9934

Безопасность сетевых технологий. История развития вычислительных сетей.

Реферат

Информатика, кибернетика и программирование

Безопасность сетевых технологий Компоненты сети и принципы построения. Локальные и глобальные сети. Характеристики сетевых операционных систем. Модель взаимодействия открытых систем OSI. Реализация сетевого взаимодействия средствами комму...

Русский

2013-03-18

3.07 MB

43 чел.

 70 -

Безопасность сетевых технологий

Компоненты сети и принципы построения. Локальные и глобальные сети. Характеристики сетевых операционных систем.

Модель взаимодействия открытых систем OSI. Реализация сетевого взаимодействия средствами коммуникационных протоколов.

Организация корпоративных сетей Intranet.

Причины уязвимости в Intranet-сетях, угрозы и типовые атаки на Intranet-сети.

Основные угрозы в распределённых вычислительных системах, технологии фильтрации трафика, технологии трансляции адресов, proxy-сервера, защищённые протоколы.

Средства мониторинга безопасности сети и ОС, анализаторы протоколов, средства обнаружения вторжений, средства управления сетью.

История развития вычислительных сетей.

Системы пакетной обработки

Системы пакетной обработки, как правило, строились на базе мэйнфрейма - мощного и надёжного компьютера универсального назначения (см рис.1). Интерфейс "пользователь-компьютер" осуществлялся посредством перфокарт.

Хотя для пользователей интерактивный режим работы был бы удобнее, в те времена для самого дорогого устройства вычислительной машины - процессора, пакетный режим оставался наиболее эффективным режимом использования вычислительной мощности (пример - БЭСМ6).

Многотеминальные системы - праобраз сети

По мере удешевления процессоров в начале 60-х годов начали развиваться интерактивные многотерминальные системы разделения времени (см.рис.2). Компьютер отдавался в распоряжение нескольким пользователям. Время реакции вычислительной системы было достаточно мало и пользователю была не заметна параллельная работа с компьютером других пользователей.

Теперь многие функции - такие как ввод и вывод данных - стали распределёнными (хотя вычислительная мощность оставалась централизованной). Такая работа стала похожа на работу в локальной вычислительной сети. Пользователь получал доступ к общим файлам и периферийным устройствам, у него поддерживалась иллюзия единоличной работы с компьютером (пример - ЭВМ серии ЕС, ОС СВМ).

Однако до появления локальных сетей было далеко из за высокой стоимости вычислительной техники было выгоднее иметь одну дорогую мощную машину, чем две менее мощных (закон "Гроша") - их суммарная мощность была намного ниже мощности дорогой машины.

Появление глобальных сетей

К этому времени назрела потребность в соединении компьютеров, находящихся на большом расстоянии друг от друга. Сперва была решена задача удалённого доступа к компьютеру с терминалов через телефонные сети с помощью модемов (см. рис.2). А затем появились системы, в которых наряду с удалёнными соединениями типа терминал-компьютер были реализованы связи типа компьютер-компьютер (см. рис. 3).

Компьютеры стали обмениваться данными в автоматическом режиме, что является базовым механизмом любой вычислительной сети. Используя этот механизм, в первых сетях были реализованы службы обмена файлами, синхронизации баз данных, электронной почты и др., ставшие теперь традиционными сетевые службы.

Первые локальные сети

С появлением больших интегральных схем в 70-х гг., появились более дешёвые, но более функциональные мини-компьютеры, ставшие конкурентами мэйнфреймам (пример ЭВМ серии СМ). Появилась концепция распределения компьютерных ресурсов по предприятию, однако все компьютеры одной организации по прежнему работали автономно (см. рис.4).

Тем не менее, со временем возникла необходимость иметь возможность обмена данными с другими, близко расположенными компьютерами. Предприятия стали соединять свои мини-компьютеры вместе и разрабатывать ПО, необходимое для их взаимодействия. Появились первые локальные сети (см.рис.5), которые отличались от современных локальных сетей, в первую очередь - нестандартными устройствами сопряжения, которые могли соединять только те компьютеры, для которых были разработаны.

Создание стандартных технологий локальных сетей

В середине 80-х годов утвердились стандартные технологии объединения компьютеров в сеть - Ethernet, Arcnet, TokenRing. Персональные компьютеры стали преобладать в локальных сетях, причём не только в качестве клиентских компьютеров, но и в качестве центров хранения и обработки данных, то есть сетевых серверов, потеснив с этих привычных ролей мини компьютеры и мэйнфреймы.

Стандартные сетевые технологии превратили процесс построения локальной сети из искусства в рутинную работу. Для сети достаточно было приобрести стандартную сетевую аппаратуру, установить одну из популярных сетевых ОС. После этого сеть начинала работать и присоединение каждого нового компьютера не вызывало никаких пробоем.

Локальные сети внесли много нового в способы организации работы пользователей. После соединения с удалёнными ресурсами можно было работать с ними с помощью уже знакомых пользователю по работе с локальными ресурсами команд. А возможность реализовать все эти удобства разработчики локальных сетей получили в результате появления высококачественных линий связи.

Общие принципы построения сетей.

Основные компоненты сети

Компьютерные сети относятся к распределённым (или децентрализованным) системам - системам, имеющим несколько центров обработки данных. К распределённым системам также относятся:

  •  Мультипроцессорные компьютеры, имеющие несколько процессоров, каждый из которых может независимо от остальных выполнять свою программу (привести пример системы 2 в 1). Общая для всех процессоров ОС оперативно распределяет вычислительную нагрузку между процессорами. Взаимодействие между процессорами организуется наиболее простым способом - через общую оперативную память. Основное достоинство мультипроцессора - его высокая производительность достигается за счёт параллельной работы нескольких процессоров. Еще одно качество  отказоустойчивость. Территориальная распределённость не обеспечивается.
  •  Многомашинная система - вычислительный комплекс, включающий в себя несколько компьютеров (каждый из которых работает под управлением собственной ОС), а так же программные и аппаратные средства связи компьютеров, которые обеспечивают работу всех компьютеров комплекса как единого целого. У многомашинной системы высокая отказоустойчивость (пример ЕС-1045-2к), высокая производительность за счёт организации параллельных вычислений. Территориальная распределённость не обеспечивается.
  •  В вычислительных сетях основными элементами являются стандартные компьютеры, не имеющие ни общих блоков памяти, ни общих периферийных устройств. Связь между компьютерами осуществляется с помощью специальных периферийных устройств - сетевых адаптеров, соединённых относительно протяжёнными каналами связи. Каждый компьютер работает под управлением собственной ОС, взаимодействие происходит за счёт передачи сообщений через сетевые адаптеры и каналы связи.

На компьютерах, ресурсы которых должны быть доступны пользователям сети устанавливают программные модули, называемые серверами (server). Серверы постоянно находятся в режиме ожидания запросов, поступающих по сети от других компьютеров.

На компьютерах, которые должны получить доступ к ресурсам других компьютеров устанавливаются программные модули, называемые клиентами (client). Клиенты вырабатывают запросы на доступ к удалённым ресурсам и передают их по сети на нужный компьютер.

Пара модулей "клиент-сервер" обеспечивает совместный доступ пользователей к определённому типу ресурсов. В этом случае говорят, что пользователь имеет дело со службой (service). Обычно сетевая ОС поддерживает несколько видов сетевых служб - файловую службу, службу печати, службу электронной почты, службу удалённого доступа и др.

Термины "клиент" и "сервер" используются не только для обозначения программных модулей, но и компьютеров, подключённых к сети.

Сетевые службы представляют собой распределённые программы. Распределённая программа - программа, которая состроит из нескольких взаимодействующих частей, причём каждая, как правило, выполняется на отдельном компьютере сети (см. рис.6). Распределённые программы бывают системные и пользовательские - приложения. Распределённые приложения в полной мере используют потенциальные возможности распределённой обработки, предоставляемые вычислительной сетью, и поэтому часто называются сетевыми приложениями (пример Access-нераспределённое приложение, MS SQL Server-распределённое приложение).

Итак, можно дать определение сетей. Вычислительные сети - это сложный комплекс взаимосвязанных и согласованно функционирующих программных и аппаратных компонентов. Она является одной из разновидностей распределённых систем, достоинством которых является возможность распараллеливания вычислений, за счёт чего может быть достигнуто повышение производительности и отказоустойчивости системы. Изучение сети в целом предполагает знание принципов работы её элементов:

  •  компьютеров - набор компьютеров в сети должен соответствовать набору задач, решаемых сетью;
  •  коммуникационного оборудования - (кабельные системы, повторители, мосты, коммутаторы, маршрутизаторы, концентраторы - знание принципов их работы требует знакомства с большим количеством протоколов);
  •  операционных систем - необходимо учитывать, насколько сетевая ОС может взаимодействовать с другими ОС сети, на сколько обеспечивает безопасность и защищённость данных, до какой степени позволяет наращивать число пользователей;
  •  сетевых приложений - очень важно знать диапазон возможностей, предоставляемых сетевыми приложениями для различных областей применения, а так же знать, насколько они совместимы с другими сетевыми приложениями и ОС.

Объединение нескольких компьютеров

Компьютеры, объединённые в сеть часто называют станциями или узлами сети. Между узлами устанавливаются физические и логические связи.

Логические связи представляют собой маршруты передачи данных между узлами сети и образуются путём соответствующей настройки коммуникационного оборудования.

Конфигурация физических связей (топология) определяется электрическими соединениями компьютеров между собой (см. рис.7).

Рассмотрим некоторые встречающиеся виды топологий:

  •  Полносвязная топология - каждый компьютер сети связан со всеми остальными - достаточно громоздкий вариант (необходимо большое количество коммуникационных портов, для каждой пары компьютеров должна быть выделена отдельная электрическая линия связи). Используется в многомашинных комплексах или глобальных сетях при небольшом количестве компьютеров.
  •  Ячеистая топология - получается путём удаления из полносвязной некоторых возможных связей (непосредственно связываются те компьютеры, между которыми происходит интенсивный обмен данными, а для несвязанных компьютеров используются транзитные передачи через промежуточные узлы). Характерна для глобальных сетей.
  •  Общая шина - очень распространённая топология - компьютеры подключаются по одному коаксиальному кабелю по схеме "монтажного ИЛИ", передаваемая информация может распространяться в обе стороны (основные преимущества - дешевизна и простота разводки кабеля, недостаток - низкая надёжность, низкая производительность - только один компьютер может передавать данные в сеть).
  •  Топология звезда - каждый компьютер отдельным кабелем подключается к общему устройству - концентратору, который направляет передаваемую информацию одному или всем остальным компьютерам сети (главное достоинство: высокая надёжность, проблемы выхода из строя линии связи касаются только одного компьютера, недостатки: высокая стоимость сетевого оборудования, ограничение наращивания количества узлов количеством портов концентратора).
  •  Иерархическая звезда - сеть с использованием нескольких концентраторов, иерархически соединённых между собой связями типа звезда.
  •  Кольцевая - данные передаются по кольцу от одного компьютера к другому. Компьютер принимает данные, если распознаёт их как "свои". Удобная конфигурация для организации обратной связи.
  •  Смешанная топология характерна для больших сетей.

В вычислительных сетях используют как индивидуальные линии связи между компьютерами, так и разделяемые (shared), когда одна линия попеременно используется несколькими компьютерами. Это взывает некоторые проблемы как электрические (обеспечение качества сигналов - при одновременной передаче данных сигналы смешиваются и искажаются), так и логические - разделение во времени доступа к линиям. Эти проблемы решают процедуры согласования доступа к линии связи, но они могут занимать слишком большой промежуток времени и приводить к потерям производительности сети.

Ещё одной проблемой при объединении компьютеров является проблема адресации. К адресу узла в сети можно предъявить следующие требования:

  •  Адрес должен уникально идентифицировать компьютер в сети любого масштаба;
  •  Схема назначения адресов должна сводить к минимуму ручной труд администратора и вероятность дублирования адресов;
  •  Адрес должен иметь иерархическую структуру, удобную для построения больших сетей;
  •  Адрес должен быть удобным для пользователей сети, а значит иметь символьное представление (например, www.cisco.com или Server3);
  •  Адрес должен иметь компактное представление.

Так как все требования трудно вместить в рамки одной схемы адресации, то на практике обычно используют несколько схем, так что компьютер одновременно имеет несколько адресов-имён. Чтобы не возникало путаницы, существуют специальные протоколы, которые определяют соответствие имен по адресам разных типов.

Наиболее распространены три схемы адресации узлов:

  •  Аппаратные (hardware) адреса - не имеют иерархической структуры (например - адрес сетевого адаптера локальной сети (MAC-адрес), используется только аппаратурой, встраивается в аппаратуру и записывается в виде двоичного или шестнадцатиричного значения - 004f815e24a8. Уникальность адреса обеспечивается оборудованием);
  •  Символьные адреса или имена - предназначены для запоминания людьми и несут смысловую нагрузку. Сетевое имя может иметь иерархическую структуру (ftp-arch1.ucl.ac.uk)
  •  Числовые составные адреса - в больших сетях используют числовые составные адреса фиксированного и компактного формата. Типичными представителями являются IP-адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть - номер сети и младшую - номер узла. Такое деление позволяет передавать сообщения между сетями на основании номера сети, а номер узла используется после доставки сообщения в нужную сеть.

Проблема установления соответствия между адресами различных типов, которыми занимается служба разрешения имён, может разрешаться как централизовано, так и распределёнными средствами. В первом случае в сети выделяется сервер имён, в котором хранится таблица соответствия имён, а все остальные компьютеры обращаются к серверу имён. Во втором случае каждый компьютер сам решает задачу установления соответствия (компьютер посылает в сеть сообщение с просьбой опознать числовое имя. Тот компьютер, у которого обнаружилось совпадение посылает ответ, после чего становится возможной отправка сообщения. Недостаток - необходимость широковещательных сообщений).

Наиболее известной службой централизованного разрешения имён является служба Domain Name System (DNS).

Кратко о стандарте Ethernet: принцип работы - случайный метод доступа к разделяемой среде. В стандарте Ethernet строго зафиксирована топология физических связей - "общая шина" (185 м кабеля, не более 30 компьютеров). Управление доступом к линии связи осуществляется специальным контроллером - сетевым адаптером Ethernet.

Компьютер в сети Ehternet может передавать данные по сети, только если сеть свободна. Поэтому важной частью технологии Ethernet является процедура определения доступности среды.

Время монопольного использования разделяемой среды одним узлом ограничивается временем передачи одного кадра. Кадр - единица данных, которыми компьютеры обмениваются в сети Ethernet.

При попадании кадра в разделяемую среду, все сетевые адаптеры начинают принимать этот кадр, анализируя адрес назначения, пока компьютер-адресат не получит предназначенные ему данные. Иногда при этом возникают коллизии - когда два компьютера начинают передавать одновременно.

Главное достоинство стандарта Ethernet - экономичность (необходим только сетевой кабель и сетевые адаптеры).

Линии связи

Любая сетевая технология должна обеспечить надёжную и быстрцю передачу данных по линиям связи. И хотя между технологиями имеются большие различия, базируются они на общих принципах передачи данных.

Линия связи состоит в общем случае из физической среды, по которой передаются электрические информационные сигналы, аппаратуры передачи данных и промежуточной аппаратуры. Синонимом термина линия связи (line) является термин канал связи (channel) (см.рис.8).

Физическая среда передачи данных (medium) может представлять собой кабель, то есть набор проводов, изоляционных и защитных оболочек и соединительных разъёмов, а так же земную атмосферу и космическое пространство, через которое распространяются электромагнитные волны.

В зависимости от среды передачи данных линии связи разделяются на следующие:

  •  Проводные (воздушные) линии связи - провода без каких-либо изолирующих или экранирующих оплёток, проложенные между столбами и висящие в воздухе (как правило, уже существующие телефонные или телеграфные).
  •  Кабельные линии - достаточно сложная конструкция, состоящая из проводников, заключённых в несколько слоёв изоляции: электрической, электромагнитной, механической, а также, возможно климатической. В компьютерных сетях применяются три основных вида кабеля:
    •  Витая пара (twisted pair) - пара медных проводов, скручивание которых снижает влияние внешних помех на полезные сигналы, передаваемые по сети. Витая пара существует в экранированном варианте и неэкранированном.
    •  Коаксиальный кабель (coaxial) - имеет несимметричную конструкцию и состоит из внутренней медной жилы и оплётки, отделённой от жилы слоем изоляции.
    •  Волоконно-оптический кабель (optical fiber) - состоит из тонких (5 - 60 микрон) волокон, по которым распространяются световые сигналы. Это наиболее качественный тип кабеля - обеспечивает передачу данных с очень высокой скоростью.
  •  Радиоканалы наземной и спутниковой связи - образуются при помощи передатчика и приёмника радиоволн.

В компьютерных сетях применяются практически все описанные типы физических сред передачи данных.

Аппаратура передачи данных (АПД) непосредственно связывает компьютеры или локальные сети пользователя с линией связи и является пограничным оборудованием (модемы, терминальные адаптеры сетей, устройства подключения к цифровым каналам).

Оконечное оборудование данных (ООД) - аппаратура, вырабатывающая данные для передачи по линии связи и подключаемая непосредственно к аппаратуре передачи данных (компьютеры, маршрутизаторы локальных сетей).

Промежуточная аппаратура обычно используется на линиях связи большой протяжённости, решая две основные задачи:

  •  улучшение качества сигнала;
  •  создание постоянного канала связи между двумя абонентами.

Промежуточная аппаратура канала связи прозрачна для пользователя, он её не замечает и не учитывает в своей работе.

Структуризация сетей

Топологии "кольцо", "общая шина", "звезда" или "полносвязная сеть" обладают свойством однородности, т.е. все компьютеры в сети имеют одинаковые права в отношении доступа к другим компьютерам.

Однако, построение больших сетей порождает различные ограничения:

  •  ограничение на длину связи между узлами;
  •  ограничение на количество узлов в сети;
  •  ограничение на интенсивность трафика, порождаемого узлами.

Для снятия этих ограничений используются различные методы структуризации сети и специальное структурообразующее (коммуникационное) оборудование  повторители, концентраторы, мосты, коммутаторы, маршруртизаторы.

Физическая структуризация сети. 

Простейшее коммуникационное устройство - повторитель (repitor) - используется для физического соединения различных сегментов кабеля сети с целью увеличения общей длины сети. Повторитель передаёт сигналы из одного сегмента сети в другие (см. рис.9).

Повторитель, который имеет несколько портов и соединяет несколько физических сегментов называется концентратором (concentrator) или хабом (hub). Концентраторы повторяют сигналы, пришедшие с одного из своих портов, на других своих портах. Разница в работе концентраторов заключается в том, на каких именно портах повторяются входные сигналы (см. рис.10).

Физическая структуризация сети не только увеличивает расстояние между узлами сети, но и повышает надёжность - концентратор может блокировать некорректно работающий узел, выполняя роль некоторого управляющего узла.

Логическая структуризация сети.

Напомним, что физическая топология - это конфигурация связей, образованных отдельными частями кабеля, а логическая - конфигурация информационных потоков между компьютерами сети. Во многих случаях физическая и логическая топологии совпадают, но иногда происходит их несовпадение (см.рис.11). Здесь наиболее важной проблемой остаётся проблема перераспределения трафика между различными физическими сегментами сети.

Не зависимо от того, как распределяется внешний и внутренний трафик в подсетях, для повышения эффективности работы сети необходимо учитывать неоднородность информационных потоков (соотношение 80% / 20% - внутренний трафик / внешний трафик).

Решение проблемы состоит в отказе от идеи единой однородной разделяемой сети. Распространение трафика для компьютеров некоторого сегмента сети, только в пределах этого сегмента, называется локализацией трафика.

Логическая структуризация сети - это процесс разбиения сети на сегменты с локализованным трафиком.

Для логической структуризации сети используются такие коммуникационные устройства, как мосты, коммутаторы, маршрутизаторы и шлюзы.

Мост (bridge) делит разделяемую сеть на части (логические сегменты), передавая информацию только в том случае, если адрес компьютера принадлежит другой подсети, тем самым изолируя трафик одной подсети от другой. Локализация трафика не только экономит пропускную способность, но и уменьшает возможность НСД к данным, так как кадры не выходят за пределы своего сегмента (см. рис.12).

Мосты используют для локализации трафика аппаратные адреса компьютеров. Это затрудняет распознавание принадлежности того или иного компьютера к определённому логическому сегменту. Мост достаточно упрощённо представляет деление сети на сегменты - он запоминает, через какой порт на него поступил кадр данных от каждого компьютера сети, и в дальнейшем передаёт кадры, предназначенные для этого компьютера, на этот порт. Сегменты же должны бать образованы таким образом, чтобы в сети не образовывались замкнутые контуры.

Коммутатор (switch, switching hub) по принципу обработки кадров ничем не отличается от моста. Основное его отличие от моста состоит в том, что он является коммуникационным мультипроцессором, так как каждый его порт оснащён специальным процессором, который обрабатывает кадры по алгоритму моста независимо от процессоров других портов. Коммутаторы - это мосты нового поколения, которые обрабатывают кадры в параллельном режиме.

Маршрутизатор (router) образует логические сегменты посредством явной адресации, поскольку используют не плоские аппаратные, а составные числовые адреса. В этих адресах имеется поле номера сети, так что все компьютеры, у которых значение этого поля одинаково, принадлежат к одному сегменту, называемому подсетью (subnet) (см.рис.13). Маршрутизаторы могут работать в сети с замкнутыми контурами, осуществляя выбор наиболее рационального маршрута.

Маршрутизаторы способны связывать в единую сеть подсети, построенные с использованием разных сетевых технологий (например Ethernet и X.25).

Шлюз (gateway) - устройство, позволяющее объединить сети с разными типами системного и прикладного программного обеспечения. Локализация трафика является побочным явлением.

Локальные и глобальные сети

Для классификации компьютерных сетей используются различные признаки, но чаще всего сети делят на типы по территориальному признаку (т.е. по величине территории).

Локальные сети (Local Area Networks).

К локальным сетям относят сети компьютеров, сосредоточенные на небольшой территории (1 - 2 км). В общем случае локальная сеть представляет собой коммуникационную систему, принадлежащую одной организации. Из-за коротких расстояний в локальных сетях имеется возможность использования дорогих высококачественных линий связи, которые позволяют достигать высоких скоростей обмена данными (порядка 100 Мбит/с), применяя простые методы передачи данных.

Глобальные сети (Wide Area Networks)

Глобальные сети объединяют территориально рассредоточенные компьютеры, которые могут находиться в различных городах и странах. В глобальных сетях часто используются уже существующие линии связи (десятки Кбит/с), изначально предназначенные для других целей (например, телефонные и телеграфные каналы общего назначения). Из-за низких скоростей таких линий связи набор предоставляемых услуг ограничивается передачей файлов, преимущественно не в оперативном, а в фоновом режиме, с использованием электронной почты. Здесь, как правило, применяются сложные процедуры контроля и восстановления данных для обеспечения устойчивой передачи данных.

Городские сети или сети мегаполисов (Metropoliten Area Network).

Это менее распространённый тип сетей, предназначенный для обслуживания территории крупного города - мегаполиса. Сети мегаполисов занимают некоторое промежуточное положение. Они используют цифровые магистральные линии связи (от 45 Мбит/с) и предназначены для связи локальных сетей в масштабах города и соединения локальных сетей с глобальными.

Основные отличия локальных сетей от глобальных:

  •  Протяжённость, качество и способ прокладки линий связи.
  •  Сложность методов передачи и оборудования (в глобальных сетях).
  •  Скорость обмена данными.
  •  Разнообразие услуг (в локальных сетях).
  •  Оперативность выполнения запросов (в локальных сетях).
  •  Разделение каналов.
  •  Масштабируемость (локальные сети плохо масштабируются из-за жесткости базовых топологий).

4. Требования, предъявляемые к сети

Главным требованием, предъявляемым к сетям, является выполнение сетью её основной функции - обеспечение пользователям потенциальной возможности доступа к разделяемым ресурсам всех компьютеров, объединённых в сеть. Все остальные требования связаны с качеством выполнения этой основной задачи.

Производительность

Производительность обеспечивается возможностью распараллеливания работ между несколькими компьютерами сети. Существуют несколько основных характеристик производительности сети:

  •  Время реакции - интервал времени между возникновением запроса пользователя к какой-либо сетевой службе и получением ответа на запрос.
  •  Пропускная способность - объём данных, переданных сетью в единицу времени.
  •  Задержка передачи - задержка между моментом поступления пакета на вход какого-либо сетевого устройства, или части сети, и моментом появления его на выходе этого устройства.

Надёжность и безопасность

Для оценки надёжности применяется следующий набор характеристик:

  •  Готовность или коэффициент готовности - доля времени, в течении которого система может быть использована.
  •  Сохранность данных и защита их от искажения.
  •  Согласованность (непротиворечивость) - если для повышения надёжности на нескольких файловых серверах хранится несколько копий данных, то нужно постоянно поддерживать их идентичность.
  •  Вероятность доставки пакета узлу назначения без искажений.
  •  Безопасность - способность системы защитить данные от несанкционированного доступа.
  •  Отказоустойчивость - способность системы скрыть от пользователя отказ отдельных её элементов.

Расширяемость и масштабируемость

Расширяемость - возможность сравнительно лёгкого добавления отдельных элементов сети (пользователей, компьютеров, приложений, служб), наращивания длины сегментов сети и замены существующей аппаратуры более мощной.

Масштабируемость  возможность наращивания количества узлов и протяжённость сетей в очень широких пределах без потери производительности сети.

Прозрачность

Прозрачность сети достигается в том случае, когда сеть представляется пользователям не как множество компьютеров, связанных между собой сложной системой кабелей, а как традиционная вычислительная машина с системой разделения времени. (Прозрачность параллелизма - процесс распараллеливания вычислений происходит автоматически, без участия программиста, при этом система сама распределяет параллельные ветви приложения по процессорам и компьютерам сети.

Поддержка разных видов трафика

Совмещение в одной сети традиционного компьютерного и мультимедийного трафика, которые поддерживают разные протоколы, совмещение трафиков с противоположными требованиями к качеству обслуживания.

Управляемость

Управляемость - возможность централизовано контролировать состояние составных элементов сети, выявлять и разрешать проблемы, возникающие при работе сети, выполнять анализ производительности и планировать развитие сетей.

Совместимость

Совместимость и интегрируемость означает, что сеть способна включать в себя самое разнообразное программное и аппаратное обеспечение, т.е. в ней могут сосуществовать различные операционные системы, поддерживающие разные стеки коммуникационных протоколов, и работать аппаратные средства и приложения от разных производителей.


Модель взаимодействия открытых систем
OSI

Стандартизация - принятие производителями общепринятых правил построения оборудования. В компьютерных сетях идеологической основой стандартизации является многоуровневый подход к разработке средств сетевого взаимодействия. Именно на основе этого подхода была разработана семиуровневая модель взаимодействия открытых систем.

Средства сетевого взаимодействия могут быть представлены в виде иерархически организованного множества модулей. При этом модули нижнего уровня могут решать вопросы, связанные с надёжной передачей электрических сигналов между двумя соседними узлами. Модули более высокjго уровня организуют транспортировку сообщений в пределах всей сети, пользуясь для этого средствами низлежащего уровня. А на верхнем уровне работают модули, предоставляющие пользователям доступ к различным службам - файловой, печати и др.

Участники сетевого обмена должны принять множество соглашений: уровни электрических сигналов, способ определения длины сообщений, договориться о методе контроля достоверности и др. Соглашения должны быть приняты для всех уровней, начиная с самого низкого - уровня передачи битов - до самого высокого, результирующего сервис для пользователей сети. Пример - многоуровневое взаимодействие предприятий (см.рис.14).

Процедура взаимодействия может быть описана в виде набора правил взаимодействия каждой пары соответствующих уровней.

Протокол - формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах.

Интерфейс - правила взаимодействия соседних уровней, находящихся в одном узле, с помощью стандартизованных форматов сообщений. Интерфейс определяет набор сервисов, предоставляемых данному уровню соседним уровнем.

Иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов сети называется стеком коммуникационных протоколов.

Протоколы нижних уровней реализуются комбинацией программных и аппаратных средств, а протоколы верхних уровней - как правило, чисто программными средствами.

Протоколы реализуются не только компьютерами, но и другими сетевыми устройствами - концентраторами, мостами, коммутаторами, маршрутизаторами и др.

На практике при реализации сетей стремятся использовать стандартные протоколы. В 80-х гг была разработана модель, которая сыграла значительную роль в развитии сетей – модель взаимодействия открытых систем (Open System Interconnection, OSI). Модель OSI определяет различные уровни взаимодействия систем, даёт им стандартные имена и указывает, какие функции должен выполнять каждый уровень (см. рис. 15).

В модели OSI средства взаимодействия делятся на 7 уровней:

  1.  Физический уровень (Physical layer).

На физическом уровне происходит:

  •  передача битов по физическим каналам;
    •  определение характеристик физических сред передачи данных;
    •  определение характеристик электрических сигналов;
    •  стандартизируются типы разъёмов и назначение каждого контакта.

Не учитывается занятость линий

  1.  Канальный уровень (Data Link layer) - набор функций по пересылке сообщений между узлами сети.

На канальном уровне:

  •  проверяется доступность среды передачи;
    •  реализуются механизмы обнаружения и коррекции ошибок (проверка контрольной суммы, повторная передача повреждённых кадров, использование избыточного кодирования)

Работает только в сети с жёстко определённой топологией (нет системы межсетевой адресации). В протоколах канального уровня заложена определенная структура связей между компьютерами и способы их адресации. Адреса, используемые на канальном уровне в локальных сетях, часто называют МАС-адресами.

  1.  Сетевой уровень (Network Layer).

Сетевой уровень:

  •  служит для образования единой транспортной системы, объединяющей несколько сетей;
    •  занимается доставкой данных между сетями;
    •  поддерживает возможность правильного выбора маршрута передачи сообщения.
    •  решает задачи согласования разных технологий;
    •  упрощает адресацию в крупных сетях;
    •  создаёт барьеры на пути нежелательного трафика.

Поддерживает сетевые протоколы (для реализации продвижения пакетов через сеть) и протоколы маршрутизации (для сбора информации о топологии межсетевых соединений)

  1.  Транспортный уровень (Transport Layer) обеспечивает передачу данных с заданной степенью надёжности и предоставляет пять классов сервиса, которые характеризуются следующими параметрами:
    •  срочность;
    •  возможность восстановления прерванной связи;
    •  способностью к обнаружению и исправлению ошибок.

Протоколы нижних четырёх уровней называют сетевым транспортом или транспортной подсистемой, так как они решают задачу транспортировки сообщений с заданным уровнем качества. Остальные три верхних уровня решают задачи предоставления прикладных сервисов на основании имеющейся транспортной подсистемы.

  1.  Сеансовый уровень (Session layer) обеспечивает управление диалогом:
    •  фиксирует, какая из сторон является активной в настоящий момент;
    •  предоставляет средства синхронизации (вставка контрольных точек в длинные сообщения, чтобы в случае отказа начинать передачу с последней контрольной точки).
  2.  Представительный уровень (Presentation layer).

Представительный уровень:

  •  осуществляет контроль за формой представления передаваемой по сети информации, не меняя при этом её содержания (например преодолевает синтаксические различия в представлении данных или же различия в кодах символов);
    •  выполняет шифрование и дешифрование данных.
  1.  Прикладной уровень (Application layer) - набор протоколов для получения доступа к разделяемым ресурсам (принтеры, файлы, гипертекстовые Web-страницы).

Три нижних уровня являются сетезависимыми - протоколы этих уровней тесно связаны с технической реализацией сети и коммуникационным оборудованием (переход на оборудование другой технологии означает полную смену этих протоколов в узлах сети).

Три верхних уровня ориентированы на приложения и мало зависят от технических особенностей построения сети - сетенезависимые протоколы.

Транспортный уровень является промежуточным, он скрывает все детали функционирования нижних уровней от верхних. Это позволяет разрабатывать приложения не зависящие от технических средств.

В модели OSI различают два основных типа протоколов, которые используют в своём взаимодействии компьютеры:

  •  с установлением соединения (connection oriented) - перед обменом данными отправитель и получатель устанавливают соединение (пример - телефон).
  •  без предварительного установления соединения (connectionless) - отправитель передаёт сообщение, когда оно готово (пример - отправка письма).

Модель OSI описывает взаимосвязи открытых систем - систем, построенных в соответствии с открытыми спецификациями - общедоступными спецификациями, соответствующими стандартам, принятым в результате достижения согласия после всестороннего обсуждения всеми заинтересованными сторонами.

Использование при разработке систем открытых спецификаций позволяет третьим сторонам разрабатывать для этих систем различные аппаратные или программные средства расширения и модификации, а также создавать аппаратно-программные комплексы из продуктов разных производителей.

Стандартные стеки коммуникационных протоколов

Важнейшим направлением стандартизации является стандартизация коммуникационных протоколов. В настоящее время наиболее популярными являются стеки: TCP/IP, IPX/SPX, NetBIOS/SMB, DECnet, SNA и OSI. Все эти стеки, кроме SNA, на нижних уровнях - физическом и канальном, - используют одни и те же хорошо стандартизированные протоколы Ethernet, Token Ring, FDDI и некоторые другие, которые позволяют использовать во всех сетях одну и ту же аппаратуру. Зато на верхних уровнях все стеки работают по своим собственным протоколам. Эти протоколы часто не соответствуют рекомендуемому моделью OSI разбиению на уровни. В частности, функции сеансового и представительного уровня, как правило, объеденены с прикладным уровнем (см. рис. 16).

Модель OSI

IBM/Microsoft

TCP/IP

Novell

Стек OSI

Прикладной

SMB

Telnet, FTP, SNMP, SMTP, WWW

NCP, SAP

X.400, X.500, FTAM

Представительный

Представительный протокол OSI

Сеансовый

NetBIOS

TCP

Сеансовый протокол OSI

Транспортный

SPX

Транспортный протокол OSI

Сетевой

IP, RIP,  OSPF

IPX, RIP,  NLSP

ES-ES, IS-IS

Канальный

802.3 (Ethernet), 802.5 (Token Ring), FDDI, Fast Ethernet, SLIP, 100VG-AnyLAN, X.25, ATM, LAP-B, LAP-D, PPP

Физический

Коаксиал, экранированная и неэкранированная витая пара, оптоволокно, радиоволны

Рис. 16 Соответствие популярных стеков протоколов модели OSI

Стек OSI

Стек OSI - международный, независимый от производителей стандарт, является наиболее популярным в мире. Тем не менее его отличает большая сложность и неоднозначность спецификаций, ставшие результатом общей политики разработчиков стека, стремившихся учесть в своих протоколах все случаи жизни и все существующие и появляющиеся технологии. Как следствие - наиболее подходит для мощных машин, а не для сетей персональных компьютеров.

Стек TCP/IP

Стек TCP/IP сегодня используется для связи компьютеров в Internet, а также в огромном числе корпоративных сетей.

Основными протоколами стека являются протоколы IP и TCP, относящиеся к сетевому и транспортному уровню соответственно. IP обеспечивает продвижение пакета по составной сети, а TCP гарантирует надёжность его доставки.

Стек TCP/IP вобрал в себя большое количество протоколов прикладного уровня: протокол пересылки файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, гипертекстовые сервисы службы WWW и многие другие.

Сейчас любая промышленная ОС обязательно включает программную реализацию этого стека в своём комплекте поставки. Особенностями стека TCP/IP являются:

  •  способность фрагментировать пакеты. В каждом из сегментов сетей может быть установлена собственная максимальная длина единицы передаваемых файлов и может возникнуть необходимость деления передаваемого кадра на несколько частей. Протокол IP эффективно решает эту задачу.
  •  гибкая система адресации, позволяющая включать в интрасеть сети других технологий.
  •  экономное использование широковещательных рассылок.

Стек IPX/SPX

IPX/SPX оригинальный стек протоколов фирмы Novell, разработан для ОС NetWare. Особенность его заключается в том, что он рассчитан на работу в локальных сетях небольшого размера, состоящих из ПК со скромными ресурсами. До недавнего времени открытые спецификации стека IPX/SPX не поддерживались, являясь собственностью фирмы Novell.

Стек NetBIOS/SMB

Этот стек используется в продуктах компаний IBM и Microsoft. Протокол, потребляющий немного ресурсов и предназначен для сетей, насчитывающих не более 200 рабочих станций. Его недостатком является то, что с его помощью невозможна маршрутизация пакетов. Это ограничивает применение протоколов стека локальными сетями, разделёнными на подсети.

Стеки протоколов SNA фирмы IBM, DECnet корпорации Digitat Equipment и AppleTalk/AFP фирмы Apple применяются в основном в операционных системах и сетевом оборудовании этих фирм.


Реализация сетевого взаимодействия средствами TCP/IP

В настоящее время стек TCP/IP является самым популярным средством организации сетей (в том числе и составных).

История и перспективы стека TCP/IP

Transmission Control Protocol/Internet Protocol (TCP/IP) - это промышленный стандарт стека протоколов, разработанный для глобальных сетей.

Стандарты TCP/IP опубликованы в серии документов, названных Request for Comment (RFC). Документы RFC описывают внутреннюю работу сети Internet. Некоторые RFC описывают сетевые сервисы или протоколы и их реализацию, в то время как другие обобщают условия применения. Стандарты TCP/IP всегда публикуются в виде документов RFC, но не все RFC определяют стандарты.

Стек был разработан по инициативе Министерства обороны США (Department of Defence, DoD) более 20 лет назад для связи экспериментальной сети ARPAnet с другими сателлитными сетями как набор общих протоколов для разнородной вычислительной среды. Сеть ARPA поддерживала разработчиков и исследователей в военных областях. В сети ARPA связь между двумя компьютерами осуществлялась с использованием протокола Internet Protocol (IP), который и по сей день является одним из основных в стеке TCP/IP и фигурирует в названии стека.

Большой вклад в развитие стека TCP/IP внес университет Беркли, реализовав протоколы стека в своей версии ОС UNIX. Широкое распространение ОС UNIX привело и к широкому распространению протокола IP и других протоколов стека. На этом же стеке работает всемирная информационная сеть Internet, чье подразделение Internet Engineering Task Force (IETF) вносит основной вклад в совершенствование стандартов стека, публикуемых в форме спецификаций RFC.

Если в настоящее время стек TCP/IP распространен в основном в сетях с ОС UNIX, то реализация его в последних версиях сетевых операционных систем для персональных компьютеров (Windows NT 3.5, NetWare 4.1, Windows 95) является хорошей предпосылкой для быстрого роста числа установок стека TCP/IP.

Итак, лидирующая роль стека TCP/IP объясняется следующими его свойствами:

  •  Это наиболее завершенный стандартный и в то же время популярный стек сетевых протоколов, имеющий многолетнюю историю.
  •  Почти все большие сети передают основную часть своего трафика с помощью протокола TCP/IP.
  •  Это метод получения доступа к сети Internet.
  •  Этот стек служит основой для создания intranet- корпоративной сети, использующей транспортные услуги Internet и гипертекстовую технологию WWW, разработанную в Internet.
  •  Все современные операционные системы поддерживают стек TCP/IP.
  •  Это гибкая технология для соединения разнородных систем как на уровне транспортных подсистем, так и на уровне прикладных сервисов.
  •  Это устойчивая масштабируемая межплатформенная среда для приложений клиент-сервер.

Структура стека TCP/IP. Краткая характеристика протоколов

Так как стек TCP/IP был разработан до появления модели взаимодействия открытых систем ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно.

В стеке TCP/IP определены 4 уровня. Каждый из этих уровней несёт на себе нагрузку по решению основной задачи - организации надёжной и производительной работы сети.

Уровень I

Прикладной уровень

Уровень II

Основной (транспортный) уровень

Уровень III

Уровень межсетевого взаимодействия

Уровень IV

Уровень сетевых интерфейсов

Уровень межсетевого взаимодействия

Стержнем всей архитектуры является уровень межсетевого взаимодействия, который реализует передачу пакетов в режиме без установления соединений. Именно этот уровень обеспечивает возможность перемещения пакетов по сети используя тот маршрут, который в данный момент является наиболее рациональным. Этот уровень так же называют уровнем internet, указывая тем самым на его основную функцию - передачу данных через составную сеть.

Основным протоколом сетевого уровня (в терминах модели OSI) в стеке является протокол IP (Internet Protocol). Этот протокол первоначально проектировался как протокол передачи пакетов в составных сетях. Протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP не гарантирует доставку пакетов до узла назначения, но старается это сделать.

К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Intrnet Protocol) и OSPF (Open Shortest Path First), а также протокол межсететевых управляющих сообщений ICMP (Internet Control Message Protocol), предназначенный для обмена информацией об ошибках между маршрутизаторами сети и узлом-источником пакета.

Основной уровень

Задачу обеспечения надёжной информационной связи между двумя конечными узлами решает основной уровень стека TCP/IP, называемый также транспортным.

На этом уровне функционируют протокол управления передачей TCP (Transmiccion Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagramm Protocol).

Протокол TCP обеспечивает надёжную передачу сообщений между удалёнными прикладными процессами за счёт образования логических соединений. Он позволяет без ошибок доставить сформированный на одном компьютере поток байт в любой другой компьютер, входящий в сеть. TCP делит поток байт на части - сегменты и передаёт их ниже лежащему уровню межсетевого взаимодействия. После того, как эти сегменты будут доставлены средствами уровня межсетевого взаимодействия в пункт назначения, протокол TCP снова соберёт их в непрерывный поток байт.

Протокол UDP выполняет функции связующего звена (мультиплексора) между сетевым протоколом и многочисленными службами прикладного уровня или пользовательскими процессами.

Прикладной уровень

Прикладной уровень объединяет все службы, предоставляемые системой пользовательским приложением. Прикладной уровень реализуется программными системами, построенными по архитектуре клиент-сервер, базирующимся на протоколах нижних уровней. В отличии от протоколов остальных трёх уровней, протоколы прикладного уровня занимаются деталями конкретного приложения и "не интересуются" способами передачи данных по сети. Этот уровень постоянно расширяется за счёт присоединения к старым, прошедшим многолетнюю эксплуатацию сетевым службам типа Telnet, FTP, TFTP, DNS, SNMP сравнительно новых служб таких, например, как протокол передачи гипертекстовой информации HTTP.

Уровень сетевых интерфейсов

Идеологическим отличием архитектуры стека TCP/IP от многоуровневой организации других стеков является интерпретация функций самого нижнего уровня - уровня сетевых интерфейсов. Протоколы этого уровня должны обеспечивать интеграцию в составную сеть других сетей, причём задача ставится так: сеть TCP/IP должна иметь средства включения в себя любой другой сети, какую бы внутреннюю технологию передачи данных эта сеть не использовала. Отсюда следует, что нельзя определить этот уровень раз и навсегда. Для каждой технологии, включаемой в составную сеть подсети, должны быть разработаны собственные интерфейсные средства. К таким интерфейсным средствам относятся протоколы инкапсуляций IP-пакетов уровня межсетевого взаимодействия в кадры локальных технологий.

Уровень сетевых интерфейсов в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровней: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, 100VG-AnyLAN, для глобальных сетей - протоколы соединений "точка-точка" SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Обычно, при появлении новой технологии локальных или глобальных сетей она быстро включается в стек TCP/IP.

Соответствие уровней стека TCP/IP семиуровневой модели ISO/OSI

Так как стек TCP/IP был разработан до появления модели ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно (см. рис. 17).

7

WWW,
Gopher, WAIS

SNMP

FTP

telnet

SMTP

TFTP

I

6

5

TCP

UDP

II

4

3

IP

ICMP

RIP

OSPF

ARP

III

2

Не регламентируется
Ethernet, Token Ring, FDDI, X.25, SLIP, PPP

IV

1

Уровни
модели OSI

 

Уровни
стека
TCP/IP

Рис.17 Соответствие уровней стека TCP/IP семиуровневой модели OSI

Рассматривая многоуровневую архитектуру TCP/IP, можно выделить в ней, подобно архитектуре OSI, уровни, функции которых зависят от конкретной технической реализации сети, и уровни, функции которых ориентированы на работу с приложениями (см. рис. 18).

Протоколы прикладного уровня стека TCP/IP работают на компьютерах, выполняющих приложения пользователей. Даже полная смена сетевого оборудования в общем случае не должна влиять на работу приложений, если они получают доступ к сетевым возможностям через протоколы сетевого уровня.

Протоколы транспортного уровня уже более зависят от сети, так как они реализуют интерфейс к уровням, непосредственно организующим передачу данных по сети. Однако, подобно протоколам прикладного уровня, программные модули, реализующие протоколы транспортного уровня, устанавливаются только на конечных узлах. протоколы двух нижних уровней являются сетезависимыми, а следовательно, программные модули протоколов межсетевого уровня и уровня сетевых интерфейсов устанавливаются как на конечных узлах составной сети, так и на маршрутизаторах.

Каждый коммуникационный поток оперирует с некоторой единицей передаваемых данных. Названия единиц иногда закрепляются стандартом, а чаще просто определяются традицией. В стеке TCP/IP за многие годы существования образовалась устоявшаяся терминология в этой области (см. рис. 19).

Потоком называют данные, поступающие от приложений на вход протоколов транспортного уровня TCP и UDP.

Протокол TCP нарезает из потока данных сегменты.

Единицу данных протокола UDP называют дейтаграммой. Дейтаграмма - название единиц данных, которыми оперируют протоколы без установления соединения. К таким протоколам относится и протокол межсетевого взаимодействия IP.

Дейтаграмму протокола IP называют также пакетом.

В стеке TCP/IP принято называть кадрами (фреймами) единицы данных протоколов, на основе которых IP-пакеты переносятся через подсети составной сети. При этом не имеет значения, какое название используется для этой единицы данных в локальной технологии.

Адресация в IP-сетях

Типы адресов стека TCP/IP

В стеке TCP/IP используются три типа адресов:

  •  Локальный адрес (аппаратный) - используется средствами базовой технологии для доставки данных в пределах подсети, являющейся элементом интрасети. Если подсетью интрасети является локальная сеть, то локальный адрес - это MAC-адрес. МАС-адрес централизовано назначается производителем сетевым адаптерам и сетевым интерфейсам маршрутизаторов и являются уникальными. Для всех существующих технологий МАС-адрес имеет формат 6 байт (например 11-А0-17-3D-BC-01).
  •  IP-адреса - основной тип адресов, на основании которых сетевой уровень передаёт пакеты между сетями. Эти адреса состоят из 4-х байт (например 10.34.1.119). IP-адрес назначается администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер узла может быть выбран администратором произвольно, либо назначен по рекомендации специального подразделения Internet (Internet Network Information Center, InterNIC), если сеть должна работать, как составная часть Интернет. Т.о., IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.
  •  Символьные доменные имена в IP-сетях строятся по иерархическому признаку. Составляющие полного символьного имени в IP-сетях разделяются точкой и перечисляются в следующем порядке: сначала простое имя конечного узла, затем имя группы узлов (например имя организации), затем имя более крупой группы (поддомена) и так до имени домена самого высокого уровня (например base2.sales.zil.ru). Между доменным именем и IPадресом узла нет никакого алгоритмического соответствия, поэтому в сетях TCP/IP используется специальная распределённая служба Domain Name Sistem, которая устанавливает это соответствие на основании создаваемых администратором сети таблиц соответствия. Поэтому доменные имена называют также DNS-именами.


Классы IP-адресов

IP-адрес записывается в виде четырёх чисел, представляющих значения каждого байта в десятичной форме и разделённых точками например:

128.10.2.30

- десятичная форма представления адреса

10000000 00001010 00000010 00011110

- двоичная форма представления этого же адреса

Адрес состоит из 2-х логических частей - номера сети и номера узла в сети. Какая часть адреса относится к номеру сети, а какая - к номеру узла, определяется значениями первых бит адреса. Значения этих бит являются также признаками того, к какому классу относится тот или иной IP-адрес (см. рис. 20).

Если адрес начинается с 0, то сеть относят к классу А и номер сети занимает 1 байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126. (0 не используется , а 127 зарезервирован для специальных целей). Сетей класса А не много, зато количество узлов в них может достигать 224, т.е. 16 777 216 узлов.

Если первые два бита адреса равны 10, то сеть относится к классу B. В сетях класса B под номер сети и номер узла отводится по 16 бит, т.е. по 2 байта. Т.о., сеть класса B является сетью средних размеров с максимальным числом узлов 216, что составляет 65 536 узлов.

Если адрес начинается с последовательности 110, то это сеть класса С. В этом случае под номер сети отводится 24 бита, а под номер узла - 8 бит. Сети этого наиболее распространены, число узлов в них ограничено 28, т.е. 256 узлами.

Если адрес начинается с последовательности 1110, то он является адресом класса D и обозначает особый, групповой адрес - multicast. Если в пакете в качестве адреса назначения указан адрес класса D, то такой пакет должны получить все узлы, которым присвоен данный адрес.

Если адрес начинается с последовательности 11110, то это значит, что этот адрес относится к классу E. Адреса этого класса зарезервированы для будущих применений.

На рис. 21 приведены диапазоны номеров сетей и максимальное число узлов, соответствующих каждому классу сетей.

Класс

Первые биты

Наименьший номер сети

Наибольший номер сети

Максимальное число узлов сети

A

0

  1.0.0.0

  126.0.0.0

  224 

B

10

  128.0.0.0

  191.255.0.0

  216

C

110

  192.0.1.0

  223.255.255.0

  28

D

1110

  224.0.0.0

  239.255.255.255

  Multicast

E

11110

  240.0.0.0

  247.255.255.255

  Зарезервирован

Рис.21 Характеристики адресов разного класса

Большие сети получают адреса класса A, средние - класса B, а маленькие - класса C.

Особые IP-адреса

В протоколе IP существует несколько соглашений об особой интерпретации IPадресов.

  •  Если весь IP-адрес состоит только из двоичных нулей, то он обозначает адрес того узла, который сгенерировал этот пакет; этот режим используется только в некоторых сообщениях ICMP.
  •  Если в поле номера сети стоят только нули, то по умолчанию считается, что узел назначения принадлежит той же самой сети, что и узел, который отправил пакет.
  •  Если все двоичные разряды IP-адреса равны 1, то пакет с таким адресом назначения должен рассылаться всем узлам, находящимся в той же сети, что и источник этого сообщения, такая рассылка называется ограниченным широковещательным сообщением (limited broadcast).
  •  Если в поле номера узла стоят только единицы, то пакет, имеющий такой адрес, рассылается всем узлам сети с заданным номером сети (например, пакет с адресом 192.10.21.255 доставляется всем узлам сети 192.10.21.0). такая рассылка называется широковещательным сообщением (broadcast).

Т.о. ни номер сети, ни номер узла не могут состоять из одних двоичных единиц или только двоичных нулей. На практике максимальное количество узлов, приведённое на рис.8 для сетей каждого класса, должно быть уменьшено на 2.

IP-адрес, первый октет которого равен 127 используется для тестирования программ и взаимодействия процессов в пределах одной машины. Данные не передаются в сеть, а возвращаются модулям верхнего уровня, как только что принятые. Поэтому в IP-сети запрещается присваивать машинам IP-адреса, начинающиеся со 127.

Основное назначение multicast-адресов - распространение информации по схеме "один – ко - многим"- означает, что пакет должен быть доставлен сразу нескольким узлам, которые образуют группу с номером, указанным в поле адреса.

Использование масок в IP-адресации.

Для более гибкого установления границы между номером сети и номером узла используют маску. Маска - это число, которое используется в паре с IPадресом; двоичная запись маски содержит единицы в тех разрядах, которые должны в IP  адресе интерпретироваться как номер сети. Поскольку номер сети является цельной частью адреса, единицы в маске должны представлять непрерывную последовательность.

Для стандартных классов сетей маски имеют следующие значения:

Класс А -

11111111.00000000.00000000.00000000

(255.0.0.)

Класс B -

11111111.11111111.00000000.00000000

(255.255.0.0)

Класс С -

11111111.11111111.11111111.00000000

(255.255.255.0)

Снабжая каждый IP-адрес маской, можно отказаться от понятий класса адресов и сделать более гибкой систему адресации (например, если адрес 185.23.44.206 ассоциировать с маской 255.255.255.0, то номером сети будет 185.23.44.0, в не 185.23.0.0, как определено системой классов).

В масках количество единиц в последовательности, определяющей границу номера сети не обязательно должно быть кратным восьми (например:

IP-адрес

129.64.134.5

- 10000001.01000000.10000110.00000101

Маска

255.255.128.0

- 11111111.11111111.10000000.00000000

если игнорировать маску, то в соответствии с системой классов адрес 129.64.134.5 относится к классу B, номером сети являются первые два байта - 129.64.0.0, а номером узла - 0.0.134.5

если же использовать для определения граница номера сети маску, то 17 последовательных единиц в маске, "наложенные" на IP-адрес, определяют в качестве номера сети и узла числа:

Номер сети

10000001.01000000.10000000.00000000

129.64.128.0

Номер узла

00000000.00000000.00000110.00000101

0.0.6.5            ).

Порядок распределения IP-адресов

В стандартах Internet определено насколько диапазонов адресов, рекомендуемых для локального использования (если сеть не является частью Internet). Этот адреса не обрабатываются маршрутизаторами Internet ни при каких условиях. Адреса, зарезервированные для локальных целей, выбраны из разных классов: в классе A - это сеть 10.0.0.0, в классе B - это диапазон из 16 номеров сетей 172.16.0.0  172.31.0.0, в классе C - это диапазон из 255 сетей 192.168.0.0 – 192.168.255.0

Автоматизация процесса назначения IP- адресов

Процесс назначения IP-адресов автоматизирует протокол DHCP (Dinamic Host Configuration Protokol). DHCP поддерживает способы автоматического динамического распределения адресов, а также более простые способы ручного и автоматического статистического назначения адресов. Протокол DHCP работает в соответствии с моделью "клиент-сервер". Во время старта компьютер DHCP-клиент посылает в сеть широковещательный запрос на получение IP-адреса. DHCP  сервер откликается и посылает сообщение-ответ, содержащее IP-адрес. Предполагается, что DHCP-сервер и DHCP-клиент находятся в одной IP-сети.

  •  При динамическом распределении адресов DHCP-сервер выдаёт адрес клиенту на ограниченное время, называемое временем аренды (lease duration), что даёт возможность повторно использовать этот IP-адрес для назначения другому компьютеру.
  •  В ручной процедуре назначения статистических адресов администратор предоставляет DHCP-серверу информацию о соответствии информацию о соответствии IP-адресов физическим адресам или другим идентификаторам клиентов.
  •  При автоматическом статистическом способе DHCP присваивает IP-адрес из пула наличных IP-адресов без вмешательства оператора. Границы пула назначаемых адресов задаёт администратор при конфигурировании DHCP  сервера. Адрес даётся клиенту из пула в постоянное пользование, т.е. с неограниченным сроком аренды.

DHCP-сервер может назначить клиенту не только IP-адрес клиента, но и другие параметры стека TCP/IP, необходимые для его эффективной работы (например, маску, IP-адрес маршрутизатора по умолчанию, IP-адрес сервера DNS, доменное имя компьютера и т.п.).

Отображение IP-адреса на локальные адреса

Для определения локального адреса по IP-адресу используется протокол разрешения адреса (Address Resolution Protocol, ARP). Существует также протокол, решающий обратную задачу - нахождение IP-адреса по известному локальному адресу. Он называется реверсивным ARP (Reversive Address Resolution Protocol, RARP).

Работа протокола ARP начинается с просмотра ARP-таблицы. Каждая строка ARP таблицы устанавливает соответствие между IP-адресом и MAC-адресом. Для каждой сети, подключённой к сетевому адаптеру компьютера или к порту маршрутизатора, строится отдельная ARP-таблица.

Отображение доменных имён на IP-адреса

В сетях TCP/IP для доступа к сетевому ресурсу вполне достаточно указать IP-адрес, чтобы программа правильно поняла, к какому хосту ей обратиться (например, ftp://192.45.66.17 или http://203.23.106.33). Однако пользователи предпочитают работать с символьными именами компьютеров.

Для поддержания соответствия между различными типами адресов, компания Microsoft для ОС Windows NT разработала службу WINS.

Для эффективной организации именования компьютеров в больших сетях естественным является применение иерархических составных имён.

В стеке TCP/IP применяется доменная система имён, которая имеет иерархическую древовидную структуру, допускающую использование в имени произвольного количества составных частей (см. рис. 22).

Дерево имён начинается с корня, далее следует старшая символьная часть имени и т.д. Младшая символьная часть имени соответствует конечному узлу сети. Запись доменного имени начинается с самой младшей составляющей, а заканчивается самой старшей. Составные части доменного имени отделяются друг от друга точкой (например ftp.zil.mmt.ru).

Разделение имени на части позволяет разделить административную ответственность за назначение уникальных имён между различными людьми или организациями в пределах своего уровня иерархии.

Разделение административной ответственности позволяет решить проблему образования уникальных имён без взаимных консультаций между организациями, отвечающими за назначение имён верхнего уровня иерархии.

Совокупность имён, у которых несколько старших составных частей совпадают, образуют домен имён (domain). Если один домен входит в другой домен как его составная часть, то такой домен могут называть поддоменом (subdomain).

Если в домене и поддомене обеспечивается уникальность имён следующего уровня иерархии, то и вся система имён будет состоять из уникальных имён.

Компьютеры входят в домен в соответствии со своими составными именами, при этом они могут иметь совершенно различные IP-адреса, принадлежащие к различным сетям и подсетям.

В Internet корневой домен управляется центром InterNIC. Домены верхнего уровня назначаются для каждой страны, а также на организационной основе. Имена этих доменов должны следовать международному стандарту ISO 3166. Для обозначения стран используются трёхбуквенные и двухбуквенные аббревиатуры, а для различных типов организаций - следующие обозначения:

  •  .com - коммерческие организации (например microsoft.com)
  •  .edu - образовательные (например, mit.edu)
  •  .gov - правительственные организации (например, nsf.gov)
  •  .org - некоммерческие организации (например, fidonet.org)
  •  .net - организации, поддерживающие сети (например, tolpa. net)

Система доменных имён

Вопросы соответствия между доменными именами и IP-адресами решает специальная служба - система доменных имён (Domain Name Sistem, DNS) - централизованная служба, основанная на распределённой базе отображений "доменное имя - IP-адрес" и использует в своей работе протокол типа "клиент-сервер". В нём определены DNS-серверы и DNS-клиенты. DNS-серверы поддерживают распределённую базу отображений, а DNS-клиенты обращаются к серверам с запросами о разрешении доменного имени в IP-адрес.

Для каждого домена имён создаётся свой DNS-сервер. Этот сервер может хранить отображения "доменное имя - IP-адрес" для всего домена, включая поддомены. Кроме таблицы отображений имён DNS-сервер содержит ссылки на DNS-серверы своих поддоменов, связывая отдельные DNS-серверы в единую службу DNS.

Для ускорения поиска IP-адресов DNS-серверы широко применяют процедуру кэширования проходящих через них ответов. Чтобы служба DNS могла оперативно отрабатывать изменения, происходящие в сети, ответы кэшируются на определённое время - обычно от нескольких часов до нескольких дней.


Основные угрозы в распределённых вычислительных системах

Больше всего угроз по-прежнему создают компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т. п. вредоносных программ входят также «Трояны», «вандалы», перехватчики паролей и т. д.) и атаки распространителей спама . Многие сети годами остаются открытыми для пришельцев из Интернета, и неизвестно, что в этом случае опаснее — сознательный взлом злоумышленником корпоративной сети для съема конфиденциальной информации или же осуществляемая «из любви к искусству» дезорганизация работы сети с помощью атак типа «отказ в обслуживании» . Поскольку для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как перехватом этой информации , так и нарушением ее целостности или подменой .

Внутри локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору бумажки с записанным логином и паролем навяз в зубах, но, видимо, бессмертен, как птица Феникс ... Зачастую не придается значения разграничению доступа между легальными пользователями . Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, коммунистический принцип «каждому — по интересам», и сведения, предназначенные двум - трем топ - менеджерам, становятся известны чуть ли не половине фирмы.

Часто к одним и тем же следствиям приводят на первый взгляд совершенно разные причины. Что, казалось бы, роднит забывчивость и «Маски -шоу», за которым все мы время от времени наблюдаем по телевизору? С точки зрения информационной безопасности общее у них то, что и следствием забывчивости пользователя (оставившего, скажем, в аэропорту ноутбук с базой данных о клиентах), и результатом визита людей в камуфляже становится отчуждение носителей конфиденциальной информации . В качестве еще одного канала вероятной утечки можно назвать, к примеру, сервис - центры, в которые поступают диски с не уничтоженной должным образом информацией . Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде , и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать вашим конкурентам больше, чем хитроумные атаки и попытки взлома.

Угроза изнутри

Итак, вы чувствуете себя в полной безопасности. За внешней границей вашей сети неусыпно наблюдает брандмауэр; правила его функционирования четко сформулированы, и администратор каждый день исправно получает оповещения и отчеты. Ну а как насчет ситуации в самой сети? Что вы скажете об открытых портах, ненадежных паролях и неотключенных сетевых службах?

Скорее всего, ваша сеть небольшого или среднего размера имеет постоянное широкополосное соединение с Интернетом. И вполне можно предположить, что хакеры уже пытались «прощупать» систему защиты вашей сети, чтобы завладеть хранящимися в ней данными или вовлечь ее ресурсы в атаку на другие объекты.

И все же чаще всего организаторами атак бывают свои же сотрудники, уже имеющие доступ к сети. Как выяснилось в ходе совместного опроса, проведенного в 2000 г. Институтом защиты информации в компьютерных системах (Computer Security Institute) и ФБР США, 71% респондентов указывают на то, что инициаторами несанкционированного доступа к ресурсам сети были собственные сотрудники, и только 25% опрошенных подверглись атакам извне. Недостаточно четко организованная система защиты и небольшой опыт – вот все, что требуется для «взлома» сети изнутри.

Установка брандмауэра — лишь первый этап организации надежной системы сетевой безопасности. Более того, многие брандмауэры, применяемые малыми и средними предприятиями, часто оказываются не в состоянии надежно блокировать пересылаемые по электронной почте опасные программы или требуют дополнительных расходов для повышения уровня защиты силами внешней специализированной службы. Чтобы добиться подлинной безопасности, нужно провести тщательное исследование слабых мест в операционных системах, прикладных программах и используемых паролях внутри периметра сетевой защиты, а также сетевых портов, защищаемых самим брандмауэром. На примере рассмотренных здесь изделий вы можете получить представление о возможных ситуациях, угрожающих вашей безопасности, с тем чтобы в дальнейшем избежать их.

Еще пару лет назад малые и средние предприятия были сравнительно надежно защищены от вторжений из Интернета, поскольку, как правило, поддерживали связь с внешним миром через телефонные линии. При выходе в Интернет по коммутируемым соединениям через телефонные линии абонент каждый раз получает новый адрес; кроме того, сеансы связи слишком коротки, и хакеры просто не успевают получить надежный доступ к ресурсам сети. Другое дело - получившие в последнее время распространение широкополосные соединения: Интернет - адреса становятся постоянными или не меняются в течение многих часов подряд, и стоит хакерам «пробраться» в уязвимую сеть, как они смогут не торопясь исследовать ее и причинить какой угодно вред. Особенно уязвимы кабельные соединения, применяемые во многих домашних офисах, ибо вместе с вами абонентами той же сети являются и другие жители микрорайона. Но и DSL-соединения, используемые в большинстве офисов, тоже могут стать объектами атаки.

Впрочем, иногда бывает так, что хакеров меньше всего интересует ваша сеть. Распределенные атаки, имеющие целью вызвать отказ от обслуживания DDoS (Distributed Denial of Service), подобные тем, что парализовали работу популярных Webузлов в 2000 г., устраиваются из сетей, не имеющих к злоумышленникам никакого отношения; эти сети сами захватываются хакерами с помощью хитроумных методов взлома. При этом трафик в таких захваченных сетях может нарушаться так же серьезно, как и в сетях, которые злоумышленники собираются парализовать. Но и это еще не все: похоже, что в скором времени последует череда судебных дел, в которых истцы будут требовать привлечения к ответственности тех, чьи сети используются в качестве плацдармов для проведения таких атак. При этом ответчикам будет ставиться в вину то, что их сетевые администраторы проявили преступную халатность и не обеспечили безопасность своих сетей.

Хорошо спроектированное средство для обнаружения брешей в системах защиты сетей обеспечивает анализ широкого спектра потенциальных проблем в машинах, работающих под управлением любой операционной системы (см. рисунок 24). Типичная быстрая проверка для выявления очевидных слабых мест может занять всего несколько секунд, тогда как на завершение исчерпывающего исследования часто уходит много часов. В ходе полных проверок осуществляется анализ открытых портов TCP и UDP, а также сетевых служб, таких, как DNS и FTP. Кроме того, эти проверки позволяют проконтролировать операционную систему и прикладное ПО для выявления несанкционированных модификаций и известных неисправностей, которые можно устранить с помощью «заплат», поставляемых разработчиками ОС и прикладных программ.

Наряду с этим современные средства тестирования позволяют выявлять легко разгадываемые, а также долгое время остающиеся неизменными пароли; они выясняют, не установлено ли в компьютере несанкционированное ПО или «троянские» программы, для чего проверяют группы запуска (startup groups) и системные реестры; эти средства обращают внимание администратора на недостаточно четко определенные параметры, регулирующие совместное использование файлов и права доступа к службам каталогов, системным реестрам и службам регистрации. Мало того, анализаторы средств сетевой защиты проверяют параметры безопасности таких программ, как Microsoft Office, а также самой ОС и пакетов Webserver, IIS и Active Server. Некоторые анализаторы проверяют сеть в «жестком режиме» с имитацией хакерской атаки, способной вывести машину из строя; такие тесты нужно проводить лишь в тех случаях, когда в распоряжении администратора достаточно времени, чтобы, как говорится, «собрать осколки». Наконец, система тестирования должна иметь возможность генерировать как общие сводки, так и подробные отчеты с перечислением потенциальных проблем и предлагаемых решений.

Ведущую позицию на рынке анализаторов средств сетевой защиты занимает продукт Internet Scanner 6.0, разработанный фирмой Internet Security Systems (www.iss.net). Поскольку это изделие предназначено для больших корпоративных, а не малых и средних сетей, на которые мы ориентировались при подготовке настоящей статьи, поставщик отклонил наше предложение принять участие в обзоре. При подготовке нынешнего обзора сотрудники лаборатории PC Magazine Labs протестировали четыре автономных изделия — Axent NetRecon 3.0, Cyrano e-secure v2.L, PGP Security Cy-berCop Scanner 5.5, Web Trends Security Analyzer 3.5 и одну службу — QualysGuard 2.8.

Выбирая одно из изделий этой группы, следует обратить внимание на несколько факторов. Прежде всего, необходимо учесть уровень квалификации сотрудников отдела информационных технологий. Неопытным сотрудникам лучше всего остановить свой выбор на службе — QualysGuard. Если же в штате вашей компании имеются опытные, по-настоящему преданные своему делу технические специалисты, они, вероятно, предпочтут один из испытанных нами автономных программных продуктов, поскольку последние обеспечивают более разносторонний и глубокий анализ.

Изготовители анализаторов сетевой защиты по-разному выстраивают ценовую политику. Самая скромная лицензия обойдется вам в сумму порядка 1,5 тыс. долл. При этом в зависимости от выбранного продукта вы сможете проверять 254 IP-адреса, узла или сетевых ресурса. Обладателям сетей большего масштаба придется платить больше, как и тем, кто хотел бы получать технические консультации и обновленные версии. Стоимость контракта, предусматривающего неограниченное число проверок неограниченного числа сетевых ресурсов наряду с предоставлением технических консультаций на протяжении одного года, может колебаться в пределах от 10 до 40 тыс. долл.

Даже если сегодня система сетевой защиты безупречна, завтра в ней могут появиться бреши. Любое изделие регулярно обновляется, но нужно иметь в виду, что на выявление слабых мест сетевой защиты и на анализ полученных результатов уходит много времени и сил. И все же, несмотря на сложность этой работы, вы быстро сможете убедиться, что время потрачено не зря.

Достаточно беглого взгляда на список недавно выявленных слабых звеньев в системах сетевой защиты, приведенный на узле CERT Coordination Center (www.cert.org) или SecurityFocus.com, чтобы понять, что используемые в вашей организации меры по обеспечению безопасности уже устарели.

Анализаторы Axent NetRecon 3.0 и WebTrends Security Analyzer 3.5 значительно превзошли конкурентов по общему числу выявленных источников опасности. Security Analyzer лучше всего проявил себя при работе с хост-машинами под управлением ОС Windows NT и Windows 2000, тогда как пакет NetRecon особенно отличился при анализе систем Solaris и Linux.

Если анализаторы Cyrano e-secure v2.1, PGP Security CyberCop Scanner 5.5 и QualysGuard 2.8 при выполнении проверок портов TCP/UDP идентифицируют обнаруженные слабые места как один источник потенциальной опасности (правда, такие указания сопровождаются списками открытых портов), то пакеты NetRecon и Security Analyzer сообщают о каждом открытом порте как об отдельном источнике опасности. Всего же пакет NetRecon обнаружил 1171 потенциальную брешь, хотя только 494 из них были уникальными, но при этом «не обратил внимания» на сервер Girlfriend. Подобным же образом программа Security Analyzer отыскала в сети в общей сложности 1288 слабых звеньев, но не определила, какие из них уникальны.

Анализатор Security Analyzer предоставил более обширные и детальные сведения о пользователях домена Windows и о совместно используемых ресурсах, чем другие рассмотренные в обзоре изделия. И он оказался единственным пакетом, выявившим недостаточный уровень защиты в конфигурациях модулей Internet Explorer и Outlook.

CyberСop Scanner не смог проявить свои возможности в полной мере, поскольку в нашей сети процессор сканирования не входил в состав тестового домена; а в такой конфигурации изделие не может получить доступ к системным реестрам Windows-машин. И все же CyberCop Scanner не знал себе равных при выявлении пользователей с «пустыми» паролями и разделяемых ресурсов, доступных, вопреки принятым правилам, без паролей.

Программа Cyrano e-secure постоянно зависала, когда дело доходило до завершения полномасштабной проверки сети. После этого коэффициент использования ЦП главного сервера доходил до 100% и требовалась перезагрузка. Мы провели отдельные испытания нескольких хост-машин нашей сети и выяснили, что пакет e-secure, подобно анализатору NetRecon, может обнаруживать NetBus Trojan, но выявить Girlfriend он не в состоянии.

В сетях появляются все новые уязвимые точки, и поставщикам средств сетевой защиты приходится постоянно модернизировать свои системы. Все изделия обзора обнаружили нашу реализацию NetBus, а вот найти ее не столь широко известного «родственника» Girlfriend удалось только трем пакетам (CyberCop Scanner, QaulysGuard и Security Analyzer). Очень важно регулярно обновлять сетевые анализаторы, чтобы использовать самые последние достижения в области безопасности и тем самым поддерживать на должном уровне защиту корпоративных сетей.

Системы обнаружения попыток вторжения: заслон для непрошеных гостей

Системы обнаружения попыток несанкционированного доступа IDS (Intrusion Detection Systems) выявляют преодолевших сетевую защиту непрошеных гостей из внешнего мира и выполняют другие задачи. Такая программа может отслеживать действия пользователя в течение всего сеанса, защищать сеть от атак известных типов, выявлять нарушения правил работы и следить за выполнением рутинных операций в сети, что облегчает выявление действий, которые выходят за рамки обычных рабочих процедур.

Имеются IDS на базе хост-машины и сетевые системы. Для использования IDS на базе хост-машины необходимо инсталлировать программные средства для анализа данных из таких источников, как журналы регистрации событий, файлы конфигурации, регистрации, паролей и другие файлы системы обеспечения безопасности. Чтобы добиться максимального уровня безопасности, это ПО следует устанавливать на каждую машину, подключенную к сети. Некоторые IDS на базе хост-машины представляют собой персональные брандмауэры.

Сетевые IDS получают данные из обычных пакетов, передаваемых по сети. Этот процесс аналогичен электронному подслушиванию. Чтобы выявить несанкционированный трафик, датчики системы перехватывают данные и анализируют их в соответствии с заданными правилами (например, с описаниями вирусов). Принято считать, что сетевые системы лучше справляются с защитой от непрошеных гостей, тогда как сильная сторона систем на базе хост-машин — выявление проблем, связанных с безопасностью внутри самой сети.

Процедура проверки может строиться на анализе режима работы сети (behavior-based) или на исследовании трафика с применением баз знаний. Системы первого типа сопоставляют текущий режим работы с режимом, который считается нормальным. Вторая категория изделий нацелена на идентификацию определенных типов вторжений. Такие системы сопоставляют содержимое пакетов с сигнатурами атак, собранными в базе знаний. Этот принцип используется в подавляющем большинстве IDS.

В лучших системах обнаружения попыток взлома применяются оба подхода. В состав разработанного компанией Internet Security Systems анализатора RealSecure входит датчик RealSecure OS Sensor, предназначенный для анализа на базе хост-машины, и датчик RealSecure Network Sensor для выявления сигнатур атак в сетевом трафике. В системе Axent оба типа тестирования производятся модулями Intruder Alert и NetProwler. Анализатор Centrax корпорации CyberSafe тоже позволяет обнаруживать попытки взлома как методом анализа файлов с хост-компьютера, так и с помощью исследования сетевого трафика.

Бесплатные анализаторы портов: никаких лазеек для хакеров

Когда речь заходит о портах, большинство пользователей вспоминают о размещенных в компьютере устройствах физического сопряжения: портах принтера, клавиатуры, USB-nopте и т. д. Но на наших машинах имеются и логические порты а такие сетевые технологии, как TCP/IP и UDP, позволяют использовать эти порты для организации каналов связи. Порт 80, например, по умолчанию применяется для обмена сообщениями по протоколу HTTP (в среде Web); и каждый раз, когда вы вводите в соответствующее поле браузера адрес URL, например www.pcmag.com, вы тем самым даете браузеру указание установить связь через этот порт. Фактически все Интернет - протоколы предусматривают использование логических портов.

Легко понять, в чем состоят проблемы безопасности, связанные с применением этих портов. Если порт обеспечивает пересылку данных за пределы локальной сети, то он же позволяет данным из внешнего мира попадать в сеть. В сущности порт — это своего рода лазейка в компьютер, и ею легко могут воспользоваться хакеры. Какой-нибудь злоумышленник может, к примеру, заразить вашу машину разрушающей «троянской» программой, и это только одна из множества малоприятных возможностей. Короче говоря, если вы открываете свой компьютер внешнему миру, он становится уязвимым для атак.

Программные средства тестирования позволяют выявить, какие из TCP-портов уязвимы для атаки. Эти программы анализируют порты, обычно используемые по умолчанию при связи по протоколам TCP, в том числе HTTP (порт 80), Finger (79), FTP (21), NNTP(119), РОРЗ(ИО), SMTP (25) и Whois (43); администратор может указать и другие порты, если они фактически используются (например, порт 8080 для связи с Web-сервером). В зависимости от применяемой программы можно тестировать отдельные IP-адреса или целые диапазоны. Не забывайте при этом, что тесты различаются по продолжительности: на какие-то проверки уходит всего несколько секунд, для завершения других требуется несколько часов.

Целью тестирования портов является выявление степени их уязвимости для атак извне. Но взятые сами по себе результаты анализа могут лишь нагнать страх на администратора — ведь весь смысл выявления слабых мест в сети как раз и состоит в том, чтобы предпринять какие-то действия по их устранению. Вот здесь-то и пригодятся программные средства сетевой защиты. По завершении тестирования портов вы можете настроить брандмауэр таким образом, чтобы заблокировать на уязвимых портах входящий и исходящий трафик, значительно снижая тем самым вероятность взлома компьютера.

Желающие оценить степень уязвимости портов своих компьютеров могут загрузить из Интернета один или несколько бесплатных и условно-бесплатных анализаторов портов. Установите эти программы, запустите их и ознакомьтесь с результатами тестирования, чтобы получить представление о потенциально уязвимых компонентах своей системы. Фирма Blue Globe Software, к примеру, распространяет программу Port Scanner (www.islandnet.com/-cliffmcc /portscanner.html) — средство исключительно простое, но в то же время достаточно эффективное для тех, кто хочет быстро получить результат.

Изделие Atelier Web Security Port Scanner (www.atelierweb.com/pscan) выглядит более внушительно и генерирует отчеты более высокого качества, но по большому счету функционально оба пакета почти идентичны. Программа Necrosoft Nscan компании Cyrosoft Software (www.cyrosoft. com/cyrosoft /products /nscan-d.shtml) оснащена функциями Whois и Trac-eroute, к тому же она отличается достаточно гибкими средствами настройки тестов.

Анализатор NetView Scanner корпорации Raw Logic Software (www. rawlogic.com/products.html) предоставляет подробные сведения, касающиеся уязвимых портов, а также имеет дополнительные средства для выявления сетевых клиентов с задействованной функцией совместного использования Windows-файлов и принтеров. А фирма Sub Seven Software бесплатно распространяет программу SubNet (www.sub-seven.com/freeware.html), которая специализируется на исследовании портов и выявлении «Троянских коней».

Тем, кто работает в среде Linux, стоит посетить узел NMAP фирмы lnsecure.org (www.insecure.com/nmap), где можно получить полнофункциональный анализатор портов для крупных сетей. И кстати, если уж вы побываете на узле NMAP, обязательно загляните в раздел Exploit World; вы получите наглядное представление о том, сколь многими возможностями располагает хакер, вознамерившийся взломать ваш компьютер.

За огненной стеной

Когда мы начинаем думать о защите сети, первое что приходит в голову — это слово firewall, которое в немецком варианте звучит менее благозвучно - «брандмауэр». Действительно, от этого продукта, который может быть и программой и железом, зависит, насколько хорошо сеть будет защищена.

Брандмауэр является той «огненной стеной», которая будет ограждать вас от вредного воздействия окружающей среды под названием Интернет. На сегодняшний день на рынке существует огромное количество продуктов, выполняющих функции firewall. Стоимость таких решений может быть равна нулю (например, цена ICF, входящего в состав Windows Server 2003, включена в стоимость операционной системы), а может составлять и десятки тысяч долларов. Для того чтобы разобраться в этом многообразии продуктов и сделать правильный выбор, необходимо сначала кратко ознакомиться с теорией сетевого взаимодействия и выяснить, от чего же мы все-таки должны защищаться.

Эшелонированная оборона

Для того чтобы производители сетевого оборудования и программного
обеспечения для него могли общаться на одном языке и обеспечивать
совместимость своих устройств, была разработана так называемая модель
OSI (Open System Interconnection). Она содержит семь уровней, каждый из которых обеспечивает выполнение определенной части сетевых функций при обмене данными в сети

В процессе обмена информацией между двумя компьютерами задействованы все семь уровней этой модели, однако реализовано это таким образом, что протокол одного уровня не подозревает о существовании протоколов другого уровня. Например, протокол четвертого уровня передающей станции взаимодействует с протоколом только четвертого уровня приемной станции и т. д. Разбиение всего порядка взаимодействия на отдельные уровни дает разработчикам возможность заниматься реализацией каждого уровня независимо. Например, производители сетевых карт не обязаны знать, какие программы будут обмениваться данными между собой, а производители кабельной продукции категории 5 уверены, что по их кабелю будет идти трафик, сгенерированный любой сетевой картой, поддерживающей стандарт Ethernet. Знание уровней данной модели необходимо и при понимании стратегии защиты локальной сети, поэтому кратко рассмотрим эти семь уровней.

Нижним уровнем модели OSI является физический уровень. Он определяет тип среды передачи, кодирование данных, методы передачи, форму и тип разъемов. Другими словами, стандарты разъемов (например RJ-45), модуляции и тому подобное относятся к стандартам физического уровня.

Второй уровень называется уровнем канала данных. Он обеспечивает физическую адресацию, уведомления об ошибках, порядок доставки кадров и управление потоком данных. Обычно функции этого уровня реализованы в сетевом адаптере и в коммутаторе. Примером стандарта этого уровня являются различные варианты протокола Ethernet.

Третий уровень — сетевой, на нем работает протокол IP, который обеспечивает взаимодействие между сетями. Четвертый уровень — транспортный. Он отвечает за взаимодействие между приложениями. Третий и четвертый уровни являются самыми важными с точки зрения сетевого взаимодействия и сетевой безопасности. На этих уровнях работают основные протоколы, используемые в Интернете (IP, TCP, UDP, ICMP). Сетевой уровень обеспечивает доставку данных между любыми двумя узлами в сети, при этом он не берет на себя никаких обязательств по надежности передачи данных. Этим занимается транспортный уровень, который обеспечивает передачу данных между любыми узлами сети с требуемым уровнем надежности. Для этого на транспортном уровне имеются средства установления соединения, нумерации, буферизации и упорядочивания пакетов. Примером протокола с гарантированной передачей данных является TCP.

Пятый уровень - сеансовый, организует диалог между процессами на разных машинах. Шестой - уровень представления. Его задачей является трансляция из одного формата данных в другие, сжатие данных, шифрование и т. д. Седьмой - уровень приложений. На этом уровне работают приложения, с которыми имеет дело пользователь.

Пятый, шестой и седьмой уровни мы будем рассматривать в данной статье как один, так как с точки зрения сетевой безопасности разбиение взаимодействия между системами на эти уровни не существенно и может скорее запутать, нежели прояснить ситуацию. Для полноты картины мы просто привели названия этих уровней, которые в дальнейшем будем называть уровнем приложений.

Построение защиты

Итак, ознакомившись со всеми уровнями сетевого взаимодействия, мы можем начать строить защиту для каждого уровня отдельно. Соответственно, выбирать продукты, которые позволят нам получить необходимую функциональность, нужно тоже для каждого уровня в отдельности. Дело в том, что не все firewall работают на каждом из семи уровней, и выбор конкретного продукта будет зависеть от наших задач и, разумеется, от финансовых возможностей. Наиболее полные решения работают на всех уровнях, начиная со второго.

На втором уровне модели OSI находится протокол Ethernet. Несмотря на то, что этот протокол определяет порядок взаимодействия внутри локальной сети, зачастую не нужно, чтобы все компьютеры внутри сети имели доступ ко всем возможным ресурсам. Особенно это справедливо для беспроводных сетей. Поэтому иногда может оказаться желательным, чтобы firewall обеспечивал фильтрацию пакетов, поступающих из сети, по так называемым МАС-адресам сетевых карт, то есть практически по физическому адресу компьютера.

Каждая сетевая карточка после выхода с конвейера производителя имеет свой уникальный МАС-адрес, по которому ее можно идентифицировать. Несмотря на это, существуют программные продукты, которые умеют подменять эти адреса, поэтому на 100% полагаться на такой способ идентификации пользователей все-таки не следует. С одной стороны, за компьютером, в котором установлена сетевая карта с доверенным МАС - адресом, может сидеть кто угодно. С другой стороны, как уже было сказано, злоумышленник может просто-напросто перехватить посылаемые картой пакеты и подменить в них МАС - адрес сетевой карты.

Написав списки доступа (в программном обеспечении, поставляемом с аппаратным брандмауэром, или в firewall-программе от сторонних производителей) для фильтрации трафика на втором уровне, в случае необходимости мы должны перейти к защите сети на следующем, третьем уровне.

На этом уровне работает протокол IP, который осуществляет маршрутизацию пакетов. Каждый компьютер в Интернете имеет свой уникальный IP-адрес. Поэтому, если мы не хотим получать трафик от какого-либо компьютера или целой сети, мы должны аналогичным образом написать списки доступа, указав в них нежелательные IP-адреса.

Однако зачастую у нас нет возможности заранее узнать, какая сеть является надежной, а какая — нет. Более того, потенциально опасным нужно считать любой компьютер в Интернете и, чтобы максимально обезопасить себя от возможных атак, нам необходимо пропускать трафик только для нужных приложений. В результате мы поднимаемся на четвертый уровень. На данном уровне мы будем защищать сеть, основываясь на знании того, какие приложения у нас работают. Например, мы знаем, что в нашей сети есть только почтовый сервер. Значит, мы должны разрешить только соединения по протоколам SMTP и РОРЗ и закрыть все остальные протоколы.

Зачастую сама операционная система открывает различные порты для своих служебных целей, что может быть использовано хакерами для проникновения в нашу сеть. Каждое приложение, которое обменивается данными по сети, использует протокол (SMTP, HTTP и другие), которому приписан определенный номер, так называемый номер порта. Если мы хотим допустить SMTP-трафик в нашей сети, то в настройках firewall надо разрешить работу по порту 25. Некоторые производители firewall облегчают нашу жизнь в этом вопросе и не заставляют учить наизусть номера портов всех протоколов, а используют их словесное описание.

Многие недорогие решения ограничиваются возможностью защиты на третьем и четвертом уровнях модели OSI. Для отражения большинства угроз этого может оказаться достаточно, однако для полной защиты сети необходима защита и на уровне приложений. Что это значит?

Допустим, внутри сети есть Web-сервер и мы настроили наш firewall на пропускание пакетов только на этот сервер и только по порту 80, что соответствует поддержке HTTP-протокола. Однако в любом программном обеспечении есть ошибки, и Web-серверы не являются исключениями. Хакер может послать специально сконструированный запрос на наш Web-сервер. Обработка запроса приведет к ошибке, что повлечет за собой либо «падение» сервера, либо получение злоумышленником контроля над ним и, возможно, доступа к локальной сети, в которой этот сервер находится.

За 2003 год во всем мире было множество вирусных эпидемий, использующих ошибки в реализации Web-серверов. Чтобы исключить возможность подобного рода атак, необходимо проверять на входе в нашу сеть не только IP-адреса и номера портов отправителя и получателя запроса, но и следить за корректностью формата HTTP-запросов в случае с Web-сервером.

Реализация защиты на уровне приложений является нетривиальной задачей, поэтому если вы будете искать firewall, обладающий такими функциями, то приготовьтесь потратить достаточно крупную сумму денег. В некоторых случаях производители web-серверов облегчают нам жизнь и выпускают для своих продуктов утилиты, выполняющие роль firewall уровня приложений, например утилита URLScan для IIS компании Microsoft.

Помимо анализа отдельных пакетов или небольших групп пакетов на предмет их надежности, существуют более интеллектуальные системы, способные анализировать сложные модели трафика и предупреждать о возможных атаках. Например, сканирование портов является возможной причиной для беспокойства администратора. Разумеется, если firewall оказался бы в состоянии обнаружить сканирование и временно закрыть все порты, то такая функция могла бы оказаться весьма полезной. Системы, которые могут обнаружить хакерскую или вирусную активность, основываясь на анализе входящего трафика, называются Intrusion Detection System (IDS). Наличие такой функциональности может повлиять на выбор средства защиты.

Все виды обороны

Прежде чем перейти к рассмотрению конкретных моделей, сначала выясним, какими еще интересными функциями может обладать firewall. Если firewall работает на границе между локальной сетью и Интернетом, то необходимо, чтобы он выполнял функцию трансляции адресов (NATNetwork Address Translation). Это означает, что внутри сети мы обычно используем так называемые частные IP-адреса, которые можно использовать в пределах собственной локальной сети, но нельзя использовать в Интернете. Чтобы получить доступ к информации в Интернете, нам необходимо преобразовать частный IP-адрес нашего компьютера в публичный, выданный провайдером.

В последнее время задача такой трансляции относится больше к стандартным функциям маршрутизатора. Так, например, в Windows Server 2003 это настраивается в свойствах Routing and Remote Access сервера. Однако в системах Linux трансляция адресов является частью функций firewall. И те и другие по-своему правы, так как, с одной стороны, NAT является протоколом маршрутизации, поскольку он маршрутизирует трафик с одного интерфейса (сетевой карты) на другой. С другой стороны, NAT является инструментом безопасности, так как скрывает компьютеры в локальной сети путем трансляции IP-адресов всех компьютеров в один или несколько реальных IP-адресов.

Помимо собственно защиты firewall может ограничивать доступ к Интернету для пользователей локальной сети. Если вы не хотите, чтобы пользователи вашей сети скачивали из Интернета музыку, видеофайлы или страницы определенного содержания, то необходимо искать firewall с поддержкой технологии content filtering, которая ограничивает доступ к сайтам выбранных вами категорий.

Необходимо помнить, что помимо внешних угроз, к которым относятся атаки вирусов и хакеров, не меньшую опасность могут представлять и сами пользователи локальной сети. По утверждениям различных западных компаний, занимающихся разработкой систем безопасности, 80% всех взломов осуществляется самими сотрудниками. Возможно, в российских условиях этот процент несколько меньше, тем не менее не следует об этом забывать. Поэтому если в вашей сети есть конфиденциальная информация, требующая серьезной защиты, то имеет смысл осуществлять к ней доступ также через внутренний firewall.

Hard или soft?

Перейдем теперь к рассмотрению конкретных продуктов. Firewall можно разделить на два типа:

  •  решения, защищающие отдельный компьютер (Personal Firewall);
  •  решения, работающие на границе локальной сети и защищающие всю сеть.

Второй тип можно разделить еще на две группы: это программные и аппаратные средства.

Полная безопасность дорого стоит

Наиболее популярными аппаратными решениями являются Cisco PIX Firewall (www.cis-co.com/go/pix) и Checkpoint Firewall-1 (www. checkpoint. com). Это довольно сложные и дорогие решения, защищающие вашу сеть на всех уровнях и обеспечивающие возможность создания защищенных каналов между сетями или между удаленным пользователем и сетью (VPN). Именно в силу дороговизны применение подобной техники могут позволить себе только достаточно богатые компании.

Настройка маршрутизации

Если у вас небольшая сеть или вы готовы пожертвовать очень высокой производительностью, то можно ограничиться программным решением, которое будет работать на устройстве, осуществляющем маршрутизацию. Если маршрутизатором является Windows Server 2003, то он обладает необходимой функциональностью для защиты сети на третьем и четвертом уровнях модели OSI.

Настройка Windows Server 2003 в качестве маршрутизатора с поддержкой firewall и NAT осуществляется в консоли Routing and Remote Access (RRAS) (см. рисунок 25). Перед тем как начать настройку, надо знать IP-адрес, который дал провайдер, и определиться, какие адреса будут использоваться в нашей локальной сети. Внутри локальных сетей могут использоваться адреса одного из трех диапазонов: 10.0.0.0 — 10.255.255.255, 192.168.0.0 — 192.168.255.255 либо 172.16.0.0 — 172.31.255.255. Такие адреса никогда не будут присвоены реальным сетевым устройствам и компьютерам, доступным из Интернета.

Рисунок 25. Настройка firewall Windows 2003 Server

После выяснения этой информации необходимо зайти в консоль RRAS и убедиться в том, что в список протоколов маршрутизации включен NAT/Basic Firewall. Если этого нет, то его нужно добавить.

Делается это нажатием правой кнопки мышки на пункте <General> и выбором пункта меню <New Routing Protocol>. Затем необходимо указать серверу, какой интерфейс (сетевая карта) является внутренним, а какой внешним. Нажимаем правую кнопку мыши на пункте <NAT/Basic Firewall>, выбираем <New Interface>, указываем нужный интерфейс и то, является ли он внутренним (private) или внешним (public). Для внешнего интерфейса также необходимо указать диапазон адресов, выданный провайдером. После этого настройка NAT будет закончена.

Варианты защиты

После настройки NAT необходимо выбрать тип firewall, если мы
предполагаем пользоваться внутренними средствами операционной системы.
Windows Server 2003 предлагает нам два варианта. Первый — использование простого firewall (basic firewall). При этом firewall по умолчанию будет пропускать в сеть только тот трафик, который был из нее инициирован. Например, если пользователь пытается открыть Web-страничку на удаленном сервере, то трафик от сервера к этому пользователю будет пропущен. Если же какой-либо компьютер в Интернете попытается сам получить доступ к компьютеру в нашей локальной сети, то эти попытки будут полностью пресекаться. Но если в нашей сети есть серверы, например почтовый, которому необходимо принимать запросы на подключения, то есть возможность создать соответствующие исключения. Для этого надо пойти в консоль RRAS, найти в ней пункт <NAT/Basic Firewall>, в правом окне выбрать тот интерфейс, который «смотрит в сторону» провайдера, и выбрать вкладку <Services and Ports>. После этого необходимо поставить галочку напротив названия соответствующего сервера и указать его IP-адрес в локальной сети.

Для многих небольших сетей такой защиты будет достаточно. Если же у вас уже есть опыт настройки firewall, то вы можете самостоятельно определять конкретные правила для пакетов на основе IP-адресов, номеров портов и протоколов. В окно ввода правил можно попасть, нажав кнопки <Inbound Filters> и <Outbound Filters>, которые располагаются там же, где мы определяли типы интерфейсов.

Если и этих возможностей покажется недостаточно, и вы хотите защищать сеть на всех семи уровнях, то в этом случае Microsoft предлагает свой продукт под названием IAS Server (Internet Acceleration and Security). Помимо функций обеспечения безопасности, этот продукт включает в себя прокси-сервер, который используется для кэширования Web-страниц и таким образом ускоряет доступ к ресурсам Интернета. Поэтому в названии продукта и присутствует слово Acceleration.

Персональные телохранители

В ряде случаев у вас нет возможности доверить свою безопасность сетевому firewall, например, если вы путешествуете с ноутбуком или выходите в Интернет из дома. Для таких целей существует класс продуктов под названием Personal Firewall, то есть личный брандмауэр, который защищает только ваш компьютер.

Иногда такие программы интегрируются с антивирусным ПО для обеспечения комплексной защиты. Кроме того, некоторые личные брандмауэры обладают одной полезной особенностью. Поскольку они работают на том же компьютере, который и защищают, то у них есть возможность определять, какая программа, работающая на вашем компьютере, пытается выйти в Интернет, к какому IP-адресу и порту производится обращение. Это может оказаться очень полезным, если вы не хотите, к примеру, чтобы какой-нибудь вирус отослал своему создателю все ваши пароли.

Однако надо учитывать, что современные программы довольно часто пытаются выйти в Интернет и выполнить необходимые им действия, например, проверить наличие обновлений на сайте фирмы-разработчика. Поэтому если ваш личный firewall сообщает, что какая-то неизвестная программа пытается соединиться с неким сайтом в Интернете, то не стоит паниковать, тут же блокировать этот трафик и скачивать последние антивирусные обновления. Возможно, это просто запустился Windows Update или Real Player пошел искать новые сетевые радиостанции.

К классу Personal Firewall относится Internet Connection Firewall (ICF), который встроен в Windows XP и Windows Server 2003. Несмотря на то что этот продукт обладает весьма скромной функциональностью, он очень прост в настройке и для большинства пользователей и начинающих системных администраторов может оказаться весьма полезным. Настраивается этот firewall в свойствах сетевого подключения на вкладке <Advanced>, где необходимо поставить галочку напротив фразы <Protect my computer and network by limiting or preventing access to this computer from the Internet>.

Если на компьютере работает, например, Web-сервер, к которому мы хотим открыть доступ, то необходимо в настройках ICF перейти на вкладку <Services> и поставить галочку напротив <Web Server (HTTP)>.

На вкладке <ICMP> можно разрешить компьютеру отвечать на команду ping и другие более сложные служебные запросы из Интернета. Иногда это может оказаться полезным, например, если у вас есть удаленный компьютер и вы хотите периодически проверять, не «отвалился» ли он от сети. Однако ping используется и при сканировании сети в поисках потенциальной жертвы. Если вы все же решили разрешить вашему компьютеру отвечать на ping, то поставьте галочку напротив <Allow incoming echo request>. Если вы не знаете назначения остальных параметров, то их лучше оставить выключенными.

Как уже упоминалось выше, ICF обладает довольно ограниченной функциональностью, поэтому для повышенной безопасности имеет смысл обратить внимание на ряд других продуктов. Рассмотрим, что нам может предложить Personal Firewall на примере Norton Personal Firewall.

Эта программа обладает практически полным набором инструментов для создания надежной защиты. С помощью Norton Personal Firewall вы можете следующее.

  •   Определять стандартные правила на основе IP-адресов и номеров портов.
  •  Указывать, каким компьютерам вы разрешаете доступ к своим общим папкам, а каким нет.
  •  Указывать, каким программам разрешен выход в Интернет.
  •  Выявлять различные атаки на компьютер с помощью модуля Intrusion Detection.
  •  Вырезать рекламные баннеры из страниц сайтов. Данная функция может оказаться не очень полезной в российских условиях, так как ее фильтры настроены на западные сайты. Но, естественно, если какой-то из российских сайтов начнет докучать навязчивой рекламой, проще простого добавить его в черный список блокируемых сайтов.
  •  Указывать, какая информация не должна покидать пределы вашего компьютера.

Несмотря на кажущуюся сложность продукта, он имеет вполне приемлемые рабочие настройки по умолчанию, которые можно оставить на первое время и изменять их по мере вашего совершенствования в области сетевой безопасности.

Также широко известен продукт ZoneAlarm Pro with Web Filtering компании Zone Labs. Этот firewall имеет собственную базу сайтов, разбитую на категории. Кроме того, программа умеет сканировать и анализировать содержимое загружаемых страниц, после этого принимать решение о принадлежности страницы к определенной категории и производить только те действия, которые разрешены при посещении сайтов этой категории.

Большинство программ типа Personal Firewall имеют очень похожую функциональность и отличаются только интерфейсом и удобством настроек. На сегодняшний день на рынке представлено достаточно большое количество таких программ, и отдать предпочтение какой-либо из них достаточно сложно.

Однако надо помнить, что информация в наше время зачастую стоит очень дорого. Небольшая оплошность или просто небрежность при построении системы безопасности может привести к печальным последствиям. Поэтому мы еще раз настойчиво рекомендуем уделять вопросам безопасности самое пристальное внимание.

Итак, сделаем вывод – брандмауэры обеспечивают несколько типов защиты:

  •  Они могут блокировать нежелательный трафик
  •  Они могут направлять входной трафик только к надежным внутренним системам
  •  Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.
  •  Они могут протоколировать трафик в и из внутренней сети
  •  Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
  •  Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Аутентификация

Брандмауэры на основе маршрутизатором не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси - сервера, обеспечивают следующие типы аутентификации:

Имя/пароль

Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов

Одноразовые пароли

Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.

Электронные сертификаты

Они используют шифрование с открытыми ключами

Анализ возможностей маршрутизации и прокси - серверов

В хорошей политике должно быть написано, может ли брандмауэр маршрутизировать пакеты или они должны передаваться прокси - серверам. Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может – только маршрутизировать пакеты. А прикладные шлюзы наоборот не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси - сервера).

Маршрутизация источника

Это механизм маршрутизации, посредством которого путь к машине-получателю пакета определяется отправителем, а не промежуточными маршрутизаторами. Маршрутизация источника в основном используется для устранения проблем в сетях, но также может быть использована для атаки на хост. Если атакующий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация источника может быть использована для создания впечатления, что пакеты атакующего приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизаторы с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизацией источника, обычно разрабатывает политику, в которой их маршрутизация запрещена.

Фальсификация IP-адреса

Это имеет место, когда атакующий маскирует свою машину под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты приходят от доверенной машины во внутренней сети). Политика в отношении маршрутизации пакетов должна быть четкой, чтобы можно было корректно построить обработку пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак подобного рода

Анализ риска

В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск – это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

  •  Уровня угроз, которым подвергается организация и видимость организации из внешнего мира
  •  Уязвимости организации к последствиям потенциальных инцидентов с безопасностью
  •  Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.

Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения «достаточно хорошей безопасности», чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации.

Угрозы/видимость

Угроза – это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп – от логичных (получение чего-либо без денег) до иррациональных (разрушение информации). Типичными угрозами в среде Интернета являются:

  •  Сбой в работе одной из компонент сети – сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.
  •  Сканирование информации – неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.
  •  Использование информации не по назначению – использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.
  •  Неавторизованное удаление, модификация или раскрытие информации – специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.
  •  Проникновение – атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.
  •  Маскарад – попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Видимость системы – это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использование глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям – устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее, средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей. Хотя это и кажется простым, поддержание точного списка систем, сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.

Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению работы. Самые серьезные последствия – это когда затрагиваются внешние функции, такие как доставка продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за потенциальной потери доверия клиентов в будущем.

Второй фактор – это учет политических или организационных последствий. В некоторых корпорациях верхний уровень руководства организацией может подумать, прочитав статью в известной газете о проникновении в их сеть, что произошла катастрофа, даже если при этом организация не понесла никаких финансовых убытков. В более открытых средах, таких как университеты или научные центры, руководство может на основании инцидента принять решение о введении ограничений на доступ. Эти факторы надо учитывать при определении уязвимости организации к инцидентам с безопасностью.

Учет информационных ценностей

Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью, каждый сетевой администратор должен вести учет информационных систем в его зоне ответственности. Список должен включать в себя все существующую аппаратную часть вычислительной Среды, программы, электронные документы, базы данных и каналы связи.

Для каждой информационной ценности должна быть описана следующая информация:

  •  Тип: оборудование, программа, данные
  •  Используется в системе общего назначения или критическом приложении
  •  Ответственный за данную информационную ценность
  •  Ее физическое или логическое местоположение
  •  Учетный номер, где это возможно.

Система общего назначения

Система общего назначения – это «взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие (неспецифические) задачи или обеспечивать их выполнение». Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение – это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем.

Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.

Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как «Коммерческая тайна» и «Для служебного пользования». Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности – критическая информация, коммерческая тайна, персональная информация и для внутреннего пользования. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса, и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

  •  Критическая информация: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это – информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.
  •  Коммерческая тайна: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.
  •  Персональная информация: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.
  •  Для внутреннего пользования: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.


Рисунок 14

Рисунок 15

Рисунок 18

Рисунок 19

Рисунок 20

Рисунок 22

6

Интернет

Сеть Ethernet

рокси-сервер

Массив памяти

Рабочая станция

Файловый сервер

Рабочая станция

Почтовый сервер

Программа-«сниффер»

Блокнотный ПК

Общий принтер

Коммутатор 3Com

1

2

3

4

5

4

4

5

1

7

7

7

7

8

9

Рисунок 23. Угроза информации на объектах сети

DNS

FTP

SMTP

WWW

Windows

Sun

UNIX

Linux

Брандмауэр

Маршрутизатор

3-й уровень

Службы

2-й уровень

Операционные

системы

1-й уровень

Устройства

инфрастуктуры

Консоль управления

Рисунок 24.Обнаружение слабых мест сетевой защиты

Анализаторы средств сетевой защиты обследуют все закоулки вшей системы, выявят в ней слабые звенья, через которые злоумышленник может нарушить работу сети изнутри, и проинформируют вас о том, какие места представляют наибольшую опасность и что нужно сделать для их защиты.

  •  

 

А также другие работы, которые могут Вас заинтересовать

80530. Культура Україна на межі 20-21 століття 805.79 KB
  Відпали відкриті або приховані перешкоди на шляху розвитку національної культури. Товариство звільнилося від ідеологічних штампів попередньої епохи вперше отримало можливість відкритого доступу до досягнень світової духовності і культури. Активізувалася культурне життя в регіонах країни зросла увага до традиційної культури Україна.
80531. Національно-культурне відродження 1920-1930-х рр. Українська культура періоду тоталітаризму (1933 – 1953 рр.) 28.11 KB
  Коренізація була викликана прагненням більшовиків заручитися підтримкою місцевого (корінного) населення з тим, щоб зміцнити свою соціальну базу. У середині 20-х рр. 80% населення республіки складали українці, а 20% – представники інших національностей.
80532. Українська культура початку ХХ ст. (1900 – 1921 рр.) 547 KB
  Української наукової громадськості було надано сім професорських місць у Львівському університеті і три професорських місця в Чернівецькому університеті. Спроби української громадськості з інших регіонів надати закарпатцям допомогу також припинялися угорською владою. Зростання числа грамотних українців стимулював розвиток української літератури. Коцюбинського Цвіт яблуні Intermezzo Тіні забутих предків стали класикою золотим фондом української літератури.
80534. Культура українських земель XIX ст. Національно-культурне відродження 917.5 KB
  У XIX ст. розвиток української культури обумовлювався підпорядкуванням українських земель двом імперіям – Російській та Австро-Угорській. Обидві імперії були багатонаціональними, з титульною (панівної) нацією. І Росія, і Австро-Угорщина проводили колонізаторську політику
80535. Культура українських земель ІІ пол. XIX- поч. ХХ ст 910 KB
  Криза феодального ладу в Російській імперії заглиблювалася повільно, революційна ситуація ще не дозріла. Тому діяльність частини української інтелігенції відбувалася в руслі російської культури. У Росії XIX ст. панувала думка, що український народ...
80536. Культура Київської Русі 1.59 MB
  Культура Київської Русі. В епоху Київської Русі IXXII ст. була створена яскрава і самобутня культура її основою став економічний і духовний розвиток Русі освоєння досягнень інших словянських країн і Візантії. Писемність у Київській Русі стала відомою в Х ст.
80537. ОРГАНІЗАЦІЯ ПОСЛУГ КОМУНІКАЦІЇ 49 KB
  Транспорт - це засіб пересування, за допомогою якого можна добратися до туристичного центру. Це може бути літак, теплохід, поїзд, туристичний автобус, автомобіль та ін. Значну частину витрат вартості турпакету складають витрати на перевезення. Чим більш комфортабельний і швидкісний вид транспорту використовується, тим вища вартість подорожі.
80538. ОРГАНІЗАЦІЯ ПОСЛУГ РОЗМІЩЕННЯ 174 KB
  До найбільш розповсюджених у міжнародній практиці форм управління підприємствами гостинності відносяться: управління за контрактом; управління через договір франчайзингу; оренда. В індустрії гостинності поширення й інші організаційні форми управління акціонерні товариства T спільні підприємства СП синдикати консорціуми і т. що відрізняються змістом й пропорціями функцій структурою і ступенем централізації управління. Управління за контрактом Однією з основних форм управління підприємствами індустрії гостинності що...