Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

коммуникационных протоколов TCP/IP, лежащего в основе
Всемирной сети Интернет. Интернет представляет собой сово­
купность соединенных между собой компьютерных сетей, в ко­
торых используются единые согласованные правила обмена дан­
ными между компьютерами.
2 .1 .1 . И спол ьзование сети Интернет
Развитие глобальной сети Internet способствовало использо­
ванию для построения глобальных корпоративных связей более дешевого и более доступного (по сравнению с выделенными ка­
налами) транспорта Internet. Сеть Internet предлагает разнооб­
разные методы коммуникации и способы доступа к информа­
ции, поэтому для многих компаний она стала неотъемлемой ча­
стью их ИС.
Влияние Internet на корпоративные сети способствовало по­
явлению нового понятия — intranet (интранет, интрасети), при котором способы доставки и обработки информации, присущие
Internet, переносятся в корпоративную сеть.
Отметим основные возможности, предоставляемые сетью
Internet для построения корпоративных сетей [5, 9].
Дешевые и доступные коммуникационные каналы Internet.
К началу XXI в. в связи с бурным развитием Internet и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные коммуникационные каналы
Internet. Стремясь к экономии средств, предприятия стали ак­
тивно использовать эти каналы для передачи критичной ком­
мерческой и управленческой информации.
Универсальность. Глобальная сеть Internet была создана для обеспечения обмена информацией между удаленными пользова­
телями. Развитие Internet-технологий привело к возникновению популярной глобальной службы World Wide Web (WWW), что по­
зволило пользователям работать с информацией в режиме пря­
мого подключения. Эта технология подразумевает подключение пользователя к глобальной сети и использования WWW-браузе­
ров для просмотра информации. Стандартизация интерфейсов обмена данными между утилитами просмотра информации и ин­
формационными серверами позволила организовать одинаковый интерфейс с пользователем для различных платформ.

Доступ к разнообразной информации и услугам в Internet. Кро­
ме транспортных услуг по транзитной передаче данных для або­
нентов любых типов, сеть Интернет обеспечивает также доста­
точно широкий набор высокоуровневых Интернет-сервисов: всемирная паутина World Wide Web; сервис имен доменов DNS; доступ к файловым архивам FTP; электронная почта (e-mail); те­
леконференции (Usenet); сервисы общения ICQ, IRC; сервис
Telnet; поиск информации в Интернете. Компьютеры, предос­
тавляющие эти услуги, называются серверами, соответственно компьютеры, пользующиеся услугами, называются клиентами.
Эти же термины относятся и к ПО, используемому на компью­
терах-серверах и компьютерах-клиентах. Сеть Internet обеспечи­
вает доступ к обширной и разнообразной информации с помо­
щью огромного числа подключенных к ней хост-узлов. Хост — это компьютер или группа компьютеров, имеющих прямое сете­
вое соединение с Internet и предоставляющих пользователям доступ к своим средствам и службам. Многие из этих компьюте­
ров выполняют роль серверов, предлагающих любому пользова­
телю, имеющему выход в Internet, доступ к электронным ресур­
сам — данным, приложениям и услугам. Связав свои сети с внешними ресурсами, компании могут реализовать постоянные коммуникации и организовать эффективный поток информации между людьми. Соединение внутренних сетей с внешними орга­
низациями и ресурсами позволяет компаниям воспользоваться преимуществами этих сетей — снижением затрат и повышением эффективности.
Простота использования. При использовании Интернет-тех­
нологий не требуется специального обучения персонала.
Для объединения локальных сетей в глобальные используют­
ся специализированные компьютеры (маршрутизаторы и шлю­
зы), с помощью которых локальные сети подключаются к меж­
сетевым каналам связи. Маршрутизаторы и шлюзы физически соединяют локальные сети друг с другом и, используя специаль­
ное ПО, передают данные из одной сети в другую. Глобальные сети имеют сложную разветвленную структуру и избыточные связи. Маршрутизаторы и шлюзы обеспечивают поиск опти­
мального маршрута при передаче данных в глобальных сетях, благодаря чему достигается максимальная скорость потока сооб­
щений. Высокоскоростные каналы связи между локальными се­
тями могут быть реализованы на основе волоконно-оптических кабелей или с помощью спутниковой связи. В качестве медлен-

ных межсетевых каналов связи используются различные виды телефонных линий.
Построение корпоративных компьютерных сетей с примене­
нием технологии интрасетей означает прежде всего использова­
ние стека TCP/IP для транспортировки данных и технологии
Web для их представления.
2Л -2-
М о д ел ь IS O /O S I и стек протоколов T C P /IP
Основная задача, решаемая при создании компьютерных се­
тей, — обеспечение совместимости оборудования по электриче­
ским и механическим характеристикам и совместимости инфор­
мационного обеспечения (программ и данных) по системам ко­
дирования и формату данных. Решение этой задачи относится к области стандартизации. Методологической основой стандарти­
зации в компьютерных сетях является многоуровневый подход к разработке средств сетевого взаимодействия. На основе этого подхода и технических предложений Международной организа­
ции стандартов ISO (International Standards Organization) в начале
1980-х гг. была разработана стандартная модель взаимодействия
открытых систем OSI (Open Systems Interconnection). Модель
ISO/OSI сыграла важную роль в развитии компьютерных сетей.
Модель OSI определяет различные уровни взаимодействия систем и указывает, какие функции должен выполнять каждый уровень. В модели OSI средства взаимодействия делятся на семь уровней: прикладной (Application), представительный (Presenta­
tion), сеансовый (Session), транспортный (Transport), сетевой
(Network), канальный (Data Link) и физический (Physical). Са­
мый верхний уровень — прикладной. На этом уровне пользова­
тель взаимодействует с приложениями. Самый нижний уро­
вень — физический. Этот уровень обеспечивает обмен сигналами между устройствами.
Обмен данными через каналы связи происходит путем пере­
мещения данных с верхнего уровня на нижний, затем транспор­
тировки по линиям связи и, наконец, обратным воспроизведе­
нием данных в компьютере клиента в результате их перемеще­
ния с нижнего уровня на верхний.
Для обеспечения необходимой совместимости на каждом из уровней архитектуры компьютерной сети действуют специальные
стандартные протоколы. Они представляют собой формализо-

ванные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, ле­
жащие на одном уровне, но в разных узлах сети.
Иерархически организованный набор протоколов, достаточ­
ный для организации взаимодействия узлов в сети, называется
стеком коммуникационных протоколов. Следует четко различать модель ISO/OSI и стек протоколов ISO/OSI. Модель ISO /O SIяв­
ляется концептуальной схемой взаимодействия открытых сис­
тем, а стек протоколов ISO /O SI представляет собой набор впол­
не конкретных спецификаций протоколов для семи уровней взаимодействия, которые определены в модели ISO/OSI.
Коммуникационные протоколы могут быть реализованы как программно, так и аппаратно. Протоколы нижних уровней часто реализуются комбинацией программных и аппаратных средств, а протоколы верхних уровней — как правило, чисто программны­
ми средствами.
Модули, реализующие протоколы соседних уровней и нахо­
дящиеся в одном узле сети, должны взаимодействовать друг с другом также в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений. Эти пра­
вила принято называть межуровневым интерфейсом. Межуровне- вый интерфейс определяет набор сервисов, предоставляемых данным уровнем соседнему уровню. В сущности, протокол и ин­
терфейс являются близкими понятиями, но традиционно в сетях за ними закреплены разные области действия: протоколы опре­
деляют правила взаимодействия модулей одного уровня в разных узлах сети, а интерфейсы определяют правила взаимодействия модулей соседних уровней в одном узле.
Стек протоколов TCP/IP (Transmission Control Protocol/
Internet Protocol) является промышленным стандартом стека коммуникационных протоколов, разработанным для глобальных сетей. Стандарты TCP/IP опубликованы в серии документов, на­
званных Request for Comment (RFC). Документы RFC описыва­
ют внутреннюю работу сети Internet. Некоторые RFC описывают сетевые сервисы или протоколы и их реализацию, в то время как другие обобщают условия применения.
Стек TCP/IP объединяет набор взаимодействующих между собой протоколов. Самыми важными из них являются протокол
ІР, отвечающий за поиск маршрута (или маршрутов) в Интернете от одного компьютера к другому через множество промежуточ­
ных сетей, шлюзов и маршрутизаторов и передачу блоков данных

по этим маршрутам, и протокол TCP, обеспечивающий надеж­
ную доставку, безошибочность и правильный порядок приема передаваемых данных.
Большой вклад в развитие стека TCP/IP внес Калифорний­
ский университет в Беркли (США), который реализовал прото­
колы стека в своей версии ОС UNIX, сделав как сами програм­
мы, так и их исходные тексты бесплатными и общедоступными.
Популярность этой ОС привела к широкому распространению протоколов IP, TCP и других протоколов стека. Сегодня этот стек используется для связи компьютеров всемирной информа­
ционной сети Internet, а также в огромном числе корпоративных сетей. Стек TCP/IP является самым распространенным средст­
вом организации составных компьютерных сетей.
Широкое распространение стека TCP/IP объясняется сле­
дующим:
• это наиболее завершенный стандартный и в то же время популярный стек сетевых протоколов, имеющий многолет­
нюю историю;
• почти все большие сети передают основную часть своего трафика с помощью протокола TCP/IP;
• все современные ОС поддерживают стек TCP/IP.
Кроме того, это:
• метод получения доступа к сети Internet;
• гибкая технология для соединения разнородных систем как на уровне транспортных подсистем, так и на уровне при­
кладных сервисов;
• основа для создания intranet — корпоративной сети, ис­
пользующей транспортные услуги Internet и гипертексто­
вую технологию WWW, разработанную в Internet;
• устойчивая масштабируемая межплатформенная среда для приложений клиент—сервер [46].
Структура и функциональность стека протоколов TCP/IP
Стек TCP/IP был разработан до появления модели взаимо­
действия открытых систем OSI и также имеет многоуровневую структуру. Структура протоколов TCP/IP приведена на рис. 2.1.
Стек протоколов TCP/IP имеет четыре уровня — прикладной
(Application), транспортный (Transport), уровень межсетевого взаимодействия (Internet) и уровень сетевых интерфейсов

Уровни стека
Уровни модели
TCP/P
OSI
Рис. 2.1. Уровни стека протоколов TCP/IP
(Network). Для сравнения на рис. 2.1 показаны также семь уров­
ней модели OSI. Следует отметить, что соответствие уровней сте­
ка TCP/IP уровням модели OSI достаточно условно.
Прикладной уровень (Application) включает большое число прикладных протоколов и сервисов. К ним относятся такие по­
пулярные протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала Telnet, почтовый протокол SMPT, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW, и многие другие. Рассмотрим подробнее некоторые из этих про­
токолов [46].
Протокол пересылки файлов FTP (File Transfer Protocol) реа­
лизует удаленный доступ к файлу. Для того чтобы обеспечить надежную передачу, FTP использует в качестве транспорта про­
токол с установлением соединений — TCP. Кроме пересылки файлов, протокол FTP предлагает и другие услуги. Например, пользователю предоставляется возможность интерактивной ра­
боты с удаленной машиной, в частности, он может распечатать содержимое ее каталогов. Наконец, FTP выполняет аутентифи­
кацию пользователей. Прежде чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль. Для доступа к публичным каталогам ҒТР-архивов

Internet не требуется парольная аутентификация, и ее можно обойти путем использования для такого доступа предопределен­
ного имени пользователя Anonymous.
Протокол Telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала уда­
ленного компьютера. При использовании сервиса Telnet пользо­
ватель фактически управляет удаленным компьютером так же, как и локальный пользователь, поэтому такой вид доступа тре­
бует хорошей защиты. Серверы Telnet всегда используют, как минимум, аутентификацию по паролю, а иногда и более мощ­
ные средства защиты, например систему Kerberos.
Протокол SNMP (Simple Network Management Protocol) ис­
пользуется для организации сетевого управления. Сначала прото­
кол SNMP был разработан для удаленного контроля и управления маршрутизаторами Internet. С ростом популярности протокол
SNMP стали применять для управления разным коммуникацион­
ным оборудованием — концентраторами, мостами, сетевыми адаптерами и др. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта специфи­
кация, известная как база данных МІВ (Management Information
Base), определяет те элементы данных, которые управляемое уст­
ройство должно сохранять, и допустимые операции над ними.
На транспортном уровне (Transport) стека TCP/IP, называе­
мом также основным уровнем, функционируют протокол TCP и протокол UDP.
Протокол управления передачей TCP (Transport Control
Protocol) решает задачу обеспечения надежной информационной связи между двумя конечными узлами. Этот протокол называют протоколом «с установлением соединения». Это означает, что два узла, связывающиеся при помощи этого протокола, «догова­
риваются» о том, что они будут обмениваться потоком данных и принимают некоторые соглашения об управлении этим потоком.
Согласно протоколу TCP, отправляемые данные «нарезаются» на небольшие стандартные пакеты, после чего каждый пакет мар­
кируется таким образом, чтобы в нем были данные для правиль­
ной сборки документа на компьютере получателя.
Протокол дейтаграмм пользователя UDP (User Datagram
Protocol) обеспечивает передачу прикладных пакетов дейта­
граммным способом, т. е. каждый блок передаваемой информа­
ции (пакет) обрабатывается и распространяется от узла к узлу
3
-
3 3 4 8

как независимая единица информации — дейтаграмма. При этом протокол UDP выполняет только функции связующего зве­
на между сетевым протоколом и многочисленными прикладны­
ми процессами. Необходимость в протоколе UDP обусловлена тем, что UDP «умеет» различать приложения и доставляет ин­
формацию от приложения к приложению.
Уровень межсетевого взаимодействия (Internet) реализует кон­
цепцию коммутации пакетов без установления соединений. Ос­
новным протоколом этого уровня является адресный протокол IP.
Этот протокол изначально проектировался как протокол переда­
чи пакетов в составных сетях, состоящих из большого числа ло­
кальных сетей, объединенных как локальными, так и глобальны­
ми связями.
Суть протокола IP состоит в том, что у каждого пользователя
Всемирной сети Internet должен быть свой уникальный адрес
(IP-адрес). Без этого нельзя говорить о точной доставке ТСР-па- кетов в нужное рабочее место. Этот адрес выражается очень про­
сто — четырьмя байтами, например: 185.47.39.14. Структура
IP-адреса организована таким образом, что каждый компьютер, через который проходит какой-либо TCP-пакет, может по этим четырем числам определить, кому из ближайших «соседей» надо переслать пакет, чтобы он оказался «ближе» к получателю. В ре­
зультате конечного числа перебросок TCP-пакет достигает адре­
сата. В данном случае оценивается не географическая «близость».
В расчет принимаются условия связи и пропускная способность линии. Два компьютера, находящиеся на разных континентах, но связанные высокопроизводительной линией космической связи, считаются более близкими друг другу, чем два компьютера из со­
седних городов, связанных обычной телефонной связью. Реше­
нием вопросов, что считать «ближе», а что «дальше» занимаются специальные средства — маршрутизаторы. Роль маршрутизатора в сети может выполнять как специализированный компьютер, так и специализированная программа, работающая на узловом сервере сети.
К уровню межсетевого взаимодействия относятся и протоко­
лы, связанные с составлением и модификацией таблиц маршру­
тизации, такие как протоколы сбора маршрутной информации RIP
(Routing Internet Protocol) и OSPF (Open Shortest Path First), a также протокол межсетевых управляющих сообщений ICMP (Inter­
net Control Message Protocol). Последний протокол предназначен

для обмена информацией об ошибках между маршрутизаторами сети и узлом — источником пакета.
Уровень сетевого интерфейса (Network) соответствует физиче­
скому и канальному уровням модели OSI. Этот уровень в прото­
колах TCP/IP не регламентируется, но поддерживает все попу­
лярные стандарты физического и канального уровня: для ло­
кальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, для глобальных сетей — протоколы соединений «точка—точка» SLIP и РРР, протоколы территориальных сетей с коммутацией паке­
тов Х.25, frame relay. Разработана спецификация, определяющая использование технологии ATM в качестве транспорта каналь­
ного уровня.
Разделенные на уровни протоколы стека TCP/IP спроекти­
рованы таким образом, что конкретный уровень хоста назначе­
ния получает именно тот объект, который был отправлен экви­
валентным уровнем хоста источника. Каждый уровень стека од­
ного хоста образует логическое соединение с одноименным уровнем стека другого хоста. При реализации физического со­
единения уровень передает свои данные интерфейсу уровня, расположенного выше или ниже в том же хосте (рис. 2.2). Вер­
тикальные стрелки показывают физическое соединение в рамках одного хоста, а горизонтальные стрелки показывают логическое соединение между одноименными уровнями в различных хостах.
Следует обратить внимание на терминологию, традиционно используемую для обозначения информационных объектов, рас­
пространяющихся на интерфейсах между различными уровнями управления стека протоколов TCP/IP.
Приложение передает транспортному уровню сообщение
(message), которое имеет соответствующее данному приложению размер и семантику. Транспортный уровень «разрезает» это со­
общение (если оно достаточно велико) на пакеты (packets), ко­
торые передаются уровню межсетевого взаимодействия (т. е. протоколу IP). Протокол IP формирует свои IP-пакеты (еще го­
ворят — IP-дейтаграммы) и затем упаковывает их в формат, приемлемый для данной физической среды передачи информа­
ции. Эти, уже аппаратно-зависимые, пакеты обычно называют кадрами (frame).
Когда данные передаются от прикладного уровня к транс­
портному уровню, затем уровню межсетевого взаимодействия и далее через уровень сетевого интерфейса в сеть, каждый про­
токол выполняет соответствующую обработку и инкапсулирует