·  Припинення передавання та розірвання з’єднання у разі затримки пакетів на час, що перевищує визначений тайм-аут. При цьому верхні рівні відправника та одержувача інформації сповіщають про аварію.

·  Розірвання з’єднання у разі завершення передавання усієї необхідної інформації. При цьому на верхні рівні відправника та одержувача інформації надаються сигнали про нормальне закінчення процесу передавання.

Структуру заголовка, який додається на транспортному рівні стеку TCP/IP, наведено у таблиці 3.12.

Таблиця 3.12

Структура TCP-заголовка

Початок TCP-заголовка займають номери портів, що являють собою доповнення до IP-адрес, відповідно відправника та одержувача пакета.

Терміном порт у комп’ютерній лексиці часто називають ті чи інші фізичні або логічні точки доступу.

Для доставки пакета до комп’ютера достатньо знати IP-адресу, але у одному комп’ютері можуть одночасно підтримуватись у активному стані багато процесів зв’язку і необхідно визначати до якого з цих процесів належить кожний пакет. Коли для одного сайта ми відкриваємо кілька вікон, то пакети до кожного вікна мають абсолютно однакові IP-адреси, але протокол TCP надає їм різні номери портів, що й дозволяє відрізняти ці пакети.

На рис.3.16 відображено значення даних у TCP-заголовках для трьох початкових пакетів сеансу зв’язку.

Source port = 2345 Destined port = 23 (Telnet)

Байт № Байт № 0

Довжина заголовку = 6 (24 байти)

SYN = 1 MSS = 1460

Source port = 23 (Telnet) Destined port = 2345

Байт № 000 Байт № (очікується)

Довжина заголовку = 6 (24 байти)

ASC =1 SYN = 1 MSS = 1024

Source port = 2345 Destined port = 23 (Telnet)

Байт № Байт № 000 (очікується)

Довжина заголовку = 5 (20 байтів)

ASC = 1

Рис. 3.16. Процедура встановлення з’єднання за протоколом TCP

Після успішного обміну першими трьома пакетами, що називають процедурою встановлення з’єднання, розпочинається обмін даними. У нашому випадку, коли протоколом верхнього рівня є Telnet, з боку клієнта у пакетах даних відправлятимуться команди з клавіатури, а у відповідях від сервера надходитимуть дані для відображення на екрані терміналу. Цей режим обміну даними широко розповсюджений у роботі адміністраторів вузлів мережі Internet.

Крім протоколу TCP на транспортному рівні стеку TCP/IP є протокол UDP, структуру заголовка якого надано у таблиці 3.13.

Таблиця 3.13

Структура UDP-заголовка

Протокол UDP не забезпечує надійності передавання інформації, але його необхідність обумовлена можливістю передавання широкомовних та термінових повідомлень.

Розглянуті у цьому підрозділі протоколи являють собою основу стеку TCP/IP, без якого важко уявити собі сучасну комп’ютерну мережу.

3.3 Захист інформаційних ресурсів у комп’ютерних мережах

Сучасний рівень захисту інформації в мережі Internet не завжди задовольняє користувачів у разі виникнення необхідності передавання конфіденційної інформації, а також інформації з обмеженим або платним доступом. У таких випадках створюють свої власні або корпоративні мережі, де підтримують необхідний рівень захисту інформації. Для цього існують стандартні рішення, які полягають у створенні переліку можливих загроз та вибору відповідних засобів захисту інформації від кожної загрози. Системи технічного захисту інформації характеризуються рівнем захисту. Найнижчий нульовий рівень надається системі у разі відсутності або недієздатності засобів захисту. Шостий та сьомий рівні відповідають системам з найвищими вимогами до захисту інформації, де зберігаються державні таємниці. У разі відсутності інформації з грифом таємності, рівень захисту вибирають не вище третього. Відрізняють засоби захисту інформації в межах комп’ютерів та у середовищах передавання даних.

В усіх випадках захист інформаційних ресурсів повинен на певному рівні забезпечувати наступні вимоги.

·  Конфіденційність (захист від несанкціонованого доступу).

·  Цілісність (захищеність від порушень інформації під час доставки або зберігання).

·  Доступність (відсутність обмежень для санкціонованого доступу).

·  Захищеність технічного обладнання від несанкціонованого користування.

В якості програмно-апаратної платформи для побудови систем технічного захисту інформації широко використовують недорогі, але достатньо ефективні пристрої – міжмережні екрани (інші назви цих пристроїв – firewall, брандмауер). Механізми захисту вбудовують на канальному, мережному, сеансовому та прикладному рівнях взаємодії інформаційних систем. Криптографічні механізми забезпечення захисту використовують обмежено, але такі архітектурні рішення передбачаються для оснащення мереж у найближчі роки, для чого в Україні створюється відповідна юридична база.

У корпоративних мережах з метою захисту інформаційних ресурсів реалізують адміністративний принцип керування потоками інформації між суб’єктами та об’єктами, який дозволено виконувати тільки спеціально уповноваженим авторизованим користувачам. У вигляді атрибутів доступу використовуються мітки, що відображають міру конфіденційності або важливості інформації (об’єкта), з одного боку, і рівень доступу користувача, з другого. Таким чином, на підставі порівняння міток об’єкта і суб’єкта визначається, чи є суб’єкт авторизованим користувачем.

Більш детальний механізм визначення прав доступу базується на використанні концепції матриці доступу. Матриця доступу являє собою паралелепіпед, уздовж кожного виміру котрого відкладені ідентифікатори відповідно суб’єктів доступу, об’єктів і механізмів (засобів) захисту, а в якості елементів матриці виступають дозволені або заборонені режими доступу (наприклад, тільки на читання, на запис і читання і т. ін.). Повна тримірна матриця доступу дозволяє точно описати, хто (ідентифікатор суб’єкта) через що (ідентифікатор механізму захисту) до чого (ідентифікатор об’єкта захисту) і який режим доступу може одержати.

Система, що заснована на адміністративному принципі керування доступом, дозволяє встановлювати потоки інформації всередині системи тільки уповноваженій особі. Ці потоки не можуть бути змінені без санкції цієї особи. Звичайний користувач не має можливостей змінювати мітки та інші атрибути доступу об’єктів та суб’єктів.

Найбільш розповсюджене рішення, яке забезпечує захист локальних та корпоративних мереж від втручання порушників із зовнішніх мереж, це використання технологій трансляції мережних адрес та портів (NAT та NAPT). Ці технології дозволяють без обмеження доступу до зовнішніх мереж заборонити доступ до внутрішніх (локальних або корпоративних) мереж з боку зовнішньої мережі. При цьому механізм захисту базується на тому, що у внутрішній мережі використовують внутрішні IP-адреси (див. табл.3.2), до яких не можна адресувати пакет із зовнішньої мережі. Доступ до ресурсів зовнішньої мережі із внутрішньої мережі забезпечує сервер-посередник (proxy-server), який виконує функції маршрутизатора з використанням технології NAT.

Робота такого сервера полягає у наступному.

Усі пакети, що адресовані із внутрішньої мережі у зовнішню, сервер перетворює шляхом заміни внутрішньої IP-адреси відправника на власну зовнішню IP-адресу. При цьому у технології NAPT замінюють також і номер порту відправника, що надає можливість більш ефективного використання зовнішніх IP-адрес.

Розглянемо приклад такої заміни.

З комп’ютера внутрішньої мережі з адресою 10.0.0.3 з порту 80 пакет адресовано у зовнішню мережу на адресу 182.255.17.4 на порт 80. Сервер посередник відправляє пакет у зовнішню мережу, замінюючи внутрішню адресу відправника 10.0.0.3 на свою власну зовнішню адресу 211.54.20.1. Ця адреса може бути єдиною, бо для точної ідентифікації кожного сеансу зв’язку сервер надає їм у відповідність різні номери портів, максимальна кількість яких перевищує 60 тисяч.

З іншого комп’ютера внутрішньої мережі з адресою 10.0.0.6 у той же час також може бути відправлено пакет у зовнішню мережу на ту ж саму IP-адресу 182.255.17.4 на порт 80. У цьому разі сервер призначає інший номер порту, створюючи у своїй пам’яті таблицю транслювання адрес та номерів портів, яку зображено на рис. 3.17.

Внутрішня мережа

10.0.0.6

10.0.0.3

Сервер

До зовнішньої

мережі

Рис. 3.16. Приклад використання технології NAPT

Для пакетів, що відправляються з внутрішньої мережі у зовнішню, внутрішні IP-адреса та порт відправника замінюються на зовнішні, а у пакетах, що надходять із зовнішньої мережі, зовнішні IP-адреса та порт одержувача замінюються на внутрішні.

В и с н о в к и

1.  На канальному рівні локальних комп’ютерних мереж (ЛКМ) найбільш поширено використання технологій сім’ї Ethernet, що беруть початок від мережі Aloha, яка була побудована у 1968 році у Гавайському університеті. У цій мережі використовувалось спільне середовище передавання (радіоканал) з невпорядкованим груповим методом доступу, при якому неминучі колізії (накладання сигналів від різних передавачів). Розробкою перших стандартів Ethernet-мереж займались три відомі фірми DEC, Intel та Xerox. Максимальна швидкість передавання даних у мережах Ethernet зростала за рахунок вдосконалення технологій з 10 Мбіт/с до 100 Мбіт/с (стандарт Fast Ethernet від 1995 року), 1000 Мбіт/с (стандарт Gigabit Ethernet від 1998 року), 10 Гбіт/с (стандарт 10 Gigabit Ethernet від 2002 року).

2.  Кільцева топологія з маркерним (впорядкованим і позбавленим від колізій) методом доступу була покладена в основу технологій Token Ring (1984 рік) та FDDI (1988 рік), розробка яких належить відомій компанії IBM. Технологія FDDI стала першою технологією ЛКМ на волоконно-оптичному кабелі, при цьому була забезпечена швидкість передавання 100 Мбіт/с, максимальна довжина кільця дорівнювала 200 км, а відстань між сусідніми вузлами – 2 км, що значно перевищувало можливості технології Ethernet у той час.

3.  Важливим етапом розвитку технологій сім’ї Ethernet було впровадження комутаторів для з’єднання комп’ютерів, що позбавило мережі від зловісних колізій. А впровадження дуплексної технології (1993 рік) усунуло обмеження на відстань передавання. Таким чином, технологія Ethernet фактично перетворилась на універсальну технологію канального рівня для мереж довільного масштабу, а різні режими управління логікою передавання забезпечують можливість роботи з усіма стеками телекомунікаційних протоколів.

4.  Кожний мережний адаптер, або інший пристрій, що відправляє та приймає кадри Ethernet, має свою унікальну апаратну (або фізичну) адресу, яку часто називають MAC-адресою. Довжина цієї адреси становить 6 байтів. Незважаючи на велику кількість фірм, що виробляють обладнання мереж Ethernet, не може бути двох виробів з однаковими апаратними адресами. Про це піклується комітет 802 IEEE, що визначає кожному виробникові унікальний ідентифікатор організації OUI (Organizationally Unique Identifier). У трьох старших байтах MAC-адреси розміщують OUI, а у трьох правих (молодших) байтах – номер виробу від організації виробника. Перші два біти OUI завжди 00.

5.  Для індивідуальних MAC-адрес обмеженого використання старші два біти першого байта повинні мати значення 01 (наприклад, для експериментів), а для групових та широкомовних адрес старший біт першого байта повинен мати значення 1. Адреса відправника може бути тільки індивідуальною, а адреса одержувача може бути як індивідуальною, так і широкомовною або груповою. Широкомовна адреса пакета, що призначений усім вузлам мережі складається з усіх одиниць.

6.  Сучасне обладнання мереж Ethernet автоматично вибирає найбільш ефективний режим одразу після підключення. Це стосується адаптерів, концентраторів та комутаторів. Вибір того чи іншого режиму здійснюється шляхом спеціальних переговорів (Auto-negotiation), що автоматично підтримуються між пристроями канального рівня мережі. Сценарій цих переговорів побудовано таким чином, щоб нові пристрої, які мають більшу кількість режимів, мали б можливість налагодити зв’язок зі старим обладнанням.

7.  Для забезпечення роботи локальної мережі, крім використання технології канального рівня, необхідно на кожному комп’ютері встановити програмне забезпечення одного або декількох стеків протоколів верхніх рівнів. Їх конкретний вибір залежить від потреб користувача, типу комп’ютера та операційної системи. Обладнання мереж Ethernet забезпечує незалежну роботу для усіх стандартних протоколів верхнього рівня. Головним обмеженням технологій локальних мереж є неможливість перевищити максимальну кількість вузлів. Для технології Ethernet ця кількість становить 1024.

8.  Створення мереж глобального масштабу ставить на перший план задачу подолання двох головних обмежень, що існують у технологіях локальних мереж, а саме: обмежень на кількість вузлів та на відстань передавання. Крім цього, важливо забезпечити можливість об’єднувати у єдину мережу різноманітні комп’ютери та локальні мережі, що побудовані на обладнанні від різних виробників. Все це у наш час забезпечує комплекс мережних технологій, що називають Internet-технологіями. Основою цього комплексу є стек протоколів TCP/IP. Широке розповсюдження стеку TCP/IP та створення на його основі мережі Інтернет пояснюється гнучкістю системи адресації та економним використанням канальних ресурсів.

9.  У системі адресації стеку TCP/IP виділяють три типи адрес.

·  Апаратні адреси, що використовуються у пакетах канального рівня, наприклад MAC-адреси для мереж сім’ї Ethernet.

·  IP-адреси, що посідають головне місце у процесі доставки пакетів.

·  Символьні адреси, які називають доменними іменами.

10.  Довжина IP-адреси становить 32 біти (4 байти). Записують IP-адреси у вигляді чотирьох десяткових чисел від 0 до 255, відокремлених крапками, наприклад 180.38.0.214. Кожне число відповідає байту. Загальна кількість IP-адрес не може перевищити 4,3 млрд. Вважають, що цієї кількості буде недостатньо для мережі всесвітнього масштабу і прогнозують в період між роками перехід на шосту версію протоколу IP (IPv6), де довжину IP-адрес збільшено до 128 бітів.

11.  У структурі 32-бітної IP-адреси виділяють дві логічні частини. Ліва (старша) частина означає адресу мережі, а права (молодша) – адресу вузла у цій мережі. Спочатку було запропоновано визначати розмір лівої та правої частин за допомогою класів A, B, C, D та E, але вже в кінці 80-х років почали відчуватись серйозні недоліки цієї системи. Для подолання кризової ситуації з призначенням IP-адрес винайшли засоби CIDR (Classless Inter-Domain Routing – безкласова міждоменна маршрутизація) та VLSM (Variable Length Subnet Masks – маски підмереж змінної довжини), де маска означає кількість бітів у лівій частині. Ці засоби дозволяють розподіляти адреси незалежно від класів A, B та C.

12.  Є IP-адреси, що зарезервовані для внутрішніх мереж, які не використовують у загальній частині мережі Інтернет. Ними можна забезпечити будь-яку кількість внутрішніх мереж, бо одні й ті самі адреси можна використовувати у різних мережах, також можна у кожній внутрішній мережі створювати свої додаткові внутрішні мережі. При цьому усі вузли цих мереж можуть мати доступ до мережі Інтернет за допомогою технології NAT (Network Address Translation – трансляції мережних адрес) або NAPT (Network Address Port Translation – трансляції мережних адрес портів).

13.  Доступ до необхідного ресурсу у мережі Інтернет не в кожному випадку можна отримати за допомогою IP-адреси. Часто буває, що сервер, на якому знаходяться декілька різних ресурсів, має тільки одну реальну IP-адресу. Тобто IP-адреси буває недостатньо для визначення місця знаходження потрібного ресурсу. При цьому виникає необхідність у використанні символьних адрес, які ще називають доменними іменами. Крім того, символьними адресами зручніше користуватись, ніж числовими, бо їх легше запам’ятовувати.

14.  Простір доменних імен нагадує деревоподібну файлову структуру. Для їх зберігання розроблено спеціальну систему DNS (Domain Name System). Головна задача цієї системи – знаходження IP-адрес серверів, на яких розміщено ресурси, що мають задане доменне ім’я. До складу сучасної системи DNS відносять три основні компоненти.

·  Розподілена база доменних імен (DNS database).

·  Сервери імен (name server).

·  Клієнтські програми визначення IP-адрес (name re-solver).

15.  Сервери DNS відносно джерела інформації бувають:

·  головними або первинними (Primary Name Server), у яких базу даних заповнюють та коригують вручну;

·  допоміжними або вторинними (Secondary Name Server), у яких база даних регулярно копіюється з головного сервера;

·  кешуючі (Cache only Server), що зберігають кешовану інформацію.

16.  Процедуру визначення маршруту передавання пакетів називають маршрутизацією (routing). Існує велика множина алгоритмів маршрутизації. У найпростіших випадках такі алгоритми реалізують за допомогою програмних модулів, що інтегровані у мережному програмному забезпеченні. Для вузлів мереж великої потужності функції маршрутизації виконують спеціальні процесорні блоки. Загально визнаним лідером у виробництві таких блоків є фірма CISCO. Сучасні алгоритми маршрутизації побудовані на базі маршрутних таблиць (таблиць маршрутизації).

17.  Повідомлення, що надсилаються у разі знищення IP-пакетів з метою інформування відправника інформації про аварійні ситуації, формуються у вигляді пакета ICMP, який вкладається у IP-пакет. Тобто протокол ICMP використовує протокол IP для передавання своїх пакетів. Протоколи IP та ICMP є протоколами міжмережного рівня.

18.  Важливу роль у стеку TCP/IP відіграє протокол транспортного рівня TCP, який забезпечує вірність передавання інформації. Функції цього протоколу полягають у наступному.

·  Встановлення з’єднання між відправником та одержувачем інформації.

·  Вибір оптимальної швидкості передавання пакетів.

·  Перевірка вірності передавання кожного пакета за допомогою контрольної суми.

·  Розірвання з’єднання.

19.  Сучасний рівень захисту інформації в мережі Internet не завжди задовольняє користувачів у разі виникнення необхідності передавання конфіденційної інформації, а також інформації з обмеженим або платним доступом. У таких випадках створюють свої власні або корпоративні мережі, де підтримують необхідний рівень захисту.

20.  Захист інформаційних ресурсів повинен на певному рівні забезпечувати наступні вимоги.

·  Конфіденційність (захист від несанкціонованого доступу).

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4 5 6 7 8 9 10 11