Питання для самоперевірки

1. Доступність. Основні поняття.

2. Ефективність послуг.

3. Час недоступності.

4. Основні заходи забезпечення високої доступності.

5. Якими основними принципами керуються при розробці заходів забезпечення високої доступності інформації?

6. Заходи, які спрямовані на доступність системи.

7. Відмовостійкість і зона ризику.

8. Забезпечення відмовостійкості.

9. Назвіть класи тиражування.

10. Дайте визначення симетричне/асиметричне тиражування.

11. Дайте визначення синхронне/асинхронне тиражування.

12. Програмне забезпечення проміжного шару.

13. Забезпечення обслуговування.

14. Достоїнства асинхронного тиражування.

15. Основні загрози доступності.

16. Основні функції ПЗ проміжного шару.

Розділ 16 тунелювання й керування інформаційною безпекою

1. Тунелювання

На наш погляд, тунелювання варто розглядати як самостійний сервіс безпеки. Його суть полягає в тому, щоб "упакувати" передану порцію даних, разом зі службовими полями, у новий конверт". Як синоніми терміна "тунелювання" можуть використовуватися "конвертування" й "обгортання".

Тунелювання може застосовуватися для декількох цілей:

• передача через мережу пакетів, що належать протоколу, який у даній мережі не підтримується (наприклад, передача пакетів IPv6 через старі мережі, що підтримують тільки IPv4);

• забезпечення слабкої форми конфіденційності (у першу чергу конфіденційності трафіка) за рахунок приховування істиних адрес та іншої службової інформації;

• забезпечення конфіденційності й цілісності переданих даних при використанні разом із криптографічними сервісами.

Тунелювання може застосовуватися як на мережевому, так і на прикладному рівнях. Наприклад, стандартизоване тунелювання для IP і подвійне конвертування для пошти Х.400.

На рис. 16.1 Показаний приклад обгортання пакетів IPv6 у формат IPv4.

Рис. 16.1. Обгортання пакетів IPv6 у формат IPv4 з метою їх тунелювання через мережі IPv4.

Комбінація тунелювання й шифрування (поряд з необхідною криптографічною інфраструктурою) на виділених шлюзах й екранування на маршрутизаторах постачальників мережевих послуг (для поділу просторів "своїх" та "чужих" мережевих адрес у дусі віртуальних локальних мереж) дозволяє реалізувати такий важливий в сучасних умовах захисний засіб, як віртуальні приватні мережі. Подібні мережі, накладені звичайно поверх Internet, є істотно дешевші й набагато безпечніші, ніж власні мережі організації, побудовані по виділених каналах. Комунікації на всьому їхньому шляху фізично захистити неможливо, тому краще споконвічно виходити із припущення про їхню уразливість і відповідно забезпечувати захист. Сучасні протоколи, спрямовані на підтримку класів обслуговування, допоможуть гарантувати для віртуальних приватних мереж задану пропускну здатність, величину затримок і т.п., ліквідуючи тим самим єдину на сьогодні реальну перевагу власних мереж.

Рис. 16.2. Міжмережеві екрани як крапки реалізації сервісу віртуальних приватних мереж

Кінцями тунелів, що реалізують віртуальні частки мережі, доцільно зробити міжмережеві екрани, що обслуговують підключення організацій до зовнішніх мереж (див. рис.16.2). У такому випадку тунелювання й шифрування стануть додатковими перетвореннями, виконуваними в процесі фільтрації мережевого трафіка поряд із трансляцією адрес.

Кінцями тунелів, крім корпоративних міжмережевих екранів, можуть бути мобільні комп'ютери співробітників (точніше, їх персональні МЕ).