Компьютерные сети как объекты защиты информации

Лекция 2.

Специфика возникновения угроз в открытых сетях

Компьютерные сети как объекты защиты информации.

Основной задачей, решаемой при создании компьютерных сетей, явля­ется обеспечение совместимости оборудования по электрическим и
механическим характеристикам и обеспечение совместимости инфор­мационного обеспечения (программ и данных) по системе кодирова­ния и формату данных. Решение этой задачи относится к области стан­дартизации и основано на так называемой модели OSI (модель взаимо­действия открытых систем Model of Open System Interconnections). Она
создана на основе технических предложений Международного института стандартов ISO (International Standards Organization).

Модель взаимосвязи открытых систем состоит из 7 уровней взаимодействия компонентов сети компьютерной системы. На Рис. 6. 1 модель процесса взаимодействия двух субъектов компьютерной системы в режиме передачи данных от субъекта системы А к субъекту В. Непосредственно данные передаются на передающем конце с 7-го до 1-го уровня. На приемном конце данные передаются с 1-го до 7-го уровня. На передающей стороне на каждом из уровне к передаваемым данным добавляется информация о соотвествующем уровне, а на приемной стороне извлекается информации соответствующего уровня. Таким образом уровни с 7-го по 2-й образуют логический канал связи, а 1-й образует физический канал связи. Физический канал связи представляет собой физическую среду передачи сигналов (кабель, радиоканал, световой и др.).

Модель взаимосвязи открытых систем определется следующей иерархией.

· 7 уровень – прикладной. Этот, высший уровень в иерархии, обеспечивает поддержку прикладных процессов конечных пользователей. Он содержит все необходимые элементы сервиса для прикладных программ пользователя. На этом уровне пользователь имеет свои прикладные программы, где может делать всё, что ему необходимо, но руководствуется некоторыми установленными правилами при обменах с другим пользователем сети, т.е. выполнять соответствующие протоколы.

· 6 уровень – представительный обеспечивает преобразование данных пользователя к форматам, принятым в данной системе; преобразует символьные строки и коды и организует файлы с целью обеспечения независимости прикладных программ от форм передачи и получения.

· 5 уровень – сеансовый обеспечивает установление и поддержку сеансов связи между абонентами при обмене данными, организует двунаправленный обмен данными с размещением во времени, начало и окончание заданий, восстановление связи после ошибок, связанных с отказом канала и отказом сети взаимодействия, восстанавливается или повторно устанавливается соединение.

· 4 уровень – транспортный обеспечивает управление соединением между различными абонентами, т.е. адресацию конечных абонентов, а также разборку и сборку сообщений, сохранность блоков данных, доставку данных от узла к конкретному адресату, приписанному к узлу и наоборот, выбирает маршрут пересылки данных в сеть. Таким образом, транспортный уровень предоставляет услуги сеансовому уровню. Граница между этими уровнями – это граница между владельцем сети и пользователем.

Три верхних уровня является прикладным процессом. Четвертый уровень обеспечивает взаимодействие между прикладными процессами, устанавливая между ними логические каналы и обеспечивая передачу по этим каналам информационных пакетов (группу байтов, передаваемых абонентами сети друг другу), которыми обмениваются процессы. Отметим, что столь популярный сегодня Internet - это транспортный уровень. Логические каналы, устанавливаемые транспортным уровнем, называются транспортными каналами.

· 3 уровень – сетевой, обеспечивает интерфейс оконечного оборудования данных с сетью коммутации пакетов, маршрутизацию пакетов в коммуникационной сети, межсетевое взаимодействие. Сетевой уровень обеспечивает функции ретрансляции, в соответствии с которыми данные направляются по маршруту в нужном направлении через устройства пакетной коммутации, т.е. к нужным узлам в соответствии с маршрутными таблицами.

· 2 уровень – канальный обеспечивает процесс передачи данных по информационному каналу. Информационный канал это канал логический, который устанавливается между устройствами соединенными физическим каналом. Канальный уровень обеспечивает управление потоком данных в виде кадров, обнаруживает ошибки передачи, реализует алгоритмы восстановления информации в случае обнаружения сбоев или потерь данных. Второй уровень разбивается на два подуровня: LLC (Logical Link Control), обеспечивающий управление логическим звеном данных, и МАС (Media Access Control), обеспечивающий управление доступом к среде. Второй подуровень поддерживает метод, обеспечивающий выполнение совокупности правил, по которым узлы сети получают доступ к информационному ресурсу.

· 1 уровень – физический, обеспечивает механические, электрические, функциональные и процедурные средства для осуществления физических соединений, их поддержания и разъединения. Среда распространения сигналов является также физическим уровнем.

Рис. 6. 1. Модель взаимодействия уровней связи OSI открытых систем

 

Для обеспечения необходимой совместимости на каждом из семи возможных уровней архитектуры компьютерной сети действуют специ­альные стандарты, называемые протоколами. Они определяют характер аппаратного взаимодействия компонентов сети (аппаратные протоколы) и характер взаимодействия программ и данных (программные протоко­лы). Физически функции поддержки протоколов исполняют аппаратные устройства (интерфейсы) и программные средства (программы под­держки протоколов). Программы, выполняющие поддержку протоколов, также называют протоколами. Так, например, если два компьютера со­единены между собой прямым соединением, то на низшем (физическом) уровне протокол их взаимодействия определяют конкретные устройства физического порта (параллельного или последовательного) и механиче­ские компоненты (разъемы, кабель и т. п.). На более высоком уровне взаимодействие между компьютерами определяют программные средст­ва, управляющие передачей данных через порты. Для стандартных пор­тов они находятся в базовой системе ввода/вывода (BIOS). На самом вы­соком уровне протокол взаимодействия обеспечивают приложения опе­рационной системы. Например, для Windows это стандартная программа Прямое кабельное соединение.

В соответствии с используемыми протоколами компьютерные се­ти принято разделять на локальные (LAN — Local Area Network) и гло­бальные (WAN — Wide Area Network). Компьютеры локальной сети преимущественно используют единый комплект протоколов для всех участников. По территориальному признаку локальные сети отличаются компактностью. Они могут объединять компьютеры одного помещения, этажа, здания, группы компактно расположенных сооружений. Гло­бальные сети имеют, как правило, увеличенные географические разме­ры. Они могут объединять как отдельные компьютеры, так и отдельные локальные сети, в том числе и использующие различные протоколы.

Локальная вычислительная сеть представляет собой группу компьютеров, сопряженных друг с другом линиями связи и размещенных в пределах несколько компактно расположенных зданий на ограниченной территории, принадлежащей одной организации.

Локальная сеть может быть разделена на отдельные сегменты. Под каждым сетевым сегментом понимается часть локальной сети, за пределы которой распространяются только те пакеты сообщений, которые адресованы не входящим в этот сегмент компьютерам. В пределах сегмента локальной сети реализуется метод множественного доступа, когда отправляемый компьютером сегмента пакет сообщения доставляется всем остальным компьютерам в этом сегменте, а принимается только тем компьютером, которому он адресован. Остальные компьютеры этот пакет сообщения в штатном режиме работы должны игнорировать.

Разделение локальной сети на сегменты улучшает ее производительность, сокращая трафик. Это связано с тем, что пакеты отдельных компьютеров сегмента, адресат которых находится в этом же сегменте, не распространяются по всей сети. Однако следует учитывать, что улучшение производительности локальной сети путем ее разбиения на сегменты будет обеспечено только в том случае, если выделенные сегменты соответствуют рабочим группам, в пределах которых осуществляется интенсивный обмен информацией. При отсутствии разделения локальной сети на сегменты, считается, что данная сеть состоит из одного сетевого сегмента.

Корпоративная, региональная, глобальная сеть объединяет с помощью каналов связи территориально распределенные локальные сети. В качестве основного признака корпоративной сети выступает принадлежность к одной организации, региональной – охват какого-либо региона, например одного города, глобальной – охват территориальных областей, например стран и континентов. Большая региональная сеть может объединять более мелкие региональные и корпоративные сети, глобальная – любые виды компьютерных сетей.

Для наращивания, а также интеграции компьютерных сетей используются различные типы аппаратно-программных устройств:

- Повторители – позволяют увеличивать размер сетевого сегмента за счет усиления и разветвления электрического сигнала, функционируют на физическом уровне модели OSI (рисунок 1). Повторители относятся к прозрачным и неадресуемым сетевым устройствам. Помимо усиления и разветвления электрического сигнала повторители обеспечивают выполнение функций обработки ошибок и восстановления сигналов. Если сигналы являются искаженными/зашумленными, но все же различимыми для повторителя, то перед ретрансляцией другим портам повторитель эти сигналы восстанавливает. В случае, если на какой-либо порт повторителя поступают ошибочные сигналы, то повторитель блокирует их дальнейшее распространение. В настоящее время с целью обеспечения безопасного использования сетевых адресов физического уровня, называемые МАС- адресами (МАС – Media Access Control), начинают применяться повторители, расширяющие сферу своего влияния и на канальный уровень. МАС – адрес, состоящий обычно из 48 бит, уникален для каждого узла локальной сети и присваивается сетевому адаптеру во время его изготовления. Все сетевые адаптеры имеют различные МАС – адреса. Исключение является только локальная сеть ArcNet, адаптеры которой имеют 8-битовые адреса, присваиваемые сетевым администратором.

Рисунок 1. Уровня модели сетевого взаимодействия с повторителями, мостами, маршрутизаторами, шлюзами

- Мосты и коммутаторы предназначены для разбиения локальной сети на сегменты, а также для объединения полученных сегментов и небольших локальных сетей и работают на канальном уровне модели OSI (рисунок 1). Объединяемые сегменты и локальные сети должны функционировать по одинаковым протоколам среднего и высокого уровней эталонной модели (с сетевого по прикладной уровень). Протоколы канального и физического уровней могут отличаться. Соответственно мосты и коммутаторы обеспечивают объединение сегментов и локальных сетей с разной топологией, например Ethernet и Token Ring. Отдельные мосты и коммутаторы, например маршрутизирующий мост, помимо своих функций поддерживают некоторые функции сетевого уровня для оптимизации передачи данных. Современные коммутаторы позволяют объединять сегменты и локальные сети с различными протоколами не только физического и канального уровней, но и сетевого уровня, например с протоколами IP и IPX. Современные коммутаторы также выполняют функции повторителей.

Мосты имеют достаточно простую архитектуру и представляют собой специализированный компьютер с двумя или более сетевыми адаптерами. Объединяемые сегменты локальной сети присоединяются к портам моста, в качестве которых выступают сетевые адаптеры (рисунок 2). Каждый сетевой сегмент присоединяется к сетевому адаптеру, тип которого совпадает с типом этого сегмента. Мост чаще всего имеет от двух до четырех портов.

Любой пакет, отправленный компьютером какого-либо сегмента сети, приходит в порт моста, к которому этот сегмент подключен. Если получатель данного пакета находится в другом сегменте сети, то мост направляет этот пакет в порт, к которому подсоединен сегмент с получателем. Этот процесс называется ретрансляцией. Пакет ретранслирован означает, что он получен одним портом моста и передан через другой. В случае когда принятый портом моста пакет имеет адрес получателя, находящегося в пределах присоединенного к этому мосту сегмента, данный пакет не ретранслируется. Этот процесс называется фильтрацией. Пакет отфильтрован – значит, он получен одним портом моста и не ретранслирован другим. Принятие мостом решения о том, ретранслировать полученный пакет или отфильтровать, основано на запоминании МАС – адресов компьютеров, входящих в присоединенные к портам моста сегменты. Данные адреса хранятся в памяти моста в виде таблицы, ставящей в соответствии МАС – адресу каждого компьютера номер порта, к которому подсоединен сегмент с этим компьютером. Заполнение таблицы адресов мост осуществляет сам.

Функции моста может выполнять и обычный подсоединенный к сети компьютер со специальным программным обеспечением и несколькими сетевыми адаптерами, каждый из которых предназначен для одного из связываемых сегментов сети. Если в качестве моста используется сервер, то такой мост называют внутренним, а если рабочая станция – внешним. При использовании в качестве моста рабочей станции, эту станцию не следует применять для других функций, так как любой отказ запущенной на ней пользовательской программы может привести к нарушению информационного обмена в сети.

Рисунок 2. Схема подключения сегментов локальной сети к мосту

- маршрутизаторы служат для подключения к глобальным сетям, а также для объединения локальных сетей и их больших частей и функционируют на сетевом уровне модели OSI (рисунок 1). Маршрутизатор, как и мост, представляет собой специализированный компьютер с двумя или более портами. Отдельные интеллектуальные маршрутизаторы, поддерживающие усовершенствованные функции фильтрации пакетов сообщений, могут обрабатывать пакеты транспортного уровня. В отличие от мостов и коммутаторов, маршрутизаторы обеспечивают поиск оптимального маршрута при передачи пакетов сообщений между сегментами сети и локальными сетями. Мосты и коммутаторы не реализуют функцию выбора оптимального маршрута, а лишь пересылают пакеты сообщений из одного сегмента локальной сети в другой или из одной локальной сети в другую. Существуют также комбинированные сетевые устройства типа мост/маршрутизатор, которые в нормальном режиме работают как многопротокольные маршрутизаторы, а при получении пакета с неизвестным сетевым протоколом обрабатывают его как мост.

- шлюзы (специализированные компьютеры) выполняют функции маршрутизации и предназначены для объединения компьютерных сетей, функционирующих по несовместимым протоколам информационного взаимодействия. Если локальные сети построены по протоколам, отличающимся не только на физическом, канальном и сетевом уровнях модели OSI, но и на более высоких уровнях, то для объединения таких сетей или сегментов сети должны использоваться шлюзы. Шлюзы обычно работают на прикладном уровне модели OSI, обеспечивая маршрутизацию передаваемой информации и протокольное преобразование для всех уровней модели сетевого взаимодействия. Например, шлюзы необходимы для подсоединения к современным локальным сетям устаревших ЭВМ. Обычно шлюзы позволяют пользователям объединенных систем воспользоваться такими сервисами, как электронная почта, пересылка файлов и доступ к базе данным.

В современных сетях сегменты локальной сети соединяются с мостом, коммутатором или маршрутизатором только через повторители (рисунок 3).

- концентраторы предназначены для связывания нескольких устройств между собой. В некоторых сетях при кольцеобразной и звездообразной топологии, концентраторы выполняют функцию повторителей. Такие концентраторы называются активными или их еще называют хабы, объединяющие группы компьютеров в сетевом сегменте. Также активные концентраторы реализуют функции усиления сигнала. Пассивные концентраторы реализуют только функции разветвления. Соответственно к активным концентраторам может быть подсоединено большее количество компьютеров, например 16 или 32, а кабельные соединения могут иметь большую длину, например от 45 до 200 м в зависимости от кабеля. Пассивный концентратор используется в дополнение к активному и обеспечивает подключение только нескольких компьютеров, например трех. При этом максимально возможная длина кабеля не должна превышать нескольких метров. Кроме того, в активных концентраторах все имеющиеся порты являются и входными и выходными.

Рисунок 3. Схема подключения сетевых сегментов