- •Лекція 1. Основи побудови комп’ютерних мереж.
- •1.1. Основні поняття
- •Рівень якості мережевого сервісу
- •Узагальнена структура комп’ютерної мережі
- •Технологія клієнт-сервер
- •Еволюція комп’ютерних мереж
- •Мережі із складною нерегулярною топологією
- •1.2. Об'єднані комп'ютерні мережі
- •1.3. Системна мережева архітектура Процеси
- •Еталонна модель взаємодії відкритих систем
- •Системна мережева архітектура sna
- •Системна мережева архітектура dna
- •Системна архітектура мережі ретрансляції кадрів
- •Системна архітектура мережі атм
- •Лекція 2. Локальні комп’ютерні мережі.
- •2.1. Фізичне середовище передачі дискретних сигналів Коаксіальний кабель
- •Вита пара
- •Оптоволоконний кабель
- •2.2. Синхронізація процесу передачі даних. Синхронізація процесу передачі даних
- •2.3. Захист від помилок.
- •2.4. Базові мережеві топології. Зіркоподібні мережі
- •Мережі з шинною топологією
- •Кільцеві мережі
- •Деревоподібна топологія мережі
- •2.5. Логічна організація мережі
- •2.6. Доступ абонентських систем до загального середовища передачі
- •Метод випадкового доступу
- •Метод синхронного поділу часу
- •Метод маркерного доступу
- •Метод вставки регістра
- •2.7. Керування логічним каналом локальних мереж
- •Особливості еталонної моделі локальної мережі.
- •Лекція 3. Мережа Ethernet.
- •3.1. Мережа Ethernet
- •Структура кадру стандарту ieee-802.3
- •Фізичний рівень мережі Ethernet
- •Структура сегмента мережі Ethernet 10base5
- •Структура сегмента мережі Ethernet 10base2
- •3.2. Мережа Ethernet 10base-т
- •Комутатори мережі Ethernet 10base-т
- •Мережа Fast Ethernet
- •Мережа Ethernet із швидкістю передачі 10 Гбіт/с
- •3.3. Мережа з маркерним методом доступу (стандарт ieee‑802.4)
- •Організація логічного кільця
- •Структура кадру мережі стандарту ieee-802.4
- •Генерація маркера
- •Формування логічного кільця
- •Встановлення нового наступника
- •Лекція 4. Кільцеві мережі Token Ring і fddi.
- •4.1. Мережа Token Ring. Організація мережі
- •Структура кадрів
- •Передача даних
- •Загальне керування мережею
- •Структура мережі
- •4.2. Мережа fddi Організація мережі
- •Керування мережею
- •Структура кадрів
- •Фізичний рівень протоколу
- •5.1. Безпровідне середовище передачі інформації
- •Електромагнітний спектр частот
- •Наземний зв’язок з використанням надвисоких частот
- •Супутниковий зв’язок
- •Широкомовні безпровідні радіоканали
- •Зв’язок в інфрачервоному діапазоні
- •Ущільнення каналів при безпровідній передачі інформації
- •5.2. Архітектура і компоненти бездротової мережі. Стандарт ieee 802.11
- •Бездротові мережі без інфраструктури
- •Розширення протоколу ieee 802.11g
- •Бездротова мережа з інфраструктурою
- •5.3. Рівень керування доступом до середовища
- •Функція розподіленої координації dcf з використанням csma/ca
- •Функція розподіленої координації dcf з використанням алгоритму rts/cts
- •Функція централізованої координації pcf
- •Лекція 6. Канали передачі даних глобальних мереж
- •6.1. Структура каналів
- •Типи каналів
- •6.2. Структура кадрів даних
- •Структура кадру протоколу ddcmp
- •Лекція 7. Комунікаційна система глобальних мереж.
- •7.1. Мережа передачі даних
- •Способи комутації
- •Процедура передачі даних.
- •Вузол комутації повідомлень.
- •7.2. Протоколи мереж комутації пакетів
- •Загальний формат пакету.
- •7.3. Обмін даними
- •Лекція 8. Маршрутизація в мережах передачі даних.
- •8.1. Способи маршрутизації
- •Проста маршрутизація
- •Табличні методи маршрутизації
- •Динамічна маршрутизація
- •8.2. Алгоритми вибору найкоротшого шляху
- •Алгоритм Дейкстри
- •Алгоритм Форда-Фалкерсона
- •8.3. Протоколи маршрутизації.
- •Лекція 9.Керування мережевим трафіком.
- •9.1. Рівні керування трафіком
- •9.2. Керування трафіком на рівні каналів каналів передачі даних
- •9.3. Керування трафіком на мережевому рівні.
- •9.4. Регулювання інтенсивності вхідного трафіка
- •Лекція 10. Стек протоколів tcp/ip – основа мережі Інтернет.
- •10.1. Порівняння еталонних моделей osi і tcp/ip
- •10.2. Мережевий рівень в Інтернет
- •Система ip-адресації
- •Система доменних імен
- •10.3. Транспортна служба
- •Типи мережевих з'єднань і класи транспортних протоколів
- •Логічна модель транспортного рівня
- •10.4. Транспортні протоколи Інтернету
- •Лекція 11. Мережа атм.
- •11.1. Основні принципи технології атм
- •11.2. Віртуальні канали і віртуальні шляхи
- •11.3. Установлення з’єднань в мережі атм
- •11.4. Системна архітектура мережі атм
- •Протоколи рівня адаптації атм
- •Структура рівня адаптації атм
- •11.5. Маршрутизація в мережах атм
- •11.6. Протокол pnni
- •Обмін маршрутною інформацією
- •Адресна доступність
- •Засоби сигналізації протоколу pnni
- •Лекція 12. Мережева технологія mpls.
- •12.1. Основні можливості мpls
- •Структура міток мpls
- •Місце мpls серед інших технологій
- •12.2. Процес функціонування мpls
- •Відношення між ре і р - маршрутизаторами
- •12.3. Переваги mpls
- •12.4. Підтримка QoS
- •12.5. Створення vpn з'єднань за допомогою mpls
- •Лекція 13. Мережеві операційні системи.
- •13.1. Основи організації операційних систем
- •13.2. Структура сучасних операційних систем
- •Керування процесами
- •Файлові системи
- •13.3. Операційна система NetWare Служба каталогів
- •Дерево каталогів
- •Контроль за правом доступу до об’єкта й атрибута.
- •Nds і файлова система
- •13.3. Операційна система unix Структура операційної системи unix
- •Процеси
- •Файлова система unix
- •13.5. Операційна система Windows nt Структура операційної системи Windows nt
- •Системний рівень
- •Доменний підхід
- •Лекція 14. Основи безпеки комп’ютерних мереж.
- •14.1. Проблеми безпеки мереж
- •14.2. Категорії безпеки
- •14.3. Злом інформації
- •Доступ до терміналу
- •Підбір пароля
- •Одержання пароля на основі помилок у реалізації системи
- •Прослуховування трафіку
- •14.4. Захист від атак Мережеві компоненти, що атакують
- •Підслуховування
- •Атаки на транспортному рівні
- •Активні атаки на рівні tcp
- •Системи виявлення атак
- •14.5. Системи захисту
- •14.6. Криптографічні засоби захисту
- •Електронний цифровий підпис
- •Традиційна криптографія
- •Одноразові блокноти
- •Алгоритми із секретним ключем
- •Стандарт шифрування даних (des)
- •Алгоритми з відкритим ключем
- •Апаратні засоби захисту
- •14.8. Міжмережевий екран
- •Типи міжмережевих екранів
- •Архітектура брандмауера
- •Брандмауер із двоспрямованим хостом
- •Хост-бастіон
- •Брандмауер із екрануючою підмережею
- •Лекція 15. Адміністрування комп’ютерних мереж
- •15.1. Планування мережі
- •Аналіз причин впровадження мережевої технології
- •15.2. Аналіз місця розташування
- •Складання переліку додаткового устаткування
- •Аналіз сумісності використовуваного устаткування
- •Програмне забезпечення в якості консультанта
- •15.3. Складання конфігурації
- •15.4. Основи побудови структурованої кабельної системи
- •Підсистеми структурованої кабельної системи
- •15.5. Стандарти структурованої кабельної системи
- •15.6. Планування структури каталогів серверу
- •Одержання списків конфігурації
- •Розклад установки
- •15.7. Процес навчання
- •15.8. Системний журнал
- •15.9. Керування мережею
- •Аналіз роботи системи
- •Резервне копіювання даних
- •Що дублювати
- •Коли копіювати інформацію
- •Типи резервних копій
- •Ведення системного журналу
- •15.10. Віддалене керування
- •15.11. Оцінка додатків
- •Конспект лекцій з навчальної дисципліни «Комп’ютерні мережі»
14.8. Міжмережевий екран
Міжмережевий екран (брандмауер) — це система безпеки, що контролює доступ до захищеної мережі, наприклад, приватної локальної мережі. Така мережа захищається від мережі загального користування, у якій режим безпечної роботи не передбачений (наприклад, від Інтернет). Будь-який запит, що надійшов з мережі загального користування у захищену систему, проходить через міжмережевий екран, що дозволяє відмовитися від індивідуального захисту кожного сервера й мережевого комп'ютера.
Брандмауер зазвичай перебуває у точці взаємодії локальної мережі й Інтернет – він виконує аутентифікацію та інші процедури мережевої безпеки, що перешкоджають проникненню у мережу нелегальних користувачів.
Для забезпечення ефективного захисту за допомогою брандмауера, насамперед, варто розробити стратегію мережевої безпеки. Необхідно визначити ресурси, що вимагають захисту, і типи атак, яких вони можуть зазнати. Потім визначаються умови застосування цих ресурсів, коло користувачів, що мають до них доступ, і послідовність дій у випадку порушення прав доступу. Стратегія передбачає ряд правил, що застосовуються для тестування пакетів, які надійшли. У цих правилах визначаються припустима інтенсивність інформаційного потоку, що надходить ззовні, й адреси джерел, за якими дозволений або заборонений доступ до захищеної мережі. Таким чином, брандмауер відповідає за фільтрацію інформаційного потоку відповідно до виробленої стратегії.
Типи міжмережевих екранів
Брандмауери можна розділити на дві основні категорії:
фільтри пакетів;
проксі-сервери.
Фільтр пакетів. Це брандмауер, що перевіряє кожен пакет відповідно до правил фільтрації й вирішує, пропустити його або блокувати. Так правила фільтрації можуть забороняти пропуск усіх запитів Telnet. На підставі цієї заборони брандмауер буде блокувати всі повідомлення, у заголовках яких номер порту дорівнює 23 (номер порту мережі Telnet по умовчанню). Правила фільтрації можна побудувати або на використанні IP-адрес джерела чи пункту призначення, або використовуючи номери їхніх портів.
Проксі-сервери. Прикладна програма, яка переадресує користувацький запит до служб, що підтримують стратегію безпеки, називається проксі-сервером. Будь-яке з'єднання між користувачем і сервером обробки запитів здійснюється через проксі-сервер. Він працює як посередник між клієнтом і сервером прикладних програм. Оскільки проксі-сервер функціонує як пункт контролю, у якому запит перевіряється на відповідність прикладній програмі, він працює дуже інтенсивно, й при великому потоці запитів не встигає їх обслуговувати.
Шлюзи
Розрізняють два класи проксі-серверів: шлюзи прикладних програм, які працюють на прикладному рівні, і шлюзи ліній зв'язку, що функціонують на транспортному рівні.
Шлюз прикладних програм. Це проксі-сервер, що забезпечує функції контролю доступу на рівні прикладних завдань. Він діє як шлюз прикладного рівня між захищеною мережею й системою, в якій не передбачено режиму безпечної роботи. Оскільки шлюз прикладних програм працює на рівні прикладних завдань, він детально досліджує трафік, забезпечуючи найкращий захист мережі. Так він може перешкоджати доступу в мережу певних прикладних програм (наприклад, FTP). З метою обліку й перевірки безпеки пристрій реєструє всі операції, пов'язані з роботою прикладних програм.
Шлюзи прикладних програм можуть закривати інформацію. Оскільки всі запити служб у захищеній мережі проходять через шлюз прикладних програм, то він перетворює мережеві IP-адреси й тим самим приховує IP-адреси локальної структури. Мережева IP-адреса кожного експортованого пакета - повідомлення, що спрямовується з локальної мережі в Інтернет, - заміняється його власною адресою IP. Перетворення мережевої адреси дозволяє вільно використовувати незареєстрованні IP-адреси у захищеній мережі, оскільки у випадку виходу локального клієнта у зовнішні структури, шлюз прикладних програм перетворить цю адресу в необхідну.
Шлюз ліній зв'язку. Це проксі-сервер, що підтверджує дозвіл на сесію TCP або UDP, перш ніж лінія зв'язку пройде через міжмережевий екран. Шлюз даного рівня приймає активну участь у формуванні каналу передачі даних і не дозволяє пакетам проходити через нього, якщо не дотримані необхідні правила доступу.
Шлюз ліній зв'язку забезпечує більш слабкий захист у порівнянні зі шлюзом прикладних програм, оскільки перший дозволяє сесію TCP або UDP без детального аналізу прикладних програм, що використовують ці транспортні служби. Більше того, після початку сесії прикладна програма, якій потрібно було транспортування, може використати будь-яку сформовану лінію зв'язку. Ця особливість знижує захищеність мережі від атак зловмисників. На відміну від шлюзу з'єднань, шлюз прикладних програм може відокремити прикладні програми, які варто блокувати, від тих, що необхідно пропустити.
Хоча шлюзи прикладних програм забезпечують найвищий ступінь безпеки серед брандмауерів, виконувана ними ретельна перевірка знижує продуктивність мережі. Шлюз, що фільтрує пакети із збереженням адрес, дозволяє забезпечити тверді вимоги по безпеці, не знижуючи продуктивності мережі. На відміну від шлюзу прикладних програм, він перевіряє пакети, які надходять на мережевому рівні, але не обробляє їх. Даний брандмауер зберігає інформацію про режим кожної сесії. Режим сесії включає фазу взаємодії й кінцевий пункт, у якому перебуває прикладна програма. Коли фільтр пакетів із збереженням адреси приймає пакет з даними, він перевіряє його вміст на відповідність режиму сесії. Якщо вміст пакета відрізняється від очікуваного режиму, шлюз блокує продовження сесії.