Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5165 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский институт внешнеэкономических связей, экономики и права
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Тема 4 Защита информации в вычислительных сетях...doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
95.74 Кб
Скачать
►Содержание►

Заготовки для практики

Какими утилитами воспользоваться для выяснения характеристик TCP/IP на Вашем компьютере. Для начала нужно убедиться что имеющаяся сетевая карта настроена на работу с нужным протоколом. Это можно сделать заглянув «Сеть» проверить установлен ли протокол. Проверка работоспособности протокола осуществляется следующим образом. Конфигурацию протокола можно видеть через графический интерфейс или с помощью утилиты командной строки Winipcfg (для Windows 98). Утилиты командной строки ping и tracert позволяют проверить работоспособность протокола TCP/IP. Так команда ping 127.0.0.0 позволяет проверить работоспособность протокола TCP/IP на локальном компьютере. При выполнении этой команды никакие данные в сеть не посылаются пакет просто копируется из выходных буферов во входные. Вы должны увидеть ответ вашей системы. Если ответа не будет, переустановите семейство протоколов TCP/IP. Далее следует проверить основной шлюз. Если шлюз ответит, можно проверить хост в удаленной сети. Если и эта проверка завершилась успешно значит TCP/IP работает нормально.

Команда tracert позволяет проследить путь пакета от отправителя до получателя. Tracert последовательно генерирует сообщения ICMP с постоянно увеличивающимся сроком жизни. Это позволяет проследить путь до удаленной системы и получать информацию о его прохождении. Если запрос останавливается где-то, то результаты работы программы tracert позволят выяснить где следует искать проблемы.

Межсетевое взаимодействие аппаратная часть

Для соединения нескольких сетей в единую приходится применять специальные приемы. Например необходимо организовать совместную работу локальных сетей расположенных в разных городах. Причем большинство трафика в каждой из сетей адресовано локальным компьютерам, однако существует необходимость обмена и с другой сетью. Лучше всего снабдить каждую из сетей маршрутизатором, имеющий выход на другую сеть. Тогда только пакеты адресованные в другую сеть будут туда доставляться. Физический канал связи двух сетей может оказаться более медленным чем каналы, используемые внутри каждой из сетей, однако за счет не значительного (по сравнению с внутренним) трафика этого вполне достаточно. Если в качестве канала используется выделенная линия то меры безопасности можно ограничить невозможностью подключения к линии на физическом уровне. Если же для передачи пакетов между сетями используется интернет (как транспортная среда) то придётся принимать специальные меры по защите информации. Маршрутизаторы выполняющие непосредственное подключение к интернет обычно фильтруют входящий и исходящий потоки в соответствии с установленными правилами, а так же скрывают внутреннее устройство сети от посторонних, выполняя преобразование NAT (Network Translate Address). В случае когда заранее известны все используемые протоколы и порты можно назвать идеальным. Тогда достаточно определить все разрешенные протоколы и порты и уничтожать все остальное. В случае если заранее не возможно описать всех функций которые могут потребоваться приходится постоянно вести наблюдение за сетью и исправлять возникающие проблемы. Так чрезмерные препоны могут привести к блокировке сети или отдельных её частей.

Рассмотрим подробнее суть работы таких защитных функций маршрутизаторов как NAT, и фильтрация.

Пакетный фильтр проверят пакет и убеждается, что он передается допустимому порту. Содержимое пакета при этом не проверяется. За счет этого достигается большее быстродействие при фильтрации. Маршрутизатор может использовать как входные так и выходные фильтры.

Трансляция адресов это процесс замены как правило фиктивного адреса на реальный адрес интернет. Специальные диапазоны адресов в адресном пространстве интернет выделены для свободного использования. А именно сети 10.0.0.0, 172.16.0.0. 192.168.0.0. являются таковыми. Следовательно если пакет из такой сети будет передан непосредственно в интернет, то он будет уничтожен первым же маршрутизатором встретившимся на пути пакета. Для избежания такой ситуации и с целью экономии адресного пространства интернет применяю методику трансляции адресов. Маршрутизатор выполняющий трансляцию имеет два интерфейса один с реальным адресом интернет, второй с фиктивным адресом. Пакет из внутренней сети поступает на маршрутизатор, маршрутизатор заменяет фиктивный адрес отправителя на реальный адрес и отправляет во внешнюю сеть. Одновременно запоминая в специальной таблице фиктивный адрес и номер порта с которого пришел запрос и на какой адрес и номер порта отправлен запрос и порт присвоенный при трансляции. При получении датаграмы из внешней сети сравниваются порт и адрес получателя и если в таблице имеется запись то в пакете вновь подменяется адрес получателя на фиктивный и направляется во внутреннею сеть. Все записи в таблице NAT имеют свой срок жизни если в течении определенного времени не поступит ответ на заданный адрес, то запись будет удалена из таблицы. Следовательно даже при поступлении опоздавшего пакета он будет уничтожен. Недостатком обоих методов такой защиты сети является невозможность анализировать содержимое пакетов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности