Реализация межсетевого взаимодействия средствами tcp/ip

стеке TCP/IP определены 4 уровня

Уровень межсетевого взаимодействия

Стержнем всей архитектуры является уровень межсетевого взаимодействия, который реализует концепцию передачи пакетов в режиме без установления соединений, то есть дейтаграммным способом. Именно этот уровень обеспечивает возможность перемещения пакетов по сети, используя тот маршрут, который в данный момент является наиболее рациональным. Этот уровень также называют уровнем internet, указывая тем самым на основную его функцию - передачу данных через составную сеть.

Основным протоколом сетевого уровня (в терминах модели OSI) в стеке является протокол IP (Internet Protocol). Этот протокол изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Так как протокол IP является дейтаграммным протоколом, он не гарантирует доставку пакетов до узла назначения, но старается это сделать.

Основной уровень

Поскольку на сетевом уровне не устанавливаются соединения, то нет никаких гарантий, что все пакеты будут доставлены в место назначения целыми и невредимыми или придут в том же порядке, в котором они были отправлены. Эту задачу -обеспечение надежной информационной связи между двумя конечными узлами -решает основной уровень стека TCP/IP, называемый также транспортным.

Прикладной уровень

Прикладной уровень объединяет все службы, предоставляемые системой пользовательским приложениям. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и служб прикладного уровня. Прикладной уровень реализуется программными системами, построенными в архитектуре клиент-сервер, базирующимися на протоколах нижних уровней. В отличие от протоколов остальных трех уровней, протоколы прикладного уровня занимаются деталями конкретного приложения и «не интересуются» способами передачи данных по сети. Этот уровень постоянно расширяется за счет присоединения к старым, прошедшим многолетнюю эксплуатацию сетевым службам типа Telnet, FTP, TFTP, DNS, SNMP сравнительно новых служб таких, например, как протокол передачи гипертекстовой информации HTTP.

Уровень сетевых интерфейсов

Идеологическим отличием архитектуры стека TCP/IP от многоуровневой организации других стеков является интерпретация функций самого нижнего уровня - уровня сетевых интерфейсов. Протоколы этого уровня должны обеспечивать интеграцию в составную сеть других сетей, причем задача ставится так: сеть TCP/IP должна иметь средства включения в себя любой другой сети, какую бы внутреннюю технологию передачи данных эта сеть не использовала. Отсюда следует, что этот уровень нельзя определить раз и навсегда. Для каждой технологии, включаемой в составную сеть подсети, должны быть разработаны собственные интерфейсные средства.

47 Схемы сетевого наименования

Компьютеры идентифицируют себя для других компьютеров, исполь­зуя различные схемы наименования. Каждому компьютеру в сетевой среде должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными ресурсами. Эти сетевые имена могут быть разделены на следующие категории:

Учетные записи

Учетная запись представляет собой объединение всей информации, которая относится к конкретному пользователю или группе в сети, — обычно состоящая из имени пользователя, пароля, прав и разрешений, а также сведений об участия в группах. Учетные записи создаются администратором и требуются в большинстве защищенных систем. В интересах собственной сетевой безопасности пользователь не дол­жен предоставлять другим пользователям свой пароль и никакую другую информацию учетной записи, которая может быть использована для нанесения вреда критическим данным или операциям.

Имена компьютеров

Один человек может иметь одновременно много званий: мужчину можно назвать отцом, шефом, соседом или сыном в зависимости от того, кто к нему обращается. Во многом таким же образом каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют или пони­мают одни и те же схемы наименования, вам нужна система, которая позволяет преобразование (разрешение) одних типов именования адресации в другие.

Например, пакет данных, полученный на физическом уровне компьютера, содержит информацию, указывающую, что пакет послан на ад­рес сетевой карты компьютера (NIC address или MAC address). Адрес MAC состоит из шестнадцатеричного кода, хранимого в микросхеме ПЗУ на сетевой карте компьютера. На физическом уровне этот ком­пьютер известен под этим кодом. Числовые системы, подобные этой, легко понимаются компьютерами, но очень сложны для использова­ния и запоминания людьми. Однако дружественное к пользователю имя «Print Server 2» человеку будет использовать легко.

Примерно так удаленные системы, использующие различное обору­дование или протоколы, могут испытывать трудности при расшиф­ровке ваших схем адресации и наименования. Для разрешения этой проблемы были созданы различные стандарты разрешения имен, помогающие прозрачно разрешать различные имена друг в друга, позволяя происходить межсетевым коммуникациям.

Компьютерные имена

Каждый компьютер Microsoft использует компьютерное имя, извест­ное также как компьютерное имя NetBIOS, длиной до 15 символов (. Эти имена являются частью интерфейса прикладного уров­ня OSI к стеку сетевых протоколов на всех объединенных в сеть ком­пьютерах Microsoft. Сети, использующие протокол TCP/IP, должны разрешить (или преобразовать) имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) и/или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в соответствующие адреса IP.

Windows Internet Name Service

WINS представляет собой службу, которая разрешает компьютер­ные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает компьютерные имена NetBIOS в адреса IP так, чтобы компьютеры могли взаимодейство­вать друг с другом. WINS представляет собой службу типа клиент-сервер, причем клиент регистрирует свое компьютерное имя на сер­вере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS добиться отражения (преобразования) компьютерного имени в адрес IP для ком­пьютера, с которым он собирается взаимодействовать.

Domain Name Service

Служба DNS сходна с WINS в том, что она разрешает компьютерные имена в адреса IP. Однако в DNS эти имена называются именами хостов (host names) или Fully qualified domain names (Полное имя узла) — FQDN. В целом, компьютерные имена NetBIOS состоят из одной части. В противоположность им компоненты TCP/IP опира­ются на соглашение по наименованию, известное как Domain Name System (Служба формирования имен узлов) — DNS. FQDN представляет собой иерархическое соглашение по наименованию, использующее формат hostname.domainname, например, microsoft.com, spca.org или utexas.edu, где имя домена служит указанием типа организации. Windows NT сочетает компьютерное имя NetBIOS с именем домена DNS для формирования FQDN.

DNS также отличается от WINS тем, что DNS представляет собой статическую службу, то есть кто-то должен вручную ввести имена и адреса IP, прежде чем сервер DNS сможет разрешить их. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер DNS может разрешить часть имени microsoft.com, а другой — разрешить часть ипо.

В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.

Файлы LMHOSTS и HOSTS

Файлы LMHOSTS и HOSTS обычно хранятся на клиентском ком­пьютере. Эти файлы должны быть вручную созданы или изменены и помещены в соответствующий каталог (например, WINDOWS на компьютере с Windows 98/ME или WINNT\SYSTEM32\DRIVERS\ETC на компьютере с Windows NT/2000/XP). Файл LMHOSTS обычно отвечает за разрешение имен NetBIOS в адреса IP. Файл HOSTS разрешает име­на хостов и/или имена FDQN в адреса IP.

Ресурсы

Каждый ресурс идентифицируется по имени. Эти имена могут быть настолько бессмысленными или конкретными, насколько пожелает лицо, предоставляющее ресурсы в общее пользование. «Принтер, присоединенный к порту LPT1» или «Высокоскоростной цветной принтер на втором этаже» — оба эти имени являются возможными именами для одного и того же ресурса. Оптимальным выбором является имя, которое позволяет пользователю легко понять, к какому объекту он получает доступ. Различные типы ресурсов вы можете видеть при просмотре сети: принтеры, диски или каталоги, сделанные доступными для других компьютеров в сети.

.

http://vunivere.ru/work1289

48 Планирование сетевой защиты. Модели сетевой безопасности. Методики восстановления после сбоев

Каждая сеть нуждается в той или иной форме защиты. Простой защиты с использованием пароля, предлагаемой операционными системами, редко оказывается достаточно. Следует искать сетевые решения, предлагающие дополнительные возможности защиты на уровне концентратора, коммутатора, маршрутизатора и сервера удаленного доступа. Это позволяет блокировать доступ к отдельным устройствам, создавать разные категории доступа к критическим данным, блокировать внутреннюю сеть от вторжения через Internet или телефонную сеть общего пользования.

Нужно иметь в виду, что организованная должным образом защита не ограничивается одним устройством или группой устройств. Сильная защита - это подробный набор правил, управляющих совместным использованием ПК и переносимых носителей (таких как дискеты), переносом данных из сети и т.д.

Модель сетевой безопасности

Классификация сетевых атак

В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):

Рис. 1.2. Информационный поток

Все атаки можно разделить на два класса: пассивные и активные.

I. Пассивная атака

Пассивной называется такая атака, при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика.

Рис. 1.3. Пассивная атака

II. Активная атака

Активной называется такая атака, при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак:

1. Отказ в обслуживании - DoS-атака (Denial of Service)

Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов. Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.

Рис. 1.4. DoS-атака

2. Модификация потока данных - атака "man in the middle"

Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.

Рис. 1.5. Атака "man in the middle"

3. Создание ложного потока (фальсификация)

Фальсификация (нарушение аутентичности) означает попытку одного субъекта выдать себя за другого.

Рис. 1.6. Создание ложного потока

4. Повторное использование

Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа - это так называемая replay-атака . На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки.

Рис. 1.7. Replay-атака

Перечисленные атаки могут существовать в любых типах сетей, а не только в сетях, использующих в качестве транспорта протоколы TCP/IP, и на любом уровне модели OSI. Но в сетях, построенных на основе TCP/IP, атаки встречаются чаще всего, потому что, во-первых, Internet стал самой распространенной сетью, а во-вторых, при разработке протоколов TCP/IP требования безопасности никак не учитывались.

Сервисы безопасности

Основными сервисами безопасности являются следующие:

Конфиденциальность - предотвращение пассивных атак для передаваемых или хранимых данных.

Аутентификация - подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает. В случае передачи единственного сообщения аутентификация должна гарантировать, чтополучателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.

Целостность - сервис, гарантирующий, что информация при хранении или передаче не изменилась. Может применяться к потоку сообщений, единственному сообщению или отдельным полям в сообщении, а также к хранимым файлам и отдельным записям файлов.

Невозможность отказа - невозможность, как для получателя, так и для отправителя, отказаться от факта передачи. Таким образом, когда сообщение отправлено, получатель может убедиться, что это сделал легальный отправитель. Аналогично, когда сообщение пришло, отправитель может убедиться, что оно получено легальным получателем.

Контроль доступа - возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям.

Доступность - результатом атак может быть потеря или снижение доступности того или иного сервиса. Данный сервиспредназначен для того, чтобы минимизировать возможность осуществления DoS-атак.

Механизмы безопасности

Перечислим основные механизмы безопасности:

Алгоритмы симметричного шифрования - алгоритмы шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования.

Алгоритмы асимметричного шифрования - алгоритмы шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один из ключей, вычислить другой невозможно.

Хэш-функции - функции, входным значением которых является сообщение произвольной длины, а выходным значением - сообщение фиксированной длины. Хэш-функции обладают рядом свойств, которые позволяют с высокой долей вероятности определять изменение входного сообщения.

Модель сетевого взаимодействия

Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:

Рис. 1.8. Модель сетевой безопасности

Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различныхкоммуникационных протоколов (например, ТСР/IP).

Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника, который может представлять угрозу конфиденциальности, аутентификации, целостности и т.п. Все технологии повышения безопасности имеют два компонента:

Относительно безопасная передача информации. Примером является шифрование, когда сообщение изменяется таким образом, что становится нечитаемым для противника, и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения.

Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику. Примером является ключ шифрования.

Кроме того, в некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (thirdtrusted party - TTP). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику. Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности:

• разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противник не мог расшифровать перехваченное сообщение, не зная секретную информацию;

• создать секретную информацию, используемую алгоритмом шифрования;

• разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику.