Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст

Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст




Сторінка8/18
Дата конвертації12.05.2017
Розмір1.43 Mb.
ТипЗвіт
1   ...   4   5   6   7   8   9   10   11   ...   18

3.3 Стандартні стеки комунікаційних протоколів

3.3.1 Модель і стек протоколів OSI


Методологічною основою стандартизації в комп'ютерних системах є багаторівневий підхід до розробки засобів мережевої взаємодії. Саме на цьому підході базується стандартна модель взаємодії відкритих систем OSI (Open System Interconnection).
Станда́ртна моде́ль у фізиці елементарних частинок - теоретична конструкція, що описує електромагнітну, слабку і сильну взаємодію всіх елементарних частинок. Стандартна модель не є теорією всього, так як не описує темну матерію, темну енергію і не включає в себе гравітацію.
Вона була створена на початку 80-х років на основі технічних пропозицій Міжнародного інституту стандартів ISO і зіграла важливу роль в розвитку комп'ютерних мереж.

Модель OSI визначає різні рівні взаємодії систем, дає їм стандартні імена і вказує, які функції повинен виконувати кожен рівень. Модель ISO/OSI була розроблена на основі великого практичного досвіду, одержаного при створенні комп'ютерних мереж, в основному глобальних, в 70-і роки.

У моделі OSI (рис.1) засоби взаємодії діляться на сім рівнів: прикладний, представницький, сеансовий, транспортний, мережевий., канальний і фізичний.


Рисунок 1. Модель OSI


Самий верхній рівень – прикладний. На даному етапі користувач взаємодіє з обчислювальною системою. Самий нижній рівень – фізичний – забезпечує обмін сигналами між пристроями.

Обмін даними в системах зв'язку відбувається шляхом переміщення даних із верхнього рівня на нижній, потім транспортування по лініях зв'язку і, нарешті, зворотного відтворення даних в комп'ютері клієнта в результаті їх переміщення з нижнього рівня на верхній.

Для забезпечення необхідної сумісності на кожному з семи рівнів архітектури комп'ютерної мережі діють спеціальні протоколи. Вони є формалізованими правилами, що визначають послідовність і формат повідомлень, якими обмінюються мережеві компоненти, що лежать на одному рівні, але в різних вузлах мережі.

Ієрархічно організований набір протоколів, достатній для забезпечення взаємодії вузлів в мережі, називається стеком комунікаційних протоколів, Слід чітко розрізняти модель OSI і стек протоколів OSI. Модель OSI є концептуальною схемою взаємодії відкритих систем, а стек протоколів OSI є набором цілком конкретних специфікацій протоколів для семи рівнів взаємодії, які визначені в моделі OSІ.

Комунікаційні протоколи можуть бути реалізовані як програмно, так і апаратно. Протоколи нижніх рівнів часто реалізуються комбінацією програмних і апаратних засобів, а протоколи верхніх рівнів – як правило, чисто програмними засобами.

Модулі, що реалізовують протоколи сусідніх рівнів мережі, що знаходяться в одному вузлі, повинні взаємодіяти один з одним також відповідно до чітко визначених правил і за допомогою стандартизованих форматів повідомлень. Ці правила прийнято називати міжрівневим інтерфейсом. Інтерфейс визначає набір сервісів, що надається даним рівнем сусідньому По суті, протокол і інтерфейс – близькі поняття, але традиційно в мережах за ними закріплені різні області дії: протоколи визначають правила взаємодії модулів одного рівня в різних вузлах мережі, а інтерфейси – правила взаємодії модулів сусідніх рівнів в одному вузлі.

Розглянемо, як в семирівневій моделі OSI проходить обмін даними між двома користувачами мережі, що знаходяться в різних місцях:


  1. На прикладному рівні за допомогою спеціальних додатків користувач створює документ (повідомлення, Рисунок і т.п.).

  2. На представницькому рівні операційна система його комп'ютера фіксує, де знаходяться створені дані (у оперативній пам'яті, у файлі на жорсткому диску і т.п.
    Прикладний рівень (англ. Application layer) - верхній (7-й) рівень моделі OSI, забезпечує взаємодію мережі й користувача. Саме на цьому рівні працюють всі прикладні програми, які використовують доступ до мережі, такі як оглядач веб-сторінок, електронна пошта, віддалений доступ до файлів та інші.
    Тверди́й диск або Тверди́й магні́тний диск, або Накопичувач на магнітних дисках (англ. Hard (magnetic) disk drive, англ. HDD), у комп'ютерному сленгу - «вінчестер» (від англ. winchester), - магнітний диск, основа якого виконана з твердого матеріалу.
    ), і забезпечує взаємодію з наступним рівнем.

  3. На сеансовому рівні комп'ютер користувача взаємодіє з локальною або глобальною мережею.
    Глоба́льна мере́жа - англ. Wide Area Network,(WAN)- комп'ютерна мережа, що охоплює величезні території (тобто будь-яка мережа, чиї комунікації поєднують цілі мегаполіси, області або навіть держави і містять у собі десятки, сотні а то і мільйони комп'ютерів).
    Протоколи цього рівня перевіряють права користувача «на вихід в ефір» і передають документ протоколам транспортного рівня.

  4. На транспортному рівні документ перетвориться в ту форму, в якій належить передавати дані у використовуваній мережі. Так, документ може бути поділений на невеликі пакети стандартного розміру.

  5. Мережевий рівень визначає маршрут руху даних в мережі. Наприклад, якщо на транспортному рівні дані були «нарізані» на пакети, то на мережевому рівні кожен пакет повинен одержати адресу, по якому він буде доставлений незалежно від інших.

  6. Канальний рівень необхідний для того, щоб промодулювати сигнали, циркулюючі на фізичному рівні, відповідно до даних, одержаних з мережевого рівня. У комп'ютері ці функції виконують мережева карта або модем.
    Фізичний шар (англ. physical layer) або Фізичний рівень - перший рівень мережевої моделі OSI, який визначає метод передачі даних, представлених у двійковому вигляді, від одного пристрою (комп'ютера) до іншого.
    Мережева плата, також відома як мережева карта, мережевий адаптер, Ethernet-адаптер, NIC (англ. network interface card) - периферійний пристрій, що дозволяє комп'ютеру взаємодіяти з іншими пристроями мережі.


  7. Реальна передача даних відбувається на фізичному рівні.
    Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.
    Тут немає ні документів, ні пакетів, ні навіть байтів – тільки біти, тобто елементарні одиниці представлення даних. Засоби фізичного рівня знаходяться за межами комп'ютера. У локальних мережах з використанням телефонних модемів це лінії телефонного зв'язку, комутаційне устаткування телефонних станцій і т. Ін.

На комп’ютері одержувача інформації відбувається зворотний процес перетворення від бітових сигналів до документа шляхом поступового переходу з нижнього на верхній рівень взаємодії.

3.3.2 Стек протоколів TCP/IP


В даний час стек TCP/IP є найпоширенішим засобом організації складних комп'ютерних мереж.

Стек протоколів TCP/IP був розроблений більше 20 років тому в США як набір протоколів мережевої взаємодії між вузлами складної комп'ютерної мережі.

Років тому - шкала часу, що широко використовується в археології, геології та інших науках для датування подій в минулому. Оскільки час відрахунку змінюється, стандартна практика пропонує використання 1950 року як еталонної точки «сучасності».
Рівнева модель стека протоколів TCP/IP представлена на рис.2.




Рисунок 2. Модель стека протоколів TCP/IP
Стек протоколів TCP/IP одержав свою назву по абревіатурі популярного транспортного протоколу TCP (Transport Control Protocol) і протоколу міжмережевої взаємодії IP (Internet Protocol).

Великий внесок у розвиток стека TCP/IP вніс університет Берклі (США), який реалізував протоколи стека в своїй версії ОС UNIX.

Університет Каліфорнії, Берклі (англ. University of California, Berkeley), також відомий як Каліфорнійський університет, Берклі або просто Берклі) - вищий науковий та навчальний заклад США, заснований 1868року.
Популярність цієї операційної системи привела до широкого розповсюдження протоколів TCP, IP і інших протоколів стека. Сьогодні цей стек використовується для зв'язку комп'ютерів Всесвітньої інформаційної мережі Internet, а також у величезному числі корпоративних мереж.

Стек протоколів TCP/IP має п'ять рівнів: прикладний, транспортний, рівень міжмережевої взаємодії, рівень мережевих інтерфейсів і фізичний. Відповідність рівнів стека TCP/IP рівням моделі OSI достатньо умовна.

Прикладний рівень (Application) включає велике число прикладних протоколів. До них відносяться такі популярні протоколи, як протокол пересилки файлів FTP, протокол емуляції терміналу Telnet, поштовий протокол SMPT, використовуваний в електронній пошті мережі Internet, гіпертекстові сервіси служби WWW і багато інших.

На транспортному рівні (Transport) стека TCP/IP, званому також основним рівнем, функціонують протоколи TCP і UDP. Перший з них є протоколом з «встановленням з'єднання». Це означає, що два вузли, що зв'язуються за допомогою цього протоколу, «домовляються» про те, що обмінюватимуться потоком даних, і приймають деякі угоди про управління цим потоком. Протокол управління передачею TCP вирішує задачу забезпечення надійного інформаційного зв'язку між двома кінцевими вузлами. Згідно цьому протоколу, дані, що відправляються «нарізаються» на невеликі стандартні пакети, після чого кожен пакет маркірується так, щоб в ньому були дані для правильної збірки документа на комп'ютері одержувача. Протокол UDP – датаграмний. Це значить, що кожен блок інформації (пакет), що передається, обробляється і розповсюджується від вузла до вузла не як частина деякого потоку даних, а як незалежна одиниця інформації – датаграма. Необхідність в протоколі UDP обумовлена тим, що він «уміє» розрізняти додатки і доставляє інформацію від одного додатку до іншого.

Рівень міжмережевої взаємодії (Internet) реалізує концепцію комутації пакетів без встановлення з'єднань.

Комутація пакетів - принцип комутації, при якому інформація розділяється на окремі пакети, які передаються в мережі незалежно один від одного. В таких мережах, по одній фізичній лінії зв'язку, можуть обмінюватися даними багато вузлів.
Основними протоколами цього рівня є адресний протокол IP і протоколи маршрутизації.

Суть першого з них складається у тому, що у кожного користувача Всесвітньої мережі Internet повинна бути своя унікальна адреса (IP-адреса).

Всесві́тня мережа (англ. World Wide Web, скорочено: WWW; також: всемережжя, веб або тене́та) - найбільше всесвітнє багатомовне сховище інформації в електронному вигляді: десятки мільйонів пов'язаних між собою документів, що розташовані на комп'ютерах, розміщених на всій земній кулі.
Без цього не можна говорити про точну доставку TCP-пакетів в потрібне робоче місце.
Робо́че мі́сце - елементарна одиниця виробничої структури, що містить частину простору виробничого підрозділу, яка потрібна для здійснення трудової операції та оснащена матеріально-технічними засобами, що використовуються у процесі праці.
IP-адреса представлена дуже просто – чотирма байтами, наприклад: 185.47.39.14. Його структура організована таким чином, що кожен комп'ютер, через який проходить який-небудь ТСР-пакет, може по цих чотирьох числах визначити, кому з «сусідів» треба переслати пакет, щоб він виявився «ближче» до одержувача. В результаті кінцевого числа пересилань TCP-пакет досягає адресата. В даному випадку оцінюється не географічна близькість. Враховуються умови зв'язку і пропускна спроможність лінії.
В електротехніці, інформатиці та теорії інформації, пропускна спроможність - найвища верхня оцінка обсягу інформації, яка може бути надійно передана через комунікаційний канал. За теоремою Шеннона для каналів з шумами, пропускна спроможність даного каналу це гранична швидкість передачі (в одиницях інформації на одиницю часу), яка може бути досягнута з довільно малою ймовірністю похибки.
Два комп'ютери, що знаходяться на різних континентах, але зв'язані високопродуктивною лінією космічного зв'язку, вважаються ближчими один до одного, ніж два комп'ютери з сусідніх міст, зв'язані звичним телефонним зв'язком.

Рішенням питань, що вважати «ближче», а що «далі», займаються спеціальні засоби – маршрутизатори. Роль маршрутизатора в мережі може виконувати як спеціалізований комп'ютер, так і спеціалізована програма, що працює на вузловому сервері мережі.

На рівні мережевого інтерфейсу (Network Interface) розташовується апаратно залежне програмне забезпечення, що реалізовує розповсюдження інформації на тому або іншому відрізку середовища передачі даних.

Фізичний рівень (Hardware) визначає те або інше середовище передачі даних. Слід зазначити, що поняття «середовище передачі даних» і «програмне забезпечення мережевого інтерфейсу» можуть на практиці мати різні по складності і функціональності наповнення – це може бути і проста модемна двоточкова ланка, і середовище, що є складною багатовузловою комунікаційною структурою Х.25, і мережа Frame Relay.

Frame relay (англ. ретрансляція кадрів, FR) - протокол канального рівня мережевої моделі OSI. Служба комутації пакетів Frame Relay в наш час (2007) широко поширена в усьому світі. Максимальна швидкість, яку допускає протоколом FR - 34.

Процес інкапсуляції даних, що передаються, і формування TCP- і IP-заголовків пакетів з даними в стеку протоколів TCP/IP показаний на рис.3.



Рисунок 3. Схема інкапсуляції даних у стеку протоколів TCP/IP


Додаток передає транспортному рівню повідомлення (message), яке має відповідне даному додатку розмір і семантику. Транспортний рівень «розрізає» це повідомлення, якщо воно досить велике, на пакети (packets), які передаються міжмережевому рівню, тобто протоколу IP. Він формує свої IP-пакети (також звані IP-датаграми) і потім упаковує їх у формат, прийнятний для даного фізичного середовища передачі інформації. Ці, вже апаратно-залежні, пакети в літературі іменують кадрами (frames).

Проте розповсюдження стека протоколів TCP/IP оголило і його слабкі сторони. Створюючи своє дітище, архітектори стека TCP/IP не бачили причин особливо турбуватися про захист мереж, що будуються на його основі. Вони і не припускали, що коли-небудь відсутність ефективних засобів захисту стане основним чинником, що стримує застосування протоколів TCP/IP.



Зупинимося на докладнішому розгляді важливих проблем недостатньої інформаційної безпеки протоколів TCP/IP, IP-мереж і служб Internet. Ці вади є «природженими» практично для всіх протоколів стека TCP/IP і служб Internet. Велика частина цих проблем пов'язана з історичною залежністю Internet від операційної системи UNIX. ARPAnet (прародитель мережі Internet) будувалася як мережа, що зв'язує дослідницькі центри, наукові, військові і урядові установи, університети США. Ці структури використовували операційну систему UNIX як платформу для комунікацій і рішення власних задач. Тому особливості методології програмування в середовищі UNIX і її архітектура наклала відбиток на реалізацію протоколів обміну TCP/IP і ПБ в мережі. Через відкритість і поширеність система UNIX виявилася улюбленою здобиччю хакерів. Тому не дивно, що і набір протоколів TCP/ IP має «природжені» недоліки захисту.

1   ...   4   5   6   7   8   9   10   11   ...   18



  • 3.3.2 Стек протоколів TCP/IP