Какой протокол локальной сети является наиболее уязвимым

Обновлено: 01.06.2024

Терминология компьютерной сети Протоколы

Сетевой протокол — это набор программно реализованных правил общения компьютеров, подключенных к сети. Практически это "язык", на котором компьютеры разговаривают друг с другом. В настоящее время стандартом стало использование только протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанавливалось несколько протоколов, обычно это NetBEUI, NWLink IPX/SPX, TCP/IP.

NetBEUI.
Компактный и эффективный протокол для взаимодействия в малых сетях (до 200 компьютеров). Используется в самых разнообразных системах: Microsoft LAN Manager, Windows 3.1/3.11 for Workgroups/95/98/NT 4.0, IBM PCLAN, LAN Server и т. п. В Windows 2000 и старше применяется новая спецификация этого протокола, которая получила название NetBIOS Frame Protocol (NBFP). NetBEUI (NBFP) не требует никаких дополнительных настроек. Если нужно быстро создать сеть и вы не чувствуете себя уверенными в понимании дополнительных настроек, которых, например, требует протокол TCP/IP, то включите протокол NBFP. Вы получите простую и весьма быстро функционирующую локальную сеть.
NWLink IPX/SPX.
Если в сети есть серверы Novell NetWare, то этот протокол необходим для организации с ними связи. В противном случае данный протокол следует исключить из числа используемых в системе.
TCP/IP.
Основной рекомендуемый протокол как для больших сетей предприятий и малых офисов, так и для соединения домашних компьютеров в частную сеть. В отличие от других протоколов требует ряда предварительных настроек.

Примечание
He следует использовать в сети больше служб и протоколов, чем требуется для нормальной работы в конкретной ситуации. Во-первых, при этом будут непро-изводительно использоваться ресурсы компьютера. Во-вторых, любая допол-нительная служба и неиспользуемый протокол — это еще один "вход" в систему, который надо защищать. Поэтому проще не предоставлять дополнительных возможностей хакерам, чем постоянно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать необходимые обновления и т. п.

Модель OSI

С целью систематизации часто используется модель OSI, условно разбивающая сетевое взаимодействие на семь уровней.
Знание уровней OSI обычно требуется при сдаче тех или иных сертификационных экзаменов, но на практике такое деление потеряло свое значение. Если первые три уровня еще можно достаточно хорошо вычленить при анализе того или иного сетевого проекта, то классифицировать функциональность оборудования по остальным уровням достаточно сложно. В маркетинговых целях часто указывают в описаниях коммутаторов, что они работают, например, на уровне 4 или 7. На практике это означает только, что при реализации определенного функционала в коммутаторах производится анализ пакета данных по характеристикам, относящимся к соответствующим уровням. Например, это происходит при операциях маршрутизации группового трафика (коммутатор анализирует пакет на принадлежность той или иной программе), приоритезации пакетов и т. п.

Стек протоколов TCP/IP

Поэтому принято говорить, что существуют уровни протокола IP, а на каждом уровне — различные варианты специальных протоколов. Весь этот набор протоколов называют стеком протоколов TCP/IP.

Протоколы UPD, TCP, ICMP

IPv6

Бурное развитие Интернета привело к тому, что параметры, заложенные при создании протоколов IP, стали сдерживать дальнейшее развитие глобальной сети. Поэтому многочисленные группы постоянно разрабатывают возможные модификации данного протокола. Наиболее "признанной" на данный момент разработкой считается проект группы IETF (Internet Engineering Task Force, проблемная группа проектирования Интернета), который называют IPv6 (другие проекты объединяют общим названием IP Next Generation или IPng).
К основным особенностям данного проекта относятся:

Хотя большинство участников Интернета поддерживает разработку этого протокола, однако реальное внедрение данной разработки потребует длительного времени и существенных инвестиций, поскольку влечет за собой модернизацию большого количества уже установленного оборудования.
Поддержка протокола IPv6 заложена в операционные системы Windows, начиная с Windows ХР. Чтобы ее включить в Windows XP, необходимо выполнить команду ipv6 install. Но использование ipv6 пока еще не имеет практического значения. По разным оценкам нехватка адресного пространства протокола IPv4 может возникнуть не ранее чем через 5—10 лет. Это достаточный срок для разработки уже следующей спецификации протокола IP.

Параметры TCP/IP протокола
IP-адрес

Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-адрес— 32-битное число, используемое для идентификации узла (компьютера) в сети. Адрес принято записывать десятичными значениями каждого октета этого числа с разделением полученных значений точками. Например: 192.168.101.36.
IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP-адреса распределяются централизованно. Интернет-провайдеры дела ют заявки в национальные центры в соответствии со своими потребностями Полученные провайдерами диапазоны адресов распределяются далее между клиентами. Клиенты сами могут выступать в роли интернет-провайдера и распределять полученные IP-адреса между субклиентами и т.д. При таком способе распределения IP-адресов компьютерная система точно знает "pacположение" компьютера, имеющего уникальный IP-адрес; ей достаточно переслать данные в сеть "владельца". Провайдер в свою очередь проанализирует пункт назначения и, зная, кому отдана эта часть адресов, отправит инфор мацию следующему владельцу поддиапазона IP-адресов, пока данные не поступят на компьютер назначения.
Выделение диапазона адресов осуществляется бесплатно, но организация получившая адреса, должна реально подтвердить их использование через oп ределенный промежуток времени.
Для построения локальных сетей организаций выделены специальные диапа зоны адресов. Это адреса Ю.х.х.х, 192.168.х.х, Ю.х.х.х, с 172.16.х.х по 172.31.х.х, 169.254.Х.Х. Пакеты, передаваемые с указанных адресов, не маршрутизируются (иными словами, не пересылаются) через Интернет, поэтому в различных локальных сетях компьютеры могут иметь совпадающие адреса из указанных диапазонов. Для пересылки информации с таких компьютеров в Интернет и обратно используются специальные программы, "на лету" заменяющие локальные адреса реальными при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реального IP-адреса. Этот процесс происходит "незаметно" для пользователя. Такая технология называется трансляцией адресов .

Групповые адреса

Если данные должны быть переданы на несколько устройств (например, просмотр видео с одной Web-камеры на различных компьютерах или одновременное разворачивание образа операционной системы на несколько систем), то уменьшить нагрузку на сеть может использование групповыхрассылок.
Для этого компьютеру присваивается еще один IP-адрес из специального диапазона: с 224.0.0.0 по 239.255.255.255, причем диапазоны 224.0.0.0— 224.0.0.255 и 239.0.0.0—239.255.255.255 не могут быть использованы в приложениях и предназначены для протоколов маршрутизации3 и т. п. Назначение адресов групповой рассылки производится соответствующим программным обеспечением.
Если коммутатор имеет функции работы с групповыми рассылками (поддержка IGMP snoophing, P1M DM/PIM SM), то передаваемые на адреса групповой рассылки данные будут поступать только на те порты, к которым подключены устройства, подписавшиеся на соответствующие рассылки. В результате сетевой трафик может быть существенно снижен по сравнению с вариантом передачи таких данных каждому устройству сети независимо.

Распределение IP-адресов сети малого офиса

В сетях предприятий обычно задействованы диапазоны IP-адресов, выделенные для локального использования. Часть адресов закрепляется статически, часть— раздается динамически с помощью DHCP (Dynamic Host Configuration Protocol, динамический протокол конфигурации сервера).

Статические адреса закрепляются:

за шлюзом, для которого обычно используют адрес ххх.ххх.ххх.1, но это традиция, а не правило;
за серверами DNS, DHCP, WINS;
за контроллерами домена;
за серверами сети (например, централизованные файловые ресурсы, почтовый сервер и т. п.);
за станциями печати, имеющими непосредственное подключение к сети;
за управляемыми сетевыми устройствами (например, сетевыми переключателями, SNMP-управляемыми источниками аварийного питания и т. п.).

Рабочие станции традиционно используют динамические адреса. При этом часть динамических адресов выдается для локального использования, а часть предназначается для внешних клиентов, "гостей" сети.

Примечание
Обычно для компьютеров, получающих гостевые адреса, устанавливаются определенные ограничения прав доступа к внутренним ресурсам.

Для упрощения администрирования сети рекомендуется выработать план распределения диапазона адресов и предусмотреть в нем некоторый запас для будущего развития информационной системы.

Маска адреса

Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локальной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной.
Маска— это параметр, который "сообщает" программному обеспечению о том, сколько компьютеров объединено в данную группу ("подсеть"). Маска адреса имеет такую же структуру, как и сам IP-адрес: это набор из четырех групп чисел, каждое из которых может быть в диапазоне от 0 до 255. При этом чем меньше значение маски, тем больше компьютеров объединено в данную подсеть. Для сетей небольших предприятий маска обычно имеет вид 255.255.255.x (например, 255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-адресом.

Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/24) может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес 192.168.0.255 — это адрес широковещательной рассылки для данной сети. А сеть 192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от 192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 используется при этом в качестве широковещательного).
На практике сети с небольшим возможным числом хостов используются интернет-провайдерами (с целью экономии IP-адресов). Например, клиенту может быть назначен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста. При разбиении сети организации используют диапазоны локальных адресов сетей класса С. Сеть класса С имеет маску адреса 255.255.255.0 и может содеражать до 254 хостов. Применение сетей класса С при разбиении на VLAN в условиях предприятия связано с тем, что протоколы автоматической маршрутизации используют именно такие подсети.
При создании подсетей в организации рекомендуется придерживаться следующего правила: подсети, относящиеся к определенному узлу распределения, должны входить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы коммутаторов. Например, если к данному коммутатору подключены подсети 192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то другому коммутатору достаточно знать, что в этом направлении следует пересылать пакеты для сети 192.168.0.0/255.255.252.0.
Эта рекомендация несущественна для сетей малых и средних организаций, поскольку ресурсов современных коммутаторов достаточно для хранения настроек такого объема.

После того как компьютер получил IP-адрес и ему стало "известно" значение маски подсети, программа может начать работу в данной локальной подсети. Чтобы обмениваться информацией с другими компьютерами в глобальной сети, необходимо знать правила, куда пересылать информацию для внешней сети. Для этого служит такая характеристика IP-протокола, как адрес шлюза.

Шлюз (Gateway, default gateway)

Шлюз (gateway)— это устройство (компьютер), которое обеспечивает пересылку информации между различными IP-подсетями. Если программа определяет (по IP-адресу и маске), что адрес назначения не входит в состав локальной подсети, то она отправляет эти данные на устройство, выполняющее функции шлюза. В настройках протокола указывают IP-адрес такого устройства.
Для работы только в локальной сети шлюз может не назначаться.
Для индивидуальных пользователей, подключающихся к Интернету, или для небольших предприятий, имеющих единственный канал подключения, в системе должен быть только один адрес шлюза — это адрес того устройства, которое имеет подключение к Сети. При наличии нескольких маршрутов (путей пересылки данных в другие сети) будет существовать несколько шлюзов. В этом случае для определения пути передачи данных используется таблица маршрутизации.

Таблицы маршрутизации

Организация может иметь несколько точек подключения к Интернету (например, в целях резервирования каналов передачи данных или использования более дешевых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом случае, чтобы система "знала", каким путем (через какой шлюз) посылать ту или иную информацию, используются таблицы маршрутизации (routing). В таблицах маршрутизации для каждого шлюза указывают те подсети Интернета, для которых через них должна передаваться информация. При этом для нескольких шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью передачи данных: информация будет отсылаться по каналу, имеющему самую низкую стоимость, а в случае его выхода из строя по тем или иным причинам автоматически будет использоваться следующее наиболее "дешевое" подсоединение.
Таблицы маршрутизации имеются на каждом устройстве, использующем протокол IP. Администраторы в основном работают с таблицами маршрутизации коммутирующего оборудования. Настройка таблиц маршрутизации компьютеров имеет смысл только в случае наличия нескольких сетевых адаптеров, подключенных к различным сегментам сети. Если у компьютера есть только одна сетевая карта (одно подключение к Интернету), таблица маршрутизации имеет наиболее простой вид: в ней записано, что все сигналы должны отправляться на шлюз, назначенный по умолчанию (default gateway).

Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи команды route print. С помощью команды route можно также добавить новый статический маршрут (route add) или постоянный маршрут— route add -p (маршрут сохраняется в настройках после перезагрузки системы).
Покажем на примере, как можно использовать модификации таблицы маршрутизации. Предположим, что на компьютере имеются две сетевых карты, одна из которых непосредственно подключена к Интернету (имеет реальный адрес), а вторая используется для работы во внутренней сети (локальный адрес). Доступ в Интернет производится по умолчанию через шлюз в локальной сети. В этом случае таблица маршрутизации, отображаемая по команде route print, выглядит примерно так:

Проверим путь прохождения пакетов на адрес Интернета, например 109.84.231.210, с помощью команды tracert:
tracert 109.84.231.210 -dВ итоге получаем примерно такую картину (листинг ограничен первыми четырьмя узлами):

Предположим, что мы хотим изменить путь прохождения пакетов к выбранному нами хосту, направив информацию через вторую сетевую карту (а не через шлюз по умолчанию). Для этого с помощью команды route add нужно добавить желаемый нами маршрут:
route add 109.84.231.210 mask 255.255.255.255 195.161.192.2
В команде мы указали, что хотим назначить новый маршрут не для диапазона адресов, а только для конкретного значения (поэтому маска — 255.255.255.255). Кроме того, явно указали адрес сетевого интерфейса, через который нужно пересылать пакеты.
После исполнения данной команды (на экран система не выводит никаких итогов операции) изменения можно просмотреть через таблицу маршрутизации.

По сравнению с исходным вариантом таблица маршрутизации дополнилась одной строкой, которая приведена в данном примере (остальные строки не изменились ).

Проверяем новый путь прохождения сигналов:
Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30

.
Видно, что пакеты пересылаются уже через другой интерфейс.
Эти изменения маршрутизации действуют до перезагрузки системы или до подачи обратной команды: удаления записей маршрутизации. Для восстановления параметров маршрутизации достаточно подать команду, указав тот маршрут, который требуется удалить:

route delete 109.84.231.210

При этом обычно можно не указывать параметры маски и интерфейса (если они однозначно определяются по вводимому в команде адресу).

Примечание
На практике встречаются ситуации, когда изменение параметров маршрутизации в операционной системе Windows не сразу "отрабатывалось" корректно. Иногда после операций над таблицей маршрутизации для достижения успеха нужно было программно отключить и вновь включить тот сетевой интерфейс, для которого выполнялась настройка.

Понимание правил маршрутизации важно не только при построении маршрутов в Интернете, — задаче, которую вряд ли придется решать администраторам сетей некрупных предприятий. На практике для выделения обособленных участков локальной сети (например, по соображениям безопасности) достаточно широко используются виртуальные сети . А для того чтобы обеспечить избранный доступ в такие сети, администраторы должны уметь написать правильную таблицу маршрутизации для соответствующей VLAN.

Полученные результаты: описаны основные сетевые протоколы безопасности, изучены возможности ОС Windows Server 2016 по установке и настройке сетевых протоколов безопасности, проведён анализ возможных решений по установке и настройке сетевых протоколов безопасности, выполнено моделирование установки и настройки сетевых протоколов безопасности средствами Windows Server 2016.

Перечень ключевых слов: локальная сеть, рабочая станция, оконечные устройства, коммутатор, роутер, брандмауэр, сервер, сетевой протокол безопасности, Windows Server, DNS, DHCP, VPN, SSH, SSL, SOCKS, TSL, PPTP, L2TP, IpSec.

ВВЕДЕНИЕ

Различные уязвимости системных и сетевых служб, а также протоколов за последние несколько лет стали значимыми в IT сфере. Опасность потерять связь, даже на мгновенье, заставляет администраторов и IT специалистов увеличивать резервирование каналов связи, усложнять защитные механизмы, удорожать защитные системы собственных локальных сетей. Все системы безопасности строятся на основе разнообразных операционных систем, будь то сервер аутентификации, либо обычный аппаратный брандмауэр.

Серверная операционная является наиболее гибкой основой для организации системы безопасности. В неё уже по умолчанию встроено множество функций, которые помогут заблокировать попытки несанкционированного доступа. Сетевому администратору необходимо выполнить настройку защитных функций операционной системы.

Основой любой ОС – является ядро, которое взаимодействует с остальными программами. При работе с сетью ядро одной операционный системы взаимодействует с ядром другой системы при помощи сетевых служб, в соответствии с сетевыми протоколами связи, которые используют один и тот же набор правил.

Именно сетевые протоколы безопасности несут основную нагрузку по защите информации в локальных и глобальных сетях. Настройка сетевых протоколов безопасности в различных операционных системах выполняется по-разному, но везде присутствуют общие черты. Операционные системы обладают различным потенциалом в области защиты данных. Для высококачественной, серьёзной защиты государственных структур, сетей вооружённых сил применяются узкоспециализированные операционные системы, например: ОС KasperskyOS, ОС Kraftway Terminal Linux, ОС RAIDIX, ОС Заря и т.д. Для администраторов и пользователей большинства небольших компаний такие возможности излишни, так как создадут проблемы, связанные с обслуживанием и эксплуатацией специализированной компьютерной техники и необычным, подчас уникальным, программным обеспечением, слабо совместимым с существующими сетями и устройствами. В связи с этим наиболее выгодно использовать в качестве базы системы безопасности - ОС Windows, настройку сетевых протоколов безопасности которой может провести любой системный администратор.

Цель проекта: смоделировать установку и настройку сетевых протоколов безопасности средствами Windows Server 2016.

Объект проекта: протоколы безопасности.

Предмет проекта: установка и настройка протоколов безопасности средствами Windows Server 2016.

1. Рассмотреть учебно-техническую литературу по теме ВПКР.

2. Описать основные сетевые протоколы безопасности серверов на базе ОС Windows Server 2016: PPTP, L2TP, IPSec, SSL и TLS, SOCKS, SSH.

3. Рассмотреть возможности Windows Server 2016 по установке и настройке сетевых протоколов безопасности.

4. Проанализировать возможные решения по установке и настройке сетевых протоколов безопасности средствами Windows Server 2016.

5. Описать этапы установки и настройки сетевых протоколов безопасности средствами Windows Server 2016 локальной сети организации.

ГЛАВА I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УСТАНОВКИ И НАСТРОЙКИ СЕТЕВЫХ ПРОТОКОЛОВ БЕЗОПАСНОСТИ СРЕДСТВАМИ WINDOWS SERVER 2016

Основные сетевые протоколы безопасности серверов

Сетевой протокол - набор прав или действий (очерёдности действий), позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сети устройствами. Протокол передачи данных - набор соглашений интерфейса логического уровня, которые определяют обмен данными между различными программами [10].

Протоколами безопасности можно назвать такие протоколы, которые обеспечивают безопасную передачу данных между клиентом и сервером. Данные протоколы располагают на различных уровнях сетевой модели OSI. Протоколы защиты канального уровня: PPTP, L2TP и L2f. Протокол защиты на сетевом уровне IPSec. Протоколы защиты на сеансовом уровне SSL и TLS SOCKS. Протокол защиты прикладного уровня SSH [14].

Сетевые протоколы безопасности используются для защиты компьютерных данных при их передаче по сети. Наиболее полную защиту дают методы, включающие в себя: туннелирование, аутентификацию и шифрование.

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними [3].

Аутентификация - процедура проверки подлинности [4].

Криптография использует алгоритмы для шифрования данных, так чтобы они не были прочитаны не авторизованными пользователями. Криптография работает с набором процедур или протоколов, которые управляют обменом данными между устройствами и сетями.

Общая черта протоколов защиты канального уровня проявляется в реализации организации защищенного многопротокольного удаленного доступа к ресурсам сети через открытую сеть. Для передачи конфиденциальной информации из одной точки в другую сначала используется протокол РРР, L2TP и L2f, а затем уже протоколы шифрования [6, с. 89].

Протокол PPTP определяет реализацию криптозащищенного туннеля на канальном уровне OSI. PPTP - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP инкапсулирует кадры PPP в IP-пакеты для передачи по глобальной IP-сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля. Его поддерживают многие межсетевые экраны и VPN [7, с. 202].

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F - старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации [2, с.70,5, с.50].

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения [5, с. 51].

Семейство протоколов защиты на сетевом уровне IPSec. IPsec - это набор протоколов, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне [5, с. 51].

IPSec гарантирует целостность передаваемых данных, их конфиденциальность, а также проверяет аутентичность отправителя [2, с. 70].

Протоколы IPSec можно разделить на два класса – протоколы защиты передаваемых данных (AH, ESP) и протоколы обмена ключами (IKE) [5, с. 52].

- Internet Key Exchange (IKE).

Протоколы защиты, работающие преимущественно на сеансовом уровне: SSL и TLS SOCKS.

С марта 2011 года, согласно, TLS-клиенты не должны использовать протокол SSL 2.0 при запросе подключения к серверу, и серверы должны отклонять такие запросы [10].

TLS даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ. Так как большинство протоколов связи может быть использовано как с, так и без TLS, при установке соединения необходимо явно указать серверу, хочет ли клиент устанавливать TLS. Это может быть достигнуто либо с помощью использования унифицированного номера порта, по которому соединение всегда устанавливается с использованием TLS, либо с использованием произвольного порта и специальной команды серверу со стороны клиента на переключение соединения на TLS с использованием специальных механизмов протокола. Как только клиент и сервер договорились об использовании TLS, им необходимо установить защищённое соединение. Это делается с помощью процедуры подтверждения связи. Во время этого процесса клиент и сервер принимают соглашение относительно различных параметров, необходимых для установки безопасного соединения [6, c.250].

Одной из областей применения TLS-соединения является соединение узлов в виртуальной частной сети. Кроме TLS, также могут использоваться набор протоколов IPSec и SSH-соединение. Каждый из этих подходов к реализации виртуальной частной сети имеет свои преимущества и недостатки. Исходя из этого, у каждого из выше названных семейств сетевых протоколов имеются достоинства и недостатки [9].

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT. С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы [4, c.256].

SSH - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколом Telnet, но, в отличие от него, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем [3, с. 140]

SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол, удалённо работать на компьютере через командную оболочку, передавать по шифрованному каналу звуковой поток или видео даже с веб-камеры. Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно для удалённого запуска клиентов [6, с. 77].

SSH-сервер обычно прослушивает соединения на TCP - порт 22. Спецификация протокола SSH-2 содержится в RFC 4251. Для аутентификации сервера в SSH используется протокол аутентификации сторон на основе алгоритмов электронно-цифровой подписи RSA или DSA, но допускается также аутентификация при помощи пароля (режим обратной совместимости с Telnet) и даже ip-адреса [1, с.243].

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи, производит аутентификацию, после чего начинает обслуживание клиента. SSH-клиент используется для входа на удалённую машину и выполнения команд.

Таблица сравнения сетевых протоколов безопасности расположена в Приложении 1.

Сетевым протоколом называется набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть компьютерами.Фактически разные протоколы зачастую описывают лишь разные стороны одного типа связи; взятые вместе, они образуют так называемый стек протоколов. Названия и также указывают на программное обеспечение, которым реализуется протокол

Уровни протоколов

Наиболее распространённой системой классификации сетевых протоколов является так называемая модель OSI. В соответствии с ней протоколы делятся на 7 уровней по своему назначению - от физического (формирование и распознавание электрических или других сигналов) до прикладного (API для передачи информации приложениями):

В основном используются протокол TCP/IP

Transmission Control Protocol/Internet Protocol, TCP/IP (Протокол управления передачей/Протокол Интернета)

Большинство операционных систем сетевых серверов и рабочих станций поддерживает TCP/IP, в том числе серверы NetWare, все системы Windows, UNIX, последние версии Mac OS, системы OpenMVS и z/OS компании IBM, а также OpenVMS компании DEC. Кроме того, производители сетевого оборудования создают собственное системное программное обеспечение для TCP/IP, включая средства повышения производительности устройств. Стек TCP/IP изначально применялся на UNIX-системах, а затем быстро распространился на многие другие типы сетей.

Протоколы локальных сетей

Свойства протоколов локальной сети

В основном протоколы локальных сетей имеют такие же свойства, как и Другие коммуникационные протоколы, однако некоторые из них были разработаны давно, при создании первых сетей, которые работали медленно, были ненадежными и более подверженными электромагнитным и радиопомехам. Поэтому для современных коммуникаций некоторые протоколы не вполне пригодны. К недостаткам таких протоколов относится слабая защита от ошибок или избыточный сетевой трафик. Кроме того, определенные протоколы были созданы для небольших локальных сетей и задолго до появления современных корпоративных сетей с развитыми средствами маршрутизации.

Протоколы локальных сетей должны иметь следующие основные характеристики:

обеспечивать надежность сетевых каналов;
обладать высоким быстродействием;
обрабатывать исходные и целевые адреса узлов;
соответствовать сетевым стандартам, в особенности - стандарту IEEE 802.

В основном все протоколы, рассматриваемые в этой главе, соответствуют перечисленным требованиям, однако, как вы узнаете позднее, у одних протоколов возможностей больше, чем у других.

В таблице перечислены протоколы локальных сетей и операционные системы, с которыми эти протоколы могут работать. Далее в главе указаны протоколы и системы (в частности, операционные системы серверов и хост компьютеров) будут описаны подробнее.

Таблица Протоколы локальных сетей и сетевые операционные системы

Соответствующая операционная система

Первые версии операционных систем Microsoft Windows

UNIX, Novel NetWare, современные версии операционных систем Microsoft Windows, операционные системы мэйнфреймов IBM

Операционные системы мэйнфреймов и миникомпьютеров IBM

Клиентские системы, взаимодействующие с мэйнфреймами IBM, настроенными на работу с протоколом SNA

Понятие протокола Интернет

Очевидно, что рано или поздно компьютеры, расположенные в разных точках земного шара, по мере увеличения своего количества должны были обрести некие средства общения. Такими средствами стали компьютерные сети. Сети бывают локальными и глобальными. Локальная сеть - это сеть, объединяющая компьютеры, географически расположенные на небольшом расстоянии друг от друга - например, в одном здании. Глобальные сети служат для соединения сетей и компьютеров, которых разделяют большие расстояния - в сотни и тысячи километров. Интернет относится к классу глобальных сетей.

Простое подключение одного компьютера к другому - шаг, необходимый для создания сети, но не достаточный. Чтобы начать передавать информацию, нужно убедиться, что компьютеры "понимают" друг друга. Как же компьютеры "общаются" по сети? Чтобы обеспечить эту возможность, были разработаны специальные средства, получившие название "протоколы". Протокол - это совокупность правил, в соответствии с которыми происходит передача информации через сеть. Понятие протокола применимо не только к компьютерной индустрии. Даже те, кто никогда не имел дела с Интернетом, скорее всего работали в повседневной жизни с какими-либо устройствами, функционирование которых основано на использовании протоколов. Так, обычная телефонная сеть общего пользования тоже имеет свой протокол, который позволяет аппаратам, например, устанавливать факт снятия трубки на другом конце линии или распознавать сигнал о разъединении и даже номер звонящего.

Исходя из этой естественной необходимости, миру компьютеров потребовался единый язык (то есть протокол), который был бы понятен каждому из них.

Краткое описание протоколов Интернет

TCP/IP

Над созданием протоколов, необходимых для существования глобальной сети, трудились лучшие умы человечества. Одним из них был Винтон Серф (Vinton G. Cerf). Сейчас этого человека называют "отцом Интернета". В 1997 году Президент США Билл Клинтон наградил Винтона Серфа и его коллегу Роберта Кана (Robert E. Kahn) Национальной медалью за заслуги в области технологии, отметив их вклад в становление и развитие Интернета. Ныне Винтон Серф занимает пост старшего вице-президента по Интернет-архитектуре в корпорации MCI WorldCom Inc.

В 1972 году группа разработчиков под руководством Винтона Серфа разработала протокол TCP/IP - Transmission Control Protocol/Internet Protocol (Протокол управления передачей/Протокол Интернета).

Эксперимент по разработке этого протокола проводился по заказу Министерства обороны США. Данный проект получил название ARPANet (Advanced Research Projects Agency Network - Сеть агентства важных исследовательских проектов). Очевидно, что в обстановке войны, когда необходимость в обмене информацией встает как никогда остро, возникает проблема непредсказуемости состояния пути, по которому будет передана та или иная информация - любой из узлов передачи в любой момент может быть выведен из строя противником. Поэтому главной задачей при разработке сетевого протокола являлась его "неприхотливость" - он должен был работать с любым сетевым окружением и, кроме того, обладать гибкостью в выборе маршрута при доставке информации.

Позже TCP/IP перерос свое изначальное предназначение и стал основой стремительно развивавшейся глобальной сети, ныне известной как Интернет, а также небольших сетей, использующих технологии Интернета - интранет. Стандарты TCP/IP являются открытыми и непрерывно совершенствуются.

Схема функционирования протокола TCP/IP:

Чтобы текст, составляющий содержимое Web-страниц, отображался на них определенным образом - в соответствии с замыслом создателя страницы - он размечается с помощью особых текстовых меток - тегов языка разметки гипертекста (HyperText Markup Language, HTML).

TELNET

С помощью этого протокола вы можете подключиться к удаленному компьютеру как пользователь (если наделены соответствующими правами, то есть знаете имя пользователя и пароль) и производить действия над его файлами и приложениями точно так же, как если бы работали на своем компьютере.

Telnet является протоколом эмуляции терминала. Работа с ним ведется из командной строки. Если вам нужно воспользоваться услугами этого протокола, не стоит рыскать по дебрям Интернета в поисках подходящей программы. Telnet-клиент поставляется, например, в комплекте Windows 98.

Знаете ли Вы, что, как и всякая идолопоклонническая религия, релятивизм ложен в своей основе. Он противоречит фактам. Среди них такие:

1. Электромагнитная волна (в религиозной терминологии релятивизма - "свет") имеет строго постоянную скорость 300 тыс.км/с, абсурдно не отсчитываемую ни от чего. Реально ЭМ-волны имеют разную скорость в веществе (например, ~200 тыс км/с в стекле и ~3 млн. км/с в поверхностных слоях металлов, разную скорость в эфире (см. статью "Температура эфира и красные смещения"), разную скорость для разных частот (см. статью "О скорости ЭМ-волн")

2. В релятивизме "свет" есть мифическое явление само по себе, а не физическая волна, являющаяся волнением определенной физической среды. Релятивистский "свет" - это волнение ничего в ничем. У него нет среды-носителя колебаний.

3. В релятивизме возможны манипуляции со временем (замедление), поэтому там нарушаются основополагающие для любой науки принцип причинности и принцип строгой логичности. В релятивизме при скорости света время останавливается (поэтому в нем абсурдно говорить о частоте фотона). В релятивизме возможны такие насилия над разумом, как утверждение о взаимном превышении возраста близнецов, движущихся с субсветовой скоростью, и прочие издевательства над логикой, присущие любой религии.

4. В гравитационном релятивизме (ОТО) вопреки наблюдаемым фактам утверждается об угловом отклонении ЭМ-волн в пустом пространстве под действием гравитации. Однако астрономам известно, что свет от затменных двойных звезд не подвержен такому отклонению, а те "подтверждающие теорию Эйнштейна факты", которые якобы наблюдались А. Эддингтоном в 1919 году в отношении Солнца, являются фальсификацией. Подробнее читайте в FAQ по эфирной физике.

По прочтении этой главы и после выполнения практических заданий вы сможете:

Ø рассказать о следующих протоколах и об их использовании в различных сетевых операционных системах:

Ø обсуждать и внедрять методы повышения производительности локальных сетей.

В начале XX века социолог Георг Герберт Мид (George Herbert Mead), изучая влияние языка на людей, пришел к выводу о том, что человеческий интеллект в первую очередь развился благодаря языку. Язык помогает нам находить смысл в окружающей реальности и истолковывать ее детали. В сетях аналогичную роль выполняют сетевые протоколы, которые позволяют разнообразным системам находить общую среду для взаимодействия.

В этой главе описываются протоколы, чаще всего используемые в локальных сетях, а также сетевые операционные системы, в которых они применяются. Вы узнаете о преимуществах и недостатках каждого протокола, благодаря чему вам станут понятны области их использования. Самый популярный протокол локальных сетей – TCP/IP – рассматривается в этой главе лишь кратко, поскольку подробнее он будет описан в главе 6. В заключении текущей главы вы познакомитесь с методами повышения производительности локальных сетей и выбора тех протоколов, которые необходимы в конкретной ситуации.

Общие свойства протоколов локальной сети

Протоколы локальных сетей должны иметь следующие основные характеристики:

• обеспечивать надежность сетевых каналов;

• обладать высоким быстродействием;

• обрабатывать исходные и целевые адреса узлов;

• соответствовать сетевым стандартам, в особенности – стандарту IEEE 802.

В табл. 5.1 перечислены протоколы локальных сетей и операционные системы, с которыми эти протоколы могут работать. Далее в главе указаны протоколы и системы (в частности, операционные системы серверов и хост компьютеров) будут описаны подробнее.

4 Таблица 5.1. Протоколы локальных сетей и сетевые операционные системы

Протокол	Соответствующая операционная система
IPX/SPX	Novell NetWare
NetBEUI	Первые версии операционных систем Microsoft Windows
AppleTalk	Apple Macintosh
TCP/IP	UNIX, Novel NetWare, современные версии операционных систем Microsoft Windows, операционные системы мэйнфреймов IBM
SNA	Операционные системы мэйнфреймов и миникомпьютеров IBM
DLC	Клиентские системы, взаимодействующие с мэйнфреймами IBM, настроенными на работу с протоколом SNA

Достоинства и недостатки

Достоинством протокола IPX (несмотря на его солидный возраст) по сравнению с другими ранними протоколами является возможность его маршрутизации, т. е. то, что с его помощью можно передавать данные по многим подсетям внутри предприятия. Недостатком протокола является дополнительный трафик, возникающий из-за того, что активные рабочие станции используют часто генерируемые широковещательные пакеты для подтверждения своего присутствия в сети. При наличии множества серверов NetWare и нескольких сотен клиентов применяемые протоколом IPX широковещательные пакеты типа "я здесь" могут создавать значительный сетевой трафик (рис. 5.2).

Назначение протокола SPX

Протокол SPX, дополняющий IPX, обеспечивает передачу данных прикладных программ с большей надежностью, чем IPX. Протокол IPX работает несколько быстрее своего "компаньона", однако в нем используются службы без установления соединения, работающие на подуровне LLC Канального уровня. Это означает, что IPX гарантирует доставку фрейма в пункт назначения с меньшей вероятностью. В протоколе SPX применяются службы с установлением соединения, что повышает надежность передачи данных. Чаще всего при упоминаниях обоих протоколов (IPX и SPX) используют сокращение IPX/SPX.

Протокол SPX широко применяется для передачи по сети содержимого Я данных. Кроме того, на основе этого протокола работают утилита удаленной консоли и службы печати фирмы Novell. Удаленная консоль позволяет рабочей станции администратора видеть ту же информацию, которая отображается на консоли файл-сервера NetWare, благодаря чему пользователь может удаленно выполнять системные команды сервера, не находясь за его клавиатурой.

Область применения NetBEUI

Протокол NetBEUI разрабатывался в то время, когда компьютерные сети в первую очередь означали локальные сети для относительно небольшого количества компьютеров (от нескольких до двух сотен). В процессе проектирования не учитывались особенности корпоративных сетей с маршрутизацией пакетов. По этой причине протокол NetBEUI нельзя маршрутизировать и лучше всего его применять в небольших локальных сетях под управлением относительно старых операционных систем компаний Microsoft и IBM:

· Microsoft Windows 3.1 или 3.11;

· Microsoft Windows 95;

· Microsoft Windows 98;

· Microsoft LAN Manager;

· Microsoft LAN Manager for UNIX;

· Microsoft Windows NT 3.51 или 4.0

При переводе сети с Windows NT Server на Windows 2000 или Windows Server 2003 в первую очередь настройте серверы и рабочие станции, использующие NetBEUI, на работу с TCP/IP. Хотя системы Windows 2000 и поддерживают NetBEUI, компания Microsoft не рекомендует применять этот протокол более поздних операционных системах. Однако в том случае, если сеть небольшая (менее 50 клиентов) и не требуется доступ к Интернету, то протокол NetBEUI может оказаться более эффективным, чем TCP/IP.

Недостатки NetBEUI

Службы AppleTalk

В состав протокола AppleTalk входят три базовые службы:

· удаленный доступ к сетевым файлам с использованием программ средств AppleShare File Server (в сочетании с протоколом AppleTalk Filing Protocol);

· службы печати на основе программных средств AppleShare Print Server (которые используют протоколы Name Binding Protocol и Printer Access Protocol);

· файловые службы на базе программ AppleShare PC для DOS- и Windows систем.

Сетевая адресация AppleTalk

Адресация в сетях AppleTalk, использующих протокол ELAP и TLAP, осуществляется с помощью протокола AppleTalk Address Resolution Protocol, AARP, который позволяет распознавать физические или МАС-адреса сетевых адаптеров, благодаря чему эти адреса можно вставлять во фреймы AppleTalk. (Если компьютер Macintosh настроен на работу с AppleTalk и IP, протокол AARP используется для распознавания физических и IP-адресов.)

Достоинства TCP/IP

Среди многих достоинств стека TCP/IP можно упомянуть следующие:

· он применяется во многих сетях и в Интернете, что делает его международным языком сетевых коммуникаций;

· имеется множество сетевых устройств, предназначенных для работы с этим протоколом;

· многие современные компьютерные операционные системы используют TCP/IP в качестве основного протокола;

· для этого протокола существует много диагностических средств и анализаторов;

· многие специалисты по сетям знакомы с протоколом и умеют его использовать.

Проблема каналов связи

Наличие подключения к Интернету или веб-службам требует развертывания Протокола TCP/IP, при этом службы FTP могут использоваться для передачи файлов. Также протокол TCP/IP лучше всего применять для связи с со временными мэйнфреймами и компьютерами UNIX, поскольку для подключения к мэйнфрейму или к приложению, работающему на компьютере UNIX, может потребоваться эмуляция терминала по протоколу Telnet. Для подключения к мэйнфреймам IBM и мини-компьютерам (если они работа ют в среде SNA) можно также использовать протокол DLC. И, наконец, протокол DNA по-прежнему может понадобиться в сети, где имеются старые компьютеры DEC (например, DEC VAX).

Во многих случаях для разных сетевых приложений нужно использовать различные протоколы локальных сетей. Иногда в современных сетях в любых сочетаниях применяются протоколы TCP/IP, NetBEUI, IPX/SPX, SM и даже DNA. Как вы уже знаете, развернутые протоколы связаны с типом используемых операционных систем. Также на их выбор влияет наличие связи с глобальными сетями (например, для выхода в Интернет нужен протокол TCP/IP, который может также потребоваться для связи локальных сетей между собой через глобальную сеть). Если, скажем, TCP/IP используется серверами в одной локальной сети, а рабочие станции из другой сетидолжны обращаться к этим серверам, то обе локальные сети и связывающая их глобальная сеть должны обеспечивать передачу протокола TCP/IP.

Протоколы локальных сетей

По прочтении этой главы и после выполнения практических заданий вы сможете:

Ø рассказать о следующих протоколах и об их использовании в различных сетевых операционных системах:

Ø обсуждать и внедрять методы повышения производительности локальных сетей.

Протоколы локальных сетей и их применение в сетевых операционных системах

Сетевые протоколы напоминают местный язык или диалект: они обеспечивают в сетях беспрепятственный обмен информацией между подключенными устройствами. Эти протоколы имеют значение и для простых электрических сигналов, передаваемых по сетевому коммуникационному кабелю. Я протоколов сетевые коммуникации были бы просто невозможны. Для та чтобы два компьютера могли свободно общаться друг с другом, они должны использовать один и тот же протокол подобно тому, как два человека вынуждены общаться на одном языке.I

В локальной сети несколько протоколов могут работать индивидуально ив некоторых сочетаниях. Сетевые устройства (например, маршрутизаторы) часто настраиваются на автоматическое распознавание и конфигурирование различных протоколов (в зависимости от операционной системы, используемой в маршрутизаторе). Например, в одной локальной сети Ethernet одинпротокол может использоваться для подключения к мэйнфрейму, другой для работы с серверами Novell NetWare, а третий – для серверов Windows (например, под управлением системы Windows NT Server) (рис. 5.1).

Можно установить мост-маршрутизатор, который будет автоматически распознавать каждый протокол и конфигурироваться соответствующим образом, в результате чего для одних протоколов он будет выступать в роли маршрутизатора, а для других – в роли моста. Наличие нескольких протоколов в сети эффективно тем, что такая сеть сможет одновременно выполнять множество функций (например, обеспечивать доступ к Интернета также к мэйнфреймам и серверам). Недостатком такого подхода является что некоторые протоколы будут работать в режиме широковещания, то есть, будут периодически посылать пакеты для идентификации сетевых устройств, генерируя значительный избыточный трафик.

Некоторые сетевые протоколы получили широкое распространение благодаря тому, что они связаны с конкретными сетевыми операционными системами (например, с Windows-системами, мэйнфреймами IBM, сервера UNIX и Novell NetWare). Имеет смысл изучать протоколы применительно тем операционным системам, где они применяются. В этом случае становится понятным, для чего конкретный протокол нужен в сети определенного типа. Кроме того, в этом случае вам легче будет понять, как один протокол (например, NetBEUI) можно заменить другими протоколами (такими как TCP/IP). Однако перед тем как изучать протоколы и их взаимосвязь операционными системами, важно узнать об общих свойствах протокол локальных сетей.

Читайте также: