СЕТИ ЭВМ И ТЕЛЕКОММУНИКАЦИИ. Министерствообразованияинаукироссийскойфедерации
Скачать 4.29 Mb.
|
КС) для проверки правильности доставки кадра. 4.6.3. Передача данных 4. Сформированный таким образом кадр передаётся на физический уровень, который обеспечивает доставку кадра от компьютера А через ЛВС Eth1 к маршрутизатору Мш1 в виде физических сигналов (электрических, оптических, ЭПИ), соответствующих среде передачи. 5. Маршрутизатор Мш1, получив кадр, передаёт его для обработки протоколу Ethernet, который подсчитывает контрольную сумму кадра и сравнивает её со значением КС в кадре. Если эти значения не совпадают, то кадр отбрасывается и не записывается в буферную память. В противном случае, если подсчитанное значение контрольной суммы совпадает со значением, указанным в концевике, протокол Ethernet освобождает кадр от заголовка и концевика и передаёт его содержимое, то есть IP-пакет, протоколу IP. Протокол IP анализирует IP-адрес назначения IP.В и, используя таблицу маршрутизации, определяет выходной порт и IP-адрес следующего хоста. Положим, что в нашем примере это порт 4 и IP-адрес IP.3.1. Поскольку порт 4 маршрутизатора Мш1 связан с сетью Х.25 и, следовательно, принадлежит этой сети, протокол IP обращается к протоколу х.25, чтобы с помощью процедуры установления соединения создать виртуальный канал с определённым номером (НВК), который заносится в 3-байтовый заголовок пакета Х.25. Затем пакет передаётся протоколу канального уровня LAP-B, который вкладывает пакет Х.25 в соответствующий кадр LAP-B (рис.4.78), обрамляя его флагами (Ф). 6. Сформированный таким образом кадр передаётся на физический уровень, который обеспечивает доставку кадра через сеть Х.25 от маршрутизатора МШ1 к маршрутизатору Мш3. 7. Маршрутизатор Мш3, получив кадр, передаёт его для обработки протоколу LAP-B, который освобождает кадр от заголовка З_LAP-B и передаёт его содержимое протоколу Х.25. Протокол Х.25, в свою очередь, извлекает из поля данных пакета Х.25 содержимое (IP-пакет) и передаёт его протоколу IP, который, анализируя IP-адрес назначения IP.В и Кадр LAP-B … НВК LAP-B З_Х.25 Ф IP-пакет Ф З_LAP-B Пакет Х.25 Данные … П:А П:В … IP.А IP.В 4.78 Раздел 4. Глобальные сети 337 используя свою таблицу маршрутизации, определяет выходной порт и IP- адрес следующего хоста. В нашем примере это порт 2 и IP-адрес IP.2.5 маршрутизатора Мш2. Поскольку порт 2 маршрутизатора Мш3 напрямую связан с портом 5 маршрутизатора Мш2 выделенным каналом, образуя двухточечное соединение, передача данных осуществляется на основе протокола канального уровня РРР, которому протокол IP передаёт IP- пакет. Протокол РРР вкладывает его в кадр (формат которого показан на рис. 4.69), обрамлённый флагами Ф и содержащий три однобайтовых поля: • поле адреса (11…1), содержащее все единицы; • поле «Управление» с кодом 00000011; • поле протокола (IP), указывающее, что в поле данных находится IP-пакет (рис.4.79). 8. Сформированный кадр РРР передаётся на физический уровень, который обеспечивает доставку кадра по выделенному каналу от маршрутизатора МШ3 к маршрутизатору Мш2. 9. Маршрутизатор Мш1, получив кадр РРР, передаёт его для обработки протоколу РРР, который проверяет контрольную сумму и отбрасывает кадр, если рассчитанное значение контрольной суммы не совпадает со значением, указанным в поле КС кадра. Если КС совпадает с указанным в концевике значением, протокол РРР извлекает содержимое, то есть IP-пакет, и передаёт его протоколу IP. Протокол IP анализирует IP- адрес назначения и, используя свою таблицу маршрутизации, определяет, что адресат с IP-адресом IP.В находится в локальной сети Eth2, непосредственно подключённой к порту 3 этого маршрутизатора. Затем протокол IP обращается к протоколу ARP, чтобы узнать МАС-адрес, соответствующий IP-адресу IP.В. Протокол ARP находит в своей ARP- таблице МАС-адрес (МАС.В) и выдаёт его протоколу IP. Если протокол ARP не находит МАС-адреса, то он реализует процедуру его поиска, посылая в ЛВС Eth2 широковещательный ARP-запрос. После того как найден МАС-адрес компьютера-получателя В, он вместе с IP-пакетом передаётся протоколу канального уровня Ethernet, который вкладывает его в кадр Ethernet (рис.4.80), указывая в качестве адреса назначения МАС.В и адреса отправителя – МАС.2.3. 10. Сформированный кадр передаётся на физический уровень, который обеспечивает доставку кадра через локальную сеть Eth2 от маршрутизатора МШ2 к компьютеру В. 11. Компьютер В, откликаясь на адрес МАС.В, записывает поступивший кадр в буфер сетевого адаптера. По завершении приёма кадр КС 11…1 00000011 IP Кадр РРР З_РРР Ф IP-пакет Ф Данные … П:А П:В … IP.А IP.В 4.79 Раздел 4. Глобальные сети 338 передаётся протоколу Ethernet, который проверяет правильность доставки кадра, извлекает содержимое (IP-пакет) и передаёт его протоколу IP. Последний, в свою очередь, снимает IP-заголовок и передаёт содержимое пакета (UDP-дейтаграмму) протоколу UDP, который в соответствии с указанным в заголовке номером П:В порта назначения пересылает содержимое, находящееся в поле данных, конкретному прикладному процессу. 4.7. Безопасность компьютерных сетей Широкое применение компьютерных сетей во всех областях человеческой деятельности, оказывающее существенное влияние на нашу жизнь, делает весьма актуальной проблему информационной безопасности. Защита информации в компьютерных сетях является одной из наиболее важных задач, которые должны решаться в процессе их разработки и эксплуатации. Средства защиты информации в компьютерных сетях можно разбить на два класса: • средства компьютерной безопасности,обеспечивающие защиту информации, находящейся в локальной сети или на отдельном компьютере пользователя; • средства сетевой безопасности, обеспечивающие защиту информации в процессе её передачи через сеть. 4.7.1. Средства компьютерной безопасности Средства компьютерной безопасности должны обеспечить защиту от несанкционированного доступа всех находящиеся внутри собственной локальной сети ресурсов: • аппаратных – серверы, дисковые массивы, маршрутизаторы; • программных – операционные системы, СУБД, почтовые службы и т. п. Кроме того, необходимо обеспечить защиту данных, хранящихся в файлах и обрабатываемых в компьютерах. Для этого необходимо контролировать трафик, входящий в сеть обычно из Интернета, и стараться перекрыть доступ извне для любой информации, с помощью которой злоумышленник может попытаться использовать внутренние ресурсы сети во вред их владельцу. Наиболее часто в качестве средства компьютерной безопасности используется брандмауэр, устанавливаемый в местах соединений внутренней локальной сети с Интернетом. Брандмауэр (firewall) Ethernet -кадр … MAC.2.3 MAC.В З_Eth2 КС IP-пакет Данные … П:А П:В … IP.А IP.В 4.80 Раздел 4. Глобальные сети 339 представляет собой межсетевой экран, который контролирует трафик между локальной сетью и Интернетом и не пропускает подозрительный трафик в сеть. Кроме того, в качестве средств компьютерной безопасности могут использоваться встроенные средства безопасности операционных систем, баз данных, а также встроенные аппаратные средства компьютера. 4.7.2. Средства сетевой безопасности Для обеспечения сетевой безопасности необходимо защищать информацию, передаваемую в виде пакетов через сети поставщиков услуг Интернета, чтобы она не была искажена, уничтожена или перехвачена посторонними людьми. Для решения этой задачи сегодня широко используется механизм виртуальных частных сетей (VPN). Автономно работающий компьютер можно более или менее эффективно защитить от внешних покушений. Гораздо сложнее это сделать, если компьютер работает в сети и общается с другими компьютерами. Обеспечение безопасности в этом случае сводится к тому, чтобы сделать проникновение посторонних к ресурсам компьютера контролируемым. Для этого каждому пользователю сети должны быть четко определены его права на доступ к информации, устройствам и на выполнение системных действий в каждом компьютере сети. Дополнительно необходимо обеспечить защиту от перехвата передаваемых по сети данных и создания «ложного» трафика, на что направлена большая часть средств обеспечения сетевой безопасности. Вопросы сетевой безопасности приобретают особую значимость в связи с тем, что корпоративные сети всё чаще используют Интернет в качестве транспортного средства. Конфиденциальность_,_доступность_,_целостность'>4.7.3. Конфиденциальность , доступность , целостность Безопасная информационная система должна: • защищать данные от несанкционированного доступа; • быть всегда готовой предоставить данные своим пользователям; • надежно хранить информацию и гарантировать неизменность данных. Для этого система должна обладать следующими свойствами. • Конфиденциальность (confidentiality) — гарантия того, что секретные данные будут доступны только авторизованным пользователям, которым этот доступ разрешен. • Доступность (availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным. • Целостность (integrity) — гарантия сохранности данных, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные. Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Раздел 4. Глобальные сети 340 Если свойства целостности и доступности актуальны для всех систем, то свойство конфиденциальности может быть необязательным, например, если информация предназначена для широкого круга людей. В то же время, для того чтобы злоумышленник не смог изменить эту информацию, необходимо принять меры по обеспечению целостности данных. Понятия конфиденциальности, доступности и целостности могут быть применены не только по отношению к информации, но и к другим ресурсам вычислительной сети (внешним устройствам, сетевому оборудованию или приложениям). Конфиденциальность, применительно к какому-либо устройству, обеспечивает доступ к нему только авторизованным пользователям, причем они могут выполнять только те операции, которые им разрешены. Свойство доступности устройства состоит в его готовности к использованию в момент возникновения такой необходимости. Благодаря свойству целостности злоумышленник не сможет изменить параметры настройки устройства, что могло бы привести к выходу его из строя. 4.7.4. Сервисы сетевой безопасности Для защиты данных используются средства, называемые сервисами сетевой безопасности, которые обеспечивают контроль доступа, включающий процедуры шифрование информации, аутентификации, идентификации и авторизации, аудит, антивирусную защиту, контроль сетевого трафика и т.д. Средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности. Рассмотрим основные сервисы сетевой безопасности. Шифрование — процедура, превращающая информацию из обычного «понятного» вида в «непонятный» зашифрованный вид. Для расшифровки зашифрованной информации используется процедура дешифрирования. Пара процедур – шифрование и дешифрирование – называется криптосистемой. Шифрование может применяться в системах аутентификации или авторизации пользователей, а также в системах защиты канала связи и хранения данных. Аутентификация (от греч. authetikos – подлинный, англ. authentication – опознавание, отождествление ) – подтверждение подлинности – предотвращает несанкционированный доступ к сети посторонних лиц и разрешает доступ легальным пользователям. В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, данные. Примером аутентификации на уровне приложений может служить взаимная аутентификации клиента и сервера, когда клиент, доказавший серверу свою легальность, также должен убедиться, что ведет диалог Раздел 4. Глобальные сети 341 действительно со своим сервером. При установлении сеанса связи между двумя устройствами также может быть предусмотрена процедура взаимной аутентификации. Аутентификация данных означает доказательство целостности этих данных, а также факт их поступления именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи. Аутентификацию не следует путать с идентификацией и авторизацией. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он является тем, за кого себя выдает, в частности доказательство того, что именно ему принадлежит введенный им идентификатор. Идентификаторы пользователей применяются в системе с теми же целями, что и идентификаторы любых других объектов (файлов, процессов, структур данных), и они не всегда связаны непосредственно с обеспечением безопасности. Авторизация — процедура контроля доступа легальных пользователей к ресурсам системы с предоставлением каждому из них именно тех прав, которые определены ему администратором. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п. Аудит — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных операционных систем позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью; любые попытки (в том числе и неудачные) создать, получить доступ или удалить системные ресурсы. 4.7.5. Технология защищённого канала Технология защищенного канала обеспечивает безопасность передачи данных по открытой транспортной сети, например по Интернету, за счет: • взаимной аутентификации абонентов при установлении соединения; • защиты передаваемых по каналу сообщений от несанкционированного доступа; • обеспечения целостности поступающих по каналу сообщений. Защищенный канал можно построить с помощью протоколов, реализованных на разных уровнях модели OSI (табл.4.6). Раздел 4. Глобальные сети 342 Таблица 4.6 Уровни защищаемых протоколов Протоколы защищенного канала Прикладной уровень S/MIME Уровень представления SSL, TLS Сеансовый уровень Транспортный уровень Сетевой уровень IPSec Канальный уровень РРТР Физический уровень Защита данных средствами верхних уровней (прикладного, представления или сеансового) не зависит от технологий транспортировки данных (IP, Ethernet или ATM), однако приложения зависят от конкретного протокола защищенного канала, так как в них должны быть встроены явные вызовы функций этого протокола. Протоколы безопасности прикладного уровня защищают только вполне определенную сетевую службу, например протокол S/MIME защищает сообщения электронной почты. На уровне представления используется протокол SSL (Secure Socket Layer – слой защищенных сокетов) и его открытая реализация TLS (Transport Layer Security – безопасность транспортного уровня). Средства защищенного канала становятся прозрачными для приложений в тех случаях, когда они защищают кадры протоколов сетевого и канального уровней. Однако при этом сервис защищенного канала становится зависимым от протокола нижнего уровня. Компромиссным вариантом защищённого канала является работающий на сетевом уровне протокол IPSec. С одной стороны, он прозрачен для приложений, с другой – может работать практически во всех сетях, так как основан на протоколе IP и использует любую технологию канального уровня (РРР, Ethernet, ATM и т. д.). 4.7.6. Протокол IPSec IPSec (сокращение от IP Security) – набор протоколов, позволяющих обеспечить защиту данных, передаваемых по межсетевому протоколу IP за счёт подтверждение подлинности и шифрования IP-пакетов. Применение протокола IPSec гарантирует целостность, аутентичность и конфиденциальность данных на протяжении всего пути между двумя узлами сети, который получил название «защищенный канал». IPSec-протоколы можно разделить на два класса: • протоколы, отвечающие за защиту потока передаваемых пакетов, к которым относятся два протокола: Раздел 4. Глобальные сети 343 ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных), обеспечивающий шифрацию, целостность и конфиденциальность передаваемых данных; AH (Authentication Header — заголовок аутентификации), гарантирующий только целостность и аутентичность данных (передаваемые данные не шифруются). • протокол обмена криптографическими ключами IKE (Internet Key Exchange — обмен ключами Интернета), автоматически предоставляя конечным точкам защищенного канала секретные ключи, необходимые для работы протоколов аутентификации и шифрования данных. Для шифрования данных в протоколе IPSec может быть применен любой симметричный алгоритм шифрования. В симметричных схемах шифрования конфиденциальность основана на том, что отправитель и получатель обладают общим, известным только им, параметром функции шифрования. Этот параметр называется |