125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Гончарова Основи захисту iнф. в - мер

який власне і передає його по лініях зв’язку машині-адресатові. До цього моменту повідомлення «обростає» заголовками всіх рівнів (рис. 2.5).

Коли повідомлення по мережі надходить на машину-адресат, воно приймається її фізичним рівнем і послідовно переміщується вгору з рівня на рівень. Кожний рівень аналізує й обробляє заголовок свого рівня, виконуючи відповідні даному рівню функції, а потім вилучає цей заголовок і передає

У моделі OSI розрізняють два основні типи протоколів. Перша група протоколів – протоколи зі встановленням з’єднання (connection-oriented), в яких перед обміном даними відправник і одержувач мають спочатку встановити з’єднання і, можливо, вибрати деякі параметри протоколу, які вони використовуватимуть при обміні даними. Після завершення діалогу вони мають розірвати це з’єднання. Телефон – це приклад взаємодії, що ґрунтується на встановленні з’єднання.

Друга група протоколів – протоколи без попереднього встановлення з’єднання (connectionless). Такі протоколи називаються також дейтаграмними протоколами. Відправник просто передає повідомлення, коли воно готове. При взаємодії комп’ютерів використовуються протоколи обох типів.

Рис. 2.5. Структура повідомлень різних рівнів моделі ISO/OSI повідомлення вищого рівня.

Функції рівнів моделі OSI. Фізичний рівень (І). Фізичний рівень має справу з передачею бітів по фізичних каналах зв’язку, таких наприклад, як коаксіальний кабель, вита пара, оптоволоконний кабель або цифровий територіальний канал. Цього рівня стосуються характеристики фізичних середовищ передачі даних, такі як смуга пропускання, завадостійкість, хвильовий опір і т. ін. На цьому самому рівні визначаються характеристики електричних сигналів, що передають дискретну інформацію, наприклад, крутизна фронтів імпульсів, рівні напруги або струму переданого сигналу, тип кодування, швидкість передачі сигналів. Окрім цього, тут стандартизуються типи роз’ємів і призначення кожного контакту.

61

Функції фізичного рівня реалізуються у всіх пристроях, підключених до мережі. З боку комп’ютера функції фізичного рівня виконуються мережним адаптером або послідовним портом.

Канальний рівень (2). На фізичному рівні пересилаються біти інформації. При цьому не враховується, що в деяких мережах, в яких лінії зв’язку використовуються (розділяються) за часом кількома парами комп’ютерів, які взаємодіють, фізичне середовище передачі може бути зайнятим. Тому одним із завдань канального рівня є перевірка доступності середовища передачі. Іншим завданням канального рівня є реалізація механізмів виявлення і корекції помилок. Для цього на канальному рівні біти групуються в набори, які називають кадрами (frames). Канальний рівень забезпечує коректність передачі кожного кадру, розміщуючи спеціальну послідовність бітів на початку і в кінці кожного кадру для його виділення, а також обчислює контрольну суму, обробляючи всі байти кадру певним способом і додаючи контрольну суму до кадру. Коли кадр приходить по мережі, одержувач знову обчислює контрольну суму отриманих даних і порівнює результат з контрольною сумою з кадру. Якщо вони збігаються, кадр вважається за дійсне повідомлення та приймається. Якщо ж контрольні суми не збігаються, то фіксується помилка.

Канальний рівень може не тільки виявляти помилки, а й виправляти їх за рахунок повторної передачі пошкоджених кадрів. Необхідно зазначити, що функція виправлення помилок не є обов’язковою для канального рівня, тому в деяких протоколах цього рівня вона відсутня, наприклад в Ethernet і

frame relay.

Улокальних мережах протоколи канального рівня використовуються комп’ютерами, мостами, комутаторами і маршрутизаторами. У комп’ютерах функції канального рівня реалізуються спільними зусиллями мережних адаптерів і їхніх драйверів.

Углобальних мережах, які рідко мають регулярну топологію, канальний рівень часто забезпечує обмін повідомленнями тільки між двома сусідніми комп’ютерами, з’єднаними індивідуальною лінією зв’язку. Прикладами протоколів «точка-точка» (як часто називають такі протоколи) можуть служити широко розповсюджені протоколи РРР і LAP- B. У таких випадках для доставляння повідомлень між кінцевими вузлами через усю мережу використовуються засоби мережного рівня.

Мережний рівень (3). Мережевий рівень слугує для утворення єдиної транспортної системи, об’єднуючи кілька мереж, причому ці мережі можуть використовувати абсолютно різні принципи передачі повідомлень між кінцевими вузлами і мати довільну структуру зв’язків. Функції мережевого рівня доволі різноманітні. Почнемо їх розгляд на прикладі об’єднання локальних мереж.

Протоколи канального рівня локальних мереж забезпечують доставляння даних між будь-якими вузлами тільки в мережі з відповідною типовою топологією, наприклад топологією ієрархічної зірки. Це дуже

62

жорстке обмеження, яке не дає змоги будувати мережі з розвиненою структурою, наприклад мережі, які об’єднують кілька мереж підприємства

вєдину мережу, або високонадійні мережі, в яких існують надлишкові зв’язки між вузлами. Можна було б ускладнювати протоколи канального рівня для підтримки петлеподібних надлишкових зв’язків, але принцип розподілу обов’язків між рівнями приводить до іншого рішення. Щоб, з одного боку, зберегти простоту процедур передачі даних для типових топологій, а з другого – припустити використання довільних топологій, вводиться додатковий мережний рівень.

На мережевому рівні сам термін «мережа» наділяють специфічним значенням. У цьому разі під мережею розуміється сукупність комп’ютерів, з’єднаних між собою відповідно до однієї зі стандартних типових топологій, які використовують для передачі даних один із протоколів канального рівня, визначений для цієї топології.

Усередині мережі доставляння даних забезпечується відповідним канальним рівнем, а ось доставлянням даних між мережами опікується мережевий рівень, який і підтримує можливість правильного вибору маршруту передачі повідомлення навіть у тому разі, коли структура зв’язків між складовими мережами має характер, відмінний від прийнятого

впротоколах канального рівня.

Мережі з’єднуються між собою спеціальними пристроями, які називають маршрутизаторами.

Щоб передати повідомлення від відправника, що перебуває в одній мережі, одержувачеві, що перебуває в іншій мережі, потрібно зробити деяку кількість транзитних передач між мережами, або хопів (від hop – стрибок), щоразу вибираючи відповідний маршрут. Таким чином, маршрут є послідовністю маршрутизаторів, через які проходить пакет.

Повідомлення мережного рівня називають пакетами (packets). При організації доставляння пакетів на мережному рівні використовується поняття «номер мережі». У цьому разі адреса одержувача складається зі старшої частини – номера мережі і молодшої – номера вузла в цій мережі. Усі вузли однієї мережі мають мати одну і ту саму старшу частину адреси, тому терміну «мережа» на мережному рівні можна дати й інше, формальніше визначення: мережа – це сукупність вузлів, мережні адреси яких містять один і той самий номер мережі [15].

Мережні протоколи (routed protocols) – реалізують просування пакетів через мережу. Саме ці протоколи зазвичай мають на увазі, коли говорять про протоколи мережного рівня;

На мережному рівні визначаються два види протоколів:

–протоколи маршрутизації (routing protocols) – протоколи обміну маршрутною інформацією. За допомогою цих протоколів маршрутизатори збирають інформацію про топологію міжмережевих з’єднань;

–протоколи дозволу адрес (Address Resolution Protocol, ARP), які відповідають за відображення адреси вузла локальної мережі. Іноді їх

63

відносять не до мережного, а до канального рівня, хоча тонкощі класифікації не змінюють їхнього призначення.

Протоколи мережного рівня реалізуються програмними модулями операційної системи, а також програмними й апаратними засобами маршрутизаторів. Прикладами протоколів мережного рівня є протокол міжмережевої взаємодії IP стека TCP/IP і протокол міжмережевого обміну пакетами IPX стека Novell.

Транспортний рівень (4). На шляху від відправника до одержувача пакети можуть бути спотворені або загублені. Хоча деякі додатки мають власні засоби обробки помилок, існують і такі, які вважають за краще відразу мати справу з надійним з’єднанням. Транспортний рівень забезпечує додаткам або верхнім рівням стека (прикладному і сеансовому) передачу даних із тим ступенем надійності, який їм потрібний. Модель OSI визначає п’ять класів сервісу, що надаються транспортним рівнем.

Ці види сервісу різняться якістю послуг, що надаються: терміновістю, можливістю відновлення перерваного зв’язку, наявністю засобів мультиплексування кількох з’єднань між різними прикладними протоколами через загальний транспортний протокол, а головне – здатністю до виявлення і виправлення помилок передачі, таких як спотворення, втрата і дублювання пакетів.

Сеансовий рівень (5). Сеансовий рівень забезпечує управління діалогом: фіксує, яка зі сторін є активною зараз, надає засоби синхронізації. Останні дають змогу вставляти контрольні точки в довгі передачі, щоб у разі відмови можна було повернутися назад до останньої контрольної точки, а не починати все спочатку. На практиці небагато додатків використовують сеансовий рівень, і він рідко реалізується у вигляді окремих протоколів, хоча функції цього рівня часто об’єднують із функціями прикладного рівня і реалізують в одному протоколі.

Представницький рівень (6). Представницький рівень має справу з формою подання інформації, що передається по мережі, не змінюючи при цьому її змісту. За рахунок рівня подання інформація, що передається прикладним рівнем однієї системи, завжди зрозуміла прикладному рівню іншої системи. За допомогою засобів даного рівня протоколи прикладних рівнів можуть подолати синтаксичні відмінності в поданні даних або ж відмінності в кодах символів, наприклад кодів ASCII і EBCDIC. На цьому рівні може виконуватися шифрування і дешифрування даних, завдяки чому секретність обміну даними забезпечується відразу для всіх прикладних служб. Прикладом такого протоколу є протокол Secure Socket Layer (SSL), який забезпечує секретний обмін повідомленнями для протоколів прикладного рівня стека TCP/IP.

Прикладний рівень (7). Прикладний рівень – це насправді просто набір різноманітних протоколів, за допомогою яких користувачі мережі дістають доступ до ресурсів, що розподіляються, таких як файли, принтери або гіпертекстові Web-сторінки, а також організовують свою спільну роботу, наприклад за допомогою протоколу електронної пошти. Одиниця

64

даних, якою оперує прикладний рівень, зазвичай називається

повідомленням (message).

Організація обміну даними в інформаційних мережах може здійснюватися двома різними способами: без встановлення логічного з’єднання між передаючим і приймаючим вузлами мережі і зі встановленням логічного з’єднання (зі встановленням сеансу зв’язку).

Спосіб зв’язку без встановлення логічного з’єднання характеризується наступним:

–він використовується в мережах з комутацією пакетів, причому кожен пакет розглядається як індивідуальний об’єкт, незалежна одиниця передачі інформації;

–пакети від відправника можна передавати в довільні моменти, одночасно множині адресатів по різних маршрутах;

–перед передачею даних крізний зв’язок між відправником і одержувачем наперед не встановлюється, не вимагається також синхронізації апаратури зв’язку на передаючому і приймальному пунктах;

–через зайнятість окремих ділянок маршруту може здійснюватися буферизація пакетів в проміжних вузлах зв’язку;

–передача сигналу від адресата до відправника, підтверджуючого отримання інформації, не здійснюється.

Це один з перших і простих способів обміну даними в комунікаційній технології. Він широко використовується в дейтаграмних мережах, в яких реалізуються дейтаграмні протоколи інформаційного обміну. Спосіб зв’язку (або режим зв’язку), орієнтований на логічне з’єднання, відноситься до пізнішої технології. Він забезпечує вищий рівень сервісу порівняно з дейтаграмним зв’язком.

Особливості організації обміну даними зі встановленням логічного з’єднання:

1. Перед передачею інформації між взаємодіючими абонентами (відправником і одержувачем) встановлюється логічний (віртуальний) канал, причому технологія створення (встановлення) каналу така: відправник посилає запит на з’єднання видаленому адресату через ряд проміжних вузлів зв’язку; адресат, одержавши цей запит, у разі «згоди» на встановлення логічного каналу посилає відправнику сигнал підтвердження; після отримання сигналу підтвердження відправником починається обмін даними з управлінням потоком, сегментацією і виправленням помилок.

2. Після завершення обміну даними адресат посилає пакет підтвердження цієї події відправнику (клієнту – ініціатору встановлення логічного каналу), який сприймається як сигнал для роз’єднання каналу. Отже, при використовуванні цього способу зв’язку виділяються три етапи: встановлення каналу, обмін даними, роз’єднання каналу.

Зв’язок зі встановленням логічного каналу застосовується у віртуальних мережах, де використовуються протоколи інформаційного обміну типу віртуального з’єднання. До них відносяться протоколи:

65

управління передачею TCP, послідовних пакетів SPP, транзакції АТР і т. ін. Віртуальний зв’язок часто використовується в глобальних мережах [20].

При передачі по віртуальному каналу довгих повідомлень вони розбиваються на однакові частини (пакети), які відправляються в канал у порядку їх розміщення в повідомленні. Це позбавляє від необхідності забезпечувати кожен пакет службовою інформацією в повному обсязі, з тим щоб перетворити його на незалежну одиницю передачі інформації, як це має місце в дейтаграмних мережах. Крім того, передача пакетів в їх природній послідовності, визначеній порядком розміщення в повідомленні, істотно полегшує задачу формування первинного повідомлення з пакетів, що приймаються, на приймальному пункті.

Перший з розглянутих способів організації обміну даними в мережах відрізняється простотою в реалізації і порівняно невеликими накладними витратами. При малій завантаженості ліній зв’язку мережі він дозволяє істотно скоротити час на передачу довгого повідомлення. Крім того, він зручний при розсилці інформації за багатьма адресами.

У завантажених мережах реалізація такого способу може привести до значних затримок пакетів в проміжних вузлах зв’язку і навіть до втрати окремих пакетів, що негативно відображається на надійності доставки інформації адресатам.

Другий спосіб, навпаки, характеризується високими накладними витратами, проте він надає абонентам істотно великі зручності, забезпечує необхідну оперативність в обміні даними (в ідеальному випадку переповнювання з’єднань в проміжних вузлах зв’язку повністю виключається) і гарантовану надійність доставки інформації абонентам.

Таким чином, кожний з режимів зв’язку має свої особливості, а значить, і області застосування.

Режим «із з’єднанням» доцільно використовувати для тих застосувань, де взаємодія має довготривалий характер, конфігурація взаємодіючих об’єктів постійна, а потік даних не має великих пауз.

Режим «без з’єднання» більше підходить там, де взаємодія має короткочасний характер, при якому обсяг переданих даних невеликий, а інтервали між передачами значні (щодо швидкості передачі). Крім того, його доцільно використовувати в системах з підвищеними вимогами до надійності доставки даних адресату, оскільки ці вимоги можна задовольнити шляхом тиражування даних і передачі адресату по різних маршрутах.

66

Рис. 2.6. Структура системи управління процесами моделі ISO/OSI

Протоколи обміну даними, або протоколи верхнього рівня (вірніше, середнього, оскільки вони виконуються на 4-5 у рівнях моделі), служать, як говорить сама назва, для управління обміном даних. Незалежно від внутрішньої конструкції кожного конкретного протоколу верхнього рівня для них характерна наявність загальних функцій: ініціалізація зв’язку, передача і прийом даних, завершення обміну. Кожен протокол має засоби для ідентифікації будь-якої робочої станції мережі по імені, мережній адресі або по обох цих атрибутах. Активізація обміну інформацією між взаємодіючими вузлами починається після ідентифікації вузла адресата вузлом, що ініціює обмін даними.

Ініціююча станція встановлює один з методів організації обміну даними: метод дейтаграм або метод сеансів зв’язку. Протокол надає засоби для прийому/передачі повідомлень адресатом і джерелом. При цьому звичайно накладаються обмеження на довжину повідомлень.

Останніми роками все виразніше реалізується тенденція переходу на цифрові канали зв’язку. Обсяги і масштаби робіт в цьому напрямі безперервно збільшуються. Цифрові мережі інтегрального обслуговування

(ISDN – Integrated Services Digital Network) розглядаються, як найближче майбутнє мереж загального користування.

Принципи адресації в інформаційних мережах. IP адреси. Ще одним завданням, яке потрібно враховувати при використанні інформаційно-комунікаційних мереж, є завдання адресації. На практиці зазвичай використовується відразу кілька схем адресації.

Найбільшого поширення набули три схеми адресації вузлів інформаційних мереж:

67

–Апаратні адреси. Ці адреси призначено для мережі невеликого або середнього розміру, тому вони не мають ієрархічної структури. Типовим представником адреси такого типу є адреса мережного адаптера локальної мережі. Така адреса зазвичай використовується тільки апаратурою, тому її намагаються зробити по змозі компактною і записують у вигляді двійкового або шістнадцяткового значення. У літературі такі адреси називають МАС-адресами.

–Символьні адреси, або імена. Ці адреси призначено для запам’ятовування користувачем і тому зазвичай мають смислове значення. Символьні адреси легко використовувати як у невеликих, так і у глобальних мережах. Для роботи у великих мережах символьне ім’я може мати складну ієрархічну структуру, наприклад cisco.netacad.net.

–Числові складені адреси. Символьні імена зручні для користувача, але через змінний формат і потенційно велику довжину їх передача по мережі не дуже економічно. Тому часто для роботи у великих мережах як адреси вузлів використовують числові складені адреси фіксованого і компактного форматів. Типовими представниками адрес цього типу є IP адреси. У них підтримується дворівнева ієрархія; адреса поділяється на старшу частину – номер мережі і молодшу – номер вузла.

Для того, щоб мережний рівень міг виконати своє завдання, йому необхідна власна система адресації, що не залежить від способів адресації вузлів в окремих підмережах. Така система адресації, що дала б змогу на мережному рівні в універсальний і однозначний спосіб ідентифікувати будь-який вузол складеної мережі. Природним способом формування мережної адреси є унікальна нумерація всіх підмереж основної мережі та нумерація всіх вузлів у межах кожної підмережі [19].

Таким чином, мережна адреса являє собою пару: номер мережі (підмережі) і номер вузла.

Номером вузла може бути або локальна адреса цього вузла, або деяке число, не пов'язане з локальною технологією, що однозначно ідентифікує вузол у межах даної підмережі.

У першому випадку мережна адреса стає залежною від локальних технологій і це обмежує її застосування.

Другий підхід більш універсальний. Але в обох випадках кожний вузол складеної мережі має, поряд зі своєю локальною адресою, ще одну універсальну мережну адресу.

Дані, які надходять на мережний рівень і які необхідно передати через основну мережу, забезпечуються заголовком мережного рівня. Дані разом із заголовком утворюють пакет. Заголовок пакета мережного рівня має уніфікований формат, що не залежить від форматів кадрів канального рівня тих мереж, які можуть входити в об'єднану мережу, і несе, поряд з іншою службовою інформацією, дані про номер тієї мережі, якій призначається цей пакет.

При передачі пакета з однієї підмережі в іншу пакет мережного рівня, інкапсульований у отриманий канальний кадр першої підмережі,

68

звільняється від заголовків цього кадру й оточується заголовками кадру канального рівня наступної підмережі. Інформацією, на основі якої виконується ця заміна, є службові поля пакета мережного рівня.

Отже, мережний рівень використовує власну адресацію, що забезпечує кожному вузлу підмережі основної мережі свою універсальну мережну адресу, що складається з номера мережі й номера вузла. Завдяки такій системі адресації мережний рівень може пересилати інформацію до вузла одержувачеві, «не звертаючи уваги» на внутрішню структуру підмереж, а водночас для безпосереднього проходження пакетів до адресата цей рівень використовує технологію передачі даних конкретної підмережі, через яку йдуть ці пакети.

Основний тип адрес мережного рівня – IP адреса. IP адреса поділяється на дві частини: номер мережі та номер вузла.

IP адреса має довжину 4 байти, це дає в сукупності 32 біти доступної інформації. 32-бітова розрядність IP адреси приводить до того, що числа виходять більшими, навіть якщо їх подано в десятковій формі числення. IP адреса записується у вигляді чотирьох чисел, розділених крапками.

Для того щоб більш раціонально визначитися з розміром мережі й при цьому розмежувати частини IP адреси, що стосуються номера мережі та номера вузла, використовується система класів. Система класів використовує значення перших бітів адреси.

Значення перших бітів адреси є ознакою того, до якого класу належить та чи інша IP адреса (рис. 2.7). Якщо адреса починається з 0, то мережу відносять до класу А. Номер мережі класу А займає один байт, решта 3 байти виділяються для номерів вузла в цій мережі. Таким чином, мережі класу А мають номери в діапазоні від 1 до 122. (Номер 0 не використовується, а номер 127 зарезервовано для спеціальних цілей.). Якщо перші два біти адреси дорівнюють 10, то мережа належить класу В (тобто якщо перший октет IP адреси перебуває в діапазоні від 128 до 191).

Якщо адреса починається з послідовності 110, то це мережа класу С (тобто якщо значення першого октету в IP адресі перебуває в діапазоні від 192 до 223). У цьому разі під номер мережі виділяється 24 біти, а під номер вузла – 8 біт. Мережі класу С мають невелику (28, тобто 256) кількість вузлів. Слід зазначити, що саме мережі класу С найпоширеніші.

69

Рис. 2.7. Класи ІР адрес

Якщо адреса починається з послідовності 1110, то вона є адресою класу D і позначає особливу, групову адресу – multicast. Якщо в пакеті як адресу призначення зазначено адресу класу D, то такий пакет мають отримати всі вузли, яким присвоєно цю адресу.

Якщо адреса починається з послідовності 11110, то це означає, що ця адреса належить до класу Е. Адреси цього класу зарезервовано для майбутніх застосувань.

Діапазони номерів мереж і максимальна кількість вузлів відповідають кожному класу мереж (табл. 2.1).

Таким чином, можна однозначно визначити, що більші мережі одержують адреси класу А, середні – класу В, а малі – класу С.

того, до якого класу (А, В, С) належить адреса мережі може бути подано першими 8,16 або 24, а номер хоста – останніми 24, 16 або 8 розрядами.

Діапазон значень першого байта для перших трьох класів мереж (табл.

2.2).