Методы и средства защиты информации

Методы и средства защиты информации

Лекция 12

Сетевая безопасность (продолжение)

Сеть internet Адресация и имена в Internet

Физические объекты (хосты, маршрутизаторы, подсети) идентифицируются при помощи специальных IP-адресов. Каждый IP-адрес представляет собой 32-разрядный идентификатор: ААА.BBB.CCC.DDD.

Принято записывать IP-адреса в виде 4-х десятичных чисел, разделенных точками. Каждый адрес содержит идентификатор сети и идентификатор хоста. Все возможные адреса разделены на 5 классов, но практически используются только первые три класса.

Класс А используется для сетей с числом хостов до 16777216, поле А содержит номер сети (число не превышает 128).

Класс В используется для среднемасштабных сетей с числом хостов до 65536 (поля А и В содержат номер сети).

Класс С используется для небольших сетей с числом хостов до 255, поля А,Б и С содержат номер сети).

(адрес класса А)	(адрес класса С)
89.1.10.2	192.10.100.1
	192.10.100.2
	192.10.100.3

По IP-адресам человеку трудно определить конкретные ЭВМ, поэтому каждому адресу в Internet присвоено имя собственное. Для решения этой проблемы была предложена система доменов DNS (Domain Name System). Под доменом понимается множество машин, которые администрируются и поддерживаются как одно целое. Internet организован как иерархия доменов. На каждом уровне находится сервер имен - машина, которая содержит информацию о машинах нижнего уровня и соответствии их имен IP-адресам.

Домен корневого уровня root формируется в информационном центре Стэнфордского исследовательского института (SRI-NIC). Домены верхнего уровня имеют следующие ветви:

gov (любые правительственные организации);

edu (образовательные учреждения);

arpa (ARPANET);

com (коммерческие организации);

mil (военные организации);

org (организации, не попадающие в предыдущие);

firm (фирмы и направления их деятельности);

store (торговые фирмы);

web (объекты, связанные с WWW);

arts (объекты связанные с культурой и искусством);

rec (развлечение и отдых);

info (информационные услуги);

Имена доменов образуются объединением всех имен доменов от корневого до текущего, перечисленных справо налево и разделенных точками, например: cs.usyd.edu.au (отделение вычислительной техники университета Сиднея), где edu- верхний уровень, usyd - поддомен, а cs - имя хоста.

Доменные имена (кроме США) имеют указатель на страну, которой они принадлежат (uk, ru).

Стек протоколов TCP/IP.

Протоколами называют распределенные алгоритмы, определяющие, каким образом осуществляется обмен данными между физическими устройствами и логическими объектами (процессами).

В настоящее время стек TCP/IP является самым распространенным средством организации компьютерных сетей. Стек протоколов TCP/IP был разработан более 20 лет назад в США. Стек протоколов TCP/IP имеет пять уровней: прикладной, транспортный, уровень межсетевого взаимодействия, уровень сетевых интерфейсов и физический. Соответствие уровней стека TCP/IP уровням модели OSI достаточно условно.

Прикладной уровень (Application) включает большое число прикладных протоколов. К ним относятся такие популярные протоколы, как протокол пересылки файлов FTP, протокол эмуляции терминала Telnet, почтовый протокол SMPT, используемый в электронной почте сети Internet, гипертекстовые сервисы службы WWW и другие.

На транспортом уровне (Transport) стека TCP/IP, называемым также основным уровнем, функционируют протоколы TCP и UDP. Протокол TCP (Transmission Contorl Protol - протокол управления передачей), обеспечивает поддержание диалога, является протоколом с «установлением соединения». Протокол управления передачей TCP решает задачу обеспечения надежной информационной связи между двумя конечными узлами. Согласно этому протоколу, отправляемые данные «нарезаются» на небольшие стандартные пакеты, после чего каждый пакет маркируется таким образом, чтобы в нем были данные для правильного сборки документа на компьютере получателя. Протокол UDP – датаграммный. Это означает, что каждый блок передаваемой информации (пакет) обрабатывается и передается от узла к узлу не как часть некоторого потока данных, а как независимая единица информации – датаграмма. Необходимость в протоколе UDP обусловлена тем, что он различает приложения и доставляет информацию от одного приложения к другому.

Уровень межсетевого взаимодействия (Internet) реализует концепцию коммутации пакетов без установления соединений. Общим и основополагающим является межсетевой протокол IP (Internet Protocol). Протокол IP - это соглашение, используемое для обмена пакетами между компьютерами, которые могут находиться как в одной сети, так и в разных. Если оба компьютера находятся в одной сети, пакет направляется непосредственно от первого узла ко второму. Если компьютеры расположены в разных сетях, пакет проходит через ближайшие узлы и из сети в сеть, пока не достигнет места назначения. Маршрут перемещения пакетов выбирают специальные средства – маршрутизаторы. Роль маршрутизатора в сети может выполнять как специализированный компьютер, так и специализированная программа, работающая на узловом сервере сети.

Протокол IP предназначен для передачи отдельных пакетов. Однако, большинство приложений в Internet работает в режиме интенсивного диалога, а не простого обмена пакетами. Кроме того, нужна гарантия, что данные получены правильно.

На уровне сетевого интерфейса (Network Interface) располагается аппаратно-зависимое программное обеспечение, реализующее распространение информации на том или ином отрезке среды передачи данных.

Физический уровень (Hardware) определяет среду передачи данных. Понятия «среда передачи данных» и «программное обеспечение сетевого интерфейса» могут на практике иметь различные по сложности и функциональности наполнения – это может быт и простое модемное двухточечное звено, среда, представляющая собой сложную и многоузловую коммуникационную структуру Х.25, и сеть Frame Relay.

Следует обратить внимание на терминологию, традиционно используемую в литературе по стеку протоколов TCP/IP для обозначения информационных объектов, распространяющихся на интерфейсах между различными уровнями управления. Приложение передает транспортному уровню сообщение (message), которое имеет соответствующее данному приложению размер и семантику. Транспортный уровень при необходимости делит это сообщение на пакеты (packets), которые передаются межсетевому уровню, т. е. протоколу IP. Он формирует свои IP-пакеты (IP-датаграммы) и затем упаковывает их в формат, приемлемый для физической среды передачи информации. Эти, уже аппаратно-зависимые, пакеты называются кадрами (frames).

Процесс инкапсуляции передаваемых данных и формирования TCP- и IP-заголовков пакетов с данными в стеке протоколов TCP/IP показан на рисунке 1.

Прикладной

Уровень

(SMTP, Telnet, FTP… )

Транспортный уровень

(TCP, UDP, ICMP )

Сетевой уровень

(IP - уровень Internet )

Уровень сетевого доступа

( Ethernet, FDDI, ATM )

Рис. 1

Проблемы безопасности IP-сети