Лекция: Информационн icon

Лекция: Информационн


Смотрите также:
Вводный семинар, вводная лекция, занятия по целе-полаганию, лекция-беседа...
Аналитические материалы к переговорному процессу по выработке нового соглашения «Копенгаген...
Лекция 20. 03. 12. Модели для исследования и оценки в pr лекция 27. 03. 12...
Лекция Фьючерсные контракты Лекция Фьючерсы на акции...
Об утверждении рекомендаций по проведению первоочередных мероприятий по интеграции деятельности...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...
Курс лекций Лекция Введение в земледелие. Лекция Научные основы земледелия...
Лекция Сионизм в оценке Торы Лекция Государство Израиль испытание на прочность...
Лекция Введение в социологию 6 Лекция Становление и основные этапы развития социологии. 20...
План лекционных занятий Лекция Развитие аудиальных средств информации. Лекция 2...
Курс лекций Москва 2008 Содержание Лекция Введение 4 Лекция Научные знания в средневековой Руси...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...



Загрузка...
страницы: 1   2   3   4   5   6   7   8   9   10
вернуться в начало
скачать
^

Основы архитектуры сетей


Прежде чем вы придете к подлинному пониманию сетевой безопасности, необходимо понять архитектуру сетей. Хотя эта книга не претендует на роль начального курса по сетям, в данном разделе приведен краткий обзор сетевых концепций и терминов. Я буду часто ссылаться на эти термины, и знакомство с ними поможет вам понять основы протокола TCP/IP. Если вы хорошо знакомы с сетевыми топологиями, то можете пропустить этот раздел и сразу перейти к инструментарию.

Как вы, вероятно, знаете, конструкцию каждой сети можно разделить на семь логических частей, каждая из которых решает определенную часть коммуникационной задачи. Эта семиуровневая конструкция называется Эталонной моделью взаимосвязи открытых систем (ВОС). Она была разработана Международной организацией по стандартизации (ISO) для представления логической модели описания сетевых коммуникаций, и она помогает поставщикам стандартизовать оборудование и программное обеспечение. В табл. 3.1 проиллюстрирована эталонная модель ВОС и приведены примеры каждого уровня.

Таблица 3.1. Эталонная модель ВОС

^ Номер уровня модели ВОС

Название уровня

Примеры протоколов

Уровень 7

Прикладной уровень

DNS, FTP, HTTP, SMTP, SNMP, Telnet

Уровень 6

Уровень представления

XDR

Уровень 5

Уровень сеанса

RPC

Уровень 4

Транспортный уровень

NetBIOS, TCP, UDP

Уровень 3

Сетевой уровень

ARP, IP, IPX, OSPF

Уровень 2

Канальный уровень

Arcnet, Ethernet, Token ring

Уровень 1

Физический уровень

Коаксиальный кабель, оптоволокно, витая пара
^

Физический уровень


Этот уровень представляет реальную физическую среду передачи данных. Для различных типов среды применяются разные стандарты. Например, коаксиальный кабель, неэкранированная витая пара и волоконно-оптический кабель предназначены для различных целей: коаксиальный кабель используется в более старых ЛВС, а также для подключения к Интернету через сети кабельного ТВ, витая пара - для внутренней кабельной разводки, в то время как оптоволокно обычно применяют для протяженных соединений с высокой пропускной способностью.
^

Канальный уровень


Этот уровень относится к различным частям оборудования сетевых интерфейсов. Он помогает кодировать данные и помещать их в физическую среду передачи. Он также позволяет устройствам идентифицировать друг друга при попытке взаимодействия с другим узлом. Примером адреса канального уровня служит MAC-адрес сетевой платы. (MAC не имеет никакого отношения к компьютерам компании Apple, это сокращение от Medium Access Control - управление доступом к среде передачи. MAC-адрес является числом, которое уникальным образом идентифицирует плату компьютера в сети.) В сетях Ethernet по MAC-адресу можно находить компьютер. В 1970-80-х годах корпорации использовали много различных типов стандартов канального уровня, определенных по большей части их поставщиками оборудования. Компания IBM использовала Token Ring для своих сетей ПК и SNA для большей части больших машин; компания DEC применяла иной стандарт, а Apple - еще один. В наше время большинство организаций используют Ethernet, так как он широко распространен и недорог.
^

Сетевой уровень


Этот уровень является первой частью, которую вы действительно видите при взаимодействии с сетями TCP/IP. Сетевой уровень дает возможность взаимодействовать через различные физические сети с помощью вторичного уровня идентификации. В сетях TCP/IP для этого используется IP-адрес. IP-адрес на компьютере помогает осуществлять маршрутизацию данных при передаче из одного места в другое в сети и через Интернет. Этот адрес является уникальным числом для идентификации компьютера в IP-сети. В некоторых случаях это число уникально для компьютера; ни одна другая машина в Интернете не может иметь такой адрес. Это справедливо для обычных открыто маршрутизируемых IP-адресов. Во внутренних ЛВС машины часто используют блоки частных IP-адресов. Они зарезервированы только для внутреннего употребления и не предназначены для маршрутизации через Интернет. Эти номера не обязаны быть уникальными для различных сетей, но все равно должны быть уникальными в каждой ЛВС. В то время как два компьютера могут иметь один и тот же частный IP-адрес в различных внутренних сетях, они никогда не будут иметь один и тот же MAC-адрес, так как последний является серийным номером, присвоенным производителем сетевых плат. Существуют некоторые исключения (см. врезку "Следуйте за MAC"), но обычно MAC-адрес будет уникальным образом идентифицировать компьютер (или, по крайней мере, сетевой интерфейс этого компьютера).

^ Флэми Тех советует:

Следуйте за MAC!

MAC-адреса могут помочь справиться с рядом сетевых проблем. Хотя MAC-адрес не идентифицирует машину непосредственно по имени, все MAC-адреса присваиваются производителем и начинаются с особого префикса для каждого производителя, полный список которых можно найти на http://www.macaddresses.com. Как правило, MAC-адреса также печатаются на самой плате.

С помощью одного из сетевых анализаторов, рассмотренных в лекции 6, и используя MAC-адреса, зачастую можно проследить источник проблемного сетевого трафика. MAC-адреса обычно регистрируются серверами DHCP в Windows или межсетевыми экранами, поэтому можно сопоставить MAC-адреса с определенным IP-адресом или именем машины. Их можно использовать также для судебных доказательств - хакеры любят подделывать IP-адреса, но большинство из них не знает, как подделать MAC-адрес, и это позволяет уникальным образом идентифицировать их ПК.
^

Транспортный уровень


Этот уровень обеспечивает доставку пакета данных из точки A в точку B. На этом уровне располагаются протоколы TCP и UDP. TCP (Transmission Control Protocol - протокол управления передачей) по сути обеспечивает согласованность отсылки пакетов и их приема на другом конце. Он позволяет исправлять ошибки на уровне битов, повторно передавать потерянные сегменты и переупорядочивать фрагментированный трафик и пакеты. UDP (User Datagram Protocol - пользовательский дейтаграммный протокол) является менее тяжеловесной схемой, используемой для потоков мультимедийных данных и кратких взаимодействий с небольшими накладными расходами, такими как запросы DNS. Этот протокол также осуществляет обнаружение ошибок и мультиплексирование данных, но не предоставляет никаких средств для переупорядочивания данных или их гарантированной доставки. Большинство межсетевых экранов оперируют на транспортном и сетевом уровнях.
^

Уровень сеанса


Уровень сеанса обслуживает в основном установление соединения и его последующее закрытие. Иногда на этом уровне выполняется аутентификация, для того чтобы установить, кому разрешено участвовать в сеансе. Он используется в основном для определенных приложений, располагающихся на более высоких уровнях модели.
^

Уровень представления


Этот уровень обеспечивает определенное кодирование и декодирование, требующееся для представления данных в формате, понятном получателю. Некоторые формы шифрования могут рассматриваться как представление. Различие между прикладным уровнем и уровнем сеанса является тонким, и некоторые также считают, что прикладной уровень и уровень представления по сути совпадают.
^

Прикладной уровень


Заключительный уровень, на котором прикладные программы (FTP, HTTP, SMTP и т.п.) получают данные. На этом уровне в дело вступает некоторая программа, обрабатывающая реальные данные из пакетов. Этот уровень является головной болью профессионалов в области безопасности, так как именно на нем выявляется большинство уязвимостей.
^

Сети TCP/IP


Когда-то TCP/IP был малоизвестным сетевым протоколом, который использовали в основном правительственные и образовательные учреждения. На самом деле он был изобретен военным исследовательским агентством, DARPA, для обеспечения бесперебойной работы сетей. Преследовалась цель создания сети, способной выдержать отказ множества линий связи в случае катастрофического события, такого как ядерный удар. Традиционные способы передачи данных всегда полагались на одиночное прямое соединение, и если это соединение деградирует или его выводят из строя, то коммуникации нарушаются. В TCP/IP предложен способ "пакетирования" данных, позволяющий им находить собственный путь через сеть. Тем самым была создана первая отказоустойчивая сеть.

Однако большинство корпораций по-прежнему использовали сетевые протоколы, предоставляемые производителями оборудования. IBM продвигала NetBIOS или SNA; в ЛВС Novell использовался протокол IPX/SPX; в сетях Windows применялся еще один стандарт, NetBEUI, производный от NetBIOS. Хотя протокол TCP/IP стал широко использоваться в 1980-х годах, только с появлением Интернета в начале 1990-х TCP/IP превратился в стандарт передачи данных. Это привело к снижению цен на оборудование для IP-сетей, и также значительно облегчило межсетевое взаимодействие.

TCP/IP позволяет взаимодействующим узлам устанавливать соединение и затем проверять, когда передача данных начинается и завершается. В сети TCP/IP передаваемые данные разбиваются на фрагменты, называемые пакетами, и помещаются в последовательность "конвертов", каждый из которых содержит определенную информацию для следующего протокольного уровня. Пакеты помечаются 32-битными порядковыми номерами, чтобы даже в случае прихода в неправильном порядке передаваемые данные можно было собрать заново. Когда пакет пересекает различные части сети, каждый уровень открывается и интерпретируется, а затем оставшиеся данные передаются дальше согласно полученным инструкциям. Когда пакет данных прибывает в место назначения, реальные данные, или полезная нагрузка, доставляются приложению.

Говорят, аналогии обманчивы, но все-таки... Представьте себе, что вы отправляете в организацию письмо в конверте для доставки курьером. Транспортная компания использует внешний конверт для маршрутизации пакета в нужное здание. После получения пакет вскрывают и внешний конверт выбрасывают. Возможно, письмо направлено в другой внутренний почтовый ящик, поэтому его нужно вложить в межофисный конверт и переслать дальше. Наконец, письмо достигает своего получателя, который вскрывает все слои обертки и использует содержащиеся внутри данные. В табл. 3.2 показано, как некоторые сетевые протоколы инкапсулируют данные.

^ Таблица 3.2. Пример пакета данных TCP/IP

Протокол

Содержимое

^ Уровень модели ВОС

Ethernet

MAC-адрес

Канальный

IP

IP-адрес

Сетевой

TCP

Заголовок TCP

Транспортный

HTTP

Заголовок HTTP

Прикладной

Прикладные данные

Web-страница

Данные

Можно видеть, что на внешнем "конверте" для наших данных написан адрес Ethernet. Он идентифицирует пакет в сети Ethernet. Внутри этого конверта находится сетевая информация, а именно, IP-адрес; еще глубже находится транспортный уровень, который устанавливает соединение и закрывает его. Затем располагается прикладной уровень с заголовком HTTP, сообщающим web-навигатору, как форматировать страницу. Наконец, мы доходим до реальной полезной нагрузки пакета - содержимого web-страницы. Этот пример иллюстрирует многоуровневую природу сетевых коммуникаций.




Рис. 3.1.  Трехходовое квитирование установления связи

При использовании протокола TCP/IP взаимодействие между двумя узлами сети подразделяется на несколько фаз (рис. 3.1). Не вдаваясь в детали, касающиеся сервера доменных имен (DNS), и предполагая, что используются IP-адреса, а не имена хостов, в качестве первой фазы выделим порождение ARP-запроса (Address Resolution Protocol - протокол разрешения адресов) для поиска адреса Ethernet, соответствующего IP-адресу, с которым пытаются взаимодействовать. ARP преобразует IP-адрес в MAC-адрес сети Ethernet. Теперь, когда мы можем общаться с целевой машиной по протоколу IP, для формирования сеанса между машинами с помощью протокола TCP осуществляется трехходовое взаимодействие. Машина, собирающаяся послать данные другой машине, посылает пакет SYN для синхронизации или инициирования передачи. Пакет SYN, по сути, говорит: "Вы готовы к передаче данных?" Если другая машина готова принять соединение от первой, она посылает SYN/ACK, что означает: "Подтверждаю получение вашего пакета SYN, я готова." Наконец, порождающая машина отправляет пакет ACK обратно, говоря тем самым: "Отлично. Начинаю посылать данные." Такая процедура называется трехходовым квитированием установления связи в TCP. Если какой-либо из трех ходов не выполнится, то соединение не будет установлено. Осуществляя пересылку, машина снабжает пакеты данных порядковыми номерами и подтверждает получение всех пакетов с порядковыми номерами, использованными второй стороной. Когда все данные посланы, одна из сторон посылает второй стороне соединения пакет FIN. Та отвечает пакетом FIN/ACK и сама посылает пакет FIN, в ответ на который посылается последний пакет FIN/ACK для закрытия сеанса TCP/IP.

В силу способа, которым TCP/IP управляет инициированием и завершением сеанса, коммуникации TCP/IP можно назвать имеющими состояние, так как по пакетам можно определить, какая часть диалога имеет место. Это очень важно для межсетевых экранов, поскольку самым употребительным способом блокирования внешнего трафика является запрет пакетов SYN, направляемых извне на машины внутри сети. В результате внутренние машины могут общаться с внешним миром и инициировать соединения, но внешним машинам не удастся открыть сеанс. В работе межсетевых экранов имеется множество тонкостей, но по сути именно таким образом простые межсетевые экраны разрешают только однонаправленные соединения для web-навигации и аналогичных действий.

В Linux существует несколько встроенных экранирующих приложений: Iptables в версиях ядра 2.4х, Ipchains в 2.2x и Ipfwadm в ядре версии 2.0. Большинство межсетевых экранов на платформе Linux делают свое дело, используя одну из этих служебных программ уровня ядра.

Все три упомянутых приложения действуют аналогичным образом. У межсетевых экранов обычно имеется два или больше сетевых интерфейсов, и под Linux это достигается наличием в компьютере двух или большего количества сетевых плат. Один интерфейс обычно соединяется с внутренней ЛВС; этот интерфейс называется доверенным или собственным. Другой интерфейс предназначен для общедоступной стороны (ГВС). В большинстве небольших сетей ГВС-интерфейс подключен к Интернету. Может присутствовать и третий интерфейс, называемый ДМЗ (от военного термина ДеМилитаризованная Зона), обычно предназначенный для серверов, которые должны быть более открыты Интернету, чтобы внешние пользователи могли с ними соединяться. Каждый пакет, который пытается пройти через машину, пропускается через последовательность фильтров. Если он соответствует фильтру, над ним выполняется некоторое действие. Этим действием может быть отбрасывание пакета, пропуск пакета, или маскарад пакета ("Masq.") с помощью внутреннего собственного IP-адреса. Лучший метод конфигурирования межсетевых экранов состоит в первоначальном запрете всех пакетов с последующим выборочным разрешением необходимых потоков данных (см. врезку о философии конфигурирования межсетевых экранов).

Межсетевые экраны могут фильтровать пакеты на нескольких различных уровнях. Они могут анализировать IP-адреса и блокировать трафик, приходящий от определенных машин или сетей, проверять заголовок TCP и определять его состояние, и на более высоких уровнях анализировать приложение или номер порта TCP/UDP. Межсетевые экраны можно конфигурировать для отбрасывания целых категорий трафика, таких как ICMP. Пакеты типа ICMP, такие как ping, обычно отбрасываются межсетевыми экранами, поскольку они часто используются для исследования сети и атак на доступность. Нет причин, по которым кому-то вне вашей организации должно быть позволено эхо-тестировать вашу сеть. Однако иногда разрешаются эхо-ответы, поэтому вы можете выполнять эхо-тестирование изнутри ЛВС вовне.




оставить комментарий
страница9/10
Дата02.10.2011
Размер5,46 Mb.
ТипЛекция, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   10
отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх