Гаев А.В. Сети ЭВМ. Учебное пособие

Подождите немного. Документ загружается.

конечных пользователей (пароли файлов, или архивов, индивидуальные

таблицы шифровки/дешифровки данных, таблицы ключей и т.д.);

- прикладные программы на компьютерах сети и их настроечные

таблицы;

- информационные файлы компьютеров сети, базы данных, базы

знаний, текстовые документы, электронная почта и т.п.;

- параметры функционирования сети - ее производительность,

пропускная способность, временные показатели обслуживания пользователей.

Признаками возможного несанкционированного воздействия на сеть,

сопровождаемого ухудшением этих параметров, являются:

- замедление обмена информацией в сети, возникновение необычно

больших очередей обслуживания запросов пользователей, резкое увеличение

трафика в сети или явно преобладающее время загрузки процессора сервера

каким-либо отдельным процессором. Все эти признаки могут быть выявлены и

обслужены только при четко отлаженном аудите и текущем мониторинге

работы сети.

Основными источниками преднамеренного проникновения в сеть

являются:

- хакеры (взломщики сетей), в действиях которых почти всегда

есть состав преступления. Наиболее опасны сформировавшиеся и хорошо

организованные виртуальные группы хакеров;

- уволенные или обиженные сотрудники сети. Они представляют особую

опасность и способны нанести существенный ущерб (особенно если речь идет

об администраторах сети), так как обладают знаниями сети и принципами

защиты информации и по долгу службы имеют доступ к программам

сниффинга (перехвата паролей и имен пользователей в сети, ключей, пакетов и

т.д.);

- профессионалы-специалисты по сетям, посвятившие себя

промышленному шпионажу;

- конкуренты, степень опасности которых зависит от ценности

информации, к которой осуществляется несанкционированный доступ, и от

уровня их профессионализма.

Нейтрализация угроз безопасности осуществляется службами

безопасности (СБ) сети и механизмами реализации функций этих служб.

Документами Международной организации стандартизации (МОС)

определены следующие службы безопасности.

1. Аутентификация,

(подтверждение подлинности) обеспечивает

подтверждение или опровержение того, что объект, предлагающий себя

в качестве отправителя сообщения (источника данных), является именно

таковым как на этапе установления связи между абонентами, так

и на этапе передачи сообщения. .

2. Обеспечение целостности передаваемых данных осуществляет

выявление искажений в передаваемых данных, вставок, повторов, уничтожение

данных. Эта служба имеет модификации и отличия в зависимости от того, в

каких сетях (виртуальных или дейтаграммных) она применяется, какие

действия выполняются при обнаружении аномальных ситуаций (с

восстановлением данных или без восстановления), каков охват передаваемых

данных (сообщение или дейтаграмма в целом либо их части, называемые

выборочными полями).

3. Засекречивание данных обеспечивает секретность передаваемых

данных: в виртуальных сетях - всего передаваемого сообщения или только его

выборочных полей, в дейтаграммных - каждой дейтаграммы или только

отдельных ее элементов. Служба засекречивания потока данных (трафика),

являющаяся общей для виртуальных и дейтаграммных сетей, предотвращает

возможность получения сведений об абонентах сети и характере использования

сети.

4. Контроль доступа обеспечивает нейтрализацию попыток

несанкционированного использования общесетевых ресурсов.

5. Защита от отказов нейтрализует угрозы отказов от информации

со стороны ее отправителя и/иди получателя.

Первые три службы характеризуются различиями для виртуальных и

дейтаграммных сетей, а последние две службы инвариантны по отношению к

этим сетям.

Механизмы реализации функций, указанных СБ, представлены

соответствующими, преимущественно программными средствами. Выделяются

следующие механизмы: шифрование, цифровая подпись, контроль доступа,

обеспечение целостности данных, обеспечение аутентификации, подстановка

трафика, управление маршрутизацией, арбитраж.. Некоторые из них

используются для реализации не одной, а нескольких СБ. Это относится к

шифрованию, цифровой подписи, обеспечению целостности данных,

управлению маршрутизацией.

Использование механизмов шифрования связано с необходимостью

специальной службы генерации ключей и их распределения между абонентами

сети.

Механизмы цифровой подписи основываются на алгоритмах

асимметричного шифрования. Они включают процедуры формирования

подписи отправителем и ее опознавание (верификацию), получателем.

Механизмы контроля доступа, реализующие функции одноименной СБ,

отличаются многообразием. Они осуществляют проверку полномочий

пользователей и программ на доступ к ресурсам сети.

Механизмы обеспечения целостности данных, реализуя функции

одноименных служб, выполняют взаимосвязанные процедуры шифрования и

дешифрования данных отправителя и получателя. Механизмы обеспечения

аутентификации, на практике обычно совмещаемые с шифрованием, цифровой

подписью и арбитражем, реализуют одностороннюю или взаимную

аутентификацию, когда проверка подписи осуществляется либо одним из

взаимодействующих одноуровневых объектов, либо она является взаимной.

Механизмы подстановки трафика, используемые для реализации службы

засекречивания потока данных, основываются на генерации фиктивных блоков,

их шифрования и передаче по каналам связи. Этим и затрудняется и даже

нейтрализуется возможность получения информации об абонентах сети и

характере потоков информации в ней.

Механизмы управления маршрутизацией обеспечивают выбор безопасных,

физически надежных маршрутов для передачи секретных сведений.

Механизмы арбитража обеспечивают подтверждение третьей стороной

(арбитром) характеристик данных, передаваемых между абонентами сети.

Службы безопасности и механизмы реализации их функций распределены

по уровням ЭМВОС.

§ 6. Базовые сетевые технологии

Рассмотрим, каким образом описанные выше общие подходы к решению

наиболее важных проблем построения сетей воплощены в наиболее

популярных сетевых технологиях.

Сетевая технология — это согласованный набор стандартных протоколов

и реализующих их программно-аппаратных средств (например, сетевых

адаптеров, драйверов, кабелей и разъемов), достаточный для построения

вычислительной сети. Эпитет «достаточный» подчеркивает то обстоятельство,

что этот набор представляет собой минимальный набор средств, с помощью

которых можно построить работоспособную сеть.

Термин «сетевая технология» чаще всего используется в описанном выше

узком смысле, но иногда применяется и его расширенное толкование как

любого набора средств и правил для построения сети, например, «технология

сквозной маршрутизации», «технология создания защищенного канала»,

«технология IP-сетей».

Протоколы, на основе которых строится сеть определенной технологии (в

узком смысле), специально разрабатывались для совместной работы, поэтому

от разработчика сети не требуется дополнительных усилий по организации их

взаимодействия. Иногда сетевые технологии называют базовыми

технологиями, имея в виду то, что на их основе строится базис любой сети.

Примерами базовых сетевых технологий могут служить наряду с Ethernet

такие известные технологии локальных сетей как, Token Ring и FDDI, или же

технологии территориальных сетей Х.25 и frame relay. Также можно выделить

технологии ISDN, ATM, SONET и др.

Для получения работоспособной сети в этом случае достаточно

приобрести программные и аппаратные средства, относящиеся к одной базовой

технологии — сетевые адаптеры с драйверами, концентраторы, коммутаторы,

кабельную систему и т. п., - и соединить их в соответствии с требованиями

стандарта на данную технологию.

Рассмотрим самую широко распространенную сетевую технологию –

Ethernet.

Стандарт Ethernet был принят в 1980 году. Число сетей, построенных на

основе этой технологии, к настоящему моменту оценивается в 5 миллионов, а

количество компьютеров, работающих в таких сетях, — в 50 миллионов.

Основной принцип, положенный в основу Ethernet, - случайный метод

доступа к разделяемой среде передачи данных. В качестве такой среды может

использоваться толстый или тонкий коаксиальный кабель, витая пара,

оптоволокно или радиоволны (кстати, первой сетью, построенной на принципе

случайного доступа к разделяемой среде, была радиосеть Aloha Гавайского

университета).

В стандарте Ethernet строго зафиксирована топология электрических

связей. Компьютеры подключаются к разделяемой среде в соответствии с

типовой структурой «общая шина». С помощью разделяемой во времени шины

любые два компьютера могут обмениваться данными. Управление доступом к

линии связи осуществляется специальными контроллерами - сетевыми

адаптерами Ethernet. Каждый компьютер, а более точно, каждый сетевой

адаптер, имеет уникальный адрес. Передача данных происходит со скоростью

10 Мбит/с. Эта величина является пропускной способностью сети Ethernet.

Суть случайного метода доступа сети Ethernet состоит в следующем.

Компьютер в может передавать данные по сети, только если сеть свободна, то

есть если никакой другой компьютер в данный момент не занимается обменом.

Поэтому важной частью технологии Ethernet является процедура определения

доступности среды. После того как компьютер убедился, что сеть свободна, он

начинает передачу, при этом «захватывает» среду.

Время монопольного использования разделяемой среды одним узлом

ограничивается временем передачи одного кадра. Кадр — это единица данных,

которыми обмениваются компьютеры в сети Ethernet. Кадр имеет

фиксированный формат и наряду с полем данных содержит различную служеб-

ную информацию, например адрес получателя и адрес отправителя.

Сеть Ethernet устроена так, что при попадании кадра в разделяемую среду

передачи данных все сетевые адаптеры одновременно начинают принимать

этот кадр. Все они анализируют адрес назначения, располагающийся в одном из

начальных полей кадра, и, если этот адрес совпадает с их собственным адресом,

кадр помещается во внутренний буфер сетевого адаптера. Таким образом

компьютер-адресат получает предназначенные ему данные.

Иногда может возникать ситуация, когда одновременно два или более

компьютера решают, что сеть свободна, и начинают передавать информацию.

Такая ситуация, называемая коллизией, препятствует правильной передаче

данных по сети. В стандарте Ethernet предусмотрен алгоритм обнаружения и

корректной обработки коллизий. Вероятность возникновения коллизии зависит

от интенсивности сетевого трафика.

После обнаружения коллизии сетевые адаптеры, которые пытались

передать свои кадры, прекращают передачу и после паузы случайной

длительности пытаются снова получить доступ к среде и передать тот кадр,

который вызвал коллизию.

Главным достоинством сетей Ethernet, благодаря которому они стали

такими популярными, является их экономичность. Для построения сети

достаточно иметь по одному сетевому адаптеру для каждого компьютера плюс

один физический сегмент коаксиального кабеля нужной длины. Другие базовые

технологии, например Token Ring, для создания даже небольшой сети требуют

наличия дополнительного устройства — концентратора.

Кроме того, в сетях Ethernet реализованы достаточно простые алгоритмы

доступа к среде, адресации и передачи данных. Простота логики работы сети

ведет к упрощению и, соответственно, удешевлению сетевых адаптеров и их

драйверов. По той же причине адаптеры сети Ethernet обладают высокой

надежностью.

И наконец, еще одним замечательным свойством сетей Ethernet является

их хорошая расширяемость, то есть легкость подключения новых узлов.

В современных ЛВС отходят от Ethernet, используя Fast Ethernet или

Gigabit Ehternet, оличающиеся прежде всего скоростью передачи данных

(100Мбит/c или 1Гбит/с соответственно), более высокой надежностью и

поддержкой других топологий.

Другие базовые сетевые технологии – ArcNet, Token Ring, FDDI,

100VGAny-LAN, хотя и обладают многими индивидуальными чертами, в то же

время имеют много общих свойств с Ethernet. В первую очередь - это

применение регулярных фиксированных топологий (иерархическая звезда и

кольцо), а также разделяемых сред передачи данных.

Существенные отличия одной технологии от другой связаны с

особенностями используемого метода доступа к разделяемой среде.

Технология ArcNet (

стандарт 802.4

) стала первой при использовании

детерминированного метода доступа к разделяемой среде передачи

информации с помощью маркерной общей шины.

Сеть Token Ring (стандарт 802.5) спользует маркерное (токенное) кольцо в

качестве детерминированного метода доступа к разделяемой среде передачи

информации.

Технология Token Ring был разработана компанией IBM в 1984 году, а

затем передана в качестве проекта стандарта в комитет IEEE 802, который на ее

основе принял в 1985 году. Компания IBM использует технологию Token Ring в

качестве своей основной сетевой технологии для построения локальных сетей

на основе компьютеров различных классов - мэйнфреймов, мини-компьютеров

и персональных компьютеров.

Сети Token Ring работают с двумя битовыми скоростями - 4 и 16 Мбит/с.

Смешение станций, работающих на различных скоростях, в одном кольце не

допускается. Сети Token Ring, работающие со скоростью 16 Мбит/с, имеют

некоторые усовершенствования в алгоритме доступа по сравнению со

стандартом 4 Мбит/с.

Технология Token Ring является более сложной технологией, чем Ethernet.

Она обладает свойствами отказоустойчивости. В сети Token Ring определены

процедуры контроля работы сети, которые используют обратную связь

кольцеобразной струкуры - посланный кадр всегда возвращается в станцию-

отправитель. В некоторых случаях обнаруженные ошибки в работе сети

устраняются автоматически, например, может быть восстановлен потерянный

маркер. В других случаях ошибки только фиксируются, а их устранение

выполняется вручную обслуживающим персоналом.

Для контроля сети одна из станций выполняет роль так называемого

активного монитора. Активный монитор выбирается во время инициализации

кольца как станция с максимальным значением МАС-адреса. Если активный

монитор выходит из строя, процедура инициализации кольца повторяется и

выбирается новый активный монитор. Чтобы сеть могла обнаружить отказ

активного монитора, последний в работоспособном состоянии каждые 3

секунды генерирует специальный кадр своего присутствия. Если этот кадр не

появляется в сети более 7 секунд, то остальные станции сети начинают

процедуру выборов нового активного монитора.

В сети Token Ring кольцо образуется отрезками кабеля, соединяющими

соседние станции. Таким образом, каждая станция связана со своей

предшествующей и последующей станцией и может непосредственно

обмениваться данными только с ними. Для обеспечения доступа станций к

физической среде по кольцу циркулирует кадр специального формата и

назначения — маркер. В сети Token Ring любая станция всегда

непосредственно получает данные только от одной станции — той, которая

является предыдущей в кольце. Такая станция называется ближайшим

активным соседом, расположенным въиие по потоку (данных) — Nearest

Active Upstream Neighbor, NAUN. Передачу же данных станция всегда

осуществляет своему ближайшему соседу вниз по потоку данных.

Получив маркер, станция анализирует его и при отсутствии у нее данных

для передачи обеспечивает его продвижение к следующей станции. Станция,

которая имеет данные для передачи, при получении маркера изымает его из

кольца, что дает ей право доступа к физической среде и передачи своих

данных. Затем эта станция выдает в кольцо кадр данных установленного

формата последовательно по битам. Переданные данные проходят по кольцу

всегда в одном направлении от одной станции к другой. Кадр снабжен адресом

назначения и адресом источника.

Все станции кольца ретранслируют кадр побитно, как повторители. Если

кадр проходит через станцию назначения, то, распознав свой адрес, эта станция

копирует кадр в свой внутренний буфер и вставляет в кадр признак

подтверждения приема. Станция, выдавшая кадр данных в кольцо, при

обратном его получении с подтверждением приема изымает этот кадр из кольца

и передает в сеть новый маркер для обеспечения возможности другим станциям

сети передавать данные. Такой алгоритм доступа применяется в сетях Token

Ring со скоростью работы 4 Мбит/с.

Время владения разделяемой средой в сети Token Ring ограничивается

временем удержания маркера (token holding time), после истечения которого

станция обязана прекратить передачу собственных данных (текущий кадр

разрешается завершить) и передать маркер далее по кольцу. Станция может

успеть передать за время удержания маркера один или несколько кадров в

зависимости от размера кадров и величины времени удержания маркера.

В сетях Token Ring 16 Мбит/с используется также несколько другой

алгоритм доступа к кольцу, называемый алгоритмом раннего освобождения

маркера. В соответствии с ним станция передает маркер доступа следующей

станции сразу же после окончания передачи последнего бита кадра, не

дожидаясь возвращения по кольцу этого кадра с битом подтверждения приема.

В этом случае пропускная способность кольца используется более эффективно,

так как по кольцу одновременно продвигаются кадры нескольких станций. Тем

не менее свои кадры в каждый момент времени может генерировать только

одна станция - та, которая в данный момент владеет маркером доступа.

Остальные станции в это время только повторяют чужие кадры, так что

принцип разделения кольца во времени сохраняется, ускоряется только

процедура передачи владения кольцом.

Для различных видов сообщений, передаваемым кадрам, могут

назначаться различные приоритеты: от 0 (низший) до 7 (высший). Решение о

приоритете конкретного кадра принимает передающая станция (протокол

Token Ring получает этот параметр, через межуровневые интерфейсы от

протоколов верхнего уровня, например прикладного). Маркер также всегда

имеет некоторый уровень текущего приоритета. Станция имеет право захватить

переданный ей маркер только в том случае, если приоритет кадра, который она

хочет передать, выше (или равен) приоритета маркера. В противном случае

станция обязана передать маркер следующей по кольцу станции.

За наличие в сети маркера, причем единственной его копии, отвечает

активный монитор. Если активный монитор не получает маркер в течение

длительного времени, то он порождает новый маркер.

В Token Ring существуют три различных формата кадров: маркер, кадр

данных, прерывающая последовательность.

Сети Token Ring работают могут использовать в качестве физической

среды экранированную витую пару, неэкранированную витую пару, а также

волоконно-оптический кабель. Максимальное количество станций в кольце -

260, а максимальная длина кольца - 4 км.

Технология Token Ring обладает элементами отказоустойчивости. За счет

обратной связи кольца одна из станций — активный монитор — непрерывно

контролирует наличие маркера, а также время оборота маркера и кадров