|
|
Роли и ответственности в безопасности сетиЧисло устанавливаемых ролей зависит от количества реализуемых процессов безопасности в организации. Во многих организациях можно найти одни и те же типы ролей. Рассмотрим перечень обычно устанавливаемых ролей: 1. Провайдер сервисов - менеджер группы и/или организации, который предоставляет сервисы обработки информации. Обычно эта организация отвечает за обеспечение безопасности компьютерной среды; 2. Менеджер данных - менеджер, отвечающий за управление безопасностью распределяемых данных. В круг ответственности Менеджера данных входят: – оценка уровня конфиденциальности данных с целью их классификации; – установление определенного уровня защиты (в соответствии с этой классификацией); – разрешение или запрет на доступ к данным под его личную ответственность; 3. Аудитор - это лицо, ответственное за: – исполнение политик безопасности; – исполнение процессов безопасности; – периодическое выполнение контрольной оценки безопасности; – задание требований для приложений/инструментов/решений в целях обеспечения требуемой безопасности; 4. Администратор безопасности - это лицо, ответственное за настройку и управление системных средств управления безопасностью. В круг ответственности Администратора безопасности входят следующие обязанности: – обеспечение настройки безопасности системы в соответствии со стандартами и правилами, то есть Администратор безопасности отвечает за установку системных политик, включая парольную политику, политику аудита, политику входа в систему и стандартный доступ к типам ресурсов; – управление атрибутами доступа пользователей путем замены паролей, определения новых и удаления старых идентификаторов пользователей; – выполнение периодических проверок с целью контроля состояния безопасности компьютерной среды; 5. Пользователь данными - в обязанности Пользователя данными входят: – исполнение инструкций безопасности. Например, пароль должен быть нетривиальным и удовлетворять утвержденным синтаксическим правилам. Это нужно применять в любой системе, независимо от существующего управления безопасностью; – использование своих полномочий доступа и системных полномочий только для разрешенного администрацией применения. Каждый пользователь компьютерной среды является Пользователем данными. Аудит и оповещение Под термином аудит подразумевается способность регистрировать все важные с точки зрения безопасности действия, выполненные в компьютерной среде. Под термином оповещение понимают способность оповещать об этих действиях в читабельной форме. Для безопасности очень важна хорошая схема аудита; она должна всегда давать ясную картину состояния безопасности. Более того, схема аудита является мощным пассивным агентом безопасности. Необходимо отметить, что солидная доля угроз безопасности обусловлена обиженными или нечестными сотрудниками. Эффективное отслеживание активности угроз этого типа с помощью аудита является сильным сдерживающим средством. При формировании политики аудита нужно учитывать два аспекта: 1. Необходимо решить, какие события особенно важны для безопасности. Регистрация всех событий подряд - не лучший выбор, а просто бесполезное расходование дискового пространства, такая регистрация может вызвать много проблем при генерации отчета. 2. Необходимо решить, как долго должны храниться записи регистрации, и составить соответствующий план хранения. Вот рекомендация минимального перечня событий для регистрации: 1. все нарушения безопасности, такие как: – неавторизованный доступ к системе; – неправильный пароль; – аннулированный пароль; – неавторизованный доступ к ресурсу; 2. все попытки доступа к чувствительным/важным областям систем; 3. все выдаваемые команды безопасности, использующие административные полномочия; 4. все попытки доступа к ресурсам операционных систем, за исключением доступа по умолчанию. Управление тревожной сигнализацией. Для обеспечения безопасности важно иметь возможность немедленного реагирования, когда предполагается, что компьютерная среда подвергается опасности атаки на систему в попытке получить неавторизованный доступ. Цель состоит в том, чтобы определить в реальном времени, когда возникнет опасность, и выдать сигнал тревоги. Приведем пример последовательности процессов для обнаружения проблемы и выдачи сигнала тревоги: - каждое нарушение безопасности должно генерировать системное событие; - одно системное событие не является неизбежно достаточным, чтобы утверждать, что это опасность; в таком случае подобные события должны накапливаться; - совокупность таких событий должна затем сравниваться с заранее установленной пороговой величиной; - если результат этой совокупности превышает пороговую величину, выдается сигнал тревоги. В результате выполнения этих процессов можно игнорировать неправильный ввод кем-то пароля утром во вторник, но нельзя игнорировать, когда кто-то вводит много неправильных паролей, связанных со многими пользовательскими идентификаторами, в воскресенье вечером. Для управления тревожной сигнализацией важно правильное определение ролей и ответственностей и назначение этих ролей и ответственностей соответствующим менеджерам. Система тревожной сигнализации должна не только анализировать потенциально опасную ситуацию и своевременно выдать тревожный сигнал либо инициировать некоторый автоматический процесс, но и оповестить ответственных должностных лиц, способных оперативно принять необходимые меры.
Компьютерные сети Модели OSI В 1978 году International Standards Organization (ISO) выпустила набор спецификаций, описывающих архитектуру сети с неоднородными устройствами. Исходный документ относился к открытым системам, чтобы все они могли использовать одинаковые протоколы и стандарты для обмена информацией [1], [3], [5],[10], [12]. В 1984 году ISO выпустила новую версию своей модели, названную эталонной моделью взаимодействия открытых систем (Open System Interconnection reference model, OSI). Версия 1984 года стала международным стандартом: именно ее спецификации используют производители при разработке сетевых продуктов, именно ее придерживаются при построении сетей. Эта модель – широко распространенный метод описания сетевых сред. Являясь многоуровневой системой, она отражает взаимодействие программного и аппаратного обеспечения при осуществлении сеанса связи, а также помогает решить разнообразные проблемы. В модели OSI сетевые функции распределены между семью уровнями. Каждому уровню соответствуют различные сетевые операции, оборудование и протоколы. На рисунке 4.1 представлена многоуровневая архитектура модели OSI. На каждом уровне выполняются определенные сетевые функции, которые взаимодействуют с функциями соседних уровней – вышележащего и нижележащего.
Например, сеансовый уровень должен взаимодействовать только с представительским и транспортным уровнем и т.п. Все эти функции подробно описаны. Нижние уровни – 1-й и 2-й – определяют физическую среду передачи данных и сопутствующие задачи (такие, как передача битов данных через плату сетевого адаптера и кабель). Самые верхние уровни определяют, каким способом осуществляется доступ приложений к услугам связи. Чем выше уровень, тем более сложную задачу он решает. Каждый уровень предоставляет несколько услуг (выполняет несколько операций), подготавливающих данные для доставки по сети на другой компьютер. Уровни отделяются друг от друга границами – интерфейсами. Все запросы от одного уровня к другому передаются через интерфейс. Каждый уровень использует услуги нижележащего уровня. Взаимодействие уровней модели OSI Задача каждого уровня — предоставление услуг вышестоящему уровню, маскируя детали реализации этих услуг. При этом каждый уровень на одном компьютере работает так, будто он напрямую связан с таким же уровнем на другом компьютере. Эта логическая, или виртуальная связь между одинаковыми уровнями показана на рисунке 4.2. Однако в действительности связь осуществляется между смежными уровнями одного компьютера – программное обеспечение, работающее на каждом уровне, реализует определенные сетевые функции в соответствии с набором протоколов. Перед подачей в сеть данные разбиваются на пакеты. Пакет (packet) – это единица информации, передаваемая между устройствами сети как единое целое. Пакет проходит последовательно через все уровни программного обеспечения. На каждом уровне к пакету добавляется некоторая информация – форматирующая или адресная, которая необходима для успешной передачи данных по сети. На принимающей стороне пакет проходит через все уровни в обратном порядке. Программное обеспечение на каждом уровне читает информацию пакета, затем удаляет информацию, добавленную к пакету на этом же уровне отправляющей стороной, и передает пакет следующему уровню. Когда пакет дойдет до прикладного уровня, вся адресная информация будет удалена и данные примут свой первоначальный вид.
Таким образом, за исключением самого нижнего уровня сетевой модели, никакой иной уровень не может непосредственно послать информацию соответствующему уровню другого компьютера. Информация на компьютере-отправителе должна пройти через все уровни. Затем она передается по сетевому кабелю на компьютер-получатель и опять проходит сквозь все слои, пока не достигнет того же уровня, с которого она была послана на компьютере-отправителе. Взаимодействие смежных уровней осуществляется через интерфейс. Интерфейс определяет услуги, которые нижний уровень предоставляет верхнему, и способ доступа к ним. Поэтому каждому уровню одного компьютера «кажется», что он непосредственно взаимодействует с таким же уровнем другого компьютера. Далее описывается каждый из семи уровней модели OSI и определяются услуги, которые они предоставляют смежным уровням. Уровень 7, Прикладной (Application) – самый верхний уровень модели OSI. Он представляет собой окно для доступа прикладных процессов к сетевым услугам. Этот уровень обеспечивает услуги, напрямую поддерживающие приложения пользователя, такие, как программное обеспечение для передачи файлов, доступа к базам данных и электронная почта. Нижележащие уровни поддерживают задачи, выполняемые на прикладном уровне. Этот уровень управляет общим доступом к сети, потоком данных и обработкой ошибок. Уровень 6, Представительский (Presentation) определяет формат, используемый для обмена данными между сетевыми компьютерами. Этот уровень можно назвать переводчиком. На компьютере-отправителе данные, поступившие от прикладного уровня на этом этапе переводятся в общепонятный промежуточный формат. На компьютере-получателе на этом уровне происходит перевод из промежуточного формата в тот, который используется прикладным уровнем данного компьютера. Представительский уровень отвечает за преобразование протоколов, трансляцию данных, их шифрование, смену или преобразование применяемого набора символов (кодовой таблицы) и расширение графических команд. Представительский уровень, кроме того, управляет сжатием данных для уменьшения передаваемых битов. На этом уровне работает утилита, называемая редиректором (redirector). Ее назначение – переадресовать операции ввода/вывода к ресурсам сервера. Уровень 5, Сеансовый (Session) позволяет двум приложениям на разных компьютерах устанавливать, использовать и завершать соединение, называемое сеансом. На этом уровне выполняются такие функции, как распознавание имен и защита, необходимые для связи двух приложений в сети. Сеансовый уровень обеспечивает синхронизацию между пользовательскими задачами посредством расстановки в потоке данных контрольных точек (chekpoints). Таким образом, в случае сетевой ошибки потребуется заново передать только данные, следующие за последней контрольной точкой. На этом уровне выполняется управление диалогом между взаимодействующими процессами, т.е. регулируется, какая из сторон осуществляет передачу, когда, как долго и т.д. Уровень 4, Транспортный (Transport) обеспечивает дополнительный уровень соединения – ниже сеансового уровня. Транспортный уровень гарантирует доставку пакетов без ошибок, в той же последовательности, без потерь и дублирования. На этом уровне сообщения переупаковываются: длинные разбиваются на несколько пакетов, а короткие объединяются в один. Это увеличивает эффективность передачи пакетов по сети. На транспортном уровне компьютера-получателя сообщения распаковываются, восстанавливаются в первоначальном виде, и обычно посылается сигнал подтверждения приема. Транспортный уровень управляет потоком, проверяет ошибки и участвует в решении проблем, связанных с отправкой и получением пакетов. Уровень 3, Сетевой (Network) отвечает за адресацию сообщений и перевод логических адресов и имен в физические адреса. Одним словом, исходя из конкретных сетевых условий, приоритета услуги и других факторов, здесь определяется маршрут от компьютера-отправителя к компьютеру-получателю. На этом уровне решаются также такие задачи и проблемы, связанные с сетевым трафиком, как коммутация пакетов, маршрутизация и перегрузки. Если сетевой адаптер маршрутизатора не может передавать большие блоки данных, посланные компьютером-отправителем, то на сетевом уровне эти блоки разбиваются на меньшие. А сетевой уровень компьютера-получателя собирает эти данные в исходное состояние. Уровень 2, Канальный осуществляет передачу кадров данных (frames) от сетевого уровня к физическому. Кадры – это логически организованная структура, в которую можно помещать данные. Канальный уровень компьютера-получателя упаковывает «сырой» поток битов, поступающих от физического уровня, в кадры данных. На рисунке 4.3 представлен простой кадр данных, где идентификатор отправителя – адрес компьютера-отправителя, а идентификатор получателя – адрес компьютера получателя. Управляющая информация используется для маршрутизации, а также указывает на тип пакета и сегментацию. Данные – собственно передаваемая информация. CRC (остаток избыточной циклической суммы) – это сведения, которые помогут выявить ошибки, что, в свою очередь, гарантирует правильный прием информации.
Канальный уровень (Data link) обеспечивает точность передачи кадров между компьютерами через физический уровень. Это позволяет сетевому уровню считать передачу данных по сетевому соединению фактически безошибочной. Обычно, когда канальный уровень посылает кадр, он ожидает со стороны получателя подтверждения приема. Канальный уровень получателя проверяет наличие возможных ошибок передачи. Кадры, поврежденные при передаче, или кадры, получение которых не подтверждено, посылаются вторично. Уровень 1, Физический (Physical) – самый нижний в модели OSI. Этот уровень осуществляет передачу неструктурированного, «сырого» потока битов по физической среде (например, по сетевому кабелю). Здесь реализуются электрический, оптический, механический и функциональный интерфейсы с кабелем. Физический уровень также формирует сигналы, которые переносят данные, поступившие от всех вышележащих уровней. На этом уровне определяется способ соединения сетевого кабеля с платой сетевого адаптера, в частности, количество контактов в разъемах и их функции. Кроме того, здесь определяется способ передачи данных по сетевому кабелю. Физический уровень предназначен для передачи битов (нулей и единиц) от одного компьютера к другому. Содержание самих битов на данном уровне значения не имеет. Этот уровень отвечает за кодирование данных и синхронизацию битов, гарантируя, что переданная единица будет воспринята именно как единица, а не как ноль. Наконец, физический уровень устанавливает длительность каждого бита и способ перевода бита в соответствующие электрические или оптические импульсы, передаваемые по сетевому кабелю. Сетевые протоколы Среди множества протоколов наиболее популярны следующие [1–3], [24–26]: – TCP/IP; – NetBEUI; – Х.25; – Xerox Network System (XNS™); – IPX/SPX и NWLink; – APPC; – AplleTalk; – набор протоколов 0 SI; – DECnet. Transmission Control Protocol/Internet Protocol (TCP/IP) – промышленный стандартный набор протоколов, которые обеспечивают связь в гетерогенной (неоднородной) среде, т.е. обеспечивают совместимость между компьютерами разных типов. Совместимость – одно из основных преимуществ TCP/IP, поэтому большинство ЛВС поддерживает его. Кроме того, TCP/IP предоставляет доступ к ресурсам Интернета, а также маршрутизируемый протокол для сетей масштаба предприятия. Поскольку TCP/IP поддерживает маршрутизацию, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия. К другим специально созданным для набора TCP/IP протоколам относятся: – SMTP (Simple Mail Transfer Protocol) – электронная почта; – FTP (File Transfer Protocol) – обмен файлами между компьютерами, поддерживающими TCP/IP; – SNMP (Simple Network Management Protocol) – управление сетью. Протокол TCP/IP имеет два главных недостатка: размер и недостаточная скорость работы. TCP/IP – относительно большой стек протоколов, который может вызвать проблемы у MS-DOS-программ. Однако для таких операционных систем, как Windows, размер не является проблемой, а скорость работы сравнима со скоростью протокола IPX. NetBEUI – расширенный интерфейс NetBIOS. Первоначально NetBIOS и NetBEUI были тесно связаны и рассматривались как один протокол. Затем некоторые производители ЛВС так обособили NetBIOS, протокол сеансового уровня, что он уже не мог использоваться наряду с другими маршрутизируемыми транспортными протоколами NetBIOS (Network Basic Input/Output System – сетевая базовая система ввода/вывода) – это IBM-интерфейс сеансового уровня с ЛВС, который выступает в качестве прикладного интерфейса с сетью. Этот протокол предоставляет программам средства для осуществления сеансов связи с другими сетевыми программами. Он очень популярен, так как поддерживается многими приложениями. NetBEUI – небольшой, быстрый и эффективный протокол транспортного уровня, который поставляется со всеми сетевыми продуктами фирмы Microsoft. Он появился в середине 80-х годов в первом сетевом продукте Microsoft – MS®-NET. К преимуществам NetBEUI относятся небольшой размер стека (важно для MS-DOS-приложений), высокая скорость передачи данных по сети и совместимость со всеми сетями Microsoft. Основной недостаток NetBEUI – он не поддерживает маршрутизацию. Это ограничение относится ко всем сетям Microsoft. Х.25 – набор протоколов для сетей с коммутацией пакетов. Его использовали службы коммутации, которые должны были соединять удаленные терминалы с мэйнфреймами. Xerox Network System (XNS) был разработан фирмой Xerox для своих сетей Ethernet. Его широкое использование началось с 80-х годов, но постепенно он был вытеснен протоколом TCP/IP. XNS – большой и медленный протокол, к тому же он применяет значительное количество широковещательных сообщений, что увеличивает трафик сети. Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) – стек протоколов, используемый в сетях Novell. Как и NetBEUI, относительно небольшой и быстрый протокол. Но, в отличие от NetBEUI, он поддерживает маршрутизацию. IPX/SPX – «наследник» XNS. NWLink – реализация IPX/SPX фирмой Microsoft. Это транспортный маршрутизируемый протокол. АРРС (Advanced Program-to-Program Communication) – транспортный протокол фирмы IBM, часть Systems Network Architecture (SNA). Он позволяет приложениям, работающим на разных компьютерах, непосредственно взаимодействовать и обмениваться данными. AppleTalk – собственный стек протоколов фирмы Apple Computer, позволяющий компьютерам Apple Macintosh совместно использовать файлы и принтеры в сетевой среде. DECnet – собственный стек протоколов фирмы Digital Equipment Corporation. Этот набор аппаратных и программных продуктов реализует архитектуру Digital Network Architecture (DNA). Указанная архитектура определяет сети на базе локальных вычислительных сетей Ethernet, сетей FDDI MAN (Fiber Distributed Data Interface Metropolitan Area Network) и глобальных вычислительных сетей, которые используют средства передачи конфиденциальных и общедоступных данных. DECnet может использовать как протоколы TCP/IP и OSI, так и свои собственные. Данный протокол принадлежит к числу маршрутизируемых. Несколько раз DECnet обновлялся; каждое обновление называется фазой. Текущая версия – DECnet Phase V. Используются как собственные протоколы DEC, так достаточно полная реализация набора протоколов OSI. Протокольный стек TCP/IP Комплект протоколов TCP/IP (Transmission Control Protocol/Internet Protocol) разрабатывался для сети Интернет (Internet Protocol Suite), в настоящее время он широко распространен как в локальных, так и в глобальных сетях [1–3], [24–26]. Комплект протоколов Интернета состоит из набора общедоступных (по сети) документов RFC (Request For Comments – предложения к обсуждению), созданных коллективными усилиями мирового сетевого сообщества. Передача данных в Интернете основана на принципе коммутации пакетов, в соответствии с которым поток данных, передаваемых от одного узла к другому, разбивается на пакеты, передающиеся в общем случае через систему коммуникаций и маршрутизаторов независимо друг от друга и вновь собирающиеся на приемной стороне. Весь комплект базируется на IP-протоколе негарантированной доставки пакетов (дейтаграмм) без установления соединения (unreliable connectionless packet delivery). Информация в ТСР/IP передается пакетами со стандартизованной структурой, называемыми IP-дейтаграммами (IP Datagram), имеющими поле заголовка (IP Datagram Header) и поле данных (IP Datagram Data). Формат заголовка приведен в таблице 4.1, где он показан в виде 32-битных слов. Конечные узлы – отправители и получатели информации, называются хостами (host), промежуточные устройства, оперирующие IP-пакетами (анализирующие и модифицирующие информацию IP-заголовков), называют шлюзами (gateway). Таблица 4.1 - Формат заголовка IP-дейтаграммы
Поля заголовков имеют следующие назначения. Version, 4 бита – номер версии протокола, определяющий формат заголовка. В настоящее время широко используется версия 4, и дальнейшее описание относится к ней. IHL (Internet Header Length), 4 бита – длина заголовка в 32-битных словах (не менее 5). Type of Service, 8 бит – абстрактное описание качества сервиса: – биты 0-2 – Precedence (старшинство, преимущество) – параметр, определяющий приоритет трафика (большему значению соответствует больший приоритет); – бит 3 – Delay (задержка): 0 – нормальная, 1 – малая; – бит 4 – Throughput (пропускная способность): 0 – нормальная, 1 – высокая; – бит 5 – Reliability (надежность): 0 – нормальная, 1 – высокая; – биты 6-7 – резерв. Total Length, 16 бит – общая длина дейтаграммы (заголовок и данные) в октетах (байтах). Допускается длина до 65 535 байт, но все хосты, безусловно, допускают прием пакетов длиной только до 576 байт. Пакеты большей длины рекомендуется посылать только по предварительной договоренности с принимающим хостом. Identification, 16 бит – идентификатор, назначаемый посылающим узлом для сборки фрагментов дейтаграмм. Flags, 3 бита – управляющие флаги: · бит 0 – резерв, должен быть нулевым; · бит 1 – DF (Don't Fragment – запрет фрагментирования):0 – дейтаграмму можно фрагментировать, 1 – нельзя; · бит 2 – MF (More Fragments – будут еще фрагменты): 0 – последний фрагмент, 1 – не последний. Fragment Offset, 13 бит – местоположение фрагмента в дейтаграмме (смещение в 8-байтных блоках). Первый фрагмент имеет нулевое смещение. Time to Live (TTL), 8 бит – время жизни пакета в сети, формально – в секундах. Нулевое значение вызывает необходимость удаления дейтаграммы. Начальное значение задается отправителем, шлюзы декрементируют поле по получении пакета и каждую секунду пребывания пакета в очереди на обработку (пересылку). Поскольку современное оборудование редко задерживает пакет более чем на секунду, это поле может использоваться для подсчета промежуточных узлов (hop count). Заданием TTL можно управлять дальностью распространения пакетов: при TTL=1 пакет не может выйти за пределы подсети отправителя. Protocol, 8 бит – идентификатор протокола более высокого уровня, использующего поле данных пакета. Header Checksum, 16 бит – контрольная сумма заголовка, которая должна проверяться и пересчитываться в каждом шлюзе в связи с модификацией некоторых полей (TTL). Source Address, 32 бита – IP-адрес отправителя. Destination Address, 32 бита – IP-адрес получателя. Options – опции пакета, длина произвольна (опции могут и отсутствовать). В дейтаграмму длиной 576 байт умещается 512-байтный блок данных и 64-байтный заголовок (размер заголовка может составлять 20–60 байт). Длина дейтаграммы определяется сетевым ПО так, чтобы она умещалась в поле данных сетевого кадра, осуществляющего транспортировку. Поскольку по пути следования к адресату могут встречаться сети с меньшим размером поля данных кадра, IP специфицирует единый для всех маршрутизаторов метод сегментации – разбивки дейтаграммы на фрагменты (тоже IP-дейтаграммы) и реассемблирования – обратной ее сборки приемником. Фрагментированная дейтаграмма собирается только ее окончательным приемником, поскольку отдельные фрагменты могут добираться до него различными путями. Порядок сборки определяется смещением фрагмента, перекрытие фрагментов и даже выход фрагмента за заявленный размер собираемого пакета, как правило, не контролируются. На основе этих свойств алгоритма сборки «умельцы» осуществляют взлом сетевых ОС. Возможна также конкатенация – соединение нескольких дейтаграмм в одну и сепарация – действие, обратное конкатенации. Казавшийся вполне достаточным во времена разработки формат заголовка пакета стал уже тесным. В настоящее время готовится переход на протокол IP v.6, который имеет следующие основные отличия:
Дальнейшее изложение относится к существующей 32-битной адресации IP v.4. Адресация в IP В отличие от физических (MAC) адресов, формат которых зависит от конкретной сетевой технологии, IP-адрес любого узла сети представляется 32-разрядным двоичным числом. Соответствие IP-адреса узла его физическому адресу внутри сети (подсети) устанавливается динамически посредством широковещательных запросов ARP-протокола. При написании IP-адрес состоит из четырех чисел в диапазоне 0-255, представляемых в двоичной, восьмеричной, десятичной или шестнадцатеричной системе счисления и разделяемых точками. В таблице 4.2 приведена структура адресов пяти классов сетей. Сети класса D предназначены для группового (multicast) вещания. Адреса 127.х.х.х зарезервированы для отладочных целей. Пакет, посланный протоколом верхнего уровня по любому из этих адресов (обычно используют 127.0.0.1), по сети не распространяется, а сразу поступает вверх по протокольному стеку того же узла (loopback). Таблица 4.2 – Адресация IP-сетей по классам
В настоящее время распространена форма задания префикса в виде маски (под)сети. Маска представляет собой 32-битное число, представляемое по общим правилам записи IP-адреса, у которого старшие биты, соответствующие префиксу, имеют единичное значение, младшие (локальная хост-часть) – нулевые. Маски могут принимать значения из ограниченного списка, приведенного в таблице 4.3. Перед ненулевым байтом маски могут быть только значения 255, после байта, отличного от 255 – только нули. Образование байта маски поясняет табл.3.3. Количество допустимых адресов хостов в (под)сети (с учетом резервирования крайних значений адреса) определяется по формуле
где Р – длина префикса, префиксы длиной 31 или 32 бита непригодны для употребления, префикс длиной 30 бит позволяет адресовать только два узла (используется при двухточечных соединениях по РРР). Таблица 4.3 – Длина префикса, значение маски и количество узлов подсети
В десятичном представлении диапазоны адресов и маски сетей стандартных классов имеют следующие значения:
Деление на сети носит административный характер – адреса сетей, входящих в глобальную сеть Интернет, распределяются централизованно организацией Internet NIС (Internet Network Information Center). Деление сетей на подсети может осуществляться владельцем адреса сети произвольно. При использовании масок техническая грань между сетями и подсетями практически стирается. Для частных сетей, не связанных маршрутизаторами с глобальной сетью, выделены специальные адреса сетей (так называемые фейковые адреса):
В таблице 4.4 приведены примеры разбивки сети 192.168.0.0 класса С на четыре подсети: S1 – 126 узлов (маска 255.255.255.128), S2 – 62 узла (маска 255.255.255.192), S3 и S4 – по 30 узлов (маски 255.255.255.224). Графическое представление пространства адресов наглядно показывает ошибки несогласованности адреса и размера подсети (определяемого маской). Таблица 4.4 – Примеры распределения адресов IP-сети
IР-адреса и маски назначаются узлам при их конфигурировании вручную или автоматически с использованием DHCP- или BootP-серверов. Ручное назначение адресов требует внимания – некорректное назначение адресов и масок приводит к невозможности связи по IP, однако с точки зрения надежности и безопасности (защиты от несанкционированного доступа) оно имеет свои преимущества. DHCP (Dynamic Host Configuration Protocol) – протокол, обеспечивающий автоматическое динамическое назначение IP-адресов и масок подсетей для узлов-клиентов DHCP-сервера. Адреса вновь активированным узлам назначаются автоматически из области адресов (пула), выделенных DHCP-cepвepy. По окончании работы узла его адрес возвращается в пул и в дальнейшем может назначаться для другого узла. Применение DHCP облегчает инсталляцию и диагностику для узлов, а также снимает проблему дефицита IP-адресов (реально отнюдь не все клиенты одновременно работают в сети). Протокол BootP выполняет аналогичные функции, но использует статическое распределение ресурсов. При инициализации узел посылает широковещательный запрос, на который BootP-сервер ответит пакетом с IP-адресом, маской, а также адресами шлюзов (gateways) и серверов службы имен (nameservers). Эти данные хранятся в списке, составленном по МАС-адресам клиентов BootP, хранящимся на сервере. Естественно, что по отключении узла его IP-адрес не может быть использован другими узлами. Проводные сети Базовые топологии Все сети строятся на основе трех базовых топологий [1], [5], [10], [17]:
Если компьютеры подключены вдоль одного кабеля (сегмента), топология называется шиной. В том случае, когда компьютеры подключены к сегментам кабеля, исходящим из одной точки или концентратора, топология называется звездой. Если кабель, к которому подключены компьютеры, замкнут в кольцо, то такая топология носит название кольца. Хотя сами по себе базовые топологии несложны, в реальности часто встречаются довольно сложные комбинации, объединяющие свойства нескольких топологий. Топология «шина» Топологию «шина» часто называют «линейная шина» (linear bus). Данная топология относится к наиболее простым и широко распространенным топологиям. В ней используется один кабель, именуемый магистралью, или сегментом, вдоль которого подключены все компьютеры сети (рисунок 4.4).
В сети с топологией «шина» компьютеры адресуют данные конкретному компьютеру, передавая их по кабелю в виде электрических сигналов. Чтобы понять процесс взаимодействия компьютеров по шине, необходимо определить следующие понятия:
Данные в виде электрических сигналов передаются всем компьютерам сети, однако информацию принимает только тот, адрес которого соответствует адресу получателя, зашифрованному в этих сигналах. Причем в каждый момент времени только один компьютер может вести передачу. Так как данные в сеть передаются лишь одним компьютером, ее производительность зависит от количества компьютеров, подключенных к шине. Чем их больше, т.е. чем больше компьютеров, ожидающих передачи данных, тем медленнее сеть. Однако вывести прямую зависимость между пропускной способностью сети и количеством компьютеров в ней нельзя. Ибо кроме числа компьютеров на быстродействие сети влияет множество факторов, в том числе:
|
