Пакет «запрос вызова»
С получением и подтверждением пакета запроса вызова начинается соединение между абонентами и образуется SVC.
Ниже приведена структура пакета «запрос вызова»:
Заголовок пакета имеет фиксированную структуру. Он включает в себя три октета, каждый бит октетов несет в себе определенную информацию. Первый октет заголовка содержит два полуоктета, первый из них называется «групповой номер логического канала» (LCGN), а второй – «идентификатор общего (группового) формата» (CFI). Второй октет несет в себе номер логического канала (LCN), по которому распространяется пакет. В третьем октете находится идентификатор типа пакета (PTI). Для пакета запроса вызова PTI = 00001011
П
оле
длины адреса предназначено для указания
длин адресов вызывающего и вызываемого
абонентов. Для индикации длины вызывающего
и вызываемого абонентов поле длины
адреса разбивается на две части. В
первом полуоктете записывается длина
адреса вызываемого абонента, а во втором
– вызывающего абонента. С пятого октета
начинается кодирование адресов
отправителя и получателя. Если длина
адреса меньше 14 знаков, то незаполненные
октеты в адресном информационном поле
пакета заполняются фиктивными нулями.
Т.о. адресное поле пакета «Запрос вызова»
имеет фиксированную длину и не может
быть заполнено никакой информацией,
кроме кодов адресов абонентов. В шестом
октете записывается длина поля сервиса
сетевой службы (ССС), а в последнем
октете записаваются коды ССС. Назначение
данного поля заключается в установлении
условий передачи сообщений или, другими
словами, в обозначении вида услуг,
предоставляемых сетью. Под термином
«услуги сети», как правило, понимается
способ прохождения сообщения.
Среди услуг Х.25 наиболее часто встречаются следующие:
Тарификация (оплата сообщения вызывающим пользователем)
Обратная тарификация (сокращенный набор адреса пользователя)
Образование и обслуживание группы закрытых пользователей и т.д.
Штатные средства
Должны быть в каждом СРП или коммутаторе. К ним относятся 4 типа средств:
Пароли (администраторский и операторский)
Пароли устанавливаются на каждом СРП и коммутаторе для защиты ПО от абонентов. Пароль администратора позволяет конфигурировать устройства, операторский пароль позволяет просматривать только таблицы конфигураций. На ЦУС также предусмотрено разграничение прав доступа в сети. Администратор, войдя со своим паролем в ЦУС с помощью специальных опций может контролировать пользование оператором специальными функциями ЦУС.
Сетевой идентификатор пользователя (NUI)
Это тоже пароль, но в электронном виде. NUI устанавливается на локальном коммутаторе в качестве пароля на доступ абонента в сеть и не должен быть короче 4 символов. NUI также является средством тарификации (начисление платы за пользование сетью). Администратор создает в памяти коммутатора таблицу соответствия NUI/NUA (сетевой идентификатор пользователя/сетевой адрес пользователя). Все, кому разрешено входить в сеть, перечисляются в этой таблице. Чтобы связаться с абонентом, на терминале нужно набрать пароль с комбинацией адреса вызываемого абонента. Коммутатор заменяет пароль на адрес, а пароль заносится в поле услуг пакета «запрос вызова».
Эффективность NUI зависит от пользователя, т.к. NUI могут украсть или передать сознательно Нарушителю (Н). Еще одним недостатком NUI является то, что идентификатор присутствует в пакете «запроса вызова». Любой абонент открытой сети может связаться с любым абонентом на локальном коммутаторе. При помощи NUI удобно происходит тарификация, но именно тарификация подталкивает на кражу NUI.
Конфиденциальный режим
Если NUI – это защита коммутатора, то КР – это защита линии. В коммутаторе существует таблица соответствия вызывающего адреса и разрешенных исходящих линий, которая заполняется администратором.
Вызывающий адрес |
Разрешенные исходящие линии |
650112 |
0105 |
650113 |
0106 |
650114 |
0105, 0106 |
Достоинства КР:
КР поддерживается самой сетью
М
ожно
пользоваться открытой сетью, но при
этом защищаемые ресурсы для других
абонентов закрыты.КР может использоваться совместно с NUI и с CUG.
В пакете подтверждения запроса вызова переносится информация о КР. Т.е. отправитель (Ex 650112) заказывает у получателя (Ex 0105) КР.
Группа закрытых пользователей (CUG – closed user group)
При помощи этого средства можно защитить не только линию, но и целый фрагмент в сети. Надежность этого средства заключается в том, что оно поддерживается самой сетью. Каждый член CUG имеет свой регламент работы и изменить этот регламент может только администратор сети. CUG чаще всего применяют в корпоративной сети. На одном порту м.б. до 1000 CUG. Член одной группы одновременно м. являться членом другой группы.
СUG абонируется на уровне линии, т.е. коды услуг CUG передаются в пакете
запроса вызова. Линии, на которых вводится CUG, представляют собой абонентские
линии.
Все штатные средства применимы только в сетях с SVC, т.к. все данные об
услугах содержатся в пакете запроса вызова и все средства защиты работают на
основе распознавания и фильтрации адресов, которые также находятся в пакетах
запроса вызова.
Дополнительные средства защиты сети Х.25.
На дополнительные средства защиты нет стандартов. В качестве дополнительного средства защиты можно рассмотреть ФПСУ Х.25 (фильтр пакетный сетевого уровня), который является межсетевым экраном для сети Х.25. Для управления МЭ в комплекс ФПСУ входит администратор спецретранслятор. АСР м.б. включен в любую из корпоративных сетей. МЭ работают на основе фильтрации пакетов запроса вызова (на основе адресной системы).
Преимущества МЭ:
Это надежное средство в плане ЗИ от НСД, которая осуществляется на физическом и логическом уровнях.
МЭ не имеет сетевого адреса в сети Х.25. Т.о. абонент не видит МЭ и не может удаленным способом на него попасть. С МЭ м. связаться только АСР. АСР не позволяет установить входящие вызовы (во многом похож на ЦУС).
Функции ФПСУ:
В отличие от штатных средств, ФПСУ имеет средства мониторинга. Мониторинг включает в себя все события, которые происходят в МЭ.
Опознавательные коды МЭ известны только АСР.
МЭ имеют возможность шифрования путем наложения случайной логической маски.