лекция№6 (1088432), страница 2
Текст из файла (страница 2)
В этом случае используются серверы доступа с несколькими портами (до 8) для подключения абонентских линий и одним портом Ethernet в сочетании с соответствующими абонентскими ADSL-модемами.
Примеры устройств.
Сервер доступа NSG-800/maxA (фирмы “Сетевые Системы” (Россия))
Предназначен для обслуживания абонентов систем ADSL. Поддерживает спецификации G.DMT и G.lite, и оснащен встроенными сплиттерами (частотными фильтрами) для отделения сигнала ТЧ от высокочастотного сигнала данных, а также голосовыми портами RJ-11 для подключения к телефонному коммутатору. Имеет восемь портов ADSL и один порт Ethernet 10BaseT. Выполняет функции моста/маршрутизатора с поддержкой автоматического запоминания МАС-адресов (до 4096 адресов),
Безопасность: фильтрация пакетов по МАС-адресам, поддержка протоколов RIP1 и RIP2, сервисы NAT и DNS. Для передачи по линии ADSL пользовательский трафик инкапсулируется в ячейки АТМ.
В качестве абонентского оборудования может применяться ADSL-маршрутизатор NSG-200/ADSL или другие устройства, соответствующие стандартам ITU-T.
NSG-200/ADSL – модем для линий ADSL
Абонентское устройство доступа для линий ADSL, предназначенное для подключения индивидуальных и небольших корпоративных пользователей. Скорость передачи адаптируется автоматически в зависимости от длины и состояния линии. Со стороны локального пользователя NSG-200/ADSL оснащен одним портом Ethernet 10BaseT и может подключаться как к одиночному компьютеру, так и к локальной сети. Работа в режимах моста и маршрутизатора (протоколы маршрутизации: RIP 1, RIP 2, статическая маршрутизация). Протоколы глобальных сетей: Classical IP, PPP over ATM, поддержка AAL5. Сетевое управление и конфигурация: контроль состояния сети при помощи OAM F5, удаленное управление и мониторинг устройства на основе Web.
Устройства семейства Prestige (фирма Zyxel).
Варианты устройств и их возможных соединений:
-DSL-модем + DSL-модем;
-DSL-коммутатор + DSL-модемы;
-ADSL-коммутатор + ADSL-модемы.
Практически у всех устройств семейства имеется наличие функций моста/маршрутизатора. Все устройства работают под управлением встроенной операционной системы ZyNOS™ .
ADSL Модем Prestige 642 + модемный коммутатор AES-100.
Решение для обеспечения высокоскоростного доступа в Интернет или в корпоративную сеть по существующим телефонным проводам. Скорость связи: может принимать данные со скоростью до 8 Мбит/с и передавать на скорости до 640 Кбит/с.
Безопасность: режим трансляции адресов для подключения всей локальной сети при помощи лишь одного легального IP-адреса (NAT); встроенный межсетевой экран; возможность работы в рамках виртуальной частной сети на базе протокола PPTP.
Пример использования: Доступ в Интернет по выделенным каналам (рис. 36).
Рис. 36. DSL-доступ в Интернет
AES-100 может устанавливаться в помещении Интернет-провайдера или телефонной станции и обрабатывать все ADSL ATM потоки данных удаленных клиентов, конвертируя их в IP пакеты. AES-100 имеет два слота для установки сетевых модулей. Каждый сетевой модуль имеет восемь ADSL портов со встроенными телефонными сплиттерами, служащими для разделения данных и голоса, и один Ethernet порт для подключения к Ethernet-коммутатору или маршрутизатору.
Модульный DSL-концентратор Prestige 1600
Является масштабируемой модульной платформой для предоставления услуг доступа в сеть по выделенным и коммутируемым каналам с использованием различных DSL-технологий на скоростях до 2,3 Мбит/с. Обеспечивает работу необходимых сетевых протоколов, маршрутизацию и подключение к глобальной сети через встроенный WAN-порт или Ethernet-порт 10/100 Mбит/с.
Безопасность: В Prestige 1600 предусмотрена высокая степень защиты информации от несанкционированного доступа путем настройки фильтров пакетов, протоколов транспортных уровней и широковещательных сообщений индивидуально для каждого абонента. Системная консоль защищена паролем.
3-й учебный вопрос Маршрутизаторы (routers) - ? мин
Маршрутизатор является устройством, позволяющим объединять сети с различными физическими интерфейсами, канальными и сетевыми протоколами в единую гетерогенную сеть. Маршрутизатор может быть реализован программным способом — в этом случае он представляет собой модуль операционной системы, установленной на компьютере общего назначения, или аппаратно-программным способом — тогда он является специализированным техническим устройством, работающим под управлением специализированной ОС (монитора).
Функции безопасности маршрутизатора реализуются на трех уровнях модели OSI – канальном, сетевом и транспортном. Рассмотрим функции безопасности маршрутизаторов на примере семейства устройств производства фирмы Cisco Systems.
Основные характеристики маршрутизаторов Cisco:
-модульная конструкция, позволяющая настраивать конфигурацию маршрутизатора для конкретного применения (рис. 37);
-использование RISC-процессоров для высокопроизводительной маршрутизации, шифрования, и широкополосного доступа;
-наличие 1-2 портов 10/100 Fast Ethernet;
-несколько слотов для модулей WAN interface card (WIC);
-консольный порт;
-внутренний слот расширения для модуля аппаратного шифрования;
-встроенная операционная система CISCO IOS (Internetworking Operating System) с интерфейсом командной строки;
-управление через порт консоли, модем и telnet.
Рис. 37. Вид панели соединений маршрутизатора
Функции безопасности устройств Cisco
Стандартные функции:
-аутентификация, авторизация и аккаунтинг (ААА);
-стандартные и расширенные списки доступа для различных сетевых протоколов;
-динамические списки доступа (Lock and Key);
-пароли;
-функции поддержки серверов безопасности TACACS+, RADIUS, Kerberos;
-аутентификация при обмене информацией протоколами маршрутизации.
Дополнительные функции:
-трансляция сетевых адресов (NAT и PAT);
-тунелирование сетевых протоколов в IP-пакеты (удаленные пользователи при подключении по коммутируемым каналам могут использовать стандартную реализацию VPN в операционных системах Windows 95/ 98 и Windows N);
-поддержка шифрования на сетевом уровне – применение стандартного протокола IPSec (поддерживается стандарты DES и Tripple DES).
Функции брандмауэра:
-контекстно-ориентированный контроль приложений;
-блокирование Java-приложений;
-предупреждения/сообщения в реальном масштабе времени;
-предотвращение атак на сетевые сервисы;
-фильтрация трафика (по портам, адресам источника/приемника);
-протоколирование событий.
Функция AAA. Данная функция включает authentication (установление личности пользователя), authentication (проверка полномочий) и accounting (учет использования ресурсов). Для каждой из трех функций используется поименованный список методов, примененный к интерфейсу. При необходимости использования любой функции AAA IOS "пробегает" по этому списку пытаясь соединиться с соответствующим сервером. Если соединиться не удается, то IOS переходит к следующему методу из списка. По умолчанию, к каждому интерфейсу применяется список методов по имени default.
Ограничение доступа к маршрутизатору: управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору - локальное и удаленное.
Парольная защита
В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы. Пароль типа username password устанавливается с соответствующим ему именем пользователя. Длина простого пароля может быть до 80 байт в длину, включая алфавитно-цифровые символы и пробел. Существует 16 уровней привилегий, от 0 до 15. Уровень 1 - обычный пользовательский EXEC режим работы в консоли (CLI) , и 15 - по умолчанию привилегированный уровень.
По умолчанию, любой привилегированный пользователь может просматривать все пароли на маршрутизаторе.
Используя команду "service password-encryption", можно закодировать видимую часть пароля в строке.
Настройка параметров конфигурации
В маршрутизаторах Cisco параметры настроек по умолчанию не отображаются при выводе информации о текущей конфигурации. Используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. По умолчанию в IOS включены некоторые сервисы, которые могут стать для атакующего источником дополнительной информации о системе, и при определенных случаях он может осуществить атаку на роутер.
Существует ряд общих команд Cisco IOS, применение которых позволяет повысить общий уровень безопасности сети. К ним относятся команды, отключающие функции распознавания родственных устройств, синхронизации сетевых протоколов, лишних служб и т.п.
Трансляция сетевых адресов (NAT)
Функции NAT используются для решения следующих задач:
-При необходимости подключения к Интернет, когда количество внутренних узлов сети превышает выданное поставщиком услуг Интернет количество реальных адресов IP. NAT позволяет частным сетям IP, использующим незарегистрированные адреса, получать доступ к ресурсам Интернет. Функции NAT конфигурируются на пограничном маршрутизаторе, разграничивающем частную (внутреннюю) сеть и сеть общего пользования (например, Интернет). Функции NAT перед отправкой пакетов во внешнюю сеть осуществляют трансляцию внутренних локальных адресов в уникальные внешние адреса IP.
-При необходимости изменения внутренней системы адресов. Вместо того, чтобы производить полное изменение всех адресов всех узлов внутренней сети, что представляет собой достаточно трудоемкую процедуру, функции NAT позволят производить их трансляцию в соответствии с новым адресным планом.
-При необходимости организации простого разделения трафика на основе портов TCP. Функции NAT предоставляют возможность установления соответствия (mapping) множества локальных адресов одному внешнему адресу, используя функции распределения нагрузки TCP.
Одним из важнейших преимуществ NAT является то, что нет необходимости вносить изменения в конфигурацию конечных узлов и маршрутизаторов внутренней сети, за исключением тех устройств, на которых собственно и выполняются эти функции.
-Трансляция внутренних адресов (Source) в уникальные адреса, принадлежащие глобальному адресному пространству, при необходимости обеспечения взаимодействия внутренней сети с внешней сетью. Имеется возможность использования статической или динамической трансляции:
Статическая трансляция устанавливает соответствие адресов по типу “один к одному”, т.е. один глобальный внутренний адрес соответствует одному локальному внутреннему адресу. Статическая трансляция применяется в тех случаях, когда некий внутренний узел должен быть доступен извне по постоянному адресу (например, сервер WWW).
Динамическая трансляция устанавливает соответствие между внутренним локальным адресом и пулом глобальных адресов.
На рис. 38 показан маршрутизатор, транслирующий адреса узлов, содержащихся в поле Source заголовков пакетов IP из внутренних во внешние.
Рис. 38. Использование маршрутизатора с NAT
Организация списков доступа
Прохождением трафика через интерфейсы роутера (разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям) позволяют управлять пакетные фильтры. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети. Пакетные фильтры в Cisco реализованы через списки доступа (access-lists).
Списки доступа (Access Lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:
-управление передачей пакетов на интерфейсах;
-управление доступом к виртуальным терминалам роутера и управлению через SNMP;
-уграничение информации, передаваемой динамическими протоколами роутинга.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
