Учебное пособие 800434

– модифицированной двуокиси хрома (CrO2 ) температура Кюри составляет всего 126 °С, поэтому термический способ можно признать достаточно надежным для гарантированного уничтожения информации.

Весьма перспективным может оказаться сочетание термического воздействия на материал рабочего слоя магнитного носителя информации с воздействием на него внешнего магнитного поля. Дело в том, что с увеличением температуры абсолютная величина индукции насыщения Вs ферромагнетика снижается. За счет этого состояние магнитного насыщения материала рабочего слоя носителя может быть достигнуто при более низких уровнях внешнего магнитного поля. Так, в материале CrO2 рабочего слоя магнитного носителя, нагретого до точки Кюри,состояние технического насыщения проявляется уже при напряженности внешнего поля около 3 кА/м. В то же время для нейтрализации влияния эффекта размагничивания напряженность поля записываемого сигнала должна превышать 10 кА/м.

Механические способы разрушения магнитных носителей информации, например,их измельчение, обычно не обеспечивают гарантированное уничтожение информации. Во многих случаях сохраняется возможность восстановления фрагментов информации экспертом. Что касается радиационных способов уничтожения информации,то,как показали специальные исследования, современные магнитные носители информации сохраняют свои характеристики при дозе облучения квантами 10 3Мрад или облучении потоком нейтронов 6 ·10 10 н/см 2 с энергией около 1Мэв. Это говорит о малой вероятности использования ионизирующих излучений для уничтожения информации на магнитных носителях. Таким образом,для быстрого и гарантированного уничтожения информации, записанной на магнитных носителях, в настоящее время наиболее разработаны и приемлемы способы ее термического и физического уничтожения, основанные на доведении материала рабочего слоя носителя до состояния магнитного насыщения.

127

10. ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНЫХ КОММУНИКАЦИЙ

10.1. Использование активного коммуникационного оборудования

В настоящее время наиболее распространенным протоколом канального уровня для построения сетей передачи информации является Ethernet. Основным недостатком технологии Ethernet является сам принцип ее функционирования — в результате коллективного доступа к среде передачи данных увеличение числа пользователей снижает производительность сети. Из практики известно, что работа в сетях Ethernet может быть эффективной при коэффициенте загруженности сети до 40%. Повысить производительность сети можно либо за счет перехода на более скоростные протоколы передачи данных, либо за счет деления сети на отдельные сегменты. Второй путь кроме экономии средств (на замену всего сетевого оборудования и каналов связи) существенно повышает защищенность локальной сети.

До недавнего времени в качестве коммутирующего устройства в большинстве малых сетей Ethernet использовались концентраторы (HUB), которые передают пакет, поступивший на один из портов, на все остальные порты (идеология общей разделяемой среды ), что, в свою очередь, приводит к появлению бесполезного трафика и к возникновению коллизий. В отличие от концентраторов, которые полностью отражают и превращают сеть в единый домен коллизий, коммутаторы (switch) являются более интеллектуальными устройствами, способными анализировать адрес назначения кадра и передавать его не всем станциям сети, а только адресату. По мере развития технологии и снижения цен концентраторы и мосты стали повсеместно вытесняться коммутаторами.

128

Необходимость объединения территориально удаленных сегментов (локальных подсетей) в корпоративную сеть привела к использованию мостов (bridge) и маршрутизаторов (router). Маршрутизаторы используются также для управления доступом в локальную сеть с удаленных рабочих мест и из локальной сети – в Интернет. Пример построения гетерогенной корпоративной сети с различными вариантами сетевых соединений и коммутационных устройств изображен на рисунке 34. Данная сеть состоит из двух локальных сетей (LAN1 и LAN2), объединенных с помощью маршрутизаторов (router1 и router2). LAN2 состоит из двух сегментов, связанных по выделенной телефонной линии с помощью DSL-модемов, выступающих в роли мостов (bridge1 и bridge2). Кроме того, к LAN2 могут присоединяться удаленные рабочие места через сервер доступа по каналам ADSL и через router3 по телефонным каналам. Рабочие станции в LAN2 имеют выход в Интернет.

Кроме своих прямых функций по организации сетевого трафика практически все приведенные в примере активные коммутационные устройства выполняют задачи по обеспечению защиты информации. Объем функций безопасности возрастает от коммутаторов к серверам доступа и далее – к маршрутизаторам.

10.2. Управляемые коммутаторы Ethernet

Конструктивно коммутатор представляет собой многопортовое устройство, предназначенное для деления сети на множество сегментов.

129

Рис. 34. Схема гетерогенной сети

В сетях Ethernet коммутаторы используют в своей работе алгоритм прозрачного моста (transparent bridge), регламентированного в стандарте IEEE 802.1D. Этот алгоритм

130

подразумевает, что коммутатор «обучается» в процессе работы и строит свою адресную таблицу (таблицу MAC-адресов) на основе пассивного наблюдения за трафиком, циркулирующим в сети. Построив таблицу MAC-адресов, коммутатор передает полученные кадры не на все порты, а только по адресу назначения. Если на порт коммутатора поступает кадр с адресом назначения, приписанным к другому порту коммутатора, то кадр передается между портами. Если же коммутатор определяет, что адрес назначения приписан к тому порту, на который поступил данный кадр, то кадр отбрасывается или отфильтровывается.

Таким образом, коммутаторы устраняют главный недостаток технологии Ethernet, предоставляя каждому узлу сети выделенную пропускную способность протокола.

Управление коммутаторами производится на основе протоколов SNMP (Simple Network Management Protocol) и RMON (Remote Monitoring). Протокол SNMP входит в стек протоколов TCP/IP и широко используется для получения от коммутатора информации о его статусе, производительности и других характеристиках, которые хранятся в базе данных коммутатора. Протокол RMON определяет возможность удаленного мониторинга и управления коммутатором. Фактически RMON является расширением протокола SNMP, обеспечивающим удаленное взаимодействие с базой данных коммутатора. Без протокола RMON управление коммутатором возможно только локально, например при подключении коммутатора через последовательный порт к компьютеру и при использовании терминальной программы. RMON позволяет управлять и следить за состоянием коммутатора с удаленного компьютера с возможностью передачи требуемых данных по сети. Кроме того, в протокол RMON были добавлены дополнительные счетчики об ошибках, более гибкие средства анализа статистики, средства фильтрации и т.д.

Управляемые коммутаторы обладают также дополнительными функциями, важнейшими из которых с

131

точки зрения безопасности являются фильтрация трафика и поддержка виртуальных сетей VLAN.

Фильтрация трафика позволяет создавать пользовательские фильтры, которые ограничивают доступ заданных заранее групп пользователей к определенным службам сети. Фактически фильтрация трафика — это сервис, повышающий уровень сетевой безопасности.

Поддержка виртуальных сетей (Virtual LAN, VLAN) позволяет с помощью коммутатора создавать изолированные друг от друга локальные сети. В отличие от применения пользовательских фильтров, виртуальные сети поддерживают защиту от широковещательного трафика. Поэтому говорят, что виртуальная сеть образует домен широковещательного трафика. Изоляция виртуальных сетей друг от друга происходит на канальном уровне. Это означает, что передача кадров между различными виртуальными сетями на основании адреса канального уровня (MAC-адреса) невозможна. Поскольку узлы различных виртуальных сетей изолированы друг от друга на канальном уровне, для объединения таких сетей в единую сеть требуется привлечение сетевого, или 3-го уровня сетевой модели OSI. Для обеспечения таких связей могут быть использованы маршрутизаторы либо коммутаторы, осуществляющие коммутацию пакетов на основе заголовка сетевого уровня. Такие коммутаторы получили название коммутаторов 3-го уровня. По аналогии — коммутаторы, работающие только на канальном уровне, иногда называются коммутаторами 2-го уровня. Популярность коммутаторов 3-го уровня растет и они могут вытеснить дорогостоящие маршрутизаторы там, где одновременно необходимы быстрая коммутация и маршрутизация на основе протокола TCP/IP без интерфейсов для глобальных сетей.

Примеры устройств.

Гигабитный управляемый коммутатор 2-го уровня

HardLink HS-224RM

Коммутатор HardLink HS-224RM имеет два встроенных гигабитных порта (1000 Base-T) и 24 порта Fast Ethernet (10

132

Base-T/100 Base-TX) и построен на основе 26-портового контроллера MAC-уровня AQ2224 компании ACUTE.

Контроллер поддерживает размер таблицы MAC-адресов 32 К и обеспечивает возможность создания до 256 виртуальных сетей VLAN на основе портов по стандарту IEEE 802.1Q.

Коммутатор поддерживает как локальное, так и удаленное управление. Локальное управление производится через последовательный порт RS-232. Удаленное (сетевое) управление реализуется через протокол Telnet или встроенный Web-сервер. По своим функциональным возможностям удаленное управление обладает теми же возможностями, что и консольное. Коммутатор поддерживает протоколы SNMP и

RMON

Обеспечение безопасности в коммутаторе реализовано посредством фильтрации MAC-адресов, а также возможности запрещения режима самообучения (learning mode) коммутатора, при котором тот автоматически обнаруживает и подключает новые сегменты в сети. Имеется также возможность определять права доступа пользователям при входе в конфигурационное меню коммутатора.

Коммутаторы серии Cisco Catalyst

Коммутаторы Cisco Catalyst имеют несколько функций для сетевой управляемости и защиты:

-Развертывание виртуальных локальных сетей (до 64 VLAN на один коммутатор) гарантирует, что пакеты данных будут перенаправляться только на компьютеры, входящие в состав виртуальной локальной сети, тем самым усиливая защиту между группами портов и уменьшая широковещательный трафик.

-Контроль доступа к порту, основанный на анализе MAC-адреса, защищает коммутатор от доступа неавторизированных станций. Можно создать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем доступом к сети. Режим изучения указанных пользователем адресов упрощает

133

конфигурацию и усиливает защиту.

-Защита многоуровневого доступа к консоли коммутатора предохраняет от доступа неавторизированных пользователей к конфигурационным параметрам коммутатора.

-Использование протокола Terminal access controller access control system (TACACS+) идентификации позволяет централизовано координировать доступ к сети через большую группу сетевых устройств и ограничивает доступ неавторизированных пользователей.

-Технология Cisco Uplink Fast гарантирует быстрое восстановление после сбоя (обычно быстрее чем за 3 сек), что обеспечивает стабильность и надежность работы всей сети. Поддержка для резервной системы питания Cisco Redundant Power System 300 (RPS 300), которая обеспечивает переход на внутренний источник питания до 6-и устройств, повышая устойчивость к сбоям и время восстановления сети.

10.3. Серверы доступа и модемы DSL

Устройства, основанные на технологии DSL (Didital Subscriber Line), занимают промежуточную нишу между коммутаторами и маршрутизаторами как средства интеграции сетей. Их главная задача – обеспечить высокоскоростной доступ в локальную сеть удаленного пользователя или соединить сегменты локальных сетей через телефонную линию связи. На сетевом уровне эти устройства могут выступать в роли моста или маршрутизатора. Типовая схема включения DSL модемов для объединения двух сегментов сети в режиме моста приведена на рис. 35.

Устройства данного класса обеспечивают средний уровень безопасности за счет встроенных средств защиты (фильтрацию MAC-адресов, преобразование IP-адресов и парольный доступ к управлению).

134

Рис. 35. DSL-соединение

Существует два варианта организации трафика по технологии DSL – симметричный и асимметричный.

Симметричный вариант обеспечивает одинаковую скорость передачи сетевых пакетов по линии связи в обоих направлениях. Скорость приема-передачи для симметричного варианта – до 2 Мбит/с. Применение – объединение в единую локальную сеть из двух удаленных сегментов по двухпроводной телефонной линии. В данном случае используются, как правило, пары одинаковых DSL-модемов.

Асимметричный вариант (ADSL) обеспечивает оптимальное распределение полосы пропускания для асимметричного трафика, когда входящий к абоненту поток данных в несколько раз превышает исходящий поток. Скорость приема-передачи для двух основных стандартов технологии ADSL:

-G.DMT - скорость к абоненту до 8 Мбит/с, от абонента до 1 Мбит/с;

-G.Lite - скорость к абоненту до 1,5 Мбит/с, от абонента до 512 Кбит/с.

Применение:

-предоставления услуг доступа в Internet;

-подключение офиса к корпоративной сети по имеющейся телефонной линии с сохранением телефонных

135

услуг.

В этом случае используются серверы доступа с несколькими портами (до 8) для подключения абонентских линий и одним портом Ethernet в сочетании с соответствующими абонентскими ADSL-модемами.

Примеры устройств.

Сервер доступа NSG-800/maxA (фирмы “Сетевые Системы” (Россия))

Предназначен для обслуживания абонентов систем ADSL. Поддерживает спецификации G.DMT и G.lite, и оснащен встроенными сплиттерами (частотными фильтрами) для отделения сигнала ТЧ от высокочастотного сигнала данных, а также голосовыми портами RJ-11 для подключения к телефонному коммутатору. Имеет восемь портов ADSL и один порт Ethernet 10BaseT. Выполняет функции моста/маршрутизатора с поддержкой автоматического запоминания МАС-адресов (до 4096 адресов),

Безопасность: фильтрация пакетов по МАС-адресам, поддержка протоколов RIP1 и RIP2, сервисы NAT и DNS. Для передачи по линии ADSL пользовательский трафик инкапсулируется в ячейки АТМ.

В качестве абонентского оборудования может применяться ADSL-маршрутизатор NSG-200/ADSL или другие устройства, соответствующие стандартам ITU-T.

NSG-200/ADSL – модем для линий ADSL

Абонентское устройство доступа для линий ADSL, предназначенное для подключения индивидуальных и небольших корпоративных пользователей. Скорость передачи адаптируется автоматически в зависимости от длины и состояния линии. Со стороны локального пользователя NSG200/ADSL оснащен одним портом Ethernet 10BaseT и может подключаться как к одиночному компьютеру, так и к локальной сети. Работа в режимах моста и маршрутизатора (протоколы маршрутизации: RIP 1, RIP 2, статическая маршрутизация). Протоколы глобальных сетей: Classical IP, PPP over ATM, поддержка AAL5. Сетевое управление и

136