- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Классовая модель ip-адресов
Сеть класса А – позволяет адресовать сети с адреса 1.0.0.0 до 126.0.0.0. 126 сетей по 16 млн. хостов.
Сеть класса В –128.0.0.0 до 192.255.0.0
Сеть класса С –193.0.0.0 до 223.255.255.0
Сеть класса D –224.0.0.0 до 239.255.255.0
Сеть класса EF –240.0.0.0 до 254.255.255.255
Специальные iPадреса
Адрес, у которого в хостовой части все нули, называется адресом сети.
Адрес, у которого в сетевой части все 0, считается адресом хоста, и пункт назначения находится в той же сети, что и отправитель.
Адрес, у которого в хостовой части все 1, называется широковещательным адресом (broadcast) для данной сети.
Адрес, который состоит из единиц (255.255.255.255) называется широковещательным адресом для любой сети.
Адрес 0.0.0.0 называется маршрутом умолчания. Его имеет специальная запись в маршрутной таблице и по этому маршруту будут направлены все пакеты, адресат которых неизвестен.
Сеть 127.0.0.0 называется петлевой маршрут или loopback интерфейс. Данная сеть используется для проверки и тестирования сетевого оборудования при отсутствии подключения к реальной сети. В реальной сети определен один хост 127.0.0.1 и все пакеты направленные по этому адресу будет приняты этим же узлом так, как будто они пришли с сетевого интерфейса. Данному адресу соответствует доменное имя local host.
«Серая» адресация
Количество реальных IP ограничено. При этом механизмы и протоколы сети Интернет широко применяются в локальных сетях.
Появился специальный термин ИНТРОНЕТ. Для того, чтобы избежать истощения IP каждой из сетей класса А,В,С выделены специальные подсети, которые получили название «серые» адреса, пакеты которых не маршрутизируются в сети Интернет.
В классе А – сеть 1.0.0.0
В классе В – сеть 172.16.0.0 - 172.32.0.0
В классе С – сеть 192.168.0.0 - 192.168.255.0
Пакеты, направленные на «серые» адреса отбрасываются маршрутизатором сети Интернет. Следовательно, уникальность данных адресов должна обеспечиваться внутри локальной сети.
Для того, чтобы пользователи локальной сети смогли получить доступ к сети Интернет, используется специальное устройство, называемее проксисервер.
Бессклассовая модель (cidr)
Позволяет установить любое соотношение между сетевой и хостовой частью IP-адреса с помощью масок подсети.
Маска – это 4-х байтовая комбинация, у которой на месте бит адреса сети установлены единицы, на месте бит адреса хоста – нули.
А – 11111111.00000000.00000000.00000000, где 11111111=255;
А – 255.255.0.0
С – 255.255.255.0
Варианты масок:
10000000 – 128
11000000 – 192
11100000 – 224
11110000 – 240
11111000 – 248
11111100 – 252
11111110 – 254
11111111 – 255
ПРИМЕР по IP
Маршрутизация
Маршрутная таблица состоит по умолчанию из следующих полей:
Destination – адрес сети назначения пакета;
Mask – маска сети назначения пакета;
Next Gateway – адрес следующего маршрутизатора на пути пакета;
Metric – определяет длину маршрута в переприемных участках (используется для указания приоритетных маршрутов);
Interface – имя или адрес сетевого интерфейса, через который отправляется пакет по данному маршруту.
Основным недостатком протокола IP является отсутствие контроля за распространением пакетов. Для передачи сообщения об ошибках на сетевом уровне используют специальный протокол ICMP – межсетевой протокол управляющих сообщений.
Совокупность полей ТИП и КОД определяют сообщение ICMP. Для определения работоспособности хоста на сетевом уровне и оценки времени прохождения кадра до него применяется специальная утилита – ping, которая использует для своей работы два типа ICMP-пакетов: эхо-запрос (80) и эхо-ответ (00).