- •Аспекты и актуальность информационной безопасности гспд
- •Воздействия нарушителей (вн), виды нсд к гспд
- •Технологии передачи данных в гспд
- •1. Дейтаграммная служба
- •2. Виртуальные соединения
- •Задачи обеспечения информационной безопасности гспд
- •Характеристики защищенности информационной сферы гспд
- •Уязвимость гспд и ее проявления
- •Технологические и эксплуатационные уязвимости
- •Пути внесения уязвимостей
- •Субъекты нарушителей на информационную сферу (ис)
- •Модель воздействий нарушителя на технологическом уровне
- •Модель воздействий нарушителя на эксплуатационном уровне
- •Виды вн, нарушающие конфиденциальность информационной сферы
- •Способы реализации вн, нарушающих конфиденциальность ис
- •Виды вн, нарушающие целостность ис
- •Способы реализации вн, нарушающих целостность ис
- •Виды вн доступности ис
- •Способы реализации вн доступности ис
- •Классификация воздействий нарушителя на информационную сферу гспд
- •Угрозы информационной безопасности гспд, последствия вн, риски, ущерб от вн
- •Общее описание технологии х.25
- •Физический уровень стека протоколов технологии х.25
- •Канальный уровень стека протоколов технологии х.25
- •Воздействия нарушителя на канальном уровне стека протоколов сети х.25
- •Пакетный уровень стека протоколов технологии х.25
- •Общее описание технологии Frame Relay
- •Физический уровень технологии fr
- •Канальный уровень стека протоколов технологии fr
- •Сетевой уровень стека протоколов технологии fr
- •Общее описание технологии atm
- •Физический уровень стека протоколов технологии atm
- •Уровень атм стека протоколов технологии атм
- •Уровень адаптации стека протоколов технологии атм
- •Транспортный, сеансовый, представительский и прикладной уровни стека протоколов технологии atm
- •Краткие сведения о технологии tcp/ip
- •Уровень межсетевого взаимодействия стека протоколов технологии tcp/ip
- •Транспортный уровень стека протоколов системы управления ip-cemu
- •Прикладной уровень стека протоколов системы управления ip-cemu
Краткие сведения о технологии tcp/ip
Технология TCP/IP (Transport Control Protocol/Internet Protocol) предназначена для построения вычислительных сетей с коммутацией пакетов. Разработка технологии TCP/IP началась в 1973 г. в рамках Агентства по перспективным исследованиям и разработкам Министерства обороны США ARPA (Advanced Research Projects Agency). В процессе разработки этой технологии был создан новый стек протоколов, получивший название TCP/IP. Стек протоколов TCP/IP включает в себя четыре уровня: уровень сетевых интерфейсов, уровень межсетевого взаимодействия, а также транспортный и прикладной уровни. Схема соответствия протоколов стека TCP/IP уровням модели ЭМВОС показана на рис. 11.1.
Уровень ЭMBOC |
Наименование уровня ЭМВОС |
Наименование уровня стека TCP/IP |
7 |
Прикладной уровень |
Прикладной уровень - протоколы FTP, SNMP, Telnet |
6 |
Уровень представления |
-- |
5 |
Сеансовый уровень |
-- |
4 |
Транспортный уровень |
Транспортный уровень - протоколы TCP, UDP |
3 |
Сетевой уровень |
Уровень межсетевого взаимодействия - протоколы IP, ICMP, BGP, EGP, ISIS, OSPF |
2 |
Канальный уровень |
Уровень сетевых интерфейсов - протоколы Х.25, Frame Relay, ATM, SDH и др. |
1 |
Физический уровень
|
Рисунок 11.1 – Схема соответствия уровней стека протоколов TCP/IP уровням модели ЭМВОС
Первоначально стек TCP/IP предназначался для использования исключительно во внутренней сети оборонных ведомств США ARPANET, однако ситуация изменилась после того, как из сети ARPANET была выделена новая ГСПД общего пользования - Интернет, которая полностью базировалась на стеке протоколов TCP/IP. В настоящее время стандартизацией технологии TCP/IP занимается рабочая группа по проектированию сети Интернет IETF (Internet Engineering Task Force). Технология TCP/IP может также быть использована для построения глобальных сетей связи, базирующихся на стеке протоколов TCP/IP (IP-сетей). IP-сеть представляет собой совокупность маршрутизаторов, связывающих между собой различные подсети, построенные на базе технологий Х.25, Frame Relay, ATM и др. IP-сеть включает в себя следующие компоненты (рис. 11.2):
-
маршрутизаторы - устройства, обеспечивающие передачу сообщений между двумя подсетями;
-
магистральные каналы связи - линии связи и аппаратура передачи данных между подсетью и маршрутизатором, а также между маршрутизаторами;
-
каналы доступа - линии связи и аппаратура передачи данных между терминальным оборудованием пользователей и подсетями, связанными между собой маршрутизаторами. В качестве терминального оборудования пользователей могут выступать персональные компьютеры, серверы, терминалы и др.
Рисунок 11.2 – Структура IP-сети
IP-сеть реализует первые два уровня стека протоколов TCP/IP: уровень сетевых интерфейсов и уровень межсетевого взаимодействия, которые обеспечивают транспортные функции передачи сообщений, содержащих информацию пользователя или информацию управления.
Уровень межсетевого взаимодействия стека протоколов IP-сети реализует следующие функции:
-
формирование пакетов данных (или дейтаграмм) — информационных единиц протокола IP - на основе блоков данных, сформированных на транспортном уровне стека протоколов TCP/IP;
-
маршрутизацию IP-пакетов на основе IP-адресов, содержащихся в заголовках этих пакетов данных;
-
формирование пакетов данных на основе протокола ICMP, содержащих информацию об ошибках, возникших в процессе работы IP-сети, или информацию о степени доступности (готовности) маршрутизаторов IP-сети. Сформированные пакеты данных ICMP помещаются в поле данных IP-пакетов;
-
рассылку среди маршрутизаторов IP-сети информации о сетевой топологии, необходимой для определения оптимального маршрута передачи IP-пакетов. Информация о сетевой топологии рассылается при помощи пакетов данных, сформированных на основе таких протоколов маршрутизации как OSPF (Open Shortest Path First), ISIS (Intermediate System to Intermediate System), BGP (Border Gateway Protocol) и EGP (Exterior Gateway Protocol) и др. Пакеты данных, сформированные при помощи протоколов маршрутизации, помещаются в поле данных IP-пакетов.
Уровень сетевых интерфейсов IP-сети определяет механические, электрические и функциональные характеристики каналов доступа и магистральных каналов связи, по которым передаются IP-пакеты.
Рассмотрим более подробно функциональное назначение уровня межсетевого взаимодействия и уровня сетевых интерфейсов стека протоколов TCP/IP.
Физический и канальный уровни технологии TCP/IP (уровень
сетевых интерфейсов)
В отличие от рассмотренных выше технологий глобальных сетей Х.25, Frame Relay и ATM технология TCP/IP не определяет конкретные типы сетевых интерфейсов, предназначенных для передачи IP-пакетов, сформированных на уровне межсетевого взаимодействия. Это делает стек протоколов TCP/IP аппаратно-независимым и позволяет использовать на уровне сетевых интерфейсов различные протоколы канального и физического уровней. Так, например, IP-сети могут быть построены на базе сетей Х.25, Frame Relay и ATM. Таким образом, в качестве информационной единицы уровня сетевых интерфейсов могут выступать кадры данных LAPB, пакеты данных PLP, ATM-ячейки и др., в зависимости от типа протокола, используемого на канальном уровне стека TCP/IP. Общая структура информационной единицы уровня сетевых интерфейсов стека протоколов TCP/IP изображена на рис. 11.3.
Заголовок |
Поле данных |
Рисунок 11.3 - Структура информационной единицы уровня сетевых интерфейсов стека протоколов TCP/IP
Структура заголовка информационной единицы уровня сетевых интерфейсов зависит от типа протокола, используемого на этом уровне, а поле данных информационной единицы содержит IP-пакет, сформированный на уровне межсетевого взаимодействия.
Рассмотрев функции уровня сетевых интерфейсов и уровня межсетевого взаимодействия, реализуемые IP-сетью, перейдём к описанию системы управления IP-сети.
Система управления IP-сети реализует функции всех четырёх уровней стека протоколов TCP/IP. Кроме рассмотренных выше уровней межсетевого взаимодействия и сетевых интерфейсов система управления IP-сети реализует функции прикладного и транспортного уровней стека TCP/IP. Функции четырёх уровней стека протоколов TCP/IP реализуются системой управления при помощи маршрутизаторов и ЦУС, предназначенного для управления этими маршрутизаторами.
Воздействия нарушителя на уровне интерфейсов стека протоколов TCP/IP
ВН на уровне сетевых интерфейсов направлены на получение НСД к информационной сфере IP-сети на физическом уровне модели ЭМВОС и могут быть реализованы (при отсутствии соответствующих средств защиты от НСД на этом уровне) при помощи установки специализированного оборудования в каналы доступа или в магистральные каналы связи IP-сети.
К ВН, реализуемым на уровне сетевых интерфейсов модели ЭМВОС и направленным на получение НСД к информационной сфере IP-сети, можно отнести воздействия, реализуемые двумя способами:
-
путём получения НСД к функциям маршрутизатора, ЦУС или терминального оборудования пользователя посредством ложной аутентификации нарушителя с консоли управления;
-
посредством получения НСД к функциям маршрутизатора или ЦУС путём активизации «закладок», внедрённых в ресурсы и инфраструктуры этих объектов IP-сети. Активизация «закладок» может осуществляться при помощи команд, сформированных нарушителем по радиоканалам связи.
Учитывая тот факт, что на уровне сетевых интерфейсов IP-сети могут использоваться протоколы сетей Х.25, Frame Relay и ATM, нарушитель также может получить НСД к информационной сфере IP-сети при помощи способов, применимых к этим технологиям.
На рис. 11.4 схематично показаны возможные источники ВН на уровне сетевых интерфейсов стека протоколов TCP/IP.
Рисунок 11.4 – Источники ВН, направленных на получение НСД к информационной сфере IP-сети на уровне сетевых интерфейсов
В случае, если в качестве нарушителя выступает пользователь IP-сети, он автоматически получает доступ к информационной сфере сети на уровне сетевых интерфейсов посредством своего терминального оборудования. Если в качестве нарушителя выступает оператор IP-сети, то он также имеет доступ к информационной сфере сети посредством ЦУС и маршрутизаторов.
Получение нарушителем НСД к информационной сфере IP-сети на уровне сетевых интерфейсов позволяет ему выполнять следующие несанкционированные действия на вышележащих уровнях стека протоколов TCP/IP:
-
осуществлять несанкционированное ознакомление с содержимым передаваемых IP-пакетов, пакетов данных ICMP, RSVP, пакетов данных, сформированных при помощи протоколов маршрутизации OSPF, IS-IS, BGP или EGP, ТСР-сегментов, UDP-дейтаграмм, а также пакетов данных FTP, Telnet и SNMP;
-
выполнять несанкционированную модификацию, удаление, задержку или формирование новых информационных единиц уровня межсетевого взаимодействия, а также транспортного или прикладного уровня.