Старые ответы. Модель взаимодействия открытых систем, размещение услуг и механизмов защиты на уровнях модели
 Скачать 1.39 Mb.
|
Сетевая модель OSI (англ. open systems interconnection basic reference model — Базовая Эталонная Модель Взаимодействия Открытых Систем (ЭМВОС)) — сетевая модель стека (магазина) сетевых протоколов OSI/ISO (ГОСТ Р ИСО/МЭК 7498-1-99). Посредством данной модели различные сетевые устройства могут взаимодействовать друг с другом. Модель определяет различные уровни взаимодействия систем. Каждый уровень выполняет определённые функции при таком взаимодействии.   Любой протокол модели OSI должен взаимодействовать либо с протоколами своего уровня, либо с протоколами на единицу выше и/или ниже своего уровня. Взаимодействия с протоколами своего уровня называются горизонтальными, а с уровнями на единицу выше или ниже — вертикальными. Любой протокол модели OSI может выполнять только функции своего уровня и не может выполнять функций другого уровня, что не выполняется в протоколах альтернативных моделей. Прикладной уровень: Информация передается на протокол, где происходят преобразования, и отправляется на уровень представления. Протоколы прикладного уровня: RDP, HTTP, SMTP, SNMP, POP3, FTP, XMPP, OSCAR, Modbus, SIP, TELNET и другие. Уровень представления: Преобразование нестандартной информации в стандартизированный вид. Информация должна быть читаема для нижних уровней, если есть такая необходимость. Так же может понадобиться сжатие или шифрование данных. Чтобы понять, как это работает, представим, что имеются две системы. Одна использует для представления данных расширенный двоичный код обмена информацией EBCDIC, например, это может быть мейнфрейм компании IBM, а другая — американский стандартный код обмена информацией ASCII (его использует большинство других производителей компьютеров). Если этим двум системам необходимо обменяться информацией, то нужен уровень представлений, который выполнит преобразование и осуществит перевод между двумя различными форматами. Защита: (см. транспортный уровень) Сеансовый уровень: Когда двум программам необходимо связаться друг с другом (установить сеанс связи). Уровень отвечает за установку, поддержку, настраивание соединения и разрыв его. Установка соединения - передача данных – разрыв соединения. Логин, пароль. Сеансовый уровень выполняет сеанс между программами (PAP, RPC, PPTP) Защита: (см. транспортный уровень) Транспортный уровень: Надежная передача данных от отправителя к получателю. При этом уровень надёжности может варьироваться в широких пределах. Информация заключается в: 1. Трафик 2. Проверка на ошибки 3. Контроль потерь Транспортный уровень выполняет сеанс между компьютерами. Протоколы транспортного уровня: ATP, CUDP, DCCP, FCP, IL, NBF, NCP, SCTP, SPX, SST, TCP, UDP. Защита: протоколы SSL, TLS. Протокол SSL предусматривает функции аутентификации, шифрования данных и обеспечения целостности данных. TLS даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ. SSL появился до TLS. Сетевой уровень: Предназначен для определения пути передачи данных. Отвечает за логическую адресацию, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и «заторов» в сети. Протоколы сетевого уровня: IP/IPv4/IPv6, IPX, X.25, CLNP, IPsec. Протоколы маршрутизации - RIP, OSPF. Защищенный канал подразумевает выполнение 3 основных функций:
На сетевом уровне эта технология реализуется набором протоколов IPSec. Канальный уровень: Преобразование логической информации в физическую путем добавления мак-адреса. Протоколы канального уровня: ATM, IEEE 802.3 (Ethernet), IEEE 802.11 wireless LAN, PPP, PPPoE. Защита: три протокола Протоколы L2F и L2TP являются протоколами туннелирования, а протокол РРТР обеспечивает как туннелирование, так и шифрования данных. Физический уровень: Преобразует последовательность нулей и единиц в напряжение для передачи по определенному кабелю. RJ-11, RJ-45. Защита: экранирование кабеля (ниже уровень излучений, больше устойчивость к внешним радиочастотным полям). Взаимодействие уровней Прикладной - физический
Правило стека – кто пришел последним, обрабатывается первым Физический – прикладной
Проекти́рование — процесс определения архитектуры, компонентов, интерфейсов и других характеристик системы или её части (ISO 24765).[1] Результатом проектирования является прое́кт — целостная совокупность моделей, свойств или характеристик, описанных в форме, пригодной для реализации системы. Процесс проектирования – объем телекоммуникационной сети (помещение, здание, город, страна и т д) Так же задачи:
Мультисервисная сеть — это единая сеть, способная передавать голос, видеоизображения и данные. Основным стимулом появления и развития мультисервисных сетей является стремление уменьшить стоимость владения, поддержать сложные, насыщенные мультимедиа прикладные программы и расширить функциональные возможности сетевого оборудования. В настоящее время наибольшее распространение получила архитектура МСС, включающая следующие четыре уровня:
 Рис. 2.1. Архитектура мультисервисной сети Уровень управления услугами содержит функции управления логикой услуг и приложений и представляет собой распределенную вычислительную среду, обеспечивающую:
Данный уровень позволяет реализовать специфику услуг и применять одну и ту же программу логики услуг вне зависимости от типа транспортной сети и способа доступа. Наличие этого уровняпозволяет также вводить на сети электросвязи любые новые услуги без вмешательства в функционирование других уровней. Уровень управления может включать множество независимых подсистем, базирующихся на различных технологиях, имеющих своих абонентов и использующих свои, внутренние системы адресации. Операторам связи требуются механизмы, позволяющие быстро и гибко развертывать, а также изменять услуги в зависимости от индивидуальных потребностей пользователей. Такие механизмы предусмотрены, например, открытой сервисной архитектурой OSA (Open Services Access) – основной концепцией будущего развития сетей электросвязи в части внедрения и оказания новых дополнительных услуг. При создании систем на основе OSA должны присутствовать следующие ключевые моменты:
Задачауровняуправления— обработка информации сигнализации, маршрутизация вызовов и управление потоками. Данный уровень поддерживает логику управления, которая необходима для обработки и маршрутизации трафика сети. Задача транспортного уровня— коммутация и прозрачная передача информации пользователя. В МСС операторы получат возможность наращивать объемы услуг, что в свою очередь приведет к росту требований к производительности и емкости сетей транспортного уровня. Основными требованиями к таким сетям являются:
Надежность выходит на первое место, так как МСС должны обеспечивать передачу разнородного трафика, в том числе чувствительного к задержкам, который ранее передавался с помощью классических систем передачи с временным разделением каналов иерархий SDH или PDH. Транспортный уровень МСС рассматривается как уровень, составными частями которого являются сеть доступа и базовая сеть. Под сетью доступа (Access network)понимается системно-сетевая инфраструктура, которая состоит из абонентских линий, узлов доступа и систем передачи, обеспечивающих подключение пользователей к точке агрегации трафика (к сети МСС или к традиционным сетям электросвязи). Для организации уровнядоступа могут использоваться различные среды передачи. Это может быть медная пара, коаксиальный кабель, волоконно-оптический кабель, радиоканал, спутниковые каналы либо любая их комбинация. Архитектура сети электросвязи, построенной в соответствии с концепцией МСС представлена на рис. 2.5 (с некоторыми упрощениями).  Рис. 2.5. Архитектура мультисервисной сети связи Инфокоммуникационные услуги предполагают взаимодействие поставщиков услуг и операторов связи, которое может обеспечиваться на основе функциональной модели распределенных (региональных) баз данных, реализуемых в соответствии с Рекомендацией МСЭ-Т X.500. Доступ к базам данных организуется с использованием протокола LDAP (Lightweight Directory Access Protocol). Вышеуказанные базы данных позволяют решить следующие задачи:
Мультисервисными называются сети, в которых для передачи разных типов трафика используется один канал. Alcatel-Lucent 7750 Мультисервисные маршрутизаторы Alcatel-Lucent 7750 предназначены для предоставления дифференцированных высокопроизводительных услуг с высоким уровнем эксплуатационной готовности. Линейка маршрутизаторов Alcatel-Lucent 7750 SR поддерживает различные интерфейсы и сервисные адаптеры, оптимизированные для разных сетей и приложений: • Модули ввода/вывода (IOM) поддерживаются маршрутизаторами 7750 SR-12e, 7750SR-12 и 7750 SR-7 и оптимальны с точки зрения гибкости развертывания мобильных, многофункциональных и основанных на Ethernet приложений. Каждый IOM поддерживает до двух сетевых адаптеров (MDA), также он может использоваться для установки интегрированных сервисных адаптеров (ISA). • Сетевые адаптеры MDA поддерживаются на всех платформах и имеют интерфейсы для физического подключения. Выпускаются с разными типами и разным числом интерфейсов. • Компактные сетевые адаптеры CMA представляют собой интерфейсные адаптеры, поддерживающие меньшую плотность портов и низкоскоростные услуги. Поддерживаются на платформах 7750 SR-c12 и SR-c4. • Интегрированные модули IMM представляют собой линейные карты, с интегрированными функциями обработки трафика и физические интерфейсы высокой плотности Ethernet 1/10/40/100 GigE на одной плате. Поддерживаются на платформах 7750 SR-12 и SR-7. • Интегрированные сервисные адаптеры ISA типа MDA выполняют специализированную обработку и буферизацию для приложений. ISA поддерживаются на всех платформах. https://www.marvel.ru/files/SetyOperatKlass_1435657046.pdf Шлюзы (Gateways) – устройства доступа к сети и сопряжения с существующими сетями. Оборудование шлюзов реализует функции по преобразованию сигнальной информации сетей с коммутацией пакетов в сигнальную информацию пакетных сетей, а также функции по преобразованию информации транспортных каналов в пакеты IP / ячейки ATM и маршрутизации пакетов IP / ячеек ATM. Шлюзы функционируют на транспортном уровне / уровне доступа. Для реализации возможности подключения к мультисервисной сети различных видов оборудования ТфОП используются различные программные и аппаратные конфигурации шлюзовогооборудования:
Оборудование сигнального шлюза сигнализации должно реализовывать следующий перечень обязательных функций:
Оборудование транспортного шлюза должно реализовывать следующий перечень обязательных функций:
Softswitch (англ. Softswitch — программный коммутатор) — гибкий программный коммутатор, один из основных элементов сети связи следующего поколения NGN. Softswitch — это устройство управления сетью NGN, призванное отделить функции управления соединениями от функций коммутации, способное обслуживать большое число абонентов и взаимодействовать с серверами приложений, поддерживая открытые стандарты. Softswitch является носителем интеллектуальных возможностей IP-сети, он координирует управление обслуживанием вызовов, сигнализацию и функции, обеспечивающие установление соединения через одну или несколько сетей. В cамом оборудовании Softswitch реализованы следующие основные функции:
https://studfiles.net/preview/2090288/page:16/ Сервер приложений используется для предоставления расширенного списка дополнительных услуг абонентам пакетных сетей или абонентам, получающим доступ в пакетные сети. Серверы приложений предназначены для выполнения функций уровня услуг и управления услугами. Спецификация выполняемых функций зависит от реализуемой с помощью сервера услуги группы услуг и не может быть сформулирована на абстрактном уровне. Серверы приложений, как правило, взаимодействуют с оборудованием Softswitch, где задействованы технологии Java, XML, SOAP. Подключение производится в основном с использованием интерфейсов, базирующихся на Ethernet.
Проекти́рование — процесс определения архитектуры, компонентов, интерфейсов и других характеристик системы или её части (ISO 24765).[1] Результатом проектирования является прое́кт — целостная совокупность моделей, свойств или характеристик, описанных в форме, пригодной для реализации системы. Процесс проектирования – объем телекоммуникационной сети (помещение, здание, город, страна и т д) Документация содержит (см. картинку в п.2)
SIP (англ. Session Initiation Protocol — протокол установления сеанса) — протокол передачи данных, описывающий способ установления и завершения пользовательского интернет-сеанса, включающего обмен мультимедийным содержимым (IP-телефония, видео- и аудиоконференции, мгновенные сообщения, онлайн-игры). Протокол описывает, каким образом клиентское приложение (например, софтфон) может запросить начало соединения у другого, возможно, физически удалённого клиента, находящегося в той же сети, используя его уникальное имя. Протокол определяет способ согласования между клиентами об открытии каналов обмена на основе других протоколов, которые могут использоваться для непосредственной передачи информации (например, RTP). Допускается добавление или удаление таких каналов в течение установленного сеанса, а также подключение и отключение дополнительных клиентов (то есть допускается участие в обмене более двух сторон — конференц-связь). Протокол также определяет порядок завершения сеанса. Взаимодействие клиентов в рамках SIP чаще всего осуществляется в виде диалога. Диалог – это равноправное взаимодействие двух User Agent (UA) в виде последовательности SIP-сообщений между ними. При этом, существуют запросы, не образующие диалогов. Однако обо всем по-порядку. Ниже приведен пример простого взаимодействия между двумя устройствами с поддержкой SIP  Петр хочет начать обмен сообщениями с Иваном, для этого он посылает INVITE-сообщение с данными о типе сессии (простая, мультимедиа и т.д.). Сообщения имеют следующий формат: стартовая строка, одно или несколько полей заголовка, пустая строка, обозначающая конец полей заголовка и необязательное тело сообщения. Стартовая строка содержит метод, Request-URI и версию SIP (актуальная – 2.0). Request-URI – это SIP-адрес ресурса, которому посылается запрос. Поля заголовков имеют следующий формат: <Заголовок>: <Значение> <Перевод строки> (адрес, транспортный протокол, номер порта, идентификатор транзакции, номер запроса, название метода и т д) В ответ на INVITE SIP-клиент Ивана отправляет два сообщения: 180 Ringing и 200 OK. Первое сообщает, что на стороне Ивана SIP-клиент подает звуковой сигнал звонка, второе – подтверждает установку диалога. Разберемся с каждым из них. В ответ на 200 ОК клиент Петра отправляет подтверждение, где сказано, что клиент Петр успешно получил ответ от клиента Ивана. Оба клиента договорились о параметрах меди-сессии, которая будет осуществляться по протоколу RTP. Теперь давайте рассмотрим, как происходит завершение медиа-сессии. Клиент Иван посылает BYE-запрос для завершение сессии. Получив запрос на завершение сессии, клиент Петр посылает подтверждение. Сессия завершена. https://habrahabr.ru/post/188352/ Особенности применения: Имеется хороший набор средств поддержки мобильности, удобная расширяемость, простая совместимость с предыдущими версиями, достаточно одной транзакции, простой, мало запросов, текстовый формат сообщений.
Сетево́й тра́фик или интерне́т-тра́фик (англ. Traffic — «движение», «грузооборот») — объём информации, передаваемой через компьютерную сеть за определённый период времени. Типы трафика мультисервисных сетей: Трафик реального времени (неэластичный трафик) – плохо приспосабливается к изменениям задержки и пропускной способности сети. Пример – realtime приложения. Используют протокол RTP/RTCP.
Потоковый трафик- трафик, похожий на трафик реального времени, но имеющий многократно большие требования к пропускной способности и меньшие требования к величине задержки.
Эластичный трафик- трафик, способный приспосабливаться к изменениям задержки и пропускной способности, продолжая удовлетворять потребности приложения. Приложения, создающие подобный трафик, в качестве транспортного протокола, как правило, используют протокол TCP или UDP.
Сигнальный трафик - поток отдельных вызовов (интерактивный). Может передаваться с помощью различных протоколов, основные из которых SIP, H.323, MGCP, H.248/MEGACO, SIGTRAN и др. Характеризуется небольшой чувствительностью к параметрам QoS, однако перегрузки в сети могут привести к значительному увеличению времени установления соединения или даже к невозможности его установить.
Классы обслуживания: Класс 0 – потоки реального времени, отличающиеся высокой степенью интерактивности и чувствительные к вариации задержки (высококачественная пакетная телефония и видеоконференц-связь). Класс 1 – потоки реального времени, интерактивные и чувствительные к вариации задержки (пакетная телефония, видеоконференц-связь). Класс 2 – транзакции данных, отличающиеся высокой степенью интерактивности (сигнализация). Класс 3 – транзакции данных, интерактивные. Класс 4 – потоки, чувствительные к потере информации в процессе ее передачи по сети (массивные данные, потоковое видео). Класс 5 – традиционные приложения IP – сетей с характеристиками передачи по умолчанию. http://elib.psuti.ru/Lihttsinder_Analiz_trafika_multiservisnih_setej.pdf
Трёхуровневая модель оценки качества. На уровне пользователя оцениваются показатели субъективного мнения человека, например субъективная оценка качества восприятия отдельного вида информации; На уровне услуг оцениваются различные аспекты качества услуги, такие как скорость передачи данных, механизмы кодирования и многое другое; На транспортном уровне оценивается качество функционирования сети: задержки, потери, вариация задержки и т. д.  Качество восприятия (Quality of Experience, QoE) – общая приемлемость услуги или приложения с точки зрения конечного пользователя. Качество восприятия с точки зрения пользователя может быть выражено совокупностью параметров, которые описываются в терминах, понятных как службе, предоставляющей услугу, так и пользователю, и не зависят от структуры сети. Они ориентированы преимущественно на эффект, воспринимаемый пользователем, должны быть гарантированы пользователю службой и поддаваться объективному измерению в точке доступа к услуге. Качество обслуживания (Quality of Service, QoS) – суммарный эффект показателей качества услуги, который определяет степень удовлетворенности пользователя услуги (Рек. Е.800 МСЭ-Т). Термин «качество обслуживания» также относится к совокупности сетевых технологий (механизмов QoS), целью которых является предоставление поставщику возможности управлять уровнем качества предоставляемых им услуг. Качество функционирования сети (Network Performance, NP) измеряется посредством параметров, которые рассматриваются оператором связи и используются при разработке, конфигурации, эксплуатации и техническом обслуживании сети (Рек. I.350 МСЭ-Т). Показатели NP определяются независимо от производительности оконечного оборудования и действий пользователя, но зависят от используемой сетевой технологии. Для каждой сетевой технологии определяется система уровней качества обслуживания, описываемых с помощью наборов требований, которые носят название классов QoS этой технологии. Разработаны сетевые классы QoS для протоколов IP, ATM (Asynchronous Transfer Mode), Frame Relay и т. д.  file:///C:/Users/%D0%96%D0%B5%D0%BD%D1%8F/Downloads/%D0%9B%D0%BA_1_%D0%9CCC_2012-09-04.pdf
Классификация несанкционированных действий (НСД): доступ к содержанию информации (перехват); доступ к характеристикам трафика; доступ к качеству услуг. Первая категория означает, что злоумышленник имеет возможность ознакомиться с содержанием передаваемой или хранимой информации. Вторая, — что злоумышленник, не имея доступа к содержанию информации, может контролировать ее потоки и анализировать их характеристики по направлениям и интенсивности. Третья категория означает, что злоумышленник имеет возможность воздействовать на такие характеристики передаваемой информации, как достоверность, целостность, время передачи, доставка по адресу, надежность, т. е. может вносить в передаваемую информацию искажения, нарушать ее качество. Хотя доступ к информации является наиболее опасной угрозой НСД, с учетом того, что в случае передачи по сетям ОП информации, не требующей ограничения доступа, такая угроза сама по себе не представляется опасной. В настоящее время с угрозами первого и второго видов успешно борются криптографическими методами. Поэтому наибольшую опасность представляют угрозы третьего вида, поскольку они могут вызвать глобальные последствия: полное или частичное нарушение функционирования сети, ввод ложной информации, ухудшение качества услуг. Нарушитель информационной безопасности организации; нарушитель ИБ организации: Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации. В первом случае нарушителями могут являться научные и инженерно-технические работники, участвующие в разработке, проектировании, установке, настройке оборудования и ПО. Во втором — это могут быть «внешние» по отношению к сети нарушители, например, пользователи, и «внутренние», входящие в структуру системы, как например, операторы сети. https://studfiles.net/preview/2090288/#2
|