К протоколам защищенного канала относятся следующие виды протоколов

Обновлено: 25.06.2024

В конце шестидесятых годов американское агентство перспективных исследований в обороне DARPA приняло решение о создании экспериментальной сети под названием ARPANet. В семидесятых годах ARPANet стала считаться действующей сетью США, и через эту сеть можно было получить доступ к ведущим университетским и научным центрам США. В начале восьмидесятых годов началась стандартизация языков программирования, а затем и протоколов взаимодействия сетей. Результатом этой работы стала разработка семиуровневой модели сетевого взаимодействия ISO/OSI и семейства протоколов TCP/IP, которое стало основой для построения как локальных, так и глобальных сетей.

Базовые механизмы информационного обмена в сетях TCP/IP были в целом сформированы в начале восьмидесятых годов, и были направлены прежде всего на обеспечение доставки пакетов данных между различными операционными системами с использованием разнородных каналов связи. Несмотря на то, что идея создания сети ARPANet (впоследствии превратившейся в современный Интернет) принадлежала правительственной оборонной организации, фактически сеть зародилась в исследовательском мире, и наследовала традиции открытости академического сообщества. Ещё до коммерциализации Интернета (которая произошла в середине девяностых годов) многие авторитетные исследователи отмечали проблемы, связанные с безопасностью стека протоколов TCP/IP. Основные концепции протоколов TCP/IP не полностью удовлетворяют (а в ряде случаев и противоречат) современным представлениям о компьютерной безопасности.

Краткая историческая справка появления протокола

В 1994 году Совет по архитектуре Интернет (IAB) выпустил отчет "Безопасность архитектуры Интернет". В этом документе описывались основные области применения дополнительных средств безопасности в сети Интернет, а именно защита от несанкционированного мониторинга, подмены пакетов и управления потоками данных. В числе первоочередных и наиболее важных защитных мер указывалась необходимость разработки концепции и основных механизмов обеспечения целостности и конфиденциальности потоков данных. Поскольку изменение базовых протоколов семейства TCP/IP вызвало бы полную перестройку сети Интернет, была поставлена задача обеспечения безопасности информационного обмена в открытых телекоммуникационных сетях на базе существующих протоколов. Таким образом, начала создаваться спецификация Secure IP, дополнительная по отношению к протоколам IPv4 и IPv6.

Архитектура IPSec

IP Security — это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC.

Спецификация IP Security (известная сегодня как IPsec) разрабатывается Рабочей группой IP Security Protocol IETF. Первоначально IPsec включал в себя 3 алгоритмо-независимые базовые спецификации, опубликованные в качестве RFC-документов "Архитектура безопасности IP", "Аутентифицирующий заголовок (AH)", "Инкапсуляция зашифрованных данных (ESP)" (RFC1825, 1826 и 1827). Необходимо заметить, что в ноябре 1998 года Рабочая группа IP Security Protocol предложила новые версии этих спецификаций, имеющие в настоящее время статус предварительных стандартов, это RFC2401 — RFC2412. Отметим, что RFC1825-27 на протяжении уже нескольких лет считаются устаревшими и реально не используются. Кроме этого, существуют несколько алгоритмо-зависимых спецификаций, использующих протоколы MD5, SHA, DES.

Рабочая группа IP Security Protocol разрабатывает также и протоколы управления ключевой информацией. В задачу этой группы входит разработка Internet Key Management Protocol (IKMP), протокола управления ключами прикладного уровня, не зависящего от используемых протоколов обеспечения безопасности. В настоящее время рассматриваются концепции управления ключами с использованием спецификации Internet Security Association and Key Management Protocol (ISAKMP) и протокола Oakley Key Determination Protocol. Спецификация ISAKMP описывает механизмы согласования атрибутов используемых протоколов, в то время как протокол Oakley позволяет устанавливать сессионные ключи на компьютеры сети Интернет. Ранее рассматривались также возможности использования механизмов управления ключами протокола SKIP, однако сейчас такие возможности реально практически нигде не используются. Создаваемые стандарты управления ключевой информацией, возможно, будут поддерживать Центры распределения ключей, аналогичные используемым в системе Kerberos. Протоколами ключевого управления для IPSec на основе Kerberos сейчас занимается относительно новая рабочая группа KINK (Kerberized Internet Negotiation of Keys).

Гарантии целостности и конфиденциальности данных в спецификации IPsec обеспечиваются за счет использования механизмов аутентификации и шифрования соответственно. Последние, в свою очередь, основаны на предварительном согласовании сторонами информационного обмена т.н. "контекста безопасности" – применяемых криптографических алгоритмов, алгоритмов управления ключевой информацией и их параметров. Спецификация IPsec предусматривает возможность поддержки сторонами информационного обмена различных протоколов и параметров аутентификации и шифрования пакетов данных, а также различных схем распределения ключей. При этом результатом согласования контекста безопасности является установление индекса параметров безопасности (SPI), представляющего собой указатель на определенный элемент внутренней структуры стороны информационного обмена, описывающей возможные наборы параметров безопасности.

По сути, IPSec, который станет составной частью IPv6, работает на третьем уровне, т. е. на сетевом уровне. В результате передаваемые IP-пакеты будут защищены прозрачным для сетевых приложений и инфраструктуры образом. В отличие от SSL (Secure Socket Layer), который работает на четвертом (т. е. транспортном) уровне и теснее связан с более высокими уровнями модели OSI, IPSec призван обеспечить низкоуровневую защиту.

К IP-данным, готовым к передаче по виртуальной частной сети, IPSec добавляет заголовок для идентификации защищенных пакетов. Перед передачей по Internet эти пакеты инкапсулируются в другие IP-пакеты. IPSec поддерживает несколько типов шифрования, в том числе Data Encryption Standard (DES) и Message Digest 5 (MD5).

Чтобы установить защищенное соединение, оба участника сеанса должны иметь возможность быстро согласовать параметры защиты, такие как алгоритмы аутентификации и ключи. IPSec поддерживает два типа схем управления ключами, с помощью которых участники могут согласовать параметры сеанса. Эта двойная поддержка в свое время вызвала определенные трения в IETF Working Group.

С текущей версией IP, IPv4, могут быть использованы или Internet Secure Association Key Management Protocol (ISAKMP), или Simple Key Management for Internet Protocol. С новой версией IP, IPv6, придется использовать ISAKMP, известный сейчас как IKE, хотя не исключается возможность использования SKIP. Однако, следует иметь в виду, что SKIP уже давно не рассматривается как кандидат управления ключами, и был исключён из списка возможных кандидатов ещё в 1997 г.

Заголовок AH

Аутентифицирующий заголовок (AH) является обычным опциональным заголовком и, как правило, располагается между основным заголовком пакета IP и полем данных. Наличие AH никак не влияет на процесс передачи информации транспортного и более высокого уровней. Основным и единственным назначением AH является обеспечение защиты от атак, связанных с несанкционированным изменением содержимого пакета, и в том числе от подмены исходного адреса сетевого уровня. Протоколы более высокого уровня должны быть модифицированы в целях осуществления проверки аутентичности полученных данных.

Формат AH достаточно прост и состоит из 96-битового заголовка и данных переменной длины, состоящих из 32-битовых слов. Названия полей достаточно ясно отражают их содержимое: Next Header указывает на следующий заголовок, Payload Len представляет длину пакета, SPI является указателем на контекст безопасности и Sequence Number Field содержит последовательный номер пакета.

Последовательный номер пакета был введен в AH в 1997 году в ходе процесса пересмотра спецификации IPsec. Значение этого поля формируется отправителем и служит для защиты от атак, связанных с повторным использованием данных процесса аутентификации. Поскольку сеть Интернет не гарантирует порядок доставки пакетов, получатель должен хранить информацию о максимальном последовательном номере пакета, прошедшего успешную аутентификацию, и о получении некоторого числа пакетов, содержащих предыдущие последовательные номера (обычно это число равно 64).

В отличие от алгоритмов вычисления контрольной суммы, применяемых в протоколах передачи информации по коммутируемым линиям связи или по каналам локальных сетей и ориентированных на исправление случайных ошибок среды передачи, механизмы обеспечения целостности данных в открытых телекоммуникационных сетях должны иметь средства защиты от внесения целенаправленных изменений. Одним из таких механизмов является специальное применение алгоритма MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа, а затем от объединения полученного результата и преобразованного ключа. Данный механизм применяется по умолчанию в целях обеспечения всех реализаций IPv6, по крайней мере, одним общим алгоритмом, не подверженным экспортным ограничениям.

Заголовок ESP

В случае использования инкапсуляции зашифрованных данных заголовок ESP является последним в ряду опциональных заголовков, "видимых" в пакете. Поскольку основной целью ESP является обеспечение конфиденциальности данных, разные виды информации могут требовать применения существенно различных алгоритмов шифрования. Следовательно, формат ESP может претерпевать значительные изменения в зависимости от используемых криптографических алгоритмов. Тем не менее, можно выделить следующие обязательные поля: SPI, указывающее на контекст безопасности и Sequence Number Field, содержащее последовательный номер пакета. Поле "ESP Authentication Data" (контрольная сумма), не является обязательным в заголовке ESP. Получатель пакета ESP расшифровывает ESP заголовок и использует параметры и данные применяемого алгоритма шифрования для декодирования информации транспортного уровня.

Различают два режима применения ESP и AH (а также их комбинации) — транспортный и туннельный.

Транспортный режим

Транспортный режим используется для шифрования поля данных IP пакета, содержащего протоколы транспортного уровня (TCP, UDP, ICMP), которое, в свою очередь, содержит информацию прикладных служб. Примером применения транспортного режима является передача электронной почты. Все промежуточные узлы на маршруте пакета от отправителя к получателю используют только открытую информацию сетевого уровня и, возможно, некоторые опциональные заголовки пакета (в IPv6). Недостатком транспортного режима является отсутствие механизмов скрытия конкретных отправителя и получателя пакета, а также возможность проведения анализа трафика. Результатом такого анализа может стать информация об объемах и направлениях передачи информации, области интересов абонентов, расположение руководителей.

Туннельный режим

Туннельный режим предполагает шифрование всего пакета, включая заголовок сетевого уровня. Туннельный режим применяется в случае необходимости скрытия информационного обмена организации с внешним миром. При этом, адресные поля заголовка сетевого уровня пакета, использующего туннельный режим, заполняются межсетевым экраном организации и не содержат информации о конкретном отправителе пакета. При передаче информации из внешнего мира в локальную сеть организации в качестве адреса назначения используется сетевой адрес межсетевого экрана. После расшифровки межсетевым экраном начального заголовка сетевого уровня пакет направляется получателю.

Security Associations

Security Association (SA) — это соединение, которое предоставляет службы обеспечения безопасности трафика, который передаётся через него. Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы и ключи, используемые в SA. Каждый SA используется только в одном направлении. Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и протокол; таким образом, если для одного пакета необходимо использовать два протокола (как например AH и ESP), то требуется два SA.

Политика безопасности

Политика безопасности хранится в SPD (База данных политики безопасности). SPD может указать для пакета данных одно из трёх действий: отбросить пакет, не обрабатывать пакет с помощью IPSec, обработать пакет с помощью IPSec. В последнем случае SPD также указывает, какой SA необходимо использовать (если, конечно, подходящий SA уже был создан) или указывает, с какими параметрами должен быть создан новый SA.

SPD является очень гибким механизмом управления, который допускает очень хорошее управление обработкой каждого пакета. Пакеты классифицируются по большому числу полей, и SPD может проверять некоторые или все поля для того, чтобы определить соответствующее действие. Это может привести к тому, что весь трафик между двумя машинами будет передаваться при помощи одного SA, либо отдельные SA будут использоваться для каждого приложения, или даже для каждого TCP соединения.

ISAKMP/Oakley

Протокол ISAKMP определяет общую структуру протоколов, которые используются для установления SA и для выполнения других функций управления ключами. ISAKMP поддерживает несколько Областей Интерпретации (DOI), одной из которых является IPSec-DOI. ISAKMP не определяет законченный протокол, а предоставляет "строительные блоки" для различных DOI и протоколов обмена ключами.

Протокол Oakley — это протокол определения ключа, использующий алгоритм замены ключа Диффи-Хеллмана. Протокол Oakley поддерживает идеальную прямую безопасность (Perfect Forward Secrecy — PFS). Наличие PFS означает невозможность расшифровки всего траффика при компрометации любого ключа в системе.

IKE — протокол обмена ключами по умолчанию для ISAKMP, на данный момент являющийся единственным. IKE находится на вершине ISAKMP и выполняет, собственно, установление как ISAKMP SA, так и IPSec SA. IKE поддерживает набор различных примитивных функций для использования в протоколах. Среди них можно выделить хэш-функцию и псевдослучайную функцию (PRF).

Сводка знаний о компьютерных сетях (7) Сетевая безопасность

кибербезопасность

1. Угрозы безопасности, с которыми сталкиваются компьютерные сети

Обменивающиеся стороны компьютерных сетей сталкиваются с двумя основными типами угроз:Пассивная атакас участиемАктивная атака

Пассивная атака: злоумышленник перехватывает чужое содержимое в сети. Этот тип атаки обычно называется перехватом.

Активные приступы в основном имеют следующие формы:

Безопасная компьютерная сеть должна стремиться к достижению следующих четырех целей: конфиденциальность, идентификация конечных точек, целостность информации и операционная безопасность.

2. Модель шифрования данных

На следующем рисунке A отправляет открытый текст X в B, но после вычисления алгоритма шифрования E получается зашифрованный текст Y. Принимающая сторона использует алгоритм дешифрования D для вычисления и ключ дешифрования K для вычисления открытого текста.

Ключ предоставляется центром ключей. Когда ключ необходимо передать в удаленное место, он должен пройти через другой защищенный канал.

1. Криптосистема с симметричным ключом

Криптосистема с симметричным ключом: ключ шифрования и ключ дешифрования используют одну и ту же криптосистему.

Стандарт шифрования данных DES относится к криптосистеме с симметричным ключом: DES - блочный шифр. Перед шифрованием весь открытый текст группируется. Каждая группа представляет собой двоичные данные длиной 64 бита. Затем каждые 64-битные двоичные данные шифруются для создания набора 64-битных данных зашифрованного текста. Наконец, каждая группа зашифрованных текстов объединяется для получения всего зашифрованного текста. Используемый ключ занимает 64 бита (фактическая длина ключа составляет 56 бит плюс 8 бит для проверки четности).

Конфиденциальность DES зависит только от секретности ключа, а алгоритм является открытым.

Triple DES: 64-битный открытый текст шифруется одним ключом, затем дешифруется другим ключом, а затем шифруется первым ключом.

2. Криптосистема с открытым ключом

Криптосистемы с открытым ключом используют разные ключи шифрования и ключи дешифрования.

Ключ шифрования PK (открытый ключ, а именно открытый ключ) открыт для общественности, а ключ дешифрования SK (секретный ключ, а именно закрытый ключ или ключ) должен храниться в секрете. Алгоритм шифрования E и алгоритм дешифрования D также являются общедоступными.

Генератор пары ключей генерирует пару ключей для получателя B: ключ шифрования и ключ дешифрования. Ключ шифрования, используемый отправителем A, является открытым ключом получателя B, который открыт для всех. Ключ дешифрования, используемый B, является закрытым ключом получателя B, который хранится в секрете от других.

Отправитель A использует открытый ключ B для шифрования открытого текста X с помощью алгоритма шифрования E, а затем зашифрованный текст Y получается и отправляется B. B использует свой собственный закрытый ключ, чтобы расшифровать его с помощью алгоритма дешифрования D.

Цифровые подписи должны выполнять следующие три функции:

Есть два типа идентификации:

2. Идентификация юридического лица

A и B должны использовать разные немножечные наборы для разных сеансов. Поскольку не-кратные числа не могут быть повторно использованы, C не может повторно использовать перехваченные не-кратные числа при выполнении атаки повторного воспроизведения.

Есть два способа раздачи ключей:

Распространение вне сети: отправьте очень надежный мессенджер для переноса ключа и раздайте его каждому пользователю, который общается друг с другом;
Способ распространения в сети: автоматическая раздача ключей.

1. Распределение симметричных ключей

В настоящее время наиболее распространенным методом распределения ключей является создание центра распределения ключей KDC. KDC - это организация, которой доверяют все, ее задача - временно назначить сеансовый ключ (используемый только один раз) пользователям, которым необходимо общаться в секрете.

2. Распространение открытых ключей

Центр сертификации CA (Certification Authority) связывает открытый ключ с соответствующим объектом, который обычно финансируется государством. Каждый объект имеет сертификат, выпущенный ЦС, который содержит открытый ключ и идентификационную информацию его владельца.

1. Протокол безопасности сетевого уровня

IPsec - это не отдельный протокол, а семейство протоколов, которые могут обеспечить безопасность связи в Интернете на уровне IP.
Протоколы в наборе протоколов IPsec можно разделить на следующие три части:

Заголовок аутентификации Протокол AH (заголовок аутентификации): AH аутентифицирует точку источника и проверяет целостность данных, но не может храниться в секрете и безопасно и эффективно инкапсулироваться
ESP (Encapsulation Security Payload): ESP намного сложнее, чем AH. Он определяет точки источника, проверяет целостность данных и обеспечивает конфиденциальность.
Три протокола, относящиеся к алгоритмам шифрования; протокол обмена ключами в Интернете (IKE).

Перед использованием AH и ESP необходимо установить логическое соединение на сетевом уровне от хоста источника к хосту назначения. Это логическое соединение называется SA сопоставления безопасности.

IPsec преобразует традиционный сетевой уровень без подключения к Интернету в логически связанный уровень.

SA (Security Association) является основой IPsec. Это соглашение, устанавливаемое двумя взаимодействующими объектами посредством переговоров (с использованием протокола IKE). Оно определяет протокол безопасности (протокол AH или протокол ESP), используемый для защиты безопасности пакетов данных, Метод транскодирования, ключ и допустимое время существования ключа и т. Д.

Формат дейтаграммы IP-безопасности показан на рисунке ниже.

2. Протокол безопасности транспортного уровня.

На транспортном уровне широко используются два протокола:

Когда SSL не используется, данные приложения на прикладном уровне взаимодействуют с транспортным уровнем через сокеты TCP.

При отправке SSL получает данные прикладного уровня из сокета SSL, шифрует данные, а затем отправляет зашифрованные данные в сокет TCP; на принимающей стороне SSL считывает данные из сокета TCP, а после дешифрования, Передайте данные на уровень приложения через сокет SSL.

Услуги безопасности, предоставляемые SSL, можно разделить на следующие три типа:

Аутентификация сервера SSL позволяет пользователям проверять подлинность сервера. Клиент, поддерживающий SSL, аутентифицирует настоящую идентичность сервера и получает открытый ключ сервера, проверяя сертификат с сервера;

Проверка подлинности клиента SSL, дополнительная служба безопасности SSL, позволяет серверу проверять личность клиента;

3. Протокол безопасности прикладного уровня.

Используйте протокол PGP (Pretty Good Privacy) для обеспечения безопасности электронной почты.

1. Брандмауэр

Брандмауэр(брандмауэр) в качестве технологии контроля доступа, путем строгого контроля пакетов, входящих и покидающих границу сети, запрещая любой ненужный обмен данными, тем самым уменьшая возникновение потенциальных вторжений и минимизируя риски безопасности, вызванные такими угрозами безопасности. Поскольку брандмауэр не может предотвратить все вторжения, являясь второй линией защиты системы, система обнаружения вторжений IDS (Intrusion Detection System) проводит углубленный анализ и обнаружение пакетов, входящих в сеть, для обнаружения сетевых действий, которые подозреваются во вторжении, и сигнализации. Примите дальнейшие меры.

Межсетевой экран - это специально запрограммированный маршрутизатор., Устанавливается между точкой сети и остальной частью сети, цель состоит в том, чтобы реализовать стратегии контроля доступа.

Маршрутизатор с фильтрацией пакетов: это маршрутизатор с функцией фильтрации пакетов, который пересылает или отбрасывает (то есть фильтрует) пакеты, входящие и исходящие из внутренней сети в соответствии с правилами фильтрации. Правила фильтрации основаны на информации сетевого уровня или заголовка транспортного уровня пакета, такой как: IP-адрес источника / назначения, порт источника / назначения, тип протокола (TCP или UDP) и т. Д.
Преимущества маршрутизаторов с фильтрацией пакетов: просты и эффективны, прозрачны для пользователей, но не могут фильтровать данные высокого уровня. Например: пользователю нельзя запретить выполнение определенной операции в определенном приложении, и он не может поддерживать аутентификацию пользователя на уровне приложения. Эти функции необходимо реализовать с использованием технологии шлюза приложений.

Обычно эти две технологии можно комбинировать, как показано на рисунке выше.

2. Система обнаружения вторжений

Брандмауэр пытается заблокировать все подозрительные коммуникации до того, как произойдет вторжение. Но дело в том, что невозможно предотвратить все вторжения. Необходимо принять меры для обнаружения вторжения вовремя после того, как вторжение началось, но до того, как оно нанесет больший ущерб, чтобы предотвратить вторжение как можно скорее и минимизировать ущерб. Система обнаружения вторжений IDS как раз и является такой технологией.

IDS выполняет тщательную проверку пакетов, поступающих в сеть, и при обнаружении подозрительных пакетов отправляет предупреждение администратору сети или выполняет операции блокировки. IDS можно использовать для проверки различных сетевых атак, включая отображение сети, сканирование портов, DoS-атаки, червей и вирусы, атаки на уязвимости системы и т. Д.

Методы обнаружения вторжений в целом можно разделить на обнаружение вторжений на основе функций и обнаружение вторжений на основе аномалий.

Почти все компьютеры мира сегодня подключены к интернету, и работа в сети осуществляется при помощи сетевого протокола. Однако далеко не все пользователи знают, что собой представляет сетевой протокол, в чем заключается назначение и каковы особенности каждого из типов. Ответим в данной статье на эти вопросы.

Что такое сетевой протокол?

Сетевой протокол — это комплекс установок, благодаря которым определяется и регулируется процесс информационного обмена между компьютерами, подключенными к интернету. Протокол в определенном смысле считается языком, необходимым машинам для взаимодействия. Среди его ключевых особенностей — структурированность и стандартизированность.

Типы сетевых протоколов

Функционирование сети основывается на работе сразу нескольких протоколов, располагаемых на разных уровнях. Выделяют следующие уровни протоколов:

физический — среда, где осуществляется обмен данными, на этом уровне трансформируются в бинарный код электрические импульсы, которые далее передаются на более высокие уровни (на данном уровне функционируют медиаконвертеры, сигнальные ретрансляторы, хабы);
канальный — уровень, на котором данные передаются на хост с целью обработки, а чтобы идентифицировать информацию, применяется MAC-адрес;
сетевой — актуализируются IP-адреса, благодаря которым в интернете идентифицируются пользователи, данные поступают пакетами;
транспортный — в обязательном порядке осуществляется доставка пакетов к адресатам, протокол отслеживает целостность и корректность донесения информации, для этих целей используются алгоритмы фрагментирования или объединения;
сессионный — протоколы обеспечивают поддержку сетевого сеанса, синхронность начала и конца соединения, а также проверяют права на доступ;
репрезентативный (уровень представления) — полученная информация декодируется либо кодируется, файлы распаковываются или сжимаются, то есть осуществляется перевод данных на уровень, который подойдет конкретному браузеру (приложению);
прикладной — происходит регулировка связи пользователей и сети, даются разрешения на доступ, реализовывается работа протоколов высшего уровня.

Данные типы представлены в порядке иерархии, то есть из действий, которые осуществляются на нижестоящем уровне, вытекают алгоритмы нового уровня.

Особенности и назначение распространенных сетевых протоколов

Разница между сетевыми протоколами будет более наглядной, если сравнивать наиболее популярные виды, разобраться с особенностями и функциями каждого.

Hyper Text Transfer protocol является основополагающим для функционирования всех интернет-ресурсов. Задача данного протокола — предоставление возможности запроса ресурсов, которые нужны в удаленной системе (к примеру, файлов).

Internet Protocol является маршрутизируемым протоколом на сетевом уровне TCP/IP. Благодаря IP стало возможным объединить во всемирную сеть разные компьютерные сети. Главной целью протокола считается доставка пакетов между разнообразными маршрутизаторами. В числе характерных свойств:

отсутствие надежности — гарантию доставки без ошибок обеспечивают на более высоких уровнях протоколов, в то время как IP не исключает дубли, повреждения, нарушения порядка и даже отсутствие отправки;
уникальность — для каждого компьютера существуют отдельные IP-адреса, благодаря которым машины находят и идентифицируют друг друга в интернете;
фрагментированность — протокол проходит через разнообразные каналы доставки, и в случае превышения возможностей определенных узлов предусмотрено дробление пакетов.

Данный алгоритм реализован при помощи таких видов, как IPv4 и IPv6. В модели TCP/IP он относится к сетевому уровню.

Протокол Secure Shell реализован на уровне приложений и предназначен, чтобы удаленно управлять системой посредством защищенного канала. Данный вариант применяется в работе многих технологий. Подключение по SSH включают такие особенности:

шифрование — характерное свойство SSH — авторизация по ключу, то есть происходит кодирование всего трафика, в том числе паролей, с помощью разных алгоритмов;
безопасность — данное свойство вытекает из предыдущего, так как благодаря шифрованию увеличивается надежность удаленной работы;
возможность сжатия — эта особенность актуальна при передаче информации.

Копирование файлов по SSH позволяет повысить уровень защиты при передаче информации. Secure Shell считается протоколом прикладного уровня, и его прямое назначение — обеспечение удаленного доступа.

File Transfer Protocol — один из самых старых прикладных вариантов. Протокол FTP служит для доступа к удаленным хостам и передачи программного обеспечения. Чтобы точнее понимать, что такое FTP, следует разобраться с его особенностями. Так, свойства протокола подразумевают:

результативность — протокол гарантирует отправку или выдачу ошибки, так как применяется квотируемая система;
вариативность шифрования — в разных случаях возможны либо анонимные подключения, либо передача паролей и логинов открытым текстом;
встроенную аутентификацию — пользователи аутентифицируются по умолчанию;
множественность подключений — FTP-протокол как минимум применяет двойное подключение.

Post Office Protocol Version 3 — стандартный вариант на прикладном уровне, который задействуется клиентами email-сервисов. Главная задача POP3 — обеспечить отправку почты с удаленного сервера посредством TCP-соединения.

Помимо данного стандарта, чтобы извлечь электронную почту, также используется IMAP. Как правило, на современных клиентах реализованы оба варианта. Особенности POP3 предусматривают:

Тем не менее, помимо преимуществ, есть существенный недостаток — риск заражения вирусами пользовательских компьютеров. Также может потребоваться достаточно частый бэкап. Чтобы правильно организовать резервное копирование данных, необходимо заручиться поддержкой надежного хостинг-провайдера.

Media Access Control является протоколом, размещенным на низком уровне. Его задача состоит в том, чтобы идентифицировать устройства локальных сетей. Свойства MAC подразумевают:

уникальность — для каждого устройства есть уникальный MAC-адрес, который изначально задан производителем;
защиту от ошибок — благодаря созданию и проверке алгоритмов обеспечивается дополнительная защита на этом подуровне;
контроль — MAC контролирует доступ к физической среде передачи.

Механизмы управления доступом к каналу на MAC-уровне реализованы как метод множественного доступа. Таким образом, сразу несколько станций могут применять одну и ту же физическую среду.

Распространенные порты сетевых протоколов

Порты представлены целыми положительными числами, которые записываются в заголовках протоколов. Знание данной информации поможет в корректной настройке, расширении возможностей и усилении безопасности при настройке работы в сети. В представленной далее таблице есть данные о популярных портах.

Выбор правильного протокола и порта позволяют оптимизировать работу системы и обезопасить соединение. Если протоколы не согласованы между собой, веб-ресурсы будут работать некорректно и давать постоянные сбои.

Правильная настройка поможет добиться максимального результата от сервиса хостингового провайдера. Чтобы получить профессиональную консультацию и заказать услуги аренды серверов, обращайтесь к представителям хостинг-провайдера Дельтахост.

Сетевой протокол - это набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть компьютерами.Фактически разные протоколы зачастую описывают лишь разные стороны одного типа связи; взятые вместе, они образуют так называемый стек протоколов. Названия "протокол" и "стек протоколов" также указывают и на программное обеспечение, которым реализуется протокол.

Уровни протоколов

Наиболее распространённой системой классификации сетевых протоколов является так называемая модель OSI. В соответствии с ней протоколы делятся на 7 уровней по своему назначению - от физического (формирование и распознавание электрических или других сигналов) до прикладного (API для передачи информации приложениями):

Уровень представления, Presentation layer - 6-й уровень отвечает за преобразование протоколов и кодирование/декодирование данных. Запросы приложений, полученные с уровня приложений, он преобразует в формат для передачи по сети, а полученные из сети данные преобразует в формат, понятный приложениям. На уровне представления может осуществляться сжатие/распаковка или кодирование/декодирование данных, а также перенаправление запросов другому сетевому ресурсу, если они не могут быть обработаны локально.

Сеансовый уровень, Session layer - 5-й уровень модели отвечает за поддержание сеанса связи, что позволяет приложениям взаимодействовать между собой длительное время. Сеансовый уровень управляет созданием/завершением сеанса, обменом информацией, синхронизацией задач, определением права на передачу данных и поддержанием сеанса в периоды неактивности приложений. Синхронизация передачи обеспечивается помещением в поток данных контрольных точек, начиная с которых возобновляется процесс при нарушении взаимодействия.

Транспортный уровень, Transport layer - 4-й уровень модели, предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом неважно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты, размер которых зависит от протокола, короткие объединяет в один, а длинные разбивает. Протоколы этого уровня предназначены для взаимодействия типа точка-точка. Пример: TCP, UDP.

Сетевой уровень, Network layer - 3-й уровень сетевой модели OSI, предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети. На этом уровне работает такое сетевое устройство, как маршрутизатор.

Канальный уровень, Data Link layer - этот уровень предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть. Данные, полученные с физического уровня, он упаковывает во фреймы, проверяет на целостность, если нужно исправляет ошибки и отправляет на сетевой уровень. Канальный уровень может взаимодействовать с одним или несколькими физическими уровнями, контролируя и управляя этим взаимодействием. Спецификация IEEE 802 разделяет этот уровень на 2 подуровня - MAC (Media Access Control) регулирует доступ к разделяемой физической среде, LLC (Logical Link Control) обеспечивает обслуживание сетевого уровня. На этом уровне работают коммутаторы, мосты. В программировании этот уровень представляет драйвер сетевой платы, в операционных системах имеется программный интерфейс взаимодействия канального и сетевого уровней между собой, это не новый уровень, а просто реализация модели для конкретной ОС. Примеры таких интерфейсов: ODI, NDIS.

Физический уровень, Physical layer - самый нижний уровень модели, предназначен непосредственно для передачи потока данных. Осуществляет передачу электрических или оптических сигналов в кабель или в радиоэфир и соответственно их приём и преобразование в биты данных в соответствии с методами кодирования цифровых сигналов. Другими словами, осуществляет интерфейс между сетевым носителем и сетевым устройством. На этом уровне работают концентраторы (хабы), повторители (ретрансляторы) сигнала и медиаконверторы. Функции физического уровня реализуются на всех устройствах, подключенных к сети. Со стороны компьютера функции физического уровня выполняются сетевым адаптером или последовательным портом.

В основном используются протокол TCP/IP

Transmission Control Protocol/Internet Protocol, TCP/IP (Протокол управления передачей/Протокол Интернета)

Большинство операционных систем сетевых серверов и рабочих станций поддерживает TCP/IP, в том числе серверы NetWare, все системы Windows, UNIX, последние версии Mac OS, системы OpenMVS и z/OS компании IBM, а также OpenVMS компании DEC. Кроме того, производители сетевого оборудования создают собственное системное программное обеспечение для TCP/IP, включая средства повышения производительности устройств. Стек TCP/IP изначально применялся на UNIX-системах, а затем быстро распространился на многие другие типы сетей.

Протоколы локальных сетей

IPX/SPX;
NetBEUI;
AppleTalk;
TCP/IP;
SNA;
DLC;
DNA;

Свойства протоколов локальной сети

В основном протоколы локальных сетей имеют такие же свойства, как и Другие коммуникационные протоколы, однако некоторые из них были разработаны давно, при создании первых сетей, которые работали медленно, были ненадежными и более подверженными электромагнитным и радиопомехам. Поэтому для современных коммуникаций некоторые протоколы не вполне пригодны. К недостаткам таких протоколов относится слабая защита от ошибок или избыточный сетевой трафик. Кроме того, определенные протоколы были созданы для небольших локальных сетей и задолго до появления современных корпоративных сетей с развитыми средствами маршрутизации.

Протоколы локальных сетей должны иметь следующие основные характеристики:

обеспечивать надежность сетевых каналов;
обладать высоким быстродействием;
обрабатывать исходные и целевые адреса узлов;
соответствовать сетевым стандартам, в особенности - стандарту IEEE 802.

В основном все протоколы, рассматриваемые в этой главе, соответствуют перечисленным требованиям, однако, как вы узнаете позднее, у одних протоколов возможностей больше, чем у других.

В таблице перечислены протоколы локальных сетей и операционные системы, с которыми эти протоколы могут работать. Далее в главе указаны протоколы и системы (в частности, операционные системы серверов и хост компьютеров) будут описаны подробнее.

Таблица Протоколы локальных сетей и сетевые операционные системы

Cтек протоколов TCP/IP широко распространен. Он используется в качестве основы для глобальной сети интернет. Разбираемся в основных понятиях и принципах работы стека.

Основы TCP/IP

Стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol, протокол управления передачей/протокол интернета) — сетевая модель, описывающая процесс передачи цифровых данных. Она названа по двум главным протоколам, по этой модели построена глобальная сеть — интернет. Сейчас это кажется невероятным, но в 1970-х информация не могла быть передана из одной сети в другую, с целью обеспечить такую возможность был разработан стек интернет-протоколов также известный как TCP/IP.

Разработкой этих протоколов занималось Министерство обороны США, поэтому иногда модель TCP/IP называют DoD (Department of Defence) модель. Если вы знакомы с моделью OSI, то вам будет проще понять построение модели TCP/IP, потому что обе модели имеют деление на уровни, внутри которых действуют определенные протоколы и выполняются собственные функции. Мы разделили статью на смысловые части, чтобы было проще понять, как устроена модель TCP/IP:

Уровневая модель TCP/IP

Три верхних уровня — прикладной, транспортный и сетевой — присутствуют как в RFC, так и у Таненбаума и других авторов. А вот стоит ли говорить только о канальном или о канальном и физическом уровнях — нет единого мнения. В RFC они объединены, поскольку выполняют одну функцию. В статье мы придерживаемся официального интернет-стандарта RFC и не выделяем физический уровень в отдельный. Далее мы рассмотрим четыре уровня модели.

Канальный уровень (link layer)

Предназначение канального уровня — дать описание тому, как происходит обмен информацией на уровне сетевых устройств, определить, как информация будет передаваться от одного устройства к другому. Информация здесь кодируется, делится на пакеты и отправляется по нужному каналу, т.е. среде передачи.

Этот уровень также вычисляет максимальное расстояние, на которое пакеты возможно передать, частоту сигнала, задержку ответа и т.д. Все это — физические свойства среды передачи информации. На канальном уровне самым распространенным протоколом является Ethernet, но мы рассмотрим его на примере в конце статьи.

Межсетевой уровень (internet layer)

Каждая индивидуальная сеть называется локальной, глобальная сеть интернет позволяет объединить все локальные сети. За объединение локальных сетей в глобальную отвечает сетевой уровень. Он регламентирует передачу информации по множеству локальных сетей, благодаря чему открывается возможность взаимодействия разных сетей.

Межсетевое взаимодействие — это основной принцип построения интернета. Локальные сети по всему миру объединены в глобальную, а передачу данных между этими сетями осуществляют магистральные и пограничные маршрутизаторы.

Маска подсети и IP-адреса

Маска подсети помогает маршрутизатору понять, как и куда передавать пакет. Подсетью может являться любая сеть со своими протоколами. Маршрутизатор передает пакет напрямую, если получатель находится в той же подсети, что и отправитель. Если же подсети получателя и отправителя различаются, пакет передается на второй маршрутизатор, со второго на третий и далее по цепочке, пока не достигнет получателя.

Протокол интернета — IP (Internet Protocol) используется маршрутизатором, чтобы определить, к какой подсети принадлежит получатель. Свой уникальный IP-адрес есть у каждого сетевого устройства, при этом в глобальной сети не может существовать два устройства с одинаковым IP. Он имеет два подвида, первым был принят IPv4 (IP version 4, версии 4) в 1983 году.

IPv4 предусматривает назначение каждому устройству 32-битного IP-адреса, что ограничивало максимально возможное число уникальных адресов 4 миллиардами (2 32 ). В более привычном для человека десятичном виде IPv4 выглядит как четыре блока (октета) чисел от 0 до 255, разделенных тремя точками. Первый октет IP-адреса означает его класс, классов всего 4: A, B, C, D.

IPv6 имеет вид восьми блоков по четыре шестнадцатеричных значения, а каждый блок разделяется двоеточием. IPv6 выглядит следующим образом:

Так как IPv6 адреса длинные, их разрешается сокращать по следующим правилам: ведущие нули допускается опускать, например в адресе выше :00FF: позволяется записывать как :FF:, группы нулей, идущие подряд тоже допустимо сокращать и заменять на двойное двоеточие, например, 2DAB:FFFF::01AA:00FF:DD72:2C4A. Допускается делать не больше одного подобного сокращения в адресе IPv6.

IP предназначен для определения адресата и доставки ему информации, он предоставляет услугу для вышестоящих уровней, но не гарантирует целостность доставляемой информации.

ICMP и IGMP

ICMP никогда не вызывается сетевыми приложениями пользователя, кроме случаев диагностики сети, к примеру, пинг (ping) или traceroute (tracert). ICMP не передает данные, это отличает его от транспортных TCP и UDP, расположенных на L3, которые переносят любые данные. ICMP работает только с IP четвертой версии, с IPv6 взаимодействует ICMPv6.

Сетевые устройства объединяются в группы при помощи IGMP, используемый хостами и роутерами в IPv4 сетях. IGMP организует multicast-передачу информации, что позволяет сетям направлять информацию только хостам, запросившим ее. Это удобно для онлайн-игр или потоковой передаче мультимедиа. IGMP используется только в IPv4 сетях, в сетях IPv6 используется MLD (Multicast Listener Discovery, протокол поиска групповых слушателей), инкапсулированный в ICMPv6.

Транспортный уровень (transport layer)

Постоянные резиденты транспортного уровня — протоколы TCP и UDP, они занимаются доставкой информации.

TCP (протокол управления передачей) — надежный, он обеспечивает передачу информации, проверяя дошла ли она, насколько полным является объем полученной информации и т.д. TCP дает возможность двум хостам производить обмен пакетами через установку соединения. Он предоставляет услугу для приложений, повторно запрашивает потерянную информацию, устраняет дублирующие пакеты, регулируя загруженность сети. TCP гарантирует получение и сборку информации у адресата в правильном порядке.

UDP (протокол пользовательских датаграмм) — ненадежный, он занимается передачей автономных датаграмм. UDP не гарантирует, что всех датаграммы дойдут до получателя. Датаграммы уже содержат всю необходимую информацию, чтобы дойти до получателя, но они все равно могут быть потеряны или доставлены в порядке отличном от порядка при отправлении.

UDP обычно не используется, если требуется надежная передача информации. Использовать UDP имеет смысл там, где потеря части информации не будет критичной для приложения, например, в видеоиграх или потоковой передаче видео. UDP необходим, когда делать повторный запрос сложно или неоправданно по каким-то причинам.

Протоколы L3 не интерпретируют информацию, полученную с верхнего или нижних уровней, они служат только как канал передачи, но есть исключения. RSVP (Resource Reservation Protocol, протокол резервирования сетевых ресурсов) может использоваться, например, роутерами или сетевыми экранами в целях анализа трафика и принятия решений о его передаче или отклонении в зависимости от содержимого.

Прикладной уровень (application layer)

В модели TCP/IP отсутствуют дополнительные промежуточные уровни (представления и сеансовый) в отличие от OSI. Функции форматирования и представления данных делегированы библиотекам и программным интерфейсам приложений (API) — своего рода базам знаний. Когда службы или приложения обращаются к библиотеке или API, те в ответ предоставляют набор действий, необходимых для выполнения задачи и полную инструкцию, каким образом эти действия нужно выполнять.

Зачем нужен порт и что означает термин сокет

IP присваивается каждому компьютеру межсетевым уровнем, но обмен данными происходит не между компьютерами, а между приложениями, установленными на них. Чтобы получить доступ к тому или иному сетевому приложению недостаточно только IP, для идентификации приложений применяют порты. Комбинация IP-адреса и порта называется сокетом или гнездом (socket). Поэтому обмен информацией происходит между сокетами. Нередко слово сокет употребляют как синоним для хоста или пользователя, также сокетом называют гнездо подключения процессора.

Из привилегий у приложений на прикладном уровне можно выделить наличие собственных протоколов для обмена данными, а также фиксированный номер порта для обращения к сети. Администрация адресного пространства интернет (IANA), занимающаяся выделением диапазонов IP-адресов, отвечает еще за назначение сетевым приложениям портов.

Процесс, кодирования данных на прикладном уровне, передача их на транспортном, а затем на межсетевом и, наконец, на канальном уровне называется инкапсуляцией данных. Обратная передача битов информации по иерархии, с канального на прикладной уровни, называют декапсуляцией. Оба процесса осуществляются на компьютерах получателя и отправителя данных попеременно, это позволяет долго не удерживать одну сторону канала занятой, оставляя время на передачу информации другому компьютеру.

Стек протоколов, снова канальный уровень

После ознакомления с уровневой структурой модели становится понятно, что информация не может передаваться между двумя компьютерами напрямую. Сначала кадры передаются на межсетевой уровень, где компьютеру отправителя и компьютеру получателя назначается уникальный IP. После чего, на транспортном уровне, информация передается в виде TCP-фреймов либо UDP-датаграмм.

На каждом этапе, подобно снежному кому, к уже имеющейся информации добавляется служебная информация, например, порт на прикладном уровне, необходимый для идентификации сетевого приложения. Добавление служебной информации к основной обеспечивают разные протоколы — сначала Ethernet, поверх него IP, еще выше TCP, над ним порт, означающий приложение с делегированным ему протоколом. Такая вложенность называется стеком, названным TCP/IP по двум главным протоколам модели.

Point-to-Point протоколы

Отдельно расскажем о Point-to-Point (от точки к точке, двухточечный) протоколе также известном как PPP. PPP уникален по своим функциям, он применяется для коммуникации между двумя маршрутизаторами без участия хоста или какой-либо сетевой структуры в промежутке. При необходимости, PPP обеспечивает аутентификацию, шифрование, а также сжатие данных. Он широко используется при построении физических сетей, например, кабельных телефонных, сотовых телефонных, сетей по кабелю последовательной передачи и транк-линий (когда один маршрутизатор подключают к другому для увеличения размера сети).

У PPP есть два подвида — PPPoE (PPP по Ethernet) и PPPoA (PPP через асинхронный способ передачи данных — ATM), интернет-провайдеры часто их используют для DSL соединений.

PPP и его старший аналог SLIP (протокол последовательной межсетевой связи) формально относятся к межсетевому уровню TCP/IP, но в силу особого принципа работы, иногда выделяются в отдельную категорию. Преимущество PPP в том, что для установки соединения не требуется сетевая инфраструктура, а необходимость маршрутизаторов отпадает. Эти факторы обуславливают специфику использования PPP протоколов.

Заключение

Стек TCP/IP регламентирует взаимодействие разных уровней. Ключевым понятием в здесь являются протоколы, формирующие стек, встраиваясь друг в друга с целью передать данные. Рассмотренная модель по сравнению с OSI имеет более простую архитектуру.

Сама модель остается неизменной, в то время как стандарты протоколов могут обновляться, что еще дальше упрощает работу с TCP/IP. Благодаря всем преимуществам стек TCP/IP получил широкое распространение и использовался сначала в качестве основы для создания глобальной сети, а после для описания работы интернета.

Читайте также: