Уровень приложений (Application Layer).
Физический уровень (Physical Layer) обеспечивает виртуальную линию связи для передачи данных между узлами сети. На этом уровне выполняется преобразование данных, поступающих от следующего, более высокого уровня (уровень управления передачей данных), в сигналы, передающиеся по кабелю.
В глобальных сетях на этом уровне могут использоваться модемы и интерфейс RS-232-C. Характерные скорости передачи здесь определяются линиями связи и для телефонных линий (особенно отечественных) обычно не превышают 2400 бод.
В локальных сетях для преобразования данных применяются сетевые адаптеры, обеспечивающие скоростную передачу данных в цифровой форме. Скорость передачи данных может достигать десятков и сотен мегабит в секунду.
Уровень управления линией передачи данных (Data Link) обеспечивает виртуальную линию связи более высокого уровня, способную безошибочно передавать данные в асинхронном режиме. При этом данные обычно передаются блоками, содержащими дополнительную управляющую информацию. Такие блоки называют кадрами.
При возникновении ошибок автоматически выполняется повторная посылка кадра. Кроме того, на уровне управления линией передачи данных обычно обеспечивается правильная последовательность передаваемых и принимаемых кадров. Последнее означает, что если один компьютер передает другому несколько блоков данных, то принимающий компьютер получит эти блоки данных именно в той последовательности, в какой они были переданы.
Сетевой уровень (Network Layer) предполагает, что с каждым узлом сети связан некий процесс. Процессы, работающие на узлах сети, взаимодействуют друг с другом и обеспечивают выбор маршрута передачи данных в сети (маршрутизацию), а также управление потоком данных в сети. В частности, на этом уровне должна выполняться буферизация данных.
Транспортный уровень (Transport Layer) может выполнять разделение передаваемых сообщений на пакеты на передающем конце и сборку на приемном конце. На этом уровне может выполняться согласование сетевых уровней различных несовместимых между собой сетей через специальные шлюзы. Например, такое согласование потребуется для объединения локальных сетей в глобальные.
Сеансовый уровень (Session Layer) обеспечивает интерфейс с транспортным уровнем. На этом уровне выполняется управление взаимодействием между рабочими станциями, которые участвуют в сеансе связи. В частности, на этом уровне выполняется управление доступом на основе прав доступа.
Уровень представления (Presentation Layer) описывает шифрование данных, их сжатие и кодовое преобразование. Например, если в состав сети входят рабочие станции с разным внутренним представлением данных (ASCII для IBM PC и EBCDIC для IBM-370), необходимо выполнить преобразование.
Уровень приложений (Application Layer) отвечает за поддержку прикладного программного обеспечения конечного пользователя.
Другие стандарты
Модель OSI обращается с данными так, как будто мир за пределами компьютера переполнен опасностями. Каждый пакет сопровождается и упаковывается так, как молодая мать снаряжает своего единственного ребенка на прогулку зимой. Результатом этого является сверхвысокая надежность обмена информации, однако замедляется передача и усложняется реализация модели.
.2Протоколы компьютерных сетей
Сетевые транспортные протоколы обеспечивают базовые функции, необходимые компьютерам для коммуникаций с сетью. Такие протоколы реализуют полные эффективные каналы коммуникаций между компьютерами.
Транспортный протокол можно рассматривать как зарегистрированную почтовую службу. Вы передаете конверт (данные) в почтовое отделение, а затем остается убедиться, что почта дошла до адресата. Аналогично, транспортный протокол гарантирует, что передаваемые данные доходят до заданного адресата, проверяя получаемую от него квитанцию. Он выполняет контроль и исправление ошибок без вмешательства более высокого уровня.
Основными сетевыми протоколами являются:
NetBEUI
NWLink (IPX/SPX)
TCP/IP
Каждый сетевой транспортный протокол имеет свои достоинства и недостатки.
)NetBEUIозначает «расширенный пользовательский интерфейс». Он реализует транспортный протокол NetBIOS Frame (NBF), разработанный IBM в середине 80-х годов для поддержки локальных сетей рабочих групп с операционными системами OS/2 и LAN Manager. Этот протокол проектировался для рабочих групп, насчитывающих от 2 до 200 компьютеров. Он не допускает маршрутизации между сетями и поэтому ограничен небольшими локальными сетями.
2)NWLink
Протокол NWLink представляет собой реализацию Microsoft стека протоколов IPX/SPX компании Novell. Клиенты и серверы Microsoft могут постепенно добавляться к существующим сетям, что облегчает переход с одной платформы на другую, устраняя необходимость резкой смены сетевого стандарта.
Этот протокол можно рассматривать как сетевой протокол среднего класса. Он реализует относительно разумный компромисс между простым немаршрутизируемым транспортным протоколом NetBEUI и сложным маршрутизируемым протоколом TCP/IP.
3)TCP/IP
Протокол управления передачей/межсетевой протокол (Transmission Control Protocol/Internet Protocol) и комплект соответствующих протоколов были разработаны Агентством перспективных исследований и разработок (ARPA, Advanced Projects Research Agency, позднее DARPA) Министерства обороны США в соответствии с проектом межсетевого взаимодействия, реализация которого началась в 1969 г. В настоящее время TCP/IP является наиболее широко распространенным протоколом межкомпьютерных коммуникаций и применяется в глобальной сети Internet. Первоначально ARPA создала TCP/IP для соединения сетей военного назначения, а затем бесплатно предложила стандарты протоколов для правительственных учреждений и университетов.
Университеты быстро адаптировали данный протокол для обеспечения
взаимодействия своих сетей. Сотрудничество деятелей университетской науки позволило спроектировать протоколы более высокого уровня для самых различных целей - поддержки рабочих групп, передачи электронной почты, печати, удаленной загрузки и даже просмотра документов.
1.3Стандарты компьютерных сетей
Функционирование локальной сети обусловлено разнообразными стандартами, в частности моделью взаимодействия открытых систем. Кроме того, на основе модели ISO/OSI создано множество стандартов, которые ориентированы на передачу данных в локальной сети с достаточными по современным меркам скоростью и безопасностью.
На сегодня существует уже достаточно много технологий построения локальной сети. Однако независимо от того, какие топологии, каналы связи и методы передачи данных используются, все они реализованы и описаны в так называемых сетевых стандартах. Таким образом, стандарт - это набор правил и соглашений, используемых при создании локальной сети и организации передачи данных с применением определенной топологии, оборудования, протоколов и т. д.
Логично, что сами по себе эти стандарты не появляются: они - результат слаженной работы множества организаций. Принимая во внимание современные требования и возможности, организации разрабатывают все необходимые правила, использование которых позволяет создать сеть с необходимыми возможностями. К числу таких организаций относятся международная организация по стандартизации, международная комиссия по электротехнике (International Electrotechnical Commision, IEC), международный союз электросвязи (International Tйlйcommunications Union, ITU), институт инженеров электротехники и радиоэлектроники (Institute of Electrical and Electronic Engineers, IEEE), ассоциация производителей компьютеров и оргтехники (Computer and Business Equipment Manufacturers Association, CBEMA), американский национальный институт стандартов (American National Standards Institute, ANSI) и др. Каждая из этих организаций проводит практические исследования и вносит в создаваемые стандарты коррективы.
Существует достаточно большое количество сетевых стандартов, касающихся абсолютно всех аспектов работы сети. Однако если разработка стандартов относится к определенному типу сети, то имеется четкое разделение на уровне комитетов. При этом в состав комитета входят организации, непосредственно связанные с разрабатываемыми стандартами, то есть те, которые действительно понимают, что они делают и что от них зависит.
Что касается локальных компьютерных сетей, то за разработку сетевых стандартов отвечает комитет 802 по стандартизации локальных сетей, который в 1980 году был сформирован под эгидой IEEE (Институт инженеров электротехники и радиоэлектроники). Именно поэтому все стандарты, разрабатываемые этим комитетом, в своем названии содержат IEEE802.
В составе комитета 802 находится большое количество подкомитетов, каждый из которых работает по своему направлению и отвечает за стандартизацию разных типов сети и создание отчетов, описывающих процессы, которые возникают при передаче разного рода данных.
Наиболее известными подкомитетами являются следующие.
□ IEEE 802.1. Данный подкомитет занимается разработкой стандартов межсетевого взаимодействия и управления сетевыми устройствами. Он разрабатывает стандарты по управлению локальной сетью, принципам и логике работы активного сетевого оборудования, безопасности протоколов MAC-уровня и т. д.
□ IEEE 802.2. Этот подкомитет занимается разработкой стандартов для протоколов канального уровня, осуществляющих логическое управление средой передачи данных.
□ IEEE 802.3. Работа данного подкомитета представляет особый интерес в рамках данной книги, поскольку именно он занимается разработкой стандартов для проводных сетей стандарта Ethernet, которые для доступа к среде передачи данных используют метод множественного доступа с контролем несущей частоты и обнаружением коллизий CSMA/CD. Данный комитет разработал более 30 стандартов, большая часть которых находит свое применение в современных локальных сетях.
□ IEEE 802.4. Этот комитет разрабатывает стандарты для локальных сетей, которые используют маркерный метод доступа к передающей сети и топологию «шина».
□ IEEE 802.5. Данный комитет разрабатывает правила и спецификации для локальных сетей, которые в качестве метода доступа к среде передачи данных используют метод маркера, а в основе сети лежит топология «кольцо».
□ IEEE 802.6. Стандарты данного комитета описывают принципы и правила функционирования сетей городского масштаба (MAN).
□ IEEE 802.15. Данный комитет разрабатывает стандарты для персональных беспроводных сетей, использующих такие технологии передачи данных, как ZigBee, Bluetooth и т. д.
□ IEEE 802.16. Внимание этого комитета занято стандартизацией функционирования локальных сетей (WiMAX) с использованием беспроводной связи в широком диапазоне частот (2-66 ГГц).
компьютерный сеть шифрование информация
2.Программные и программно-аппаратные методы защиты
.1Шифрование данных
Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации. Финансовые службы компаний (прежде всего в США) представляют собой важную и большую пользовательскую базу и часто предъявляют специфические требования к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES (см. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).
Шифрование данных может осуществляться в режимах On-line (темпе поступления информации) и Off-line (автономном). Остановимся подробнее на первом типе, представляющем большой интерес. Наиболее распространены два алгоритма.
Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией американских банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах.
При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.
Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов.технически является симметричным алгоритмом, а RSA -ассиметричным, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрования сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.
.2Защита от компьютерных вирусов
По данным исследования, проведенного фирмой Creative Strategies Research, 64% из 451 опрошенного специалиста испытали на себе действие вирусов. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100-150 новых версий ежемесячно. Наиболее распространенными методами защиты от вирусов остаются различные антивирусные программы.
В качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера. Корпорация Intel в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную программу, сканирующую все системы компьютера еще до его загрузки.
.3Защита от несанкционированного доступа
Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится не из-за злого умысла, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим помимо контроля доступа необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых ОС - корпорация Novell - в своем продукте NetWare 4.1 предусмотрела помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу открытого ключа (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.
В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Не секрет, что пароль можно подсмотреть или подобрать. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход - пароль + идентификация пользователя по персональному ключу. В качестве ключа может использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart-card) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.
Оснастив сервер или сетевые рабочие станции, например, устройством чтения смарт-карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против перехвата пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.
Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд DOS. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:
база данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.;
авторизационный сервер (authentication server), обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг. Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации;
Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера пропуск, содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий пропуск, передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки пропуска сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает разрешение на использование сетевой аппаратуры или программ.
Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.
.4Защита информации при удаленном доступе
По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Datapro свидетельствует, что уже в 1995 году только в США число работников, постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек. Чаще всего для организации удаленного доступа используются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.
В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным перехват данных при незаконном подключении хакера к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки перехваченных данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.
Разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:
шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).
Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от хакеров, вооруженных разнообразными сканирующими устройствами.
Были применены разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радиосетях и технологии шифрования данных при помощи алгоритмов DES и RSA.
Библиографический список
1.«Интернет у вас дома», С. В. Симонович, В. И. Мураховский, ООО «АСТ-Пресс Книга», Москва 2002г.
2.Виснадул Б.Д., Лупин С.А., Сидоров СВ., Чумаченко П.Ю «Основы компьютерных сетей» 2007 г. - 272с.
3.Интернет-ресурс «Википедия - свободная библиотека» - зарегистрированная торговая марка, 2003-2010г.
4.Интернет-ресурс «Мегаэнциклопедия Кирилла и Мефодия» «Кирилл и Мефодий», 1998-2009г
5.Камалян А.К., Кулев С.А., Назаренко К.Н. и др. Компьютерные сети и средства защиты информации: Учебное пособие /Камалян А.К., Кулев С.А., Назаренко К.Н. и др. - Воронеж: ВГАУ, 2003г.-119с.
6.Малышев Р.А. Локальные вычислительные сети: Учебное пособие/ РГАТА. - Рыбинск, 2005г. - 83с.
.Основы компьютерных сетей. - Корпорация Microsoft, 2005г. - 166 с.
.Курносов А.П.,. Кулев С.А, Улезько А.В.. и др. Информатика: Учебник для вузов.- М.: КолосС, 2005. - 284 с.
9.Практикум по информатике : учеб. пособие для студентов, обучающихся по специальности 080502.65 "Экономика и управление на предприятии АПК" / А.П. Курносов [и др.] ; под ред. А. В. Улезько.- М.: КолосС, 2008 .- 415 с. : ил .- ISBN978-5-9532-0544-3
.Компьютерные сети и средства защиты информации: Учебное пособие/Камалян