Защита информации

15. Классификация сетей по различным признакам. Сравнительная характеристика сетей различных типов.

По способу организации сети подразделяются на реальные и искусственные.

Искусственные сети (псевдосети) позволяют связывать компьютеры вместе через витую пару, а ранее использовались последовательные или параллельные порты, и не нуждаются в дополнительных устройствах. Искусственные сети используются когда необходимо перекачать информацию с одного компьютера на другой.

Реальные сети позволяют связывать компьютеры с помощью специальных устройств коммутации и физической среды передачи данных.

Все многообразие компьютерных сетей можно классифицировать по группе признаков:

1. По территориальной распространенности сети могут быть локальными, глобальными, и региональными.

-Локальные (LAN) - это сети, расположенные в пределах одного здания. -Региональные (MAN) - расположенные на территории города или области.

-Глобальные (WAN) - на территории государства или группы государств, например, всемирная сеть

Internet.

Термин "корпоративная сеть" также используется в литературе для обозначения объединения нескольких сетей, каждая из которых может быть построена на различных технических, программных и информационных принципах.

Локальные сети являются сетями закрытого типа, доступ к ним разрешен только ограниченному кругу пользователей, для которых работа в такой сети непосредственно связана с их профессиональной деятельностью. Глобальные сети являются открытыми и ориентированы на обслуживание любых пользователей.

2. По архитектуре:

-Ethernet

Сети Ethernet

Ethernet (читается эзернет, от лат. aether — эфир) — пакетная технология передачи данных преимущественно локальных компьютерных сетей. Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI. Ethernet в основном описывается стандартами IEEE группы 802.3. Ethernet стал самой распространённой технологией ЛВС в середине 90-х годов прошлого века, вытеснив такие устаревшие технологии, как Arcnet, FDDI и Token ring.

-TokenRing

Этот стандарт предложен фирмой IBM. В качестве передающей среды применяется неэкранированная витая пара, экранированная витая пара, оптоволоконный кабель. Скорость передачи данных - 4 Мбит/с или 16 Мбит/с. В качестве метода управления доступом станций к передающей среде используется метод маркерного кольца, который рассчитан на топологию "логическое кольцо". Основные положения этого метода:

компьютеры подключаются к сети по топологии "звезда" или "кольцо": рабочие станции сети Token Ring подключаются радиально к концентратору, концентраторов может быть несколько, и в этом случае они объединяются в кольцо;

все устройства, подключенные к сети, могут передавать данные, только получив разрешение на передачу (маркер). Маркер передается по кольцу, минуя каждую рабочую станцию в сети. Рабочая станция, располагающая информацией, которую необходимо передать, может добавить к маркеру кадр данных. В противном случае (при отсутствии данных) она просто передает маркер следующей станции;

в любой момент времени таким правом обладает только одна станция сети.

Этот метод напоминает Arcnet, так как тоже использует маркер, передаваемый от одной станции к другой. В отличие от Arcnet, при методе доступа Token Ring имеется возможность назначать различные приоритеты разным рабочим станциям.

Всетях Token Ring используются пакеты трех типов:

пакет управление/данные; с помощью этого пакета выполняется передача данных или команд управления работой сети;

маркер (Token); станция может начать передачу данных только после получения такого пакета. В одном "кольце" может быть только один маркер и, соответственно, только одна станция с правом передачи данных;

пакет сброса; посылка такого пакета вызывает прекращение любых передач.

- AppleTalk

Apple Talk была разработана как система распределенной сети клиентсервер. Другими словами, пользователи совместно пользуются сетевыми ресурсами (такими, как файлы и принтеры). Компьютеры, обеспечивающие эти ресурсы, называются служебными устройствами (servers); компьютеры, использующие сетевые ресурсы служебных устройств, называются клиентами (clients). Взаимодействие со служебными устройствами в значительной степени является прозрачным для пользователя, т.к. сам компьютер определяет местоположение запрашиваемого материала и обращается к нему без получения дальнейшей информации от пользователя. В дополнение к простоте использования, распределенные системы также имеют экономические преимущества по сравнению с системами, где все равны, т.к.важные материалы могут быть помещены в нескольких, а не во многих местоположениях.

- ARCnet

Arcnet (Attached Resource Computer NetWork) - простая, недорогая, надежная и достаточно гибкая архитектура локальной сети. При подключении устройств в Arcnet применяют топологии "шина" и "звезда". Метод управления доступом станций к передающей среде - маркерная шина (Token Bus). Этот метод предусматривает следующие правила:

Один из компьютеров создает маркер (сообщение специального вида), который последовательно передается от одного компьютера к другому;

Все устройства, подключенные к сети, могут передавать данные, только получив маркер (разрешение на передачу);

В любой момент времени только одна станция в сети обладает таким правом;

Данные, передаваемые одной станцией, доступны всем станциям сети;

Если станция желает передать сообщение другой станции, она должна дождаться маркера и добавить к нему сообщение, дополненное адресами отправителя и назначения. Когда пакет

дойдет до станции назначения, сообщение будет откреплено от маркера и передано станции. Передача каждого байта в Arcnet выполняется специальной посылкой, состоящей из трех служебных битов и восьми битов данных. В начале каждого пакета передается начальный разделитель, который состоит из шести служебных битов. Начальный разделитель выполняет функции заголовка пакета.

ВArcnet определены 5 типов пакетов:

приглашение к передаче; станция, принявшая этот пакет, получает право на передачу данных;

запрос о готовности к приему данных;

пакет данных;

подтверждение приема; этот пакет высылается в ответ на запрос о готовности к приему, а также после приема каждого пакета данных без ошибок;

неготовность к приему; этот пакет высылается в ответ на запрос о готовности к приему, а также если принят пакет с ошибкой.

Для организации сети Arcnet необходим соответствующий сетевой адаптер. В качестве передающей среды используются: витая пара, коаксиальный кабель RG-62 с волновым сопротивлением 93 Ом или оптоволоконный кабель. Скорость передачи данных - 2,5 Мбит/с.

3. Ведомственная принадлежность

По принадлежности различают ведомственные и государственные сети.

- Ведомственные принадлежат одной организации и располагаются на ее территории.

- Государственные сети - сети, используемые в государственных структурах.

4. По скорости передачи

По скорости передачи информации компьютерные сети делятся на низко-, средне- и высокоскоростные.

-низкоскоростные (до 10 Мбит/с),

-среднескоростные (до 100 Мбит/с),

-высокоскоростные (свыше 100 Мбит/с);

5. По типу среды передачи

По типу среды передачи сети разделяются на:

-проводные –коаксиальные, на витой паре, оптоволоконные;

-беспроводные - с передачей информации по радиоканалам, в инфракрасном диапазоне.

6.Топологии компьютерных сетей

-общая шина;

-кольцо;

-звезда;

-древовидная;

-ячеистая или сетчатая;

-смешаная (гибридная);

16.Основные стандартизирующие организации и сетевые стандарты.

ITU (International Telecommunications Union) – Международный союз электросвязи; является структурным подразделением ООН, образован в 1865 году как Международный телеграфный союз. Основными рабочими органами ITU являются:

Сектор стандартизации электросвязи (ITU-Т), являющийся преемником (CCITT, МККТТ);

Сектор радиосвязи (ITU-R);

Сектор развития электросвязи (ITU-D).

Работы ITU-T носят рекомендательный характер в области традиционной электросвязи, передачи данных, информационных сетей. Рекомендации ITU-T фактически являются международными стандартами в соответствующих областях техники. Серии рекомендаций ITU-T обозначаются латинскими буквами, например, Q – коммутация и сигнализация, X – сети данных и взаимодействие открытых систем, V – передача данных по телефонной сети, Y –Глобальная информационная инфраструктура и аспекты протоколов Интернет.

Примером стандартов является X.25.

ISO – The International Organization for Standardization (также International Standards Organization) –

Международная организация по стандартизации (МОС). Добровольная некоммерческая организация со штаб-квартирой в Женеве (http://www.iso.ch/), занимающаяся разработкой международных стандартов во многих областях, включая вычислительную технику и связь. Основана в 1946 г. как всемирная федерация органов стандартизации. Членами ISO являются более 130 национальных институтов, занимающихся стандартизацией (например, ANSI – Американский институт национальных стандартов). Название ISO не является аббревиатурой – оно происходит от древнегреческого слова isos, означавшего “равный, равносильный”. ISO состоит из множества рабочих групп по разным направлениям. Протоколы OSI – пример стандартов ISO.

IEEE – (произносится “ай-трипл-и”) – The Institute of Electrical and Electronics Engineers, Inc. –

Институт инженеров электротехники и электроники (США). Крупнейшая в мире профессиональная организация (www.ieee.org) образована в 1963 году, объединяет более 300 тыс. технических специалистов из 147 стран, ведущая организация по стандартизации, отвечающая также за сетевые стандарты. IEEE ведет большую издательскую и образовательную деятельность, субсидирует разработку стандартов для компьютеров и с точки зрения передачи данных отвечает за спецификации серии стандартов 802. Эти стандарты являются основными для высокоскоростной передачи данных.

EIA – Electronics Industries Alliance – Альянс отраслей электронной промышленности, альянс EIA. До октября 1997 г. это сокращение расшифровывалось как Electronics Industries Association – Ассоциация отраслей электронной промышленности. Расположенная в США, организация сосредоточена на стандартах (интерфейсах) физического уровня, она разрабатывает электрические и функциональные стандарты с идентификатором RS (Recommended Standards – рекомендуемые стандарты). Пример стандарта – последовательный интерфейс RS-232C.

TIA – Telecommunication Industry Association – Ассоциация телекоммуникационной промышленности США, ассоциация TIA. Ассоциация изготовителей средств связи, которая разрабатывает стандарты на кабельные системы.

ETSI – European Telecommunications Standards Institute – Европейский институт стандартов для электросвязи – создан в 1988г., является независимой организацией, разрабатывающей общеевропейские стандарты. Примеры стандартов – стандарт цифровой мобильной связи GSM (Global System for Mobile Telecommunications), DECT, TETRA.

IAB - Internet Architecture Board – Координационный Совет по архитектуре сети Интернет). В IAB входят:

IETF - Internet Engineering Task Force, Техническая комиссия Интернет, образована в 1986 г., занимается решением текущих задач. К ее функциям относится стандартизация стека протоколов TCP/IP и другие аспекты. В рамках комиссии создаются отдельные рабочие группы на короткий промежуток времени для решения конкретной задачи. Комиссия выпускает документы RFC (Request For Comment, Запрос на получение комментария). Не все документы RFC являются стандартами Интернет, многие содержат комментарии к какомулибо стандарту, либо просто описание какой-либо проблемы Интернет.

IRTF - Internet Research Task Force, Исследовательская комиссия Интернет, занимается перспективными долгосрочными исследованиями по протоколам стека TCP/IP и вопросами стандартизации новых технологий.

ВРФ действуют законы РФ (например, федеральный закон об информации, информационных технологиях и защите данных), ГОСТы Госстандарта, СНиП – строительные нормы и правила Госстроя, ПУЭ – правила устройства электроустановок, ВНТП и РД – ведомственные нормы и правила и рабочие документы Мининформсвязи. Например, РД.45.128-2000, сети и службы передачи данных.

Сетевые стандарты

Модель OSI (Open Systems Interconnection) — взаимодействие открытых систем —

семиуровневая модель протоколов передачи данных, разработанная Международной организацией по стандартизации (см . – “ISO ”) и CCITT (Consultative Committee for International Telephony and Telegraphy ) для сопряжения различных видов вычислительного и коммуникационного оборудования различных производителей.

Уровни OSI [OSI layers ] — группы протоколов передачи данных, связанные между собой иерархическими отношениями (см . ” Иерархическая структура ” ). Каждый уровень обслуживает вышестоящий уровень и, в свою очередь, пользуется услугами нижестоящего. Наименование уровней OSI (от нижнего к верхнему):

1.Физический уровень [physical layer ] — описывает механические, электрические и функциональные характеристики среды передачи данных, а также средства, предназначенные для установления, поддержания и разъединения связи (“соединений”).

2.Канальный уровень [data link layer ] — отвечает за надежность передачи данных по определенному каналу между двумя соседними узлами, а также за установление, поддержание и разрыв соединений. Блок данных, передаваемых на канальном уровне, называется кадром. Процедуры канального уровня добавляют в передаваемые кадры соответствующие адреса, контролируют ошибки и при необходимости осуществляют повторную передачу кадров. Реализует методы доступа к среде передачи, основанные на передаче маркера (token passing ) или

на соперничестве ( см . “Contention”).

3.Сетевой уровень [network layer ] — обеспечивает маршрутизацию пакетов (то есть передачу через несколько каналов по одной или нескольким сетям), что обычно требует включения в пакет сетевого адреса получателя. Отвечает также за обработку

ошибок, мультиплексирование пакетов и управление протоколами данных. Самые известные протоколы этого уровня: X.25 (в сетях с коммутацией пакетов), IP (в сетях TCP/IP ), и IPX (в сетях NetWare ). Кроме того, к сетевому уровню относятся протоколы построения маршрутных таблиц для маршрутизаторов, например, OSPF, RIP, ES-IS и IS-IS.

4.Транспортный уровень [transport layer ] — обеспечивает предоставление услуг по надежной передаче данных между оконечными узлами сети, в том числе взаимодействующими через несколько промежуточных узлов коммутации или даже транзитных сетей. Служит границей, ниже которой единицей передаваемой информации являются пакеты, а выше — сообщения. В рамках транспортного протокола модели OSI предусмотрены пять классов сервиса передачи сообщений

(0—4).

5.Сеансовый уровень [session layer ] — обеспечивает предоставление услуг, связанных с организацией и синхронизацией обмена данными между процессами на уровне представления.

6.Уровень представления данных [presentation layer ] — включает служебные операции, к

которым обращается прикладной уровень ( см. далее ) для интерпретации и преобразования передаваемых и принимаемых данных. Обеспечивает установление общих правил взаимодействия двух ЭВМ различных типов.

7.Прикладной уровень [application layer ] – отвечает за взаимодействие прикладных программ и интерфейс пользователя. Предоставляемые им услуги: электронная почта, идентификация пользователей, передача файлов и т. п.

IEEE (Institute of Electrical and Electronic Engineers) — Институт инженеров по электротехнике и радиоэлектронике ( ИИЭР) — организация, созданная в США в 1963 г.

Является разработчиком ряда стандартов для локальных вычислительных систем, в том числе

— по кабельной системе, физической топологии и методам доступа к среде передачи данных. Наибольшую известность получила серия стандартов 802 (см. далее), ответственность за которые несут Комитет I EEE 802 и (непосредственно) его рабочие группы — подкомитеты.

IEEE 802.1Q – стандарт, целью которого является установление единого метода передачи по сети данных о приоритете кадра и его принадлежности к виртуальным ЛВС. Он содержит две спецификации маркировки пакетов: первая (одноуровневая) определяет взаимодействие виртуальных сетей по магистрали Fast Ethernet ; вторая (двухуровневая) связана с маркировкой пакетов в смешанных магистралях, включая Token Ring и FDDI . Первая спецификация представляет собой доработанную технологию коммутации, поддерживаемую фирмой Cisco . Задержка с принятием данного стандарта связана с необходимостью детальной проработки более сложной двухуровневой спецификации. Подробнее см. [576].

IEEE 802.1p – стандарт, определяющий метод передачи данных о приоритете сетевого трафика. Он необходим для исключения задержек в передаче пакетов по ЛВС. Задержки, неприемлемые при передаче голоса и видео, могут возникать в результате даже кратковременных перегрузок сети. Данный стандарт специфицирует алгоритм изменения порядка расположения пакетов в очередях, чем обеспечивается своевременная доставка трафика, чувствительного к временным задержкам. Подробнее см. [576].

IEEE 802.2 — стандарт канального уровня, предназначенный для использования совместно

со стандартами IEEE 802.3, 802.4 и 802.5 ( см. далее ). Определяет способы управления логическим каналом.

Группа стандартов ITU-T на средства и методы обработки и передачи данных на физическом и канальном уровнях:

H.245 — стандарт ITU-T , который определяет порядок реализации функций управления при передаче аудио- и видеосигналов в компьютерной телефонной сети [250].

H.261 — компонент набора протоколов H.320 ( см. далее), описывающий сжатие видеоданных.

H.320 — пакет стандартов ITU-T , которые описывают сжатие звука и видеоданных, а также

механизмы их передачи по выделенным или коммутируемым цифровым линиям для видеоконференций.

EIA/TIA-232 — стандарт для 25-контактного последовательного интерфейса, который может быть использован для подсоединения компьютеров к сетевому оборудованию (старое название — RS-232 ). Разработан и принят двумя ассоциациями EIA и TIA.

FDDI (Fiber Distributed Data Interface ) — стандарт на распределенный интерфейс высокоскоростной передачи данных по волоконно-оптическому кабелю, принятый комитетом ANSI X3t9.5 в 1989 г.

17.Межсетевые экраны.

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Схема подключения межсетевого экрана

Классификация сетевых экранов

По способу реализации:

-программные; -аппаратно-программные

По уровню модели OSI:

-управляемые коммутаторы; -фильтры пакетов; -динамические фильтры пакетов; -инспекторы состояний; -посредники сеансового уровня; -посредники прикладного уровня; -МЭ экспертного уровня

По защищаемому объекту:

-сегментные (межсетевые); -встраиваемые; -персональные

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели

OSI;

отслеживаются ли состояния активных соединений или нет.

Взависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто

используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

уровне приложений, фильтрация на основании анализа данных приложения, передаваемых

внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой проксисерверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

Взависимости от отслеживания активных соединений сетевые экраны бывают:

stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Фильтрация трафика

Достоинства и недостатки, связанные с применением межсетевого экрана

Достоинства:

может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через файрво́л смогут пройти только указанные протоколы;

может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;

дает возможность контролировать доступ к системам сети;

может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet;

может сообщать с помощью соответствующих сигналов тревоги,которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки;

предоставляет средства регламентирования порядка доступа к сети, тогда как без файрво́л этот

порядок целиком зависит от совместных действий пользователей. Недостатки:

может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, Windows, NFS, и т.д.;

не защищает объект от проникновения через "люки" (back doors);

не обеспечивает защиту от внутренних угроз;

не защищает от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ через электронную почту;

обладает низкой пропускной способностью, поскольку через него осуществляются все соединения, а в некоторых случаях еще и подвергаются фильтрации;

все средства безопасности сосредоточены в одном месте, а не распределены между системами.