманные системы предоставляют атакующему ложную информацию. Например, хакер зашел в вашу систему, и исследует открытые порты для того, чтобы выяснить с какими приложениями вы работаете. Обманная система открывает дополнительно порты неиспользуемые приложениями, и хакер затрудняется, с чем вы работаете. После совершения атаки, в первую очередь необходимо проанализировать журналы, куда записываются протоколы взаимодействия систем, и проанализировать целостность ПО.

Еще одна классификация обнаружения нарушений - по принципу реализации, т.е. обнаружение атаки на конкретный узел в сети, либо на всю сеть в целом.

В2: Системы контроля целостности

Такие системы работают по замкнутому циклу. Они обрабатывают файлы, объекты и атрибуты с целью получения контрольных сумм. Затем осуществляется сравнение этих сумм с предыдущими значениями. При обнаружении расхождений посылается сообщение администратору, фиксирующее время вероятного изменения.

При использовании обманных систем применяются методы, которые используют злоумышленники для обхода средств защиты. Используются такие методы как сокрытие, комуфляж, дезинформация. Наибольшее распространение получил первый метод - сокрытие. В первую очередь скрывается топология сети с помощью межсетевого экрана. Примером комуфляжа может послужить использование следующего приема: каждая ОС при загрузке использует определенные типы и начертания шрифта в текстовых окнах. При использовании комуфляжа вставляется дополнительное приглашение с другим шрифтом. В качестве дезинформации можно применить ложные уязвимости, которых не существует на самом деле.

Все эти перечисленные методы приводят к следующему:

1. Увеличение числа выполняемых нарушителем операций и даже дополнительные действия не всегда помогают в этом. Например, попытка подобрать пароль к несуществующей программе.

2. Получение возможности отследить нападающих. За тот период времени, пока нападающие пытаются проверить уязвимости, в том числе фиктивные, администратор системы защиты получает возможность отследить путь до нарушителя.

Очень эффективным способом дезинформации является открытие дополнительных неиспользуемых портов. Например, при открытии 100 дополнительных портов, 2 используемых найти весьма затруднительно.

В3: Средства анализа защищенности

Обнаружением уязвимости занимаются системы анализа защищенности. Они проводят всестороннее исследование заданных систем. Результаты, полученные от средств анализа защищенности, представляют собой мгновенный снимок состояния защиты системы. Несмотря на то, что такие системы не могут обнаруживать атаку в процессе развития, но могут определить потенциальную возможность. Одним из вариантов классификации уязвимости может служить классификация отображающая этапы ЖЦ системы:

1. Уязвимости проектирования на этапе проектирования системы.

2. Уязвимости реализации на этапе построения системы.

3. Уязвимости конфигурации на этапе эксплуатации системы.

Наиболее опасны уязвимости проектирования. Они обнаруживаются и устраняются с большим трудом. Обычно такая уязвимость связана с используемым алгоритмом. Смысл уязвимости второй категории заключается в появлении ошибки в программном и аппаратном обеспечении. Обнаруживаются и устраняются такие ошибки достаточно легко путем обновления исполняемого кода. Наконец, ошибки конфигурации заключаются, например, в использовании слабых паролей, в применении паролей по умолчанию и т.д.

Системы анализа защищенности можно классифицировать по типам обнаруживаемых уязвимостей, т.е. поиск уязвимостей проектирования, поиск уязвимостей реализации, поиск уязвимостей эксплуатации. Существуют несколько дополнительных классификаций этих систем, например системы анализа исходного текста и исполняемого кода.

Самым распространенным способом поиска уязвимостей являются системы имитации атак. Они обнаруживают не только уязвимости реализации, но и уязвимости эксплуатации. Такие системы могут работать на любых уровнях информационной структуры. Наибольшее распространение получили системы анализа защищенности используемых протоколов и сервисов. Это связано с универсальностью этих механизмов. Следующим по популярности является анализ защищенности ОС. Это также связано с глобальностью их распространения. При проведении анализа защищенности применяются 2 стратегии:

1. Пассивная, реализуемая на уровне ОС, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра.

2. Активная, реализуется на сетевом уровне и позволяет воспроизводить наиболее распространенные сценарии атак.

Система анализа защищенности используются:

1. Для оценки уровня безопасности организации

2. Для контроля эффективности настройки

3. Внешними аудиторскими и консалдинговыми компаниями, осуществляющими обследование сетей.

4. Для тестирования и сертификации программно-аппаратного обеспечения

В4: Меры безопасности при использовании протокола TCP\IP

Фильтрация на маршрутизаторе

Фильтры, установленные на маршрутизаторе, соединяющем сеть предприятия с Интернет применяются для запрета пропуска дейтаграмм, которые могут использоваться для атак на сеть. Следует отметить, что более безопасным решением, чем фильтрация является использование прокси-сервера.

Прокси-сервер осуществляет связь с необходимыми хостами, а пользователь подключается только к прокси-серверу. В этом случае реализуются следующие преимущества:

1. Анализ сетевого трафика, который проводится для обнаружения атак

2. Защита маршрутизатора с целью предотвращения атак

3. Защита хоста для предотвращения атак

4. Предварительное сканирование для обнаружения слабых мест в безопасности

Размещено на Allbest.ru