Р.Л. Смелянский - Компьютерные сети. Том 2. Сети в ЭВМ (1130083), страница 43
Текст из файла (страница 43)
Сервер ЧР)М может быть межсетевым экраном организации либо отдельным ЧР1М-сервером Пользователь подключается к Интернету через телефонную линию к локальному поставщику услуг, канал Г)Я (см. гл. 2) или модем и инициирует ЧР)~1-соединение с узлом организации через Интернет ЧР1Ч-сервер организации запрашивает у пользователя аутентификационные данные и в случае успешной аутентификации открывает ему доступ к внутренней сети организации, как если бы этот пользователь находился внутри сети.
Однако скорость организованного таким образом сетевого соединения будет ограничиваться скоростью подключения пользователя к Интернету. 181 Одновременно с ЧРХ-соединением с интранетом организации пользователь может работать с Интернетом или выполнять другие действия как обычный пользователь Интернета. Поддержку сети ЧРГЧ на компьютере пользователя осуществляет специальное приложение — ЧР!ч-клиент. Использование пользовательской ЧРМ для подключения удаленного сотрудника имеет один серьезный недостаток: пользователь получает полный доступ к ресурсам сети организации так же, как если бы он нахолился на своем рабочем месте в офисе, но при этом на него не накладываются ограничения по взаимодействию со сторонними ресурсами в Интернете, т.
е. в этом случае между пользователем и Интернетом нет ни межсетевого экрана, ни шлюза уровня приложений, ни системы обнаружения атак. Таким образом возникает риск потери конфиденциальной информации организации из-за того„что компьютер удаленного пользователя защищен в меньшей степени, чем если бы он находился внутри периметра сети организации.
Возможно заражение компьютера вирусами, установка на него троянских программ и кража аутентификационной информации для несанкционированного подключения к сети организации. Узловые УРН Узловые виртуальные частные сети используются организациями для объединения нескольких географически удаленных филиалов или офисов в логически единую сеть. Как правило, ЧРХ соединяет межсетевой экран или пограничный маршрутизатор одного филиала с аналогичным устройством другого филиала. Соединение ЧР)ч между филиалами может поддерживаться постоянно или инициироваться на каждую сессию обмена данными. Во втором случае оконечные узлы ЧРМ (ЧР)Ч-концентраторы, межсетевые экраны, пограничные маршрутизаторы) устанавливают соединение друг с другом сразу, как только какой-либо из внутренних узлов одного филиала пытается установить соединение с узлом другого филиала.
Основным недостатком узловых ЧР)ч является то, что они расширяют периметр защищаемой сети, т.е. вместо набора периметров сетей каждого из филиалов с независимой защитой получается как бы объединение всех периметров в один. В этом случае общая защищенность сети будет определяться защищенностью наиболее. уязвимой сети филиала, и если этот уровень невысокий, то ЧР)ч может позволить злоумышленнику получить доступ к ресурсам центрального офиса и других филиалов. При использовании узловых ЧР!ч особого внимания требует адресация.
Если узловая ЧРХ используется для соединения локальных сетей одной организации, то необходимо позаботиться о единой !82 еме адресации для всех этих сетей, что в данном случае не пред- авляет особой сложности. Если же ЧРМ используется для соелине- '!~;,';,: ния сетей двух различных организаций, потребуются особые меры, '-~!г1 чтобы избежать коллизий, связанных с адресацией Компоненты ЧРЙ Сеть УРХ включает в себя четыре основных компонента ° сервер УРХ, ° алгоритмы шифрования; ° системы аутентификации; протокол Ъ'Р1ч.
4".-'!',,- Конкретное сочетание алгоритмов шифрования, схемы аутенти- фикации, используемого протокола и реализации сервера УРХ ,;.;:,: определяет свойства защищенности сети, а также ее производитель;. ~;,;:. ность. Правильность реализации архитектуры УРМ зависит от пра!;::;.; вильности определения требований к защите и производительности ",:;::,.:: сети, которые должна устанавливать организация до внедрения кон;~~!:; кратной технологии Ъ'РМ Требования к защите должны включать в себя ''":~4: ° срок актуальности конфиденциальной информации организа- '~~~:-;.
ции, т. е. время, которое зашифрованный график должен оставаться :~!,.'"-:,;: нерасшифрованным гипотетическим злоумышленником. В соответ- :,:~Ф.:;:,, ствии с данным требованием выбирается алгоритм шифрования; э число одновременно существующих соединений пользователей; ожидаемые типы соединений пользователей (сотрудники, рабо;.~'";:: тающие дома или находящиеся в поездке); ° число соединений с удаленным сервером; * ожидаемый объем входящего и исходящего графиков на удален- ' ~:;:.',;:, ных узлах; ° график доступа филиалов и пользователей. При разработке системы полезно указать дополнительные требо;;~~!! вания, связанные с ожидаемым местоположением сотрудников, а '~»",„'::.
' также типы служб, которые будут работать через УРХ Сервер 1гРДг представляет собой компьютер с надлежащим про- граммным обеспечением, выступающий в роли конечного узла соеди- „,~'-,':., пения УРМ. Основные функции сервера УРЬЯШ ° аутентификация узлов и пользователей ЧРМ; ° организация прозрачного туннеля для сетевых служб, ° шифрование и дешифрование трафика, передаваемого по туннелю Алгоритм шифрования, используемый в ЧРМ, должен обладать требуемым уровнем стойкости к криптоанализу.
Гораздо большее ";;;..!;, значение, чем стойкость алгоритма шифрования, имеет уровень :..'~,::.-'-' .безопасности реализации УРН-системы. Неправильно реализованная 183 система может сделать бесполезным самый мощный шпоритм шифрования. Для того чтобы получить доступ к информации, передаваемой через ЧР)х1, злоумышленник должен: ° захватить весь сеанс соединения, т. е. разместить устройство прослушивания между противоположными концами соединения в месте, через которое проходит весь трафик ЧР)ч; «иметь большие вычислительные мощности и большое количество времени для перехвата ключа и дешифрования графика.
Следовательно, злоумышленнику гораздо проще использовать уязвимость информации в компьютере пользователя либо украсть портативный компьютер, например в аэропорту или в гостинице. Система аутентификации УР7Ч, как уже говорилось, должна быть двухфакторной: пользователи могут проходить аутентификацию с использованием тех данных, которые только они знают и которые у них имеются, или с помощью данных о том, кем они являются (идентификационная информация).
Хорошей комбинацией средств аутентификации являются смарт- карты, где прописана вся необходимая для доступа в сеть информация, которую пользователь не знает, и индивидуальные данные пользователя, например его биометрические данные (отпечатки пальцев, цвет и форма радужной оболочки глаз и т.п.). Протокол 1РЖ определяет, каким образом система ЧР1ч взаимодействует с другими системами в Интернете, а также уровень защищенности трафика.
Например, в протоколе ЧР1ч используется обмен ключами шифрования между двумя конечными узлами сети. Если этот обмен не защищен, злоумышленник может перехватить кчючи и затем расшифровать график, сведя на нет все преимущества ЧР1ч. В настоящее время стандартными для ЧР)х являются протоколы семейства 1Р бесцг!!у 147], касающиеся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке 1Р-пакетов. Это почти 20 предложений по стандартам и 18 КГС ! ! !). Также в ЧР)х! используется протокол РРТР, распространенный в сетях М!сгозой ЪЧ!лспо нз [50!.
4.2. Примеры протоколов уровня приложений 4.2. 7. Доменная система имен — ОИЗ Рассмотрим подробно некоторые протоколы уровня приложений, используемые в Интернете. Как уже говорилось, каждая машина в Интернете должна иметь 1Р-адрес. Однако оперировать числовыми 1Р-адресами неудобно, поэтому рассмотрим, как в Интернете можно использовать символьные имена вместо 1Р-адресов и как пользователь на абонентской !84 машине может узнать !Р-адреса других абонентских машин, зная их имена.
Г!,';"-:. Все Интернет-приложения позволяют при обращении к узлам сети вместо числовых адресов использовать имена, зафиксированные в зя' специальной распределенной базе данных Рг )Я, которая поддерживает иерархическую систему имен для идентификации абонентских машин или узлов в сети Интернет. Такой способ адресации на прикладном уровне называется символьной адресацией При изучении символьной адресации в Интернете воспользуемся ее аналогией с обычной почтовой службой.
Сетевые числовые адреса вполне аналогичны почтовой индексации. Машины, сортируюшие корреспонденцию на почтовых узлах, ориентируются именно по 'индексам, и только если с индексами выходит какая-то несуразность, ."!гэ):",,' передают почту на рассмотрение людям, которые по адресу могут "."т:;.; определить правильный индекс почтового отделения места назначения. Людям же приятнее и удобнее иметь дело с географическими названиями — аналогами доменных имен.
Процесс поиска адреса в Интернете аналогичен процессу поиска ~)й';:;;:: индекса для письма, не имеюшего почтового индекса. Как определяется этот индекс? Все регионы страны пронумерованы, и это первые цифры индекса. Письмо пересылается на центральный почтамт региона, где имеется справочник с нумерацией районов этого региона — это следующие цифры индекса. Теперь письмо поступает на центральный ':::„:~!'." почтамт соответствующего района, где уже известны все почтовые от:З!.".::: деления в подопечном районе. Таким образом по географическому '~4„:':;,.з адресу определяется соответствующий почтовый индекс.
Аналогично определяется и адрес компьютера в Интернете, но путешествует здесь не послание, а запрос вашего компьютера об этом адресе. И в отличие от случая с почтой информация доходит до вас, как если бы районный почтамт места назначения отправлял вам письмо, любезно уведомляя на будущее об индексе, которого вы не знали. Конечно, здесь тоже существуют свои собственные проблемы Прежде всего, слелует убедиться, что никакие компьютеры, включенные в сеть, не имеют одинаковых имен. Необходимо также обеспечить преобразование имен в числовые адреса, чтобы машины (и программы) могли понимать людей, использующих имена, поскольку техника по-прежнему общается на языке цифр Сначала Интернет был невелик, и иметь дело с именами было довольно просто. Организация )ч!С создала регистратуру.
Можно было послать запрос, и в ответ получить список имен и адресов. Этот файл, называвшийся йоаг бйе (файл абонентских машин), регулярно распространялся по всей сети, т, е. рассылался всем машинам. Имена были простыми словами, и все они были уникальны. Если вы использовали имя, то ваш компьютер просматривал этот файл и подставлял вместо имени реальный числовой адрес так же, как работает ! ! !Ьэ !85 телефонный аппарат со встроенным списком абонентов. Всем хватало простых имен, в сети был один Мокнй, один Мокрилий, один ':,'„:-.' Пафнутий и одна Перепетуя.
По мере развития и расширения Интернета возрастало число,:;:.: абонентских машин, а следовательно, разрастался и указанный файл. Стали возникать значительные задержки при регистрации и получе-::,:,:, нии имени для новых компьютеров, стало сложно найти имена, ко- .!. торые еще никто не использовал, и слишком много сетевого времени затрачивалось на рассылку этою огромного файла всем упомянутым,.",-',,'- в нем машинам.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
