лекция№6 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <6>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Технические Средства Защиты Компьютерных Коммуникаций>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Технические Средства Защиты Компьютерных Коммуникаций >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Ярочкин М. Безопасность информационных систем. - М.: Ось, 1996.

Учебно-материальное обеспечение:

1. Рис. 34. Схема гетерогенной сети

2. Рис. 35. DSL-соединение

3. Рис. 36. DSL-доступ в Интернет

4. Рис. 37. Вид панели соединений маршрутизатора

5. Рис. 38. Использование маршрутизатора с NAT

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Управляемые коммутаторы Ethernet - ? мин

2-й учебный вопрос Серверы доступа и модемы DSL - ? мин

3-й учебный вопрос Маршрутизаторы (routers) - ? мин

4-й учебный вопрос Аппаратные криптосистемы - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

В настоящее время наиболее распространенным протоколом канального уровня для построения сетей передачи информации является Ethernet. Основным недостатком технологии Ethernet является сам принцип ее функционирования — в результате коллективного доступа к среде передачи данных увеличение числа пользователей снижает производительность сети. Из практики известно, что работа в сетях Ethernet может быть эффективной при коэффициенте загруженности сети до 40%. Повысить производительность сети можно либо за счет перехода на более скоростные протоколы передачи данных, либо за счет деления сети на отдельные сегменты. Второй путь кроме экономии средств (на замену всего сетевого оборудования и каналов связи) существенно повышает защищенность локальной сети.

До недавнего времени в качестве коммутирующего устройства в большинстве малых сетей Ethernet использовались концентраторы (HUB), которые передают пакет, поступивший на один из портов, на все остальные порты (идеология общей разделяемой среды ), что, в свою очередь, приводит к появлению бесполезного трафика и к возникновению коллизий. В отличие от концентраторов, которые полностью отражают и превращают сеть в единый домен коллизий, коммутаторы (switch) являются более интеллектуальными устройствами, способными анализировать адрес назначения кадра и передавать его не всем станциям сети, а только адресату. По мере развития технологии и снижения цен концентраторы и мосты стали повсеместно вытесняться коммутаторами.

Необходимость объединения территориально удаленных сегментов (локальных подсетей) в корпоративную сеть привела к использованию мостов (bridge) и маршрутизаторов (router). Маршрутизаторы используются также для управления доступом в локальную сеть с удаленных рабочих мест и из локальной сети – в Интернет. Пример построения гетерогенной корпоративной сети с различными вариантами сетевых соединений и коммутационных устройств изображен на рисунке 34. Данная сеть состоит из двух локальных сетей (LAN1 и LAN2), объединенных с помощью маршрутизаторов (router1 и router2). LAN2 состоит из двух сегментов, связанных по выделенной телефонной линии с помощью DSL-модемов, выступающих в роли мостов (bridge1 и bridge2). Кроме того, к LAN2 могут присоединяться удаленные рабочие места через сервер доступа по каналам ADSL и через router3 по телефонным каналам. Рабочие станции в LAN2 имеют выход в Интернет.

Кроме своих прямых функций по организации сетевого трафика практически все приведенные в примере активные коммутационные устройства выполняют задачи по обеспечению защиты информации. Объем функций безопасности возрастает от коммутаторов к серверам доступа и далее – к маршрутизаторам.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Управляемые коммутаторы Ethernet - ? мин

Конструктивно коммутатор представляет собой многопортовое устройство, предназначенное для деления сети на множество сегментов.

Рис. 34. Схема гетерогенной сети

В сетях Ethernet коммутаторы используют в своей работе алгоритм прозрачного моста (transparent bridge), регламентированного в стандарте IEEE 802.1D. Этот алгоритм подразумевает, что коммутатор «обучается» в процессе работы и строит свою адресную таблицу (таблицу MAC-адресов) на основе пассивного наблюдения за трафиком, циркулирующим в сети. Построив таблицу MAC-адресов, коммутатор передает полученные кадры не на все порты, а только по адресу назначения. Если на порт коммутатора поступает кадр с адресом назначения, приписанным к другому порту коммутатора, то кадр передается между портами. Если же коммутатор определяет, что адрес назначения приписан к тому порту, на который поступил данный кадр, то кадр отбрасывается или отфильтровывается.

Таким образом, коммутаторы устраняют главный недостаток технологии Ethernet, предоставляя каждому узлу сети выделенную пропускную способность протокола.

Управление коммутаторами производится на основе протоколов SNMP (Simple Network Management Protocol) и RMON (Remote Monitoring). Протокол SNMP входит в стек протоколов TCP/IP и широко используется для получения от коммутатора информации о его статусе, производительности и других характеристиках, которые хранятся в базе данных коммутатора. Протокол RMON определяет возможность удаленного мониторинга и управления коммутатором. Фактически RMON является расширением протокола SNMP, обеспечивающим удаленное взаимодействие с базой данных коммутатора. Без протокола RMON управление коммутатором возможно только локально, например при подключении коммутатора через последовательный порт к компьютеру и при использовании терминальной программы. RMON позволяет управлять и следить за состоянием коммутатора с удаленного компьютера с возможностью передачи требуемых данных по сети. Кроме того, в протокол RMON были добавлены дополнительные счетчики об ошибках, более гибкие средства анализа статистики, средства фильтрации и т.д.

Управляемые коммутаторы обладают также дополнительными функциями, важнейшими из которых с точки зрения безопасности являются фильтрация трафика и поддержка виртуальных сетей VLAN.

Фильтрация трафика позволяет создавать пользовательские фильтры, которые ограничивают доступ заданных заранее групп пользователей к определенным службам сети. Фактически фильтрация трафика — это сервис, повышающий уровень сетевой безопасности.

Поддержка виртуальных сетей (Virtual LAN, VLAN) позволяет с помощью коммутатора создавать изолированные друг от друга локальные сети. В отличие от применения пользовательских фильтров, виртуальные сети поддерживают защиту от широковещательного трафика. Поэтому говорят, что виртуальная сеть образует домен широковещательного трафика. Изоляция виртуальных сетей друг от друга происходит на канальном уровне. Это означает, что передача кадров между различными виртуальными сетями на основании адреса канального уровня (MAC-адреса) невозможна. Поскольку узлы различных виртуальных сетей изолированы друг от друга на канальном уровне, для объединения таких сетей в единую сеть требуется привлечение сетевого, или 3-го уровня сетевой модели OSI. Для обеспечения таких связей могут быть использованы маршрутизаторы либо коммутаторы, осуществляющие коммутацию пакетов на основе заголовка сетевого уровня. Такие коммутаторы получили название коммутаторов 3-го уровня. По аналогии — коммутаторы, работающие только на канальном уровне, иногда называются коммутаторами 2-го уровня. Популярность коммутаторов 3-го уровня растет и они могут вытеснить дорогостоящие маршрутизаторы там, где одновременно необходимы быстрая коммутация и маршрутизация на основе протокола TCP/IP без интерфейсов для глобальных сетей.

Примеры устройств.

Гигабитный управляемый коммутатор 2-го уровня HardLink HS-224RM

Коммутатор HardLink HS-224RM имеет два встроенных гигабитных порта (1000 Base-T) и 24 порта Fast Ethernet (10 Base-T/100 Base-TX) и построен на основе 26-портового контроллера MAC-уровня AQ2224 компании ACUTE.

Контроллер поддерживает размер таблицы MAC-адресов 32 К и обеспечивает возможность создания до 256 виртуальных сетей VLAN на основе портов по стандарту IEEE 802.1Q.

Коммутатор поддерживает как локальное, так и удаленное управление. Локальное управление производится через последовательный порт RS-232. Удаленное (сетевое) управление реализуется через протокол Telnet или встроенный Web-сервер. По своим функциональным возможностям удаленное управление обладает теми же возможностями, что и консольное. Коммутатор поддерживает протоколы SNMP и RMON

Обеспечение безопасности в коммутаторе реализовано посредством фильтрации MAC-адресов, а также возможности запрещения режима самообучения (learning mode) коммутатора, при котором тот автоматически обнаруживает и подключает новые сегменты в сети. Имеется также возможность определять права доступа пользователям при входе в конфигурационное меню коммутатора.

Коммутаторы серии Cisco Catalyst

Коммутаторы Cisco Catalyst имеют несколько функций для сетевой управляемости и защиты:

-Развертывание виртуальных локальных сетей (до 64 VLAN на один коммутатор) гарантирует, что пакеты данных будут перенаправляться только на компьютеры, входящие в состав виртуальной локальной сети, тем самым усиливая защиту между группами портов и уменьшая широковещательный трафик.

-Контроль доступа к порту, основанный на анализе MAC-адреса, защищает коммутатор от доступа неавторизированных станций. Можно создать ограничения на статические и динамические адреса, что обеспечит администраторам полный контроль над всем доступом к сети. Режим изучения указанных пользователем адресов упрощает конфигурацию и усиливает защиту.

-Защита многоуровневого доступа к консоли коммутатора предохраняет от доступа неавторизированных пользователей к конфигурационным параметрам коммутатора.

-Использование протокола Terminal access controller access control system (TACACS+) идентификации позволяет централизовано координировать доступ к сети через большую группу сетевых устройств и ограничивает доступ неавторизированных пользователей.

-Технология Cisco Uplink Fast гарантирует быстрое восстановление после сбоя (обычно быстрее чем за 3 сек), что обеспечивает стабильность и надежность работы всей сети. Поддержка для резервной системы питания Cisco Redundant Power System 300 (RPS 300), которая обеспечивает переход на внутренний источник питания до 6-и устройств, повышая устойчивость к сбоям и время восстановления сети.

2-й учебный вопрос Серверы доступа и модемы DSL - ? мин

Устройства, основанные на технологии DSL (Didital Subscriber Line), занимают промежуточную нишу между коммутаторами и маршрутизаторами как средства интеграции сетей. Их главная задача – обеспечить высокоскоростной доступ в локальную сеть удаленного пользователя или соединить сегменты локальных сетей через телефонную линию связи. На сетевом уровне эти устройства могут выступать в роли моста или маршрутизатора. Типовая схема включения DSL модемов для объединения двух сегментов сети в режиме моста приведена на рис. 35.

Устройства данного класса обеспечивают средний уровень безопасности за счет встроенных средств защиты (фильтрацию MAC-адресов, преобразование IP-адресов и парольный доступ к управлению).

Рис. 35. DSL-соединение

Существует два варианта организации трафика по технологии DSL – симметричный и асимметричный.

Симметричный вариант обеспечивает одинаковую скорость передачи сетевых пакетов по линии связи в обоих направлениях. Скорость приема-передачи для симметричного варианта – до 2 Мбит/с. Применение – объединение в единую локальную сеть из двух удаленных сегментов по двухпроводной телефонной линии. В данном случае используются, как правило, пары одинаковых DSL-модемов.

Асимметричный вариант (ADSL) обеспечивает оптимальное распределение полосы пропускания для асимметричного трафика, когда входящий к абоненту поток данных в несколько раз превышает исходящий поток. Скорость приема-передачи для двух основных стандартов технологии ADSL:

-G.DMT - скорость к абоненту до 8 Мбит/с, от абонента до 1 Мбит/с;

-G.Lite - скорость к абоненту до 1,5 Мбит/с, от абонента до 512 Кбит/с.

Применение:

-предоставления услуг доступа в Internet;

-подключение офиса к корпоративной сети по имеющейся телефонной линии с сохранением телефонных услуг.