- •Оглавление
- •От авторов
- •1. Основы сетей передачи данных
- •1. Эволюция компьютерных сетей
- •Два корня компьютерных сетей
- •Первые компьютерные сети
- •Конвергенция сетей
- •2. Общие принципы построения сетей
- •Простейшая сеть из двух компьютеров
- •Сетевое программное обеспечение
- •Физическая передача данных по линиям связи
- •Проблемы связи нескольких компьютеров
- •Обобщенная задача коммутации
- •Выводы
- •Вопросы и задания
- •3. Коммутация каналов и пакетов
- •Коммутация каналов
- •Коммутация пакетов
- •Выводы
- •Вопросы и задания
- •4. Архитектура и стандартизация сетей
- •Декомпозиция задачи сетевого взаимодействия
- •Модель OSI
- •Стандартизация сетей
- •Информационные и транспортные услуги
- •Выводы
- •Вопросы и задания
- •5. Примеры сетей
- •Обобщенная структура телекоммуникационной сети
- •Корпоративные сети
- •Интернет
- •Выводы
- •Вопросы и задания
- •6. Сетевые характеристики
- •Типы характеристик
- •Производительность
- •Надежность
- •Характеристики сети поставщика услуг
- •Выводы
- •Вопросы и задания
- •7. Методы обеспечения качества обслуживания
- •Обзор методов обеспечения качества обслуживания
- •Анализ очередей
- •Техника управления очередями
- •Механизмы кондиционирования трафика
- •Обратная связь
- •Резервирование ресурсов
- •Инжиниринг трафика
- •Работа в недогруженном режиме
- •Выводы
- •Вопросы и задания
- •2. Технологии физического уровня
- •8. Линии связи
- •Классификация линий связи
- •Типы кабелей
- •Выводы
- •Вопросы и задания
- •9. Кодирование и мультиплексирование данных
- •Модуляция
- •Дискретизация аналоговых сигналов
- •Методы кодирования
- •Мультиплексирование и коммутация
- •Выводы
- •Вопросы и задания
- •10. Беспроводная передача данных
- •Беспроводная среда передачи
- •Беспроводные системы
- •Технология широкополосного сигнала
- •Выводы
- •Вопросы и задания
- •11. Первичные сети
- •Сети PDH
- •Сети SONET/SDH
- •Сети DWDM
- •Сети OTN
- •Выводы
- •Вопросы и задания
- •3. Локальные вычислительные сети
- •Общая характеристика протоколов локальных сетей на разделяемой среде
- •Ethernet со скоростью 10 Мбит/с на разделяемой среде
- •Технологии Token Ring и FDDI
- •Беспроводные локальные сети IEEE 802.11
- •Выводы
- •Вопросы и задания
- •13. Коммутируемые сети Ethernet
- •Мост как предшественник и функциональный аналог коммутатора
- •Коммутаторы
- •Скоростные версии Ethernet
- •Архитектура коммутаторов
- •Выводы
- •Вопросы и задания
- •14. Интеллектуальные функции коммутаторов
- •Алгоритм покрывающего дерева
- •Агрегирование линий связи в локальных сетях
- •Фильтрация трафика
- •Виртуальные локальные сети
- •Ограничения коммутаторов
- •Выводы
- •Вопросы и задания
- •4. Сети TCP/IP
- •15. Адресация в стеке протоколов TCP/IP
- •Стек протоколов TCP/IP
- •Формат IP-адреса
- •Система DNS
- •Протокол DHCP
- •Выводы
- •Вопросы и задания
- •16. Протокол межсетевого взаимодействия
- •Схема IP-маршрутизации
- •Маршрутизация с использованием масок
- •Фрагментация IP-пакетов
- •Выводы
- •Вопросы и задания
- •17. Базовые протоколы TCP/IP
- •Протоколы транспортного уровня TCP и UDP
- •Общие свойства и классификация протоколов маршрутизации
- •Протокол RIP
- •Протокол OSPF
- •Маршрутизация в неоднородных сетях
- •Протокол BGP
- •Протокол ICMP
- •Выводы
- •Вопросы и задания
- •Фильтрация
- •Стандарты QoS в IP-сетях
- •Трансляция сетевых адресов
- •Групповое вещание
- •IPv6 как развитие стека TCP/IP
- •Маршрутизаторы
- •Выводы
- •Вопросы и задания
- •5. Технологии глобальных сетей
- •19. Транспортные услуги и технологии глобальных сетей
- •Базовые понятия
- •Технология Frame Relay
- •Технология ATM
- •Виртуальные частные сети
- •IP в глобальных сетях
- •Выводы
- •Вопросы и задания
- •20. Технология MPLS
- •Базовые принципы и механизмы MPLS
- •Протокол LDP
- •Мониторинг состояния путей LSP
- •Инжиниринг трафика в MPLS
- •Отказоустойчивость путей MPLS
- •Выводы
- •Вопросы и задания
- •21. Ethernet операторского класса
- •Обзор версий Ethernet операторского класса
- •Технология EoMPLS
- •Ethernet поверх Ethernet
- •Выводы
- •Вопросы и задания
- •22. Удаленный доступ
- •Схемы удаленного доступа
- •Коммутируемый аналоговый доступ
- •Коммутируемый доступ через сеть ISDN
- •Технология ADSL
- •Беспроводной доступ
- •Выводы
- •Вопросы и задания
- •23. Сетевые службы
- •Электронная почта
- •Веб-служба
- •IP-телефония
- •Протокол передачи файлов
- •Выводы
- •Вопросы и задания
- •24. Сетевая безопасность
- •Типы и примеры атак
- •Шифрование
- •Антивирусная защита
- •Сетевые экраны
- •Прокси-серверы
- •Протоколы защищенного канала. IPsec
- •Сети VPN на основе шифрования
- •Выводы
- •Вопросы и задания
- •Ответы на вопросы
- •Алфавитный указатель
900 |
Глава 24. Сетевая безопасность |
|
SPI, и дальнейшая обработка пакета выполняется с учетом всех параметров заданной |
||
этим указателем ассоциации. |
|
|
['Таким образом, для распознавания пакетов, относящихся к разным безопасным ассоциациям, |
| |
|
используются: |
|
|
0 наузле-отправителе— селектор; |
|
; |
□ наузле-получателе — индекс параметров безопасности (SPI). |
j |
После дешифрирования пакета приемный узел IPSec проверяет его признаки (ставшие теперь доступными) на предмет совпадения с селектором записи SPD для входящего трафика, чтобы убедиться, что ошибки не произошло и выполняемая обработка пакета соответствует политике защиты, заданной администратором.
Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм безопасных ассоциаций, который предусматривает установление логического соединения, с дейтаграммным характером трафика протокола IP.
Сети VPN на основе шифрования
Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (например, частные 1Р-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.
В соответствии с технологиями обеспечения безопасности данных, сети VPN делятся на два класса:
□сети VPNна основе разграничения трафика подробно обсуждались в разделе «Вирту альные частные сети» главы 19;
□сети VPNна основе шифрования работают на основе рассмотренной нами в предыдущем разделе техники защищенных каналов.
чаяниясегтіг
защищенных кйналоа» созванных
^# О И К ;^ Д Й аЛ О ^ .і .....................
То есть в VPN техника защищенных каналов применяется уже в других масштабах, связы вая не двух пользователей, а произвольное количество клиентских сетей.
Технологии VPN на основе шифрования включают шифрование, аутентификацию и тун нелирование.
□Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть.
Сети VPN на основе шифрования |
901 |
□Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были уверены в идентичности друг друга.
□Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети.
Для повышения уровня защищенности виртуальных частных сетей технологии VPN на основе шифрования можно применять совместно с технологиями VPN на основе раз граничения трафика. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действитель но, такая вероятность существует, поэтому клиент услуг VPN на основе разграничения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных.
Сейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL.
Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух ІР-адресов —внешнего и вну треннего.
Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуаль ные частные сети, в которых клиент самостоятельно создает туннели IPSec через 1Р-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети постав щика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) —туннели в них также строятся на базе устройств клиента (СЕbased), но эти устройства удаленно конфигурируются и администрируются поставщи ком услуг.
Пропускная способность каналов и другие параметры QoS этой технологией не поддер живаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.
В самое последнее время выросла популярность VPN на основе протокола SSL. Напом ним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использую щим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HT T P S Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п.
Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локаль ной сети организации. Пользователи такой защищенной службы VPN получают удаленный
902 |
Глава 24. Сетевая безопасность |
доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального кли ентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.
Выводы
Информационная система находится в состоянии защищенности, если обеспечены ее конфиденци альность, доступность и целостность.
Информационная безопасность обеспечивается техническими средствами — системами шифро вания, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами идр., а также юридическими и морально-этическими нормами, просветительной работой иадминистра тивными мерами.
Существуетдва классаалгоритмов шифрования —симметричные (например, DES) иасимметричные (например, AFS). Дайджест —это результатодносторонней функции шифрования. Знаниедайджеста не позволяет и даже не предполагает восстановления исходныхданных. Дайджест используетсядля контроля целостности и аутентичности документа (цифровая подпись).
Аутентификация пользователя —это процедурадоказательства пользователем того, чтоон естьтот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого се крета (многоразовые иодноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза).
Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.
Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней исполь зуются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительныхдействий).
Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между нимитрафика. Сетевые экраныделятся на экраны с фильтрацией пакетов на основе ІР-адресов, сетевые экраны сеансового уровня, способные фильтроватьпакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.
Прокси-сервер —это особый тип приложения, которое выполняет функции посредника между кли ентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.
Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:
□ взаимная аутентификация абонентов при установлении соединения;
□шифрование передаваемых по каналу сообщений;
Оподтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.
К числу наиболее попул^доых протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляюттри протокола:
□АН гарантирует целостность иаутентичностьданных;
□ESP, кроме того, обеспечивает конфиденциальностьданных;
□IKEрешает задачуавтоматического распределения секретных ключей, необходимыхдля работы протоколов аутентификации.
Вопросы и задания |
903 |
Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальныемастные сети (VPN). VPN наоснове шифрования включают шифрование, которое гаран тирует конфиденциальность корпоративныхданныхпри передаче через открытуюсеть, аутентифика цию взаимодействующих систем на обоих концахVPN итуннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.
Вопросы и задания
1.В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:
а) аутентификация и авторизация; б) антивирусные системы; в) защищенный канал;
г) сетевой экран прикладного уровня; д) фильтрующий маршрутизатор; е) цифровая подпись.
2.Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Вари анты ответов:
а) сканирование сигнатур; б) метод контроля целостности;
в) отслеживание поведения команд; г) эмуляция тестируемых программ.
3.К числу базовых функций сетевого экрана относятся: а) аудит; б) шифрование трафика;
в) фильтрация трафика; г) антивирусная защита;
д) функция прокси-сервера; е) авторизация;
ж) повышение пропускной способности канала.
4.Существует ли угроза похищения пароля при использовании аппаратного ключа?
5.Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?
6.Что содержится в электронном сертификате? Варианты ответов: а) секретный ключ владельца данного сертификата; б) данные о владельце сертификата;
в) информация о сертифицирующем центре, выпустившем данный сертификат; г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся
всертификате.
904 |
Глава 24. Сетевая безопасность |
7.Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних
пользователей. Как вы думаете, почему? |
' |
8.Какие из следующих утверждений верны:
а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;
б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;
в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.
9.Почему в семействе протоколов IPSec функции обеспечения целостности и аутентич ности данных дублируются в двух протоколах —АН и ESP?
10.Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.
Хост-хост |
Шлюз-шлюз |
Хост-шлюз |
Транспортный режим
Туннельный режим