МОС. Администриране и планиране на мрежовата сигурност. Отдалечен достъп до локална мрежа. Мостове върху работни станции

Мрежова сигорност – това е горещ проблем в света на информационните технологии. Когато изграждаме РС мрежа, отговорът на въпроса колко сиурност ще й бъде достатъчна зависи от организацията за която я правим. Има много различни типове заплахи за сигурността на мрежата и те могат най-общо да се класифицират в следните 2 категории: външни заплахи , и Вътрешни заплахи.

Външните пробиви в сигурността могат да приемат множество форми, в това число:

-неоторозирано използване на пароли и ключове

-атаки то типа Denial fj Service (DOS)

-IP спуфинг

-РС вируси и червеи

-програми тип троянски коне

DoS атаките не предизвиквлат срив на РС, а са проектирани така, че да прекъснат или да попречат на установяане на връзка към мрежата. Те работят, като наводняват мрежата с непотребни пакети, иил като емулират мрежов проблем, който кара РС да прекрати установената връзка. Най-използваните са :

-наводняване с ICMP

-Смърф атаката

-Ping на смъртта

-SYN атака
IP спуфинга включва промяна на хедърите на пакети на изпращаните съобщения. Това ги кара да изглеждат така, сякаш идват от IP адрес, различен от реалния адрес на първоизточника. Това само по себе си не е атака но предствалява метод за придобиване на неоторизиран досъп до РС или мрежа за започване на атака.


8. Безжични локални мрежи (Wireless LAN). Стандарти 802.11. Примери за безжични мрежи, компоненти и конигураии.
Наричат се безжични или безпроодни тъй като в общия случай се допуска използването както на радовърни, така и на инрачервени вълни. Когато се ползват Infrared, физическият интерфейс е различен и поди възможностите се наричат езжични. В болшинството от случаите мрежите са радиомрежи

IEEE 802.11 – стандарт за изграждане на WireLess LAN. Има няколко модификаии. Първият вариант на стандарта носи чистото име 802.11. Характеризицра се с 2,4 GHz честотна лента. Скорост на предаване 1,2,3Mbit/s.

Втори вариант IEEE802.11b – 2,4GHz, скорост на работа 1-11Mbit/s.

Трети вариант IEEE 802.11a -5GHz скорост 6-54Mbit/s.

Четвърти вариант IEEE 802.11g – 2,4GHz скорост 6-54Mbit/s.

IEEE 802.11

Честотна лента 2,4 GHz е разрешена за ползване без разрешения. Тази честотна лента се нарича диапазон ISM.Използва се диапазона за радиобмен Възможни са два визически интерфейса: FSSS, PSSS. Според изискваният на тсандарта скоростта е 1 или 2 Mbit/s. Някои фирми произвеждат оборудване за 3Mbit/s. В основата на този стандарт е положена идеята за осигуряване на безжичен достъп до отдаличена кабелна мрежа - Идеята е следната:

Стандарта предвижда т.н. точки за достъп АР, с помоща на които да се направи достъп до отдалечената LAN- За да се организират вдействителност безжична мрежа са необходими устройства:

Access Point – разполага с радиоприемо предавател и антени. За де се включи отдалечен РС е необходимо 2 тип устройство. SA – Station Adapter. Може да е конструктивно самостоятелно устройство

Съществуват такива устройства, които позволяват включване на до 4 отдалечени РС.

За безжично включване на отдалечени LAN се използва устройство WB wireless bridge позволява включване на кабелни мрежа

Нормални – нормално, изброените по-горе устройства разполагат с мини антени (вътрешни или външни). В редица случаи те са недостатъчни. Тогава се налага да се използват допълнителни антени, най-често при Access Pfint-овете с цел осигуряване на пряка видимост между тези изнесени антени и миниатярните антени на SA.
BreezeNet 3Mbit/s. До 17АР. Всяко АР има област на покритие. Няма пряко привързване на АР и SA. Съществува възможност за излизане от една зона и влизане в друга зона, при това, надеждна връзка може да се установи в преносим компютър, който се движи със скорост до 90Км/ч. В стандарта за Wireless LAN радиоинтерфейсите са 2:

FHSS – Frequency Hopping Spread Spectrum( разпределен спектър със скоковое по честотата). Използва се лентата 2,402 -2,482Ghz.Информират се 79 радиосканала с лента от 1MHz

2,5 скока/сек

При такова променяне на честотите се постига секретност по отношенеи на възможността за подслушване. Когато се установява сеанс за връзка се избира сценарий за последователността от скокове. 79! Варианта.

Всеки РС имащ готов кадър за предаване, прослушва съобщителната среда и ако тя е свободна изчаква един интервал от време, обозначаван IFS – interFrame space – междукадров интервал. Ако в този интервал не се засече носеа честота т.е. канала не се заема едва тогава РС започва да предава кадър си. Ако обаче средата се окаже заета или се заеме по време на м/у кадравия интервал, тогава дадения РС задържа предаването на кадър до освобождаването на комуника среда, след което отново изчаква време IFS и ако тогава средата е свободна, тогава започва излъчване на кадъра.

Кадрите, тоито се предават могат да бъдат кадри с данни или със сужебна инфо. Всеки един РС има данни за предаване праща служебен пакет RTS (Tequest to send). Този пакет се адресира до К с който се установява сеанс на връзката. Получавайки такъв пакет С към който той е еадресиран връща обратно отговор CTS (Clear to send) с което уведомява източника, че е готов за приемането на кадъра. Получателя прави проверка за наличие на грешки CRC и взависимост от това дали има грешки се връща резултат

NACK при наличие на грешки

ACK – при правилно приет кадър

Освен разновидностите на 802.11 , ЕС разраотва независим стандарт за безжична мрежи HiperLAN (High Perfomdnce Radio LAN) от ETSI. Използва се 5Ghz лента и скорсти до 54Mbit/s Методът за множествен достъп е доста по-различен от Ethernet и се доближава до ATM мрежите (Asychronous Transfer mode)

IEEE 802.15 съдържа стандарти за изрграждане на WPLAN (Wireless Persondl Area Network. Става въпрос за безжичени мрежи които работят на малки разстояния до 100м обикновено. Физическият интефейс FHSS (скокове в честотата) 1600 скока в сек

802.15.3 – до 100м скоростта на работа до 400Mbit/s

Repeater OSI 1

Bridge OSI 2

Switch OSI 2 или 3

Router OSI 3

Свързване на 3-то ниво

ММВ – междумрежови възел. Има логически толкова части колокто са мрежите които свързва
Всяка от тези мрежи се характеризира със собствени протоколи на 1во 2ро и 3то ниво

Aлфа, бета и гама са мрежови протоколи от 3то ниво

Всяка част на възела на ММВ преоразува сътветния протокол в D и обратно

D- нарича се междумрежови протокол- Използва се като съгласуващ протокол

Основните към омента междумрежови протоколи са Х75 и IP (Internet Protocol)

Х75 използва се за свързване само на различни Х25 мрежи. Това е ограничение на този протокол. При Х75 ММВ не само логически но и физически е разделен на части (торо ограничение ). Всяка от двете части пренадлежи на мрежата която се свързва. В стандарта х75 са предвидени различни начини за свързване две части на възела. Може да се ползва арендован канал, радиоканал или спътникови връзка. Характерна особеност на Х75, която е негов плюс се явява това че този протолок е прозрачен. В случая Х75 е прозрачен за всички машини в обединенатаа мрежа. Ако искаме да вържем 2 Х25 мрежи единственото нещо което се прави е де се добавят частите на ММВ и да се вържат по подходящ начин. Не са необходими никкви други настройки по компютрите в мрежите. Ако компютър А трябва да се върже с РС В, той трябва да знае само мрежовия адрес на В.

Формат на адресите в Х25
Възела (най-близко до А) ще получи адреса на В. Там ще с провери първото поле – за м/ународен префикс и по това ще разбере дали търсения адрес е в друга мрежа. Ако търсения възел не е в същата мрежа, той ще насочи заявката към таи част на ММВ, която е в неговата мрежа. Той като м/ународния префикс е незадължителен това ще установи по кона да страната. Третата проверка е по номера на мрежата.

Х75 се отнася към т.н. протоколи с установяване на съединението. При тези протоколи всеки сеанс протича в 3 фази:

-установяване на съединението – възелът източник изпраща зявака за установяване на съединието, во която заявка се съдържа адресът на В

-обмен на паети по вече установеното съединение

-прекъсване на съединението
Протоколът Х25 се е смятал за изключително перспективен.

През 1976 -77 се разработил Х75

През 1975-76 Американското министерство на отбраната иска да се свърже ARPA с други мрежи

DARPA – департамента за перспективни научни изследвания на САЩ 1978-79 се е оформила идеята за свързване на ARPA с другите мрежи. Това се е наричала DARPA архитктура или DoD архитектура или ТCP/IP архитектура

-Обмен на данни

-Електронна поща

-Затоворена група абонати – позволява с използването на една Х25 мрежа да се оганизират виртуални частни мрежи VPN

IP се разработва в рамките на проекто DAPA за свързванена ARPA с други РС мрежи

IP – безконтактен протокол (без установяване на съединението). Данните се предават под формата на IP пакети или дейтаграми, Непрозрачне протокол – машините в мрежите трябва да го реализират (-), свързва произволни мрежи (+).

Подмрежа А и подмрежа В имат различни мрежови протоколи . Хостовете реалиират протокола IP. Всички компютри имат собствени адреси. Мрежовите адреси в подмрежа А и В са в съответствие с приетата схема на адресеция в тези мрежи. Ако host Х изпраща данни до host Y IP протокола в host X образува Ip пакет (IP дейтаграма) със следния формат:

В TCP/IP мрежите се обменят IP datagrams които се пренасят в подмрежите по правилата за работа на подмрежите. IP протокола в хост Y прехвърля datagrams към протокола (алфа). За протокол алфа datagram-ата е само данни. Алфа протокола формира свой пакет по правилата на работа на мрежа А

Така формирания пакет се праща до ММВ. ММВ ще отдели данновото поле и ще го прехвърли към IP протокола. Проверява се към IP адреса на получателя и ще се обърне към собствената МТ и ще разбере към кой свой интерхейсен изход ще го прети. МрПрВ в ММВ ще формиа пакет по правилата на мрежа В.

10. OSI DARPA (DoD, TCP/IP) модел. Логическа схема на машина в TCP/IP мрежа. ARP.

Директно маршрутизиране.
1. В DARPA моделът първите 3 нива не са предмет на разглежане, тъй като те се определят от конкретната подмрежа.

2. М/у 3 и 4 ниво в DARPA модела се въвежда междумрежово ниво, където се реализира междумрежовия протокол IP.

3. Функциите на 4 ниво и в двата модела са идентични. В DARPA модела на 4 ниво се реализират двата транспортни протокола TCP и UDP.

4. В DARPA модела, функциите на 5,6 и 7 ниво от OSI модела са определени в едно общо ниво, обозначено като 5 и наречено приложно. Тук се реализират приложните протоколи FTP, Telnet и др.

В DARPA модела блоковете, които се обработват на съответните нива си имат свои наименования:

Приложно съобщение (5 ниво) – прехвърля се към транспортното 4 ниво, където се разбира на TCP сегменти или UDP дейтаграми в зависимост от това кой е транспортния протокол, който ще бъде използван.

TCP сегментие или UDP дейтаграмите се пренасят от IP пакети, които се обработват на междумрежовото ниво.

Логическа схема на машина работеща в DARPA (DoD, TCP/IP) архитектура:

Мрежов модул – реализира протоколите от 1,2 3 ниво в конкретната подмрежа, в която е създадена машината. Мрежовия адрес е в съответствие на приетата адресация в тази мрежа.

IP модул – реализира протокола IP. Този модул използва собствен IP адрес, който е в съответствие на IP адресацията. Тъй като IP адресацията и адресацията в подмрежите се различават, то съответствието м/у IP адресите и мрежовите адреси може да се направи единствено чрез таблица (ARP таблица)

АRP(Address Resolution Protocol) – реализира протокола ARP и поддържа ARP таблици на съответствие м/у IP адреси и мрежови адреси.

TCP и UDP реализират транспортните протоколи, които се разделят на 2 групи. Обслужват се от TCP приложния протокол и обслужващи се от UDP транспортния протокол. И двата транспортни протокола се обслужват от IP протокола.

Ако двете машини м/у които се обменят данни се намират в една подмрежа, тогава обмена на данни е обмен чрез директно маршрутизиране(рутиране). В този случай не е необходимо озползването на маршрутизатор. Ако двете машини се намират в различни подмрежи, обменът се нарича индиректно маршрутизиране и тогава се използва маршрутизатор за изход от дадената подмрежа.

Директно маршрутизиране

Н
ел.инф.

АПИ- адрес на порт източник. Двата адреса са 16bit. АПП се използва като идентификатор на приложния протокол в hostY, към който е насочено приложното съобщение. В данновото поле се помества приложното съобщение. Така образувания TCP сегмент се буферира от TCP протокола и се прехвърля към IP протокола. Освен TCP сегмента към IP протокола ще се прехвърли и IP адреса на hostY.IP протокола в hostX ще образува IP пакет:

ел.инф.

АП

АИ

ДП

В данновото поле ДП се помества TCP сегмента. В АП се записва IP адреса на hostY. В АИ се попълва съответния IP адрес (на hostX). Така е формиран IP пакет (IP дейтаграма) за hostY IP протокола на hostX praща IP пакета към Ethernet модула. Заедно с IP пакета към Ethernet модула се подава и Ethernet адреса на получателя (в случая hostY) Ethernet адреси на hostY се взема от ARP таблицата.

В логически схема на R има 2 интерфейса – по 1 за √ една от свързваите мрежи,в случая Еthernet и Token Ring.R има мрежови адрес във √ една от подмрежите.Влогически структура има един IP и толкова ARP модула,колкото са подмрежите.

Тогава когато 2-та хоста са в различни подмрежи,комуникационата между тях е индректно т.е. има обмен чрез индиректно маршрутизиране.

При директното маршрутизиране в заглавната част на IP пакета като АП се поставя IP адреси на получителя,а като АИ-host X с неговия IP адрес.В мрежовия кадър АП-hostX(Ethernet адрес); АИhostX(Ethernet адрес)

Ако приложен протокол от hostX изпрати приложно съобщения към hostY.HostX образува TCP сегмент, в ДПприложното съобщение.Този сегмент се изпраща към IP модула.IP модула в hostX модула в hostX ще образува IP пакет:

АПhostY(IP адрес),АИ hostY(IP адрес)

Образува се Ethernet кадър:

АПRouter(Ethernet адрес), АИhostX(Ethernet адрес)

Ethernet адреса на рутера се взема от ARP таблица на hostX трябва да има ред:

IP модула в hostX анализира IP адреса на получателя в hostY(в случая).За целта от IP адреса на hostX се отделя NETID.Този мрежов идентификатор се сравнява със осбствения мрежов идентификатор.В случая ще се окаже че те са различни.След като се открия това различие следва ,че hostY се намира в друга подмрежа, а това веднага означава,че hostX трябва да се насочи към рутер(default router-DR или default gateway DG).Ethernet модула на рутера ще приема адресирания за него кадър,ще направи проверки за грешки,след което ще отдели данновото поле на кадъра,което представлява IP пакети ще го подаде към IP модула си.IP модула в рутера ще вземе IP адреса на получателя от заглавната част на пакета,ще отдели от него мрежовия идентификатор и ще се обърне към собсвената им маршрутна таблица.В таблицата ще се помърси код съответсвия на мрежодия идентификатор и оттам ще се разбере към кой интерфейс на рутера трябва да бъде изпратен IP пакета.В случая ще се образува Token Ring кадър. АПhostY(TR адрес) , АИR(TR adres).

Маршрутен протокол-правилата,по които се попълват, актуализират и използват марщрутните таблици (MT).MT съдържат пътища към съседни възли,към което пътуваща до получателя е наъ-кратък.

Говорим за най-кратък марщрут, но в зависимост от избраната метрика.

И двата марщрутни протокола са адаптивни (промяна на съръджанието на MT през определен период от време).Характерно за адаптивните протоколи е,че времевата ос се разбива на слотове с продължителност τ.В края на √ слот (такт,период) се променя съдържанието на MT.

Новото съдържание на MT остава непроменено до началото на следващия слот.В края на следващия слот,съдържанието се променя и т.н.Търси се усреднена стойност на τ – без да се отклоняват допълнителни ресурси.

В ARPA τ=0.625s

В един адаптивен протокол са налице след като основни характеристики:

1.Натрупване на информация за състоянието на мрежата (отчитат се промените)

2.Натрупванатаинформация трябва да се обменя

Служебна марщрутна информация на нейна баз се актуализират МТ.

Съществуват няколко подхода:

1.Централизиран подход – информацията от √ възли се изпраща в централен база наречен супервайзорен.Той изчислява MT и си разпраща до всички възли(за глобални , на неголеми мрежи)

2.Децентрализиран подход: служебната марщрутна информация и обменя между съседните възли.Използва се при Internet протоколите RIP и OSPF.

Разликата м/у RIP и OSPF е ,че те използват раз;ични матрики за оценка на дължините на маршрулите.При RIP дължините се измерват в брой скокове (hops) като под скок се разбира премината подмрежа.OSPF за разлика от RIP може да поддържа едновременно до 5 различни метрики.Най-често,обаче ,се използва метриката пропускателна способност.За да се оценява дължината на маршрута е възприето скоростта на Fast Ethernet да се оценява с една единица.10 Mbit/s10 единици.Оттук лесно могат да се получат оценките на произволни мрежи.

Маршрутните таблици,които се поддържат са от вида:

Next R-следващ рутер,чрез който мрежата с Net ID е достижима

Port-номер на порт

D-разстояние до получателя (distance)

Различните метрики на двата протокола водят до различни оценки

Пример:

RIP – Routing Information Protocol

-Първоначално запълване на МT.Осъществява се на няколко итерации.Броят на итераците не е предварително известен,зависи от мрежата стуруктура.При запълване на МТ ,съседните маршрутизатори запълват таблиците си(обменят i).Таблицата се счита за запълнена,когато при следващия обмен със съседните,дадения рутер не получи данни за нови мрежи,несърържаща се в неговата таблица.

-Използване на МТ в рамките на интервала време τ са валидни таблиците,като след изличането мъ,при необходимост,таблиците се актуализират.За целта,рутерите се обменят служебна информация през τ=30s и ако през това време има промени се променят МТ.


R1 (1) – 192.32.21.1

R1 (2) – 194.34.16.2

R1 (3) – 201.101.21.1

R4 (1) – 200.100.30.2

R2 (2) – 202.33.25.1

R3 (3) – 204.38.28.1

R3 (1) – 195.105.33.1

R3 (2) – 194.34.16.1

R3 (3) – 200.100.30.1

R4 (2) – 204.38.28.3

R4 (3) – 194.38.16.1

R1 (1) – 201.101.21.2

1.Запиълване на МТ

Първа итераци – всеки от рутерите записва в таблицата си,съседните мрежи

Каталог: Course%20III
Course%20III -> Конспект по Основи на компютърните комуникации

Изтегляне 438 Kb.

Сподели с приятели: