- •Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования
- •Учебно-методический комплекс
- •1. Рабочая учебная программа дисциплины
- •1.1. Цели и задачи дисциплины
- •1.2. Структура и объем дисциплины Распределение фонда времени по семестрам, неделям, видам занятий
- •1.3. Содержание дисциплины Распределение фонда времени по темам и видам занятий
- •1.4. Требования к уровню освоения дисциплины и формы текущего и промежуточного контроля
- •Примерный перечень вопросов для подготовки к экзамену по дисциплине «Сети эвм и телекоммуникации»
- •1.5. Содержание самостоятельной работы
- •Распределение самостоятельной работы студентов по темам с указанием времени
- •Содержание каждого вида самостоятельной работы и вида контроля
- •2. Учебно-методическое пособие
- •2.1. Теоретические сведения
- •2.1.1. Введение
- •2.1.2.1. Эталонная модель osi
- •2.1.2.2. Аппаратура локальных сетей
- •2.1.2.3. Стандартные сетевые протоколы
- •2.1.2.4. Протоколы высоких уровней
- •2.1.2.5. Взаимодействие между стеками протоколов
- •2.1.2.6. Стандартные сетевые программные средства
- •2.1.2.7. Применение модели osi
- •2.1.2.8. Методы и технологии проектирования средств телекоммуникаций
- •2.1.3. Конфигурации локальных вычислительных сетей и методы доступа в них
- •2.1.3.1. Топология локальных сетей
- •2.1.3.2. Назначение пакетов и их структура
- •2.1.3.3. Методы управления обменом
- •2.1.3.4. Метод управления обменом csma/cd
- •2.1.3.5. Оценка производительности сети
- •2.1.3.6. Использование помехоустойчивых кодов для обнаружения ошибок в сети
- •2.1.4. Сети эвм с моноканалом и кольцевые. Проектирование сетей эвм по принципу «клиент-сервер»
- •2.1.4.1. Сети Ethernet и Fast Ethernet
- •2.1.4.2. Сеть Token-Ring
- •2.1.4.3. Сеть fddi
- •2.1.4.4. Сеть 100vg-Any lan
- •2.1.4.5. Сверхвысокоскоростные сети
- •2.1.4.6. Беспроводные сети
- •2.1.4.7. Стандартные сегменты семейства Ethernet
- •2.1.4.8. Стандартные сегменты Fast Ethernet
- •2.1.4.9. Автоматическое определение типа сети (Auto-Negotiation)
- •2.1.4.10. Производительность эвм и информационно-вычислительных сетей
- •2.1.4.11. Проектирование сетей эвм по принципу «клиент-сервер»
- •2.1.5. Конфигурации глобальных сетей и методы коммутации в них. Менеджмент в телекоммуникационных системах
- •2.1.5.1. Глобальные связи компьютерных сетей
- •2.1.5.2. Глобальные связи на основе выделенных каналов
- •2.1.5.3. Глобальные сети на основе коммутации каналов
- •2.1.5.4. Глобальные сети с коммутацией пакетов
- •2.1.6. Аппаратные средства телекоммуникации
- •2.1.6.1. Аппаратные средства локальных сетей
- •2.1.6.2. Аппаратные средства глобальных сетей
- •2.1.7. Составные и корпоративные сети
- •2.1.7.1. Принципы построения составных сетей
- •2.1.7.2. Алгоритмы и протоколы выбора маршрута
- •2.1.7.3. Иерархическая маршрутизация
- •2.1.7.4. Общие сведения о корпоративных сетях
- •2.1.7.5. Уровни и протоколы
- •2.1.7.6. Структура территориальных сетей
- •2.1.7.7. Адресация компьютеров в сети Интернет
- •2.1.7.8. Службы обмена данными
- •2.1.7.9. Сервисы сети Интернет
- •2.1.7.10. Виды конференц-связи
- •2.1.8. Программные средства телекоммуникации
- •2.1.8.1. Классификация операционных систем
- •2.1.8.2. Обобщенная структура операционных систем
- •2.1.8.3. Модель клиент-сервер и модель ос на базе микроядра
- •2.1.8.4. Топологии распределенных вычислений
- •2.1.8.5. Функции сетевых операционных систем
- •2.1.8.6. Распределенная обработка приложений
- •2.1.8.7. Адресация прикладных процессов в сетях эвм
- •2.1.8.8. Сетевые службы
- •2.1.9. Обеспечение безопасности телекоммуникационных связей и административный контроль. Проблемы секретности в сетях эвм и методы криптографии
- •2.1.9.1. Общие сведения и определения
- •2.1.9.2. Виды угроз информации
- •2.1.9.3. Классификация угроз безопасности и их нейтрализация
- •2.1.9.4. Методы и средства защиты информации в сетях. Программные средства защиты информации
- •2.1.9.5. Стандартные методы шифрования и криптографические системы
- •2.1.9.6. Администрирование сети
- •2.1.9.7. Безопасность в корпоративных сетях
- •2.1.9.8. Архивирование. Источники бесперебойного питания
- •2.1.10. Тенденции развития телекоммуникационных систем
- •2.3. Лабораторный практикум
- •Распределение тем лабораторных занятий по времени
- •2.3.1. Лабораторная работа № 1 Расчет конфигурации сети Ethernet
- •1.1. Критерии корректности конфигурации
- •1.2. Методика расчета времени двойного оборота и уменьшения межкадрового интервала
- •1.3. Пример расчета конфигурации сети
- •1.4. Задание на лабораторную работу
- •1.5. Справочные данные ieee
- •2.3.2. Лабораторная работа № 2 Изучение структуры ip-адреса
- •2.1. Типы адресов стека tcp/ip
- •2.2. Классы ip-адресов
- •2.3. Особые ip-адреса
- •2.4. Использование масок в ip-адресации
- •2.5. Задание на лабораторную работу
- •2.3.3. Лабораторная работа № 3 Взаимодействие прикладных программ с помощью транспортного протокола тср
- •3.1. Транспортный протокол tcp
- •3.2. Транспортный протокол udp
- •3.3. Порты, мультиплексирование и демультиплексирование
- •3.4. Логические соединения
- •3.5. Программирование обмена данными на основе транспортных протоколов
- •3.6 Пример реализации простейшего клиент-серверного приложения на основе сокетов
- •3.7. Задание на лабораторную работу
- •3.8. Справочные данные Основные свойства компонента ServerSocket:
- •2.3.4. Лабораторная работа № 4 Взаимодействие прикладных программ с помощью протоколов электронной почты smtp и pop3
- •4.1. Модель протокола, команды и коды ответов smtp
- •4.2. Кодировка сообщений
- •4.3. Процесс передачи сообщений
- •4.4. Пример последовательности команд почтовой транзакции
- •4.5. Модель протокола рор3, его назначение и стадии рор3-сессии
- •4.6. Формат сообщений
- •4.7. Процесс получения сообщений. Команды и ответы протокола рор3
- •4.8. Задание на лабораторную работу
- •4.9. Справочные данные
- •2.3.5. Лабораторная работа № 5 Взаимодействие прикладных программ с помощью протокола передачи данных ftp
- •5.1. Назначение и модели работы протокола ftp
- •5.2. Особенности управления процессом обмена данными
- •5.3. Команды и ответы протокола ftp
- •5.4. Задание на лабораторную работу
- •5.5. Справочные данные
- •2. Команды управления потоком данных.
- •3. Команды ftp-сервиса.
- •2.3.6. Лабораторная работа № 6 Построение и исследование компьютерных сетей с помощью системы NetCracker
- •6.1. Основы компьютерной системы NetCracker
- •6.2. Задание на лабораторную работу
- •2.3.7. Лабораторная работа № 7 Изучение алгоритма маршрутизации ospf
- •7.1. Алгоритмы маршрутизации
- •7.2. Задание на лабораторную работу
- •3. Учебно-методическое обеспечение дисциплины
- •3.1. Перечень основной и дополнительной литературы
- •3.1.1. Основная литература:
- •3.1.2. Дополнительная литература:
- •3.2. Методические рекомендации преподавателю
- •3.3. Методические указания студентам по изучению дисциплины
- •3.4. Методические указания и задания для выполнения курсовой работы
- •3.4.1. Постановка задачи курсовой работы. Обязательное содержание разделов
- •3.4.2. Выбор конфигурации сети Ethernet
- •3.4.3. Выбор конфигурации Fast Ethernet
- •3.4.4. Методика и начальные этапы проектирования сети
- •3.4.5. Выбор с учетом стоимости сети
- •3.4.6. Проектирование кабельной системы
- •3.4.7. Оптимизация и поиск неисправностей в работающей сети
- •3.4.8. Проектирование локальной корпоративной компьютерной сети с помощью системы автоматизированного проектирования NetWizard
- •3.4.9. Правила выполнения и оформления курсовой работы
- •Пример правильного оформления расчета
- •3.5. Учебно-методическая карта дисциплины
- •3.6. Материально-техническое обеспечение дисциплины
- •3.7. Программное обеспечение использования современных информационно-коммуникативных технологий
- •3.8. Технологическая карта дисциплины Поволжский государственный университет сервиса
- •Образец оформления титульного листа лабораторной работы
- •Образец оформления титульного листа журнала отчетов по лабораторным работам
- •Лист обложки пояснительной записки курсовой работы
- •Титульный лист пояснительной записки курсовой работы
- •Поволжский государственный университет сервиса
- •Задание по курсовому проектированию
- •Типовые варианты* задания на выполнение курсовой работы
2.1.9.3. Классификация угроз безопасности и их нейтрализация
Классификация угроз. Характер проникновения (несанкционированного доступа) в сеть может быть классифицирован по таким показателям: преднамеренность, продолжительность проникновения, воздействие проникновения на информационную среду сети, фиксированность проникновения в регистрационных и учетных данных сети.
По первому показателю проникновение может быть случайным или преднамеренным. Случайное проникновение происходит из-за ошибок или сбоев программ или оборудования, оно может быть связано с недостаточной надежностью используемых линий связи. Такое проникновение редко бывает опасным, если не оказывается разрушающее воздействие на информационную среду. Преднамеренное проникновение происходит в результате сознательно предпринимаемых действий со стороны злоумышленника и свидетельствует о его серьезных интересах. Это наиболее опасное проникновение.
По продолжительности проникновения они могут быть кратковременными и долговременными. Кратковременное проникновение свидетельствует о случайности или нежелании злоумышленника привлечь к себе внимание. Оно менее опасно, но зато имеет больше шансов остаться незамеченным. Долговременное проникновение, как правило, связано с устойчивой заинтересованностью в чужом информационном пространстве с целью изучения его структуры и содержания.
Воздействие проникновения на информационную среду может быть:
неразрушающим, когда сеть продолжает функционировать нормально, так как в результате проникновения не пострадали ни программы, ни данные. Если оно не случайное, то является весьма опасным и свидетельствует о намерении злоумышленника использовать в дальнейшем найденный канал доступа к чужой информации;
разрушающим, когда в результате проникновения внесены какие-либо изменения в программы и/или данные, что сказывается на работе сети. Его последствия при надлежащем ведении архивов могут быть сравнительно легко устранены;
разовым или многократным, что свидетельствует о серьезности намерений и требует решительных действий.
По фиксированности проникновений в регистрационных и учетных данных сети они могут быть:
зарегистрированными администратором сети при проведении периодического анализа регистрационных данных. Они свидетельствуют о необходимости совершенствования или модификации системы защиты;
незарегистрированными администратором сети.
Различают следующие виды воздействия на информацию в случае преднамеренного проникновения в сеть:
– уничтожение, т.е. физическое удаление информации (файлов) с носителей информации. Оно выявляется при первой же попытке обращения к этой информации, а все потери легко восстанавливаются при налаженной системе резервирования и архивации;
– разрушение – нарушение целостности программ и структур данных, вызывающих невозможность их использования: программы не запускаются, а при обращении к структурированным данным происходит (хотя и не всегда) сбой;
– искажение – нарушение логики работы программ или связей в структурированных данных, не вызывающих отказа в их работе или использовании. Это один из опасных видов воздействия, так как его нельзя обнаружить;
– подмена, т.е. замена существующих программ или данных другими под тем же именем и так, что внешне это никак не проявляется. Это очень опасный вид воздействия. Единственно надежным способом защиты от такого воздействия для программ является побитовое сравнение с эталонной версией программы;
– копирование, т.е. получение копии программ или данных на другом компьютере. Это воздействие не является опасным, поскольку не угрожает нормальному функционированию сети, однако оно наносит наибольший ущерб в случаях промышленного шпионажа;
– добавление новых компонентов, т.е. запись в память компьютера других программ или данных, ранее в ней отсутствовавших. Такое воздействие опасно, так как функциональное назначение добавляемых компонентов неизвестно;
– заражение вирусом – это такое однократное воздействие на программы или данные, при котором они изменяются и, кроме того, при обращении к ним вызываются подобные изменения в других, как правило, аналогичных, компонентах (происходит «цепная реакция», распространение вируса в компьютере или локальной сети). К перечисленным видам воздействия на информацию в сети следует добавить следующие угрозы безопасности: несанкционированный обмен информацией между пользователями (может привести к получению одним из них не предназначенных ему сведений); отказ от информации, т.е. непризнание получателем (отправителем) этой информации факта ее получения (отправления), что может привести к различным злоупотреблениям; отказ в обслуживании, который может сопровождаться тяжелыми последствиями для пользователя, обратившегося с запросом на предоставление сетевых услуг.
Величина наносимого ущерба определяется как видом несанкционированного воздействия, так и тем, какой именно объект информационных ресурсов ему подвергся.
В качестве возможных объектов воздействия могут быть:
– операционная система, обслуживающая сеть (в настоящее время только отдельные операционные системы сертифицированы на определенный класс защиты, предусматривающий требование защиты самой себя от изменений);
– служебные, регистрационные таблицы и файлы обслуживания сети – это файлы паролей, прав доступа пользователей к ресурсам, ограничения по времени, функциям и т.д.;
– программы и таблицы шифровки информации, циркулирующей в сети. Любое воздействие на эти компоненты вызовет отказ в работе или серьезные сбои, но наиболее опасно копирование, которое может открыть возможность дешифровки информации;
– операционные системы компьютеров конечных пользователей;
– специальные таблицы и файлы доступа к данным на компьютерах конечных пользователей – это пароли файлов или архивов, индивидуальные таблицы шифровки/дешифровки данных, таблицы ключей и т.д. Степень опасности воздействия на них зависит от принятой системы защиты и от ценности защищаемой информации. Наиболее опасным воздействием является копирование этой информации;
– прикладные программы на компьютерах сети и их настроечные таблицы (здесь для разработчиков новых прикладных программ серьезную угрозу представляет копирование, так как в ходе разработки большинство программ существуют в незащищенном виде);
– информационные файлы компьютеров сети, базы данных, базы знаний экспертных систем и т.д. Наибольший ущерб наносит копирование и последующее распространение этой информации;
– текстовые документы, электронная почта и т.д.;
– параметры функционирования сети – это главным образом ее производительность, пропускная способность, временные показатели обслуживания пользователей. Здесь признаками возможного несанкционированного воздействия на сеть, сопровождаемого ухудшением параметров ее функционирования, являются: замедление обмена информацией в сети или возникновение необычно больших очередей обслуживания запросов пользователей, резкое увеличение трафика (данных пользователей) в сети или явно преобладающее время загрузки процессора сервера каким-либо отдельным процессором. Все эти признаки могут быть выявлены и обслужены только при четко отлаженном аудите и текущем мониторинге работы сети.
Основными источниками преднамеренного проникновения в сеть являются:
взломщики сетей – хакеры, в действиях которых почти всегда есть состав преступления, независимо от того, осознают они это или нет. Наибольшую угрозу представляют сформировавшиеся виртуальные банды хакеров, цель которых – сделать всю информацию в мире свободной и доказать каждому, что их нельзя остановить. Они хорошо организованы и даже создали всемирные объединения с регулярными встречами и съездами;
уволенные или обиженные сотрудники сети – эта категория людей наиболее опасна и способна нанести существенный ущерб, особенно если речь идет об администраторах сети, так как они обладают знаниями системы и принципами защиты информации и по долгу службы имеют доступ к программам сниффинга (перехвата паролей и имен пользователей в сети, ключей, пакетов и т.д.);
профессионалы – специалисты по сетям, посвятившие себя промышленному шпионажу;
конкуренты, степень опасности которых зависит от ценности информации, к которой осуществляется несанкционированный доступ, и от уровня их профессионализма.
Что же касается источников непреднамеренного проникновения в сеть, то здесь речь должна идти скорее о причинах случайного проникновения. Помимо упоминавшихся выше сбоев программ и оборудования, причинами такого проникновения являются неправильные установка и конфигурирование сетевых операционных систем и средств защиты (особенно в неоднородных и многопротокольных сетях), а также ошибки, беспечность или халатность конечных пользователей. Особую опасность представляют недостаточно обученные и недостаточно контролируемые пользователи с привилегированными правами.
Нейтрализация угроз безопасности. Нейтрализация перечисленных и других угроз безопасности осуществляется службами безопасности сети и механизмами реализации функций этих служб. Документами Международной организации стандартизации (МОС) определены следующие службы безопасности:
– аутентификация (подтверждение подлинности);
– обеспечение целостности передаваемых данных;
– засекречивание данных;
– контроль доступа;
– защита от отказов.
Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инварианты по отношению к этим сетям.
В виртуальных сетях используются протоколы информационного обмена типа виртуального соединения. Передача информации между абонентами организуется по виртуальному каналу и происходит в три этапа: создание (установление) канала, собственно передача и уничтожение (разъединение) канала. При этом сообщения разбиваются на одинаковые части (пакеты). Пакеты передаются по виртуальному каналу в порядке их следования в сообщении.
В дейтаграммных сетях реализуются дейтаграммные протоколы информационного обмена. Пакеты, принадлежащие одному и тому же сообщению, передаются от отправителя к получателю в составе дейтаграмм независимо друг от друга и в общем случае по различным маршрутам, т.е. в сети они являются самостоятельными единицами информации. На приемном пункте из пакетов, поступивших по различным маршрутам и в разное время, составляется первоначальное сообщение.
Службы и механизмы безопасности используются на определенных уровнях эталонной модели OSI.
Служба аутентификации, в виртуальных сетях называемая службой аутентификации одноуровневого объекта, обеспечивает подтверждение (опровержение) того, что объект, предлагающий себя в качестве отправителя сообщения по виртуальному каналу, является именно таковым как на этапе установления связи между абонентами, так и на этапе передачи сообщения. В дейтаграммных сетях эта служба называется службой аутентификации источника данных, передаваемых в виде дейтаграмм.
Службы целостности обеспечивают выявление искажений в передаваемых данных, вставок, повторов и уничтожение данных. Они разделяются по виду сетей, в которых они применяются (СБ в виртуальных и дейтаграммных сетях), по действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), по степени охвата передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).
Службы засекречивания обеспечивают секретность передаваемых данных: в виртуальных сетях – всего пересылаемого сообщения или только его выборочных полей, в дейтаграммных – каждой дейтаграммы или только отдельных ее элементов.
Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и дейтаграммных сетей, предотвращает возможность получения сведений об абонентах сети и характере использования сети.
Служба контроля доступа обеспечивает нейтрализацию попыток несанкционированного использования общесетевых ресурсов.
Службы защиты от отказов нейтрализуют угрозы отказов от информации со стороны ее отправителя и/или получателя.
Механизмы реализации указанных СБ представлены соответствующими, преимущественно программными, средствами. Некоторые из механизмов используются для реализации не одной, а ряда служб безопасности. Это относится к шифрованию, цифровой подписи, обеспечению целостности данных, управлению маршрутизацией.
Для использования механизмов шифрования необходима специальная служба генерации ключей и их распределения между абонентами сети.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования. Они включают процедуры формирования подписи отправителем и ее опознавание (верификацию) получателем.
Механизмы контроля доступа, реализующие функции одноименной СБ, отличаются многообразием. Они осуществляют проверку полномочий объектов сети (пользователей и программ) на доступ к ее ресурсам.
Механизмы обеспечения целостности данных, реализуя функции одноименных служб, выполняют взаимосвязанные процедуры шифрования и дешифрования данных отправителем и получателем.
Механизмы обеспечения аутентификации, на практике обычно совмещаемые с шифрованием, цифровой подписью и арбитражем, реализуют одностороннюю или взаимную аутентификацию, когда проверка подписи осуществляется либо одним из взаимодействующих одноуровневых объектов, либо она является взаимной.
Механизмы подстановки трафика, используемые для реализации службы засекречивания потока данных, основываются на генерации объектами сети фиктивных блоков, их шифрования и передаче по каналам связи. Этим затрудняется и даже нейтрализуется возможность получения информации об абонентах сети и характере потоков информации в ней.
Механизмы управления маршрутизацией, используемые для реализации служб засекречивания, обеспечивают выбор безопасных, физически надежных маршрутов для передачи секретных сведений.
Механизмы арбитража обеспечивают подтверждение третьей стороной (арбитром) характеристик данных, передаваемых между абонентами.