Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5280 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Саровский Государственный Физико-технический Институт
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
2_Колчин.doc
Скачиваний:
3
Добавлен:
01.07.2025
Размер:
660.48 Кб
Скачать
►Содержание►

19. Модель tcp/ip

  • Прикладной (5) уровень (Application Layer) или уровень приложений обеспечивает услуги, непосредственно поддерживающие приложения пользователя, например, программные средства передачи файлов, доступа к базам данных, средства электронной почты, службу регистрации на сервере. Этот уровень управляет всеми остальными уровнями. Например, если пользователь работает с электронными таблицами Excel и решает сохранить рабочий файл в своей директории на сетевом файл-сервере, то прикладной уровень обеспечивает перемещение файла с рабочего компьютера на сетевой диск прозрачно для пользователя.

  • Транспортный (4) уровень (Transport Layer) обеспечивает доставку пакетов без ошибок и потерь, а также в нужной последовательности. Здесь же производится разбивка на блоки передаваемых данных, помещаемые в пакеты, и восстановление принимаемых данных из пакетов. Доставка пакетов возможна как с установлением соединения (виртуального канала), так и без. Транспортный уровень является пограничным и связующим между верхними тремя, сильно зависящими от приложений, и тремя нижними уровнями, сильно привязанными к конкретной сети.

  • Сетевой (3) уровень (Network Layer) отвечает за адресацию пакетов и перевод логических имен (логических адресов, например, IP-адресов или IPX-адресов) в физические сетевые MAC-адреса (и обратно). На этом же уровне решается задача выбора маршрута (пути), по которому пакет доставляется по назначению (если в сети имеется несколько маршрутов). На сетевом уровне действуют такие сложные промежуточные сетевые устройства, как маршрутизаторы.

  • Канальный (2) уровень или уровень управления линией передачи (Data link Layer) отвечает за формирование пакетов (кадров) стандартного для данной сети (Ethernet, Token-Ring, FDDI) вида, включающих начальное и конечное управляющие поля. Здесь же производится управление доступом к сети, обнаруживаются ошибки передачи путем подсчета контрольных сумм, и производится повторная пересылка приемнику ошибочных пакетов. Канальный уровень делится на два подуровня: верхний LLC и нижний MAC. На канальном уровне работают такие промежуточные сетевые устройства, как, например, коммутаторы.

Физический (1) уровень (Physical Layer) – это самый нижний уровень модели, который отвечает за кодирование передаваемой информации в уровни сигналов, принятые в используемой среде передачи, и обратное декодирование. Здесь же определяются требования к соединителям, разъемам, электрическому согласованию, заземлению, защите от помех и т.д. На физическом уровне работают такие сетевые устройства, как трансиверы, репитеры и репитерные концентраторы.

20.Технология ip Security и vpn

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI).

Ниже представлены особые службы, предоставляемые IPSec:

  • Аутентификация. IPSec проверяет источник и целостность каждой IP-дейтаграммы, убеждаясь в подлинности компьютера-отправителя.

  • Целостность. IPSec защищает данные в IP-дейтаграмме от несанкционированного изменения во время передачи, гарантируя, что полученная информация идентична отправленной информации.

  • Конфиденциальность. IPSec гарантирует, что данные будут раскрыты только намеченным получателем, поскольку данные в каждой дейтаграмме шифруются.

  • Невозможность отречения. IPSec проверяет, является ли отправитель IP-дейтаграммы единственным лицом, пославшим дейтаграмму, тем самым гарантируя, что позже отправитель не сможет отрицать, что он послал эту дейтаграмму.

  • Антиповтор. IPSec гарантирует уникальность каждого IP-пакета, чтобы избежать захвата последовательности пакетов и ее воспроизведения. Антиповтор возможен вследствие использования порядковых номеров, добавляемых к заголовку IP-дейтаграммы.

  • Управление ключами (Распределение ключей). IPSec позволяет определять ключи, обмениваться ими и обновлять в защищенном режиме.

Аутентификационный заголовок

Аутентификационный заголовок (authentication header) AH (рис. 2) предназначен для обеспечения аутентификации отправителя, контроля целостности данных и опционально для предотвращения повторной посылки (replay) пакета - при условии, что принимающая сторона настроена производить проверку последовательного номера пакета.

Рис. 2. Формат АН

  • Поле Следующий заголовок (Next header) идентифицирует тип следующих значимых данных за аутентификационным заголовком.

  • Поле Длина полезной нагрузки (Payload length) определяет длину самого АН в 32-битовых словах минус 2 слова, поскольку для заголовков, расширяемых для IPv6, установлено требование сокращения длины заголовка на 64 бита.

  • Зарезервированное поле должно быть нулевым.

  • Поле Индекс параметров безопасности (Security Parameters Index — SPI) — это значение, которое в совокупности с адресом назначения и самим протоколом (в данном случае АН) однозначно определяет Ассоциацию безопасности (Security Association — SA) для данной дейтаграммы в виде 32-битного номера.

  • Поле Порядковый номер (Sequence number) — это монотонно возрастающий от 0 (при установлении SA) номер пакета. Он используется для возможности контроля получателем ситуации повторной пересылки пакетов.

  • Поле Данные аутентификации (Authentication data) – это поле переменной длины хранит контроль целостности (хэш) для IP-дейтаграммы.

Безопасное сокрытие существенных данных

Отличительной функцией протокола Encapsulating Security Payload (ESP) — Безопасное Сокрытие Данных — является обеспечение конфиденциальности путем шифрования части данных, представляющих информацию протоколов верхнего уровня (рис. 1). Дополнительной функцией может быть названо сокрытие реального объема сетевого трафика. ESP обеспечивает аутентификацию и контроль целостности, как и АН, и, как следствие, может быть использован как отдельно, так и вместе с АН.

Рис. 3. Формат ESP

  • Поле Индекс параметров безопасности (Security Parameters Index — SPI) значение, которое совместно с адресом назначения и самим протоколом определяет Ассоциацию безопасности (Security Association — SA) для данной датаграммы в виде 32-битного числа. (0 означает, что SA не установлена.)

  • Поле Порядковый номер (Sequence number) — возрастающий от 0 (при установлении SA) номер пакета. Используется для возможности контроля получателем ситуаций повторной пересылки пакетов. Эти два поля носят специальное название Заголовок ESP (ESP header).

  • Поле Существенные данные (Payload data) — поле переменной длины, содержащее данные, тип которых указан в поле Следующий заголовок. Дополнительно здесь может содержаться информация, необходимая для функционирования алгоритмов шифрования сокрытия данных. Способы размещения такой информации описываются в отдельных документах.

  • Поле Заполнитель (Padding) — поле переменной длины, служащее следующим основным целям. Во-первых, его задача дополнить данные до длины блока, требуемого для применения криптографического алгоритма. Во-вторых, скрыть истинный размер существенных данных.

  • Поле Длина заполнителя (Pad length) — указывает размер заполнителя в байтах от 0 до 255, с тем чтобы его можно было отделить от существенных данных.

  • Поле Следующий заголовок (Next header) — 8-битовое поле, указывающее тип данных в поле Данные. Возможные значения поля установлены IANA (Internet Assigned Numbers Authority). Последние три поля: Заполнитель, Длина заполнителя и Следующий заголовок носят специальное название Хвост ESP (ESP trailer).

  • Поле Данные аутентификации (Authentication data) — поле переменной длины, содержит Значение контроля целостности (Integrity check value — ICV), рассчитанные по содержимому ESP пакета за минусом самих данных аутентификации.

Каждый из протоколов АН и ESP поддерживает два модуля работы — транспортный и туннельный.

Существует два режима работы IPsec: транспортный режим и туннельный режим.

В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE и др.).

В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классифицировать VPN решения можно по нескольким основным параметрам:

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности