безопасность сетей и каналов передачи данных. Тема Проблемы информационной безопасности сетей Содержание темы
 Скачать 1.46 Mb.
|
|
Тема 1. Проблемы информационной безопасности сетей Содержание темы: 1. Введение в сетевой информационный обмен. 2. Анализ угроз сетевой безопасности. 3. Обеспечение информационной безопасности сетей. Быстрый рост глобальной сети Internet и стремительное развитие информационных технологий привели к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых отношений. Однако, несмотря на интенсивное развитие компьютерных средств, и информационных технологий, уязвимость современных информационных систем и компьютерных сетей, к сожалению, не уменьшается. Поэтому проблемы обеспечения информационной безопасности привлекают пристальное внимание как специалистов в области компьютерных систем и сетей, так и многочисленных пользователей, включая компании, работающие в сфере электронного бизнеса. Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достигнуть требуемого уровня информационной безопасности компьютерных систем и сетей. Основным свойством, отличающим компьютерные сети от автономных компьютеров, является наличие обмена информацией между сетевыми узлами, связанными линиями передачи данных. Объединение компьютеров в компьютерные сети позволяет значительно повысить эффективность использования компьютерной системы в целом. Повышение эффективности при этом достигается за счет возможности обмена информацией между компьютерами сети, а также за счет возможности использования на каждом компьютере общих сетевых ресурсов (информации, внешней памяти, программных приложений, внешних устройств). Одним из основных признаков корпоративной сети является применение глобальных связей для объединения отдельных локальных сетей филиалов предприятия и компьютеров его удаленных сотрудников с центральной локальной сетью. В последние годы интенсивно развиваются беспроводные компьютерные сети, и в частности беспроводные локальные сети WLAN (Wireless Local Area Network). Вопрос 1. Введение в сетевой информационный обмен. Стремительное развитие ИТ привело к появлению и быстрому росту глобальной сети Internet. Развитие компьютерных сетей немыслимо без строгого соблюдения принципов стандартизации аппаратного и ПО. Днем рождения Интернета в современном понимании этого слова стала дата стандартизации в 1983 г. стека коммуникационных протоколов TCP/IP, лежащего в основе Всемирной сети Интернет. Интернет представляет собой совокупность соединенных между собой компьютерных сетей, в которых используются единые согласованные правила обмена данными между компьютерами. Использование сети Интернет. Развитие глобальной сети Internet способствовало использованию для построения глобальных корпоративных связей более дешевого и более доступного (по сравнению с выделенными каналами) транспорта Internet. Сеть Internet предлагает разнообразные методы коммуникации и способы доступа к информации, поэтому для многих компаний она стала неотъемлемой частью их ИС. Влияние Internet на корпоративные сети способствовало появлению нового понятия -intranet (интранет, интрасети), при котором способы доставки и обработки информации, присущие Internet, переносятся в корпоративную сеть. Основные возможности, предоставляемые сетью Internet для построения корпоративных сетей: 1. Дешевые и доступные коммуникационные каналы Internet. К началу XXI в. в связи с бурным развитием Internet и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные коммуникационные каналы Internet. Стремясь к экономии средств, предприятия стали активно использовать эти каналы для передачи критичной коммерческой и управленческой информации. 2. Универсальность. Глобальная сеть Internet была создана для обеспечения обмена информацией между удаленными пользователями. Развитие Internet-технологий привело к возникновению популярной глобальной службы World Wide Web (WWW), что позволило пользователям работать с информацией в режиме прямого подключения. Эта технология подразумевает подключение пользователя к глобальной сети и использования WWW браузеров для просмотра информации. Стандартизация интерфейсов обмена данными между утилитами просмотра информации и информационными серверами позволила организовать одинаковый интерфейс с пользователем для различных платформ. 3. Доступ к разнообразной информации и услугам в Internet. Кроме транспортных услуг по транзитной передаче данных для абонентов любых типов, сеть Интернет обеспечивает также достаточно широкий набор высокоуровневых Интернет-сервисов: всемирная паутина World Wide Web; сервис имен доменов DNS; доступ к файловым архивам FTP; электронная почта (e-mail); телеконференции (Usenet); сервисы общения ICQ, IRC; сервис Telnet; поиск информации в Интернете. Компьютеры, предоставляющие эти услуги, называются серверами, соответственно компьютеры, пользующиеся услугами, называются клиентами. Эти же термины относятся и к ПО, используемому на компьютерах-серверах и компьютерах-клиентах. Сеть Internet обеспечивает доступ к обширной и разнообразной информации с помощью огромного числа подключенных к ней хост-узлов. Хост — это компьютер или группа компьютеров, имеющих прямое сетевое соединение с Internet и предоставляющих пользователям доступ к своим средствам и службам. Многие из этих компьютеров выполняют роль серверов, предлагающих любому пользователю, имеющему выход в Internet, доступ к электронным ресурсам — данным, приложениям и услугам. Связав свои сети с внешними ресурсами, компании могут реализовать постоянные коммуникации и организовать эффективный поток информации между людьми. Соединение внутренних сетей с внешними организациями и ресурсами позволяет компаниям воспользоваться преимуществами этих сетей — снижением затрат и повышением эффективности. 4. Простота использования. При использовании Интернет технологий не требуется специального обучения персонала. Для объединения локальных сетей в глобальные используются специализированные компьютеры (маршрутизаторы и шлюзы), с помощью которых локальные сети подключаются к межсетевым каналам связи. Маршрутизаторы и шлюзы физически соединяют локальные сети друг с другом и, используя специальное ПО, передают данные из одной сети в другую. Глобальные сети имеют сложную разветвленную структуру и избыточные связи. Маршрутизаторы и шлюзы обеспечивают поиск оптимального маршрута при передаче данных в глобальных сетях, благодаря чему достигается максимальная скорость потока сообщений. Высокоскоростные каналы связи между локальными сетями могут быть реализованы на основе волоконно-оптических кабелей или с помощью спутниковой связи. В качестве медленных межсетевых каналов связи используются различные виды телефонных линий. Построение корпоративных компьютерных сетей с применением технологии интрасетей означает, прежде всего, использование стека TCP/IP для транспортировки данных и технологии Web для их представления. Модель ISO/OSI и стек протоколов TCP/IP. Основная задача, решаемая при создании компьютерных сетей, - обеспечение совместимости оборудования по электрическим и механическим характеристикам и совместимости информационного обеспечения (программ и данных) по системам кодирования и формату данных. Решение этой задачи относится к области стандартизации. Методологической основой стандартизации в компьютерных сетях является многоуровневый подход к разработке средств сетевого взаимодействия. На основе этого подхода и технических предложений Международной организации стандартов ISO (International Standards Organization) в начале 1980-х гг. была разработана стандартная модель взаимодействия открытых систем OSI (Open Systems Interconnection). Модель ISO/OSI сыграла важную роль в развитии компьютерных сетей. Модель OSI определяет различные уровни взаимодействия систем и указывает, какие функции должен выполнять каждый уровень. В модели OSI средства взаимодействия делятся на семь уровней: прикладной (Application), представительный (Presentation), сеансовый (Session), транспортный (Transport), сетевой (Network), канальный (Data Link) и физический (Physical). Самый верхний уровень - прикладной. На этом уровне пользователь взаимодействует с приложениями. Самый нижний уровень - физический. Этот уровень обеспечивает обмен сигналами между устройствами. Обмен данными через каналы связи происходит путем перемещения данных с верхнего уровня на нижний, затем транспортировки по линиям связи и, наконец, обратным воспроизведением данных в компьютере клиента в результате их перемещения с нижнего уровня на верхний. Для обеспечения необходимой совместимости на каждом из уровней архитектуры компьютерной сети действуют специальные стандартные протоколы. Они представляют собой формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах сети. Иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов в сети, называется стеком коммуникационных протоколов. Следует четко различать модель ISO/OSI и стек протоколов ISO/OSI. Модель ISO/OSI является концептуальной схемой взаимодействия открытых систем, а стек протоколов ISO/OSI представляет собой набор вполне конкретных спецификаций протоколов для семи уровней взаимодействия, которые определены в модели ISO/OSI. Коммуникационные протоколы могут быть реализованы как программно, так и аппаратно. Протоколы нижних уровней часто реализуются комбинацией программных и аппаратных средств, а протоколы верхних уровней — как правило, чисто программными средствами. Модули, реализующие протоколы соседних уровней и находящиеся в одном узле сети, должны взаимодействовать друг с другом также в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений. Эти правила принято называть межуровневым интерфейсом. Межуровневый интерфейс определяет набор сервисов, предоставляемых данным уровнем соседнему уровню. В сущности, протокол и интерфейс являются близкими понятиями, но традиционно в сетях за ними закреплены разные области действия: протоколы определяют правила взаимодействия модулей одного уровня в разных узлах сети, а интерфейсы определяют правила взаимодействия модулей соседних уровней в одном узле. Стек протоколов TCP/IP (Transmission Control Protocol/ Internet Protocol) является промышленным стандартом стека коммуникационных протоколов, разработанным для глобальных сетей. Стандарты TCP/IP опубликованы в серии документов, названных Request for Comment (RFC). Документы RFC описывают внутреннюю работу сети Internet. Некоторые RFC описывают сетевые сервисы или протоколы и их реализацию, в то время как другие обобщают условия применения. Стек TCP/IP объединяет набор взаимодействующих между собой протоколов. Самыми важными из них являются протокол IP, отвечающий за поиск маршрута (или маршрутов) в Интернете от одного компьютера к другому через множество промежуточных сетей, шлюзов и маршрутизаторов и передачу блоков данных по этим маршрутам, и протокол TCP, обеспечивающий надежную доставку, безошибочность и правильный порядок приема передаваемых данных. Большой вклад в развитие стека TCP/IP внес Калифорнийский университет в Беркли (США), который реализовал протоколы стека в своей версии ОС UNIX, сделав как сами программы, так и их исходные тексты бесплатными и общедоступными. Популярность этой ОС привела к широкому распространению протоколов IP, TCP и других протоколов стека. Сегодня этот стек используется для связи компьютеров всемирной информационной сети Internet, а также в огромном числе корпоративных сетей. Стек TCP/IP является самым распространенным средством организации составных компьютерных сетей. Широкое распространение стека TCP/IP объясняется следующим: наиболее завершенный стандартный и в то же время популярный стек сетевых протоколов, имеющий многолетнюю историю; почти все большие сети передают основную часть своего трафика с помощью протокола TCP/IP; все современные ОС поддерживают стек TCP/IP; метод получения доступа к сети Internet; гибкая технология для соединения разнородных систем, как на уровне транспортных подсистем, так и на уровне прикладных сервисов; основа для создания intranet — корпоративной сети, использующей транспортные услуги Internet и гипертекстовую технологию WWW, разработанную в Internet; устойчивая масштабируемая межплатформенная среда для приложений клиент-сервер. Структура и функциональность стека протоколов TCP/IP. Стек TCP/IP был разработан до появления модели взаимодействия открытых систем OSI и также имеет многоуровневую структуру. Структура протокола TCP/IP приведена на Рис. 1.  Рис. 1. Уровни стека протоколов TCP/IP Стек протоколов TCP/IP имеет четыре уровня — прикладной (Application), транспортный (Transport), уровень межсетевого взаимодействия (Internet) и уровень сетевых интерфейсов (Network). Для сравнения на слайде показаны также семь уровней модели OSI. Следует отметить, что соответствие уровней стека TCP/IP уровням модели OSI достаточно условно. Прикладной уровень (Application) включает большое число прикладных протоколов и сервисов. К ним относятся такие популярные протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала Telnet, почтовый протокол SMPT, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW, и многие другие. Рассмотрим подробнее некоторые из этих протоколов. Протокол пересылки файлов FTP (File Transfer Protocol) реализует удаленный доступ к файлу. Для того чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений — TCP. Кроме пересылки файлов, протокол FTP предлагает и другие услуги. Например, пользователю предоставляется возможность интерактивной работы с удаленной машиной, в частности, он может распечатать содержимое ее каталогов. Наконец, FTP выполняет аутентификацию пользователей. Прежде чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль. Для доступа к публичным каталогам FTP-архивов Internet не требуется парольная аутентификация, и ее можно обойти путем использования для такого доступа предопределенного имени пользователя Anonymous. Протокол Telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удаленного компьютера. При использовании сервиса Telnet пользователь фактически управляет удаленным компьютером так же, как и локальный пользователь, поэтому такой вид доступа требует хорошей защиты. Серверы Telnet всегда используют, как минимум, аутентификацию по паролю, а иногда и более мощные средства защиты, например систему Kerberos. Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления. Сначала протокол SNMP был разработан для удаленного контроля и управления маршрутизаторами Internet. С ростом популярности протокол SNMP стали применять для управления разным коммуникационным оборудованием — концентраторами, мостами, сетевыми адаптерами и др. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base), определяет те элементы данных, которые управляемое устройство должно сохранять, и допустимые операции над ними. На транспортном уровне (Transport) стека TCP/IP, называемом также основным уровнем, функционируют протокол TCP и протокол UDP. Протокол управления передачей TCP (Transport Control Protocol) решает задачу обеспечения надежной информационной связи между двумя конечными узлами. Этот протокол называют протоколом «с установлением соединения». Это означает, что два узла, связывающиеся при помощи этого протокола, «договариваются» о том, что они будут обмениваться потоком данных и принимают некоторые соглашения об управлении этим потоком. Согласно протоколу TCP, отправляемые данные «нарезаются» на небольшие стандартные пакеты, после чего каждый пакет маркируется таким образом, чтобы в нем были данные для правильной сборки документа на компьютере получателя. Протокол дейтаграмм пользователя UDP (User Datagram Protocol) обеспечивает передачу прикладных пакетов дейтаграммным способом, т. е. каждый блок передаваемой информации (пакет) обрабатывается и распространяется от узла к узлу как независимая единица информации — дейтаграмма. При этом протокол UDP выполняет только функции связующего звена между сетевым протоколом и многочисленными прикладными процессами. Необходимость в протоколе UDP обусловлена тем, что UDP «умеет» различать приложения и доставляет информацию от приложения к приложению. Уровень межсетевого взаимодействия (Internet) реализует концепцию коммутации пакетов без установления соединений. Основным протоколом этого уровня является адресный протокол IP. Этот протокол изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого числа локальных сетей, объединенных как локальными, так и глобальными связями. Суть протокола IP состоит в том, что у каждого пользователя Всемирной сети Internet должен быть свой уникальный адрес (IP-адрес). Без этого нельзя говорить о точной доставке ТСР пакетов в нужное рабочее место. Этот адрес выражается очень просто — четырьмя байтами, например: 185.47.39.14. Структура IP-адреса организована таким образом, что каждый компьютер, через который проходит какой-либо TCP-пакет, может по этим четырем числам определить, кому из ближайших «соседей» надо переслать пакет, чтобы он оказался «ближе» к получателю. В результате конечного числа перебросок TCP-пакет достигает адресата. В данном случае оценивается не географическая «близость». В расчет принимаются условия связи и пропускная способность линии. Два компьютера, находящиеся на разных континентах, но связанные высокопроизводительной линией космической связи, считаются более близкими друг другу, чем два компьютера из соседних городов, связанных обычной телефонной связью. Решением вопросов, что считать «ближе», а что «дальше» занимаются специальные средства — маршрутизаторы. Роль маршрутизатора в сети может выполнять как специализированный компьютер, так и специализированная программа, работающая на узловом сервере сети. К уровню межсетевого взаимодействия относятся и протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), a также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом — источником пакета. |