Защита данных

7.1.1. Защита данных

Защита информации - ключевая проблема, которую нужно решить для превращения Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения гарантий конфиденциальности передаваемой информации бум вокруг Internet быстро утихнет, оставив ей роль поставщика интересной информации.

Сегодня защиту информации в Internet обеспечивают различные нестандартные средства и протоколы - firewall'ы корпоративных сетей и специальные прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию сторон и шифрацию передаваемых данных для какого-либо определенного прикладного протокола, в данном случае - электронной почты.

Существуют также протоколы, которые располагаются между прикладным и транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого типа является протокол SSL (SecureSocketLayer), предложенный компанией NetscapeCommunications, и широко используемый в серверах и браузерах службы WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов прикладного уровня, но недостаток их заключается в том, что приложения нужно переписывать заново, если они хотят воспользоваться средствами защиты, так как в приложения должны быть явно встроены вызовы функций протокола защиты, расположенного непосредственно под прикладным уровнем.

Проект IPv6 предлагает встроить средства защиты данных в протокол IP. Размещение средств защиты на сетевом уровне сделает их прозрачными для приложений, так как между уровнем IP и приложением всегда будет работать протокол транспортного уровня. Приложения переписывать при этом не придется.

В протоколе IPv6 предлагается реализовать два средства защиты данных. Первое средство использует дополнительный заголовок "AuthenticationHeader" и позволяет выполнять аутентификацию конечных узлов и обеспечивать целостность передаваемых данных. Второе средство использует дополнительный заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и конфиденциальность данных.

Разделение функций защиты на две группы вызвано практикой, применяемой во многих странах на ограничение экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрации. Каждое из имеющихся двух средств защиты данных может использоваться как самостоятельно, так и одновременно с другим.

В проектах протоколов защиты данных для IPv6 нет привязки к определенным алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"), алгоритмы распределения ключей и алгоритмы шифрации могут использоваться любые. Параметры, которые определяют используемые алгоритмы защиты данных, описываются специальным полем SecurityParametersIndex, которое имеется как в заголовке "AuthenticationHeader", так и в заголовке "EncapsulatingSecurityPayload".

Тем не менее, для обеспечения совместимой работы оборудования и программного обеспечения на начальной стадии реализации протокола IPv6 предложено использовать для аутентификации и целостности широко распространенный алгоритм хеш-функции MD5 с секретным ключом, а для шифрации сообщений - алгоритм DES.

Ниже приведен формат заголовка AuthenticationHeader.

Протокол обеспечения конфиденциальности, основанный на заголовке "EncapsulatingSecurityPayload", может использоваться в трех различных схемах.

В первой схеме шифрацию и дешифрацию выполняют конечные узлы. Поэтому заголовок пакета IPv6 остается незашифрованным, так как он нужен маршрутизаторам для транспортировки пакетов по сети.

Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы, которые отделяют частные сети предприятия от публичной сети Internet. Эти маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных узлов в исходном виде, а затем инкапсулируют (эта операция и дала название заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они посылают от своего имени. Информация, находящаяся в заголовке "EncapsulatingSecurityPayload", помогает другому пограничному маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и направить узлу-получателю.

В третьей схеме один из узлов самостоятельно выполняет операции шифрации-дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.

7.1.2. Гарантированная пропускная способность

Многие аналитики считают, что сеть Internet сможет приспособиться к требованиям времени только в том случае, если она сможет предложить своим абонентам такие же гарантии по предоставляемой пропускной способности, которые сегодня являются обычными для пользователей сетей framerelay и ATM. Это значит, что сети IP должны достаточно тонко различать классы трафика и, в зависимости от класса, гарантировать либо определенную постоянную пропускную способность (например, для голосового трафика), либо среднюю интенсивность и максимальную пульсацию трафика (например, для передачи компрессированного видеоизображения), либо предоставлять полосу пропускания не ниже определенного уровня (для пульсирующего компьютерного трафика).

Для обеспечения заданного качества обслуживания в протокол IPv6 введено такое понятие как "метка потока" (flowlabel). Метка потока - это признак, размещаемый в основном заголовке IP-пакета и указывающий принадлежность данного пакета к последовательности пакетов - потоку, для которого требуется обеспечить определенные параметры обслуживания, отличные от принятых по умолчанию.

Для того, чтобы конечные узлы могли сообщить маршрутизаторам сети требования к качеству обслуживания своих потоков, необходим дополнительный протокол. Именно для этой цели разработан протокол резервирования ресурсов RSVP (ResourcereSerVationProtocol). Этот протокол имеет пока статус проекта стандарта (draft) и состоит в следующем.

Узел-источник, который собирается передавать данные, требующие определенного нестандартного качества обслуживания, например постоянной полосы пропускания для передачи видеоинформации, посылает по сети по протоколу RSVP специальное сообщение. Это сообщение, называемое сообщением о пути, содержит данные о том, какую информацию собирается пересылать по образуемому потоку узел-отправитель, и какая пропускная способность нужна для получения ее с хорошим качеством. Это сообщение передается от маршрутизатора к маршрутизатору, при этом определяется последовательность маршрутизаторов, в которых нужно зарезервировать определенную пропускную способность.

Когда узел назначения получает сообщение о пути, то он извлекает из него данные о том, какую пропускную способность он должен зарезервировать и в каких маршрутизаторах. Узлов назначения может быть и несколько, если узел-отправитель хочет начать мультивещательную сессию. На основании полученной информации каждый узел назначения отправляет по протоколу RSVP сообщение, с помощью которого он запрашивает у сети определенную пропускную способность для определенного потока. Это сообщение передается каждому маршрутизатору на пути от узла-отправителя до узла назначения.

Маршрутизатор, который получает такое сообщение, проверяет свои ресурсы для того, чтобы выяснить, может ли он выделить требуемую пропускную способность. Если нет, то маршрутизатор запрос отвергает. Если же да, то маршрутизатор настраивает алгоритм обработки пакетов таким образом, чтобы указанному потоку всегда предоставлялась требуемая пропускная способность, а затем передает запрос конечного узла следующему маршрутизатору вдоль пути.

По мере передачи запроса о резервировании пропускной способности по направлению к узлу-источнику он может слиться с аналогичным запросом от другого узла назначения (если сессия мультивещательная). Слияние запросов исключает ненужное дублирование потоков. При слиянии запросов удовлетворяются потребности в максимальной пропускной способности, найденной в нескольких запросах. При этом ни один из узлов-приемников не получит обслуживания с качеством ниже того, что он запросил.

Кроме протокола RSVP, существует также проект протокола RTP (Real-TimeProtocol), который должен использоваться на транспортном уровне вместо протоколов TCP и UDP в том случае, когда необходимо передавать по Internet трафик реального времени. Протокол RTP будет переносить в своем заголовке временные отметки, необходимые для успешного восстановления голоса или видеоизображения в приемном узле, а также данные о типе кодирования информации (JPEG, MPEG и т.п.).

В конце прошлого года число фирм, предоставляющих услуги доступа к информационным ресурсам Internet в нашей стране едва превышало десяток. При этом спектр услуг был достаточно однотипным (электронная почта, терминал и, как исключение, IP). Объявление компанией SovamTeleport своего проекта Россия-OnLine вызвало широкий резонанс, т.к. по сути впервые было заявлено о появлении настоящей информационной службы: построенной на основе технологии IP.

Прошло всего полгода и ситуация в корне изменилась. По всей стране созданы информационные центры, которые в настоящее время предлагают практически полный спектр услуг по информационному обслуживанию пользователей и подключению в различных режимах к сети Internet.

Прежде чем приступить к обзору этих фирм, рассмотрим предлагаемые технологии подключения и обслуживания. Это необходимо для отчетливого представления о том, что реально стоит за каждой строкой прайс-листа и на что пользователи могут рассчитывать.

Виды сервиса и схемы подключения

Для начала попробуем отклассифицировать схемы подключения и типы сервиса с точки зрения различных типов пользователей, протоколов взаимодействия (программного обеспечения) и технических средств подключения. Представить такую классификацию можно в виде таблицы:

Конечно, никакая классификация не дает полного представления обо всем спектре услуг, но перед ней и не ставится такой задачи. Главное - получить некоторую структуру интересующей предметной области и потом заполнять клеточки этой структуры. Отчасти данная схема дает объяснение тому, что речь идет об Internet-провайдерах, а не об IP-провайдерах, так как круг предоставляемых услуг гораздо шире простого подключения и маршрутизации по протоколу IP.

Теперь рассмотрим основные схемы подключения пользователей к Internet-провайдерам. Начнем с индивидуальных пользователей.

Подключение индивидуальных пользователей

В общем виде схема подключения индивидуального пользователя показана на рисунке 7.1.

Рис. 7.1. Схема подключения индивидуального пользователя

На обоих концах коммутируемого канала ставятся модемы. Скорость обмена данными определяется качеством канала и модемом. Вообще говоря, можно использовать и другие линии связи, но реально индивидуальные пользователи в 99 случаях из ста используют обычный телефон. Аренда телефонных номеров модемного пула осуществляется в этом случае провайдером.

Индивидуальный пользователь обычно дозванивается на модемный пул провайдера, который в зависимости от числа пользователей и ресурсов последнего управляется либо персональным компьютером, либо маршрутизатором. Типовое решение для узла провайдера можно найти на домашней странице Relcom-Alpha (http://www.dtk.net.kiae.su).

Пользователь же имеет на своем конце персональный компьютер с модемом и больше ничего. В зависимости от типа протокола устанавливается либо программное обеспечение UUCP, либо стек TCP/IPc прикладными программами, либо, если доступ осуществляется в режиме удаленного терминала, не ставится вообще ничего. В последнем случае можно дозвониться на модемный пул провайдера при помощи любой коммуникационной программы, например, TERM95 из коллекции NortonCommander. Единственная проблема, которую приходится при этом решать - проблема кодировки. До последнего времени основной транспортной кодировкой оставалась кодировка KOI8, но мне уже приходилось получать почту и в кодировках Windows и ISO. И если в WorldWideWeb практически все провайдеры перешли к дублированию или перекодировке "на лету", то с почтой все еще приходится бороться самостоятельно. Тем не менее лучше работать в KOI8 и использовать пакеты провайдера.

Считается, что UUCP лучше подходит для работы по плохим линиям связи и для режимов обмена электронной почтой. При этом многие провайдеры не учитывают времени соединения по протоколу UUCP, полагая, что это время мало и практически полностью используется для передачи данных без простоя. Однако, при современных средствах связи и программном обеспечении такое суждение кажется несколько архаичным. Современные стеки TCP/IP можно настроить таким образом, что дозвон будет осуществляться только по требованию прикладной программы на момент передачи информации. Тем самым можно существенно сократить время простоев, а для режима электронной почты это время будет просто равно времени взаимодействия по UUCP. Кроме того, все большую популярность у наших зарубежных коллег получают attachments, т.е. закодированные в Latin 1 (USASCII) двоичные файлы. Это довольно большие послания, которые для своей пересылки требуют много времени, а платить, как правило, приходится и за приходящий трафик тоже.

Следует признать, что режим удаленного терминала - это полноценный доступ к ресурсам Internet. Единственным его недостатком является то, что вся информация получается пользователем в алфавитно-цифровом режиме. Ряд возможностей этого метода не используется нашими провайдерами вообще, например специальное программное обеспечение доступа с компьютера пользователя к ресурсам WorldWideWeb.

Но конечно самым полным из всех способов подключения является доступ по TCP/IP. Здесь возможно подключение либо по SLIP, либо по PPP. Провайдеры больше любят PPP, т.к. он дает возможность контроля за процессом установки соединения, раздаче IP-адресов по DHCP и аутентификации. Управлять этими параметрами на порте CISCO довольно легко, чего не скажешь о пользовательском конце соединения. Скажем, TCP/IP стек TrumpetWinsock позволяет использовать PPP, но параметров, которыми можно управлять там явно не хватает. Кроме этого довольно трудно протрассировать процесс соединения, что важно на медленных линиях. Гораздо проще это получается во FreeBSD при использовании демона pppd. Тем не менее в большинстве случаев PPP работает очень надежно.

Как правило, существует три типа ресурсов, которые доступны индивидуальному пользователю. Это локальные ресурсы провайдера, ресурсы сети или региона, например, региональный провайдер сети Релком предоставляет доступ к ресурсам московских узлов, и ресурсы всего Internet. Все сказанное относится к любому из протоколов доступа (UUCP, IP, ASCII (Терминал)). Разница заключается только в способах контроля и ограничения прав доступа, которые носят чисто административный характер, т.е., например, для подключения по протоколам TCP/IP маршрутизация пакетов присутствует всегда, но тариф на пересылку почты в рамках ответственности провайдера, сети или Internet - различный.

Коллективные пользователи

В качестве коллективных пользователей выступают обычно бюджетные организации и коммерческие фирмы. Общая схема подключения здесь выглядит несколько иначе (рисунок 7.2).

Рис. 7.2. Схема подключения коллективных пользователей

В качестве линии связи могут использоваться обычные телефонные каналы, выделенные телефонные линии, каналы системы Искра-2, наземные оптические линии связи и, в последнее время, спутниковые каналы связи (см. рекламу Demos и компании Контакт (Дубна)). При этом аренда канала связи, как и оплата оконечного оборудования связи, обычно осуществляется пользователем. Кроме того пользователь еще арендует и порт на маршрутизаторе провайдера. Стоимость этой аренды зависит от скорости обмена и типа порта.

Вообще говоря, наличие локальной IP-сети необязательно. Так в самом начале развития сети Relcom, когда ни о каком TCP/IP еще и речи не было, поддержка групповых пользователей уже осуществлялась. Программные средства UUPC и BML для персональных компьютеров позволяли (собственно прошедшее время применять для них еще рано) организовать иерархию почтовых ящиков для многих пользователей и специальный ящик администратора.

Конечно, рассматривать 286-ю машину с MS-DOS в качестве системы коллективного пользования несколько странно, но так было и во многих случаях есть до сих пор.

Существуют еще более интересные организационные реликты времен коллективного использования вычислительных ресурсов и пакетной обработки заданий. Обычно, когда речь идет о доступе к ресурсам Internet, то предполагается, что пользователь непосредственно работает с этими ресурсами со своего компьютера. В ряде случаев коллективные пользователи создают специальные компьютерные классы, из которых сотрудники этих организаций получают доступ к ресурсам сети, но организация такого сорта услуги самим провайдером - явление достаточно редкое. Тем не менее в Симбирске такого сорта услуга компанией MVC оказывается. Это следует из специального раздела прейскуранта: тарифы на базовые услуги пункта коллективного пользования ТТС. В этом прейскуранте предусмотрен набор текста в файл, распечатка текста письма, копирование письма на дискету пользователя. Вообще создается впечатление, что существует специальная служба, при которой пользователь реально не имеет доступа к компьютеру и общается только с оператором. Следует признать, что такая форма обслуживания в ряде случаев имеет право на существование и может быть выходом для пользователей, которые никогда не пользовались компьютером, но нуждаются в оперативном почтовом обслуживании.

Но все же самое интересное при обслуживании коллективных пользователей - это взаимодействие локальной сети пользователя и сети провайдера. В данном обзоре мы намеренно опускаем взаимодействие пользователей и провайдеров по протоколам, отличным от семейства TCP/IP, хотя такие формы доступа к ресурсам Internet и практикуются, например, РоСпринт или SovamTeleport и даже закладываются в качестве одного из базовых способов подключения в проект "Деловая сеть России" (ФАПСИ, ИНФОТЕЛ и AORelcom). Но при IP-подклю- чении возможны различные варианты.

Самый органичный вариант, когда локальная сеть пользователя и провайдера - это IP-сети. В этом случае пользователь должен иметь адрес в сети провайдера для своего шлюза и свою IP-сеть. Обычно это сеть класса C. Пример такого подключения показан на рисунке 7.3.

Рис. 7.3. Схема подключения локальной сети к провайдеру

Обычно, номер локальной сети следует получать у своего провайдера. При смене провайдера иногда номер остается у пользователя, но чаще возвращается провайдеру, как это делается, например, в Demos или в GlasNet. При этом одни провайдеры выдают эти номера бесплатно (Demos, AORelcom), а некоторые за дополнительную плату (Узел Sable в Красноярске).

После получения номера сети и подключения к провайдеру следует позаботится о маршрутизации. Так например, в компании МАРК-ИТТ (Ижевск) существует понятие "доступности". Существует доступность в пределах сети МАРК-ИТТ и подключение без ограничения доступности. В принципе, существуют технические возможности ограничить маршрутизацию сообщений из/в локальную сеть пользователя путем соответствующих настроек маршрутизаторов, чем некоторые провайдеры и пользуются.

Кроме маршрутизации необходимо позаботиться и о доменной адресации. В принципе можно переложить заботы о назначении доменных имен на плечи провайдера, но можно получить и свою зону. В последнем случае надо зарегистрировать у провайдера "прямую" и "обратную" зоны для своей сети. Провайдеры предлагают также поддерживать и вторичные серверы для зон пользователей. Какие могут быть причины, которые реально должны подвигнуть пользователя на регистрацию и размещение вторичных серверов DNS. Во-первых, неполадки со своим собственным сервером, а во-вторых, время разрешения запроса на IP-адрес по доменному имени. Регистрация обратных зон нужна хотя бы для того, чтобы нормально работать со всеми серверами FTP, например, для установки программного обеспечения FreeBSD с сервера АО Relcom.

Похожие работы

Корпоративная сеть

Скачать

124910

5

17

... ; 100Base-TX. Для выполнения задач корпоративной сети, локальная сеть радиоспециальности требует подключения к остальным корпусам ДВГМА. В процессе информационного обследования выявилась необходимость подключения к корпоративной сети Академии дополнительно 7экипажа и нового общежития (рис. 1). Рис. 1.   Руководствуясь принципами построения сети в УК-1 и УК-2 необходимо осуществить на две ...

Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей

Скачать

194754

3

13

... в основу методики и выведена формула для получения количественной оценки уровня защищенности, обеспечиваемого СЗИ. 4. Применение методики определения уровня защищенности и обоснования эффективности средстВ защиты КИС 4.1 Описание защищаемой корпоративной системы Разработанная нами методика позволяет оценить уровень защищенности КИС при определенном наборе средств СЗИ и, соответственно ...

Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

Скачать

139154

19

14

... Server. Установка Windows 2000 Advanced Server завершена, и Вы вошли в систему под учетной записью Administrator. [11] 5.5.3. Управление в среде Windows 2000 Advanced Server После успешной установки Windows 2000 Server выполняется настройка пользователей. Основным элементом централизованного администрирования в Windows 2000 Server является домен. Домен - это группа серверов, работающих под ...

Обеспечение безопасности в компьютерах и корпоративных сетях

Скачать

41002

0

0

... сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность 4. Обеспечение безопасности в корпоративных сетях В результате изучения структуры информационных сетей (ИС) и технологии обработки данных разрабатывается концепция информационной безопасности ИС предложенная в работе профессора Х.А. ...