На уровне каких протоколов работает шлюз сеансового уровня

Обновлено: 01.05.2024

Сеансовый уровень (англ. Session layer ) — 5-й уровень сетевой модели OSI, отвечает за поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Уровень управляет созданием/завершением сеанса, обменом информацией, синхронизацией задач, определением права на передачу данных и поддержанием сеанса в периоды неактивности приложений. Синхронизация передачи обеспечивается помещением в поток данных контрольных точек, начиная с которых возобновляется процесс при нарушении взаимодействия.

Другими примерами реализации сеансового уровня являются Zone Information Protocol (ZIP) – протокол AppleTalk, обеспечивающий согласованность процесса связывания по имени, а также протокол управления сеансом (англ. Session Control Protocol (SCP)) – протокол уровня сеанса IV стадии проекта разработки стека протоколов DECnet.

В рамках семантических конструкций сеансового уровня сетевой архитектуры OSI этот уровень отвечает на служебные запросы с представительского уровня и осуществляет служебные запросы к транспортному уровню.

Содержание

Службы

Сеансовый уровень модели OSI отвечает за установление контрольных точек и восстановление. Он позволяет соответствующим образом совмещать и синхронизировать информацию нескольких потоков, возможно от разных источников.

Примером применения является организация видеоконференций в сети, когда звуковой и видео потоки должны быть синхронизированы для избежания проблем с синхронизацией движения губ с речью. Управление правами на участие в разговоре гарантирует, что тот, кто показывается на экране, действительно является собеседником, который в данный момент говорит.

Ещё одним применением являются передачи в прямом эфире, в которых необходимо без резких переходов накладывать звуковой и видео потоки и переходить от одного потока к другому, для избежания перерывов в эфире или излишних наложений.

Протоколы

  • ADSP, Протокол потоков данных AppleTalk(англ. AppleTalk Data Stream Protocol)
  • ASP, Сеансовый протокол AppleTalk (англ. AppleTalk Session Protocol)
  • H.245, Call Control Protocol for Multimedia Communication
  • ISO-SP, OSI session-layer protocol (X.225, ISO 8327)
  • iSNS, Internet Storage Name Service
  • L2F, Layer 2 Forwarding Protocol
  • L2TP, Layer 2 Tunneling Protocol
  • NetBIOS, Network Basic Input Output System
  • PAP, Password Authentication Protocol
  • PPTP, Point-to-Point Tunneling Protocol
  • RPC, Remote Procedure Call Protocol
  • RTCP, Real-time Transport Control Protocol
  • SMPP, Short Message Peer-to-Peer
  • SCP, Session Control Protocol
  • SOCKS, cетевой протокол SOCKS, см. Сокет
  • ZIP, Zone Information Protocol
  • SDP, Sockets Direct Protocol

Сравнение с моделью DOD

В эталонной модели DOD (TCP/IP) отсутствует рассмотрение затронутых в модели OSI вопросов применения семантики транспортного протокола и поэтому сеансовый уровень не рассматривается. Управление сеансами OSI в соединении с типичными транспортными протоколами (TCP, SCTP) содержится в протоколах транспортного уровня или же в противном случае затрагивает область протоколов прикладного уровня. Слои модели DOD являются описаниями рамок функционирования (приложение, соединение хост-хост, сеть, связь), но не подробными предписаниями в отношении способа функционирования или семантики данных.

См. также

Ссылки

  • Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное.
  • Добавить иллюстрации.
  • TCP/IP
  • Сетевые протоколы
  • Протоколы OSI
  • Протоколы сеансового уровня

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое "Сеансовый уровень" в других словарях:

сеансовый уровень — Ндп. уровень сессий Уровень взаимосвязи открытых систем, обеспечивающий услуги по организации и синхронизации взаимодействия между логическими объектами уровня представления данных. [ГОСТ 24402 88] сеансовый уровень Уровень модели OSI,… … Справочник технического переводчика

Сеансовый уровень — 29. Сеансовый уровень Ндп. Уровень сессий Session layer Уровень взаимосвязи открытых систем, обеспечивающий услуги по организации и синхронизации взаимодействия между логическими объектами уровня представления данных Источник: ГОСТ 24402 88:… … Словарь-справочник терминов нормативно-технической документации

Сеансовый уровень — 1. Уровень взаимосвязи открытых систем, обеспечивающий услуги по организации и синхронизации взаимодействия между логическими объектами уровня представления данных Употребляется в документе: ГОСТ 24402 88 Телеобработка данных и вычислительные… … Телекоммуникационный словарь

сеансовый уровень (функций сетевого протокола) — — [Л.Г.Суменко. Англо русский словарь по информационным технологиям. М.: ГП ЦНИИС, 2003.] Тематики информационные технологии в целом EN session layer (of network protocol functions) … Справочник технического переводчика

Уровень — в модели OSI набор структур и программ, обеспечивающих обработку определенного класса событий. Уровень выступает единицей декомпозиции совокупности функций, обеспечивающих информационное взаимодействие прикладных процессов. В модели OSI выделяют… … Финансовый словарь

Уровень представления — Сетевая модель OSI (базовая эталонная модель взаимодействия открытых систем, англ. Open Systems Interconnection Basic Reference Model) абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Представляет уровневый подход к… … Википедия

Уровень представления данных — Сетевая модель OSI (базовая эталонная модель взаимодействия открытых систем, англ. Open Systems Interconnection Basic Reference Model) абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Представляет уровневый подход к… … Википедия

Транспортный уровень — (англ. Transport layer) 4 й уровень сетевой модели OSI предназначен для доставки данных. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты … Википедия

Канальный уровень — (англ. Data Link layer) уровень сетевой модели OSI, предназначенный для передачи данных узлам, находящимся в том же сегменте локальной сети. Также может использоваться для обнаружения и если возможно исправления ошибок возникших на… … Википедия

Представительский уровень — (Уровень представления, (англ. Presentation layer) шестой уровень сетевой модели OSI. Этот уровень отвечает за преобразование протоколов и кодирование/декодирование данных. Запросы приложений, полученные с уровня приложений, он… … Википедия

К сожалению, суровая правда жизни заключается в том, что изначально сеть интернет не создавалась с большим учетом безопасности. Поэтому никогда нельзя забывать о сетевой угрозе.

Сама по себе сетевая безопасность включает в себя 3 основных аспекта:

  1. Как взломщики могут атаковать компьютерные сети
  2. Как можно защитить компьютерные сети от атак
  3. Как разработать архитектуру сети, чтобы она была устойчива к атакам

Злоумышленник может передать вредоносное ПО на компьютер по сети интернет с помощью вируса, червя или Троянского коня. После этого у злоумышленника есть несколько возможностей использования зараженного компьютера, в основном следующие:

  1. Шпионское ПО может записывать все нажатые клавиши на клавиатуре, посещенные веб-сайты и передавать их злоумышленнику, например, с целью хищения паролей
  2. Зараженный компьютер может использоваться ботнетом для спам или DDoS-атак
  3. Часто вредоносное ПО реплицируется и передается с зараженного компьютера дальше еще не зараженным

Представляет собой инструкции, спрятанные внутри обычной программы, которые выполняют вредоносный код в интересах создателя. По сути это означает, что Троянский конь маскируется под программы, необходимые пользователю, и исполняет вредоносный код во время работы программы.

По сути очень похож на вирус, но отличается тем, что вместо репликации в других программах в пределах компьютера, червь распространяется по другим машинам в сети.

Представляет собой набор инструкций, который исполняется при определенных условиях в будущем, например, по наступлению какого-то определенного времени.

Зомби по сути есть компьютер, на который установлен набор вредоносных инструкций, готовый исполниться и атаковать другой компьютер по сигналу от создателя. Обеспечивает лучшую анонимность злоумышленника, чем прямая атака. Часто такой набор инструкций устанавливается на большое число компьютеров, делая их зомби, а потом все они атакуют какой-то определенный компьютер.

Normal flow.jpg

Нормальный поток данных выглядит идейно следующим образом:

Interrupted flow.jpg

По сути это атака на доступность какого-либо ресурса (DDoS (Distributed Denial of Service) атаки). Выглядит примерно так:

Эта атака происходит с целью похищения каких-либо конфиденциальных данных, при этом не меняя их. Изобразить можно следующим образом:

Intercepted flow.jpg

Это атака на целостность данных. В данном случае трафик на середине пути перехватывается и злоумышленник подменяет его на другой, который пойдет в итоге получателю. То есть изобразить такую передачу данных можно следующим образом:

Modified flow.jpg

Данная атака производится на целостность данных, то есть трафик маскируется под настоящий, заставляя получателя думать, что он подлинный. В итоге получатель передает свои данные злоумышленнику. Выглядит это так:

Fabricated flow.jpg

The Language Of Cryptography.jpg

Symmetric Key Cryptography.jpg

Есть 2 типа симметричного ключа:

Данный подход принципиально отличается от шифрования по симметричному ключу. Во-первых, у отправителя и получателя есть своя пара публичного и секретного ключа, при этом секретными ключами они не делятся даже друг с другом. Во-вторых, публичный ключ шифрования известен всем. И, наконец, приватный ключ дешифрования известен только получателю. Вот как это выглядит:

Public Key Cryptography.jpg

Можно сделать вывод, что должно выполняться 2 требования: [math]K_^[/math] и [math]K_^[/math] такие, что [math]K_^(K_^(m)) = m[/math] , и, зная публичный ключ, человек не должен иметь возможности посчитать приватный. Одним из самых известных алгоритмов является RSA (Rivest-Shamir-Adleman). Это криптографический алгоритм с открытым ключом, который основывается на вычислительной сложности задачи факторизации больших целых чисел. В криптографической системе RSA каждый ключ состоит из пары целых чисел. Каждый участник создает свой открытый и закрытый ключ самостоятельно, при этом эти ключи являются согласованной парой в том смысле, что они являются взаимно обратными, то есть:

[math]\forall[/math] допустимых пар открытого и закрытого ключей [math](p, s)[/math]

[math]\exists[/math] соответствующие функции шифрования [math]E_

(x)[/math] и расшифрования [math]D_(x)[/math] такие, что

RSA-ключи генерируются следующим образом:

  1. Выбираются два различных простых числа [math]p[/math] и [math]q[/math] заданного размера (например, 1024 бита каждое).
  2. Вычисляется их произведение [math]n = p \cdot q[/math] , которое называется модулем.
  3. Вычисляется значение функции Эйлера от числа [math]n[/math] : [math]\phi (n) = (p - 1) \cdot (q - 1)[/math] .
  4. Выбирается целое число [math]e[/math] [math](1 \lt e \lt \phi (n))[/math] , взаимно простое со значением функции [math]\phi (n)[/math] . Обычно в качестве [math]e[/math] берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма [math]17[/math] , [math]257[/math] или [math]65537[/math] . Число [math]e[/math] называется открытой экспонентой.
  5. Выбирается число [math]d[/math] , мультипликативно обратное к числу [math]e[/math] по модулю [math]\phi (n)[/math] , то есть число, удовлетворяющее сравнению: [math]d \cdot e \equiv 1 (mod\ \phi (n))[/math] . Число [math]d[/math] называется секретной экспонентой.
  6. Пара [math]\[/math] публикуется в качестве открытого ключа RSA.
  7. Пара [math]\[/math] играет роль закрытого ключа RSA и держится в секрете.

IPSec - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, является безопасностью на сетевом уровне. IPSec может шифровать и проводить проверку подлинности IP-пакетов. Поэтому IPSec предоставляет возможность защищать передачу данных в сетях LAN, в открытых и закрытых WAN, а также в сети Интернет.

  1. Предоставить людям из организации доступ к интернету так, чтобы лишние люди не могли получить доступ к внутренней информации компании.
  2. Воздвигнуть барьер между ненадежным программным обеспечением, общественными веб-серверами Вашей организации и конфиденциальной информацией, которая находится во внутренней сети.
  1. Поместить специальное утройство-шлюз между внешним миром и внутренней сетью организации.
  2. Все сигналы должны сначала идти к шлюзу, где заранее определено, допустим ли подобный сигнал или нет.

Межсетевые экраны не защищают от атак, которым удалось проникнуть за "стену", от передачи внутренней информации недобросовестными сотрудниками во снешний мир и от передачи во внутреннюю сеть файлов или программ, содержащих вирусы.

Пакетный фильтр (англ. packet-filter) исходя из ограничений, определяет может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния.

Шлюз сеансового уровня

Посредники прикладного уровня (англ. application-layer proxying). В отличие от предыдущих пакетных фильтров, которые проверяют, но не изменяют пакетов их (кроме некоторых случаев переадресации), данные межсетевые экраны выступают в качестве посредника во всех сеансах передачи данных. Шлюзы сеансового уровня называют прикладными, так как они используют множество прикладных данных о сервисах, с помощью которых они обеспечивают не только улучшение производительности, но и безопасности, в отличие от обычных прокси(посредников). Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент.

Инспектор состояния - такой межсетевой экран, который использует технологию проверки состояния (англ. Stateful Inspection). Он представляет собой межсетевой экран, сочетающий фильтрацию трафика с сетевого по прикладной уровень.

Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного кли­ента на конкретные услуги, и после проверки допустимости запро­шенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направ­лениях, не осуществляя их фильтрации.
Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.
Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением процедуры квитирования связи по протоколу TCP . Эта процедура состоит из обмена TCP-пакетами, которые помечаются фла­гами SYN (синхронизировать) и АСК (подтвердить).
Первый пакет сеанса TCP , помеченный флагом SYN и содержащий произвольное число, например 1000. является запросом клиента на открытие сеанса. Внешний хост-компьютер, полу­чивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием па­кета SYN от клиента.
Далее осуществляется обратная процедура: хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.
Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержа­щиеся в TCP-пакетах, оказываются логически связанными меж­ду собой.
После того как шлюз определил, что доверенный клиент и внешний хост-компьютер являются авторизированными участниками сеанса TCP, и проверил допустимость этого сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в данном сеансе.
Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяются специальные приложения, которые называют канальными посредниками, поскольку они устанавлива­ют между двумя сетями виртуальную цепь или канал, а затем раз­решают пакетам, которые генерируются приложениями TCP / IP , проходить по этому каналу. Канальные посредники поддерживают несколько служб TCP / IP , поэтому шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов приклад­ного уровня, работа которых основывается на программах-посредниках конкретных приложений.
Фактически большинство шлюзов сетевого уровня не являются самостоятельными продуктами, а поставляются в комплек­те со шлюзами прикладного уровня. Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems , Alta Vista Firewall компании DEC и ANS Interlock компании ANS . Например, Alta Vista Firewall использует канальные посред­ники прикладного уровня для каждой из шести служб TCP / IP , к ко­торым относятся, в частности, FTP , HTTP ( Hyper Text Transport Protocol ) и telnet. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сетевого уровня, поддерживающий другие общедоступные службы TCP / IP , такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников приклад­ного уровня.
Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В резуль­тате в сети со шлюзом сетевого уровня все исходящие пакеты ока­зываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенци­ально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений типа подмены адресов.
После установления связи шлюзы сетевого уровня фильтруют пакеты только на сеансовом уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутрен­ней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "вслепую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. После этого хакер обратится напрямую к внут­реннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процеду­ра квитирования связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и перенаправлять все последующие пакеты независимо от их содержимого.
Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного уровня.

‹ Преимущества шлюзов прикладного уровня
Вверх
Основные схемы сетевой защиты на базе межсетевого экрана ›

Простое пособие по сетевой модели OSI для начинающих

Открытая сетевая модель OSI (Open Systems Interconnection model) состоит из семи уровней. Что это за уровни, как устроена модель и какова ее роль при построении сетей — в статье.


Принцип устройства сетевой модели

Сетевая модель OSI имеет семь уровней, иерархически расположенных от большего к меньшему. То есть, самым верхним является седьмой (прикладной), а самым нижним — первый (физический). Модель OSI разрабатывалась еще в 1970-х годах, чтобы описать архитектуру и принципы работы сетей передачи данных. Важно помнить, что данные передаются не только по сети интернет, но и в локальных сетях с помощью проводных или беспроводных соединений.

На седьмом уровне информация представляется в виде данных, на первом — в виде бит. Процесс, когда информация отправляется и переходит из данных в биты, называется инкапсуляцией. Обратный процесс, когда информация, полученная в битах на первом уровне, переходит в данные на седьмом, называется декапсуляцией. На каждом из семи уровней информация представляется в виде блоков данных протокола — PDU (Protocol Data Unit).

Рассмотрим на примере: пользователь 1 отправляет картинку, которая обрабатывается на седьмом уровне в виде данных, данные должны пройти все уровни до самого нижнего (первого), где будут представлены как биты. Этот процесс называется инкапсуляцией. Компьютер пользователя 2 принимает биты, которые должны снова стать данными. Этот обратный процесс называется декапсуляция. Что происходит с информацией на каждом из семи уровней, как и где биты переходят в данные мы разберем в этой статье.

Первый, физический уровень (physical layer, L1)

Каждый уровень имеет свои PDU, представляемые в той форме, которая будет понятна на данном уровне и, возможно, на следующем до преобразования. Работа с чистыми данными происходит только на уровнях с пятого по седьмой.

Устройства физического уровня оперируют битами. Они передаются по проводам (например, через оптоволокно) или без проводов (например, через Bluetooth или IRDA, Wi-Fi, GSM, 4G и так далее).

Второй уровень, канальный (data link layer, L2)

Когда два пользователя находятся в одной сети, состоящей только из двух устройств — это идеальный случай. Но что если этих устройств больше?

У канального уровня есть два подуровня — это MAC и LLC. MAC (Media Access Control, контроль доступа к среде) отвечает за присвоение физических MAC-адресов, а LLC (Logical Link Control, контроль логической связи) занимается проверкой и исправлением данных, управляет их передачей.

На втором уровне OSI работают коммутаторы, их задача — передать сформированные кадры от одного устройства к другому, используя в качестве адресов только физические MAC-адреса.

Третий уровень, сетевой (network layer, L3)

На третьем уровне появляется новое понятие — маршрутизация. Для этой задачи были созданы устройства третьего уровня — маршрутизаторы (их еще называют роутерами). Маршрутизаторы получают MAC-адрес от коммутаторов с предыдущего уровня и занимаются построением маршрута от одного устройства к другому с учетом всех потенциальных неполадок в сети.

На сетевом уровне активно используется протокол ARP (Address Resolution Protocol — протокол определения адреса). С помощью него 64-битные MAC-адреса преобразуются в 32-битные IP-адреса и наоборот, тем самым обеспечивается инкапсуляция и декапсуляция данных.

Четвертый уровень, транспортный (transport layer, L4)

Все семь уровней модели OSI можно условно разделить на две группы:

  • Media layers (уровни среды),
  • Host layers (уровни хоста).

Уровни группы Media Layers (L1, L2, L3) занимаются передачей информации (по кабелю или беспроводной сети), используются сетевыми устройствами, такими как коммутаторы, маршрутизаторы и т.п. Уровни группы Host Layers (L4, L5, L6, L7) используются непосредственно на устройствах, будь то стационарные компьютеры или портативные мобильные устройства.

Четвертый уровень — это посредник между Host Layers и Media Layers, относящийся скорее к первым, чем к последним, его главной задачей является транспортировка пакетов. Естественно, при транспортировке возможны потери, но некоторые типы данных более чувствительны к потерям, чем другие. Например, если в тексте потеряются гласные, то будет сложно понять смысл, а если из видеопотока пропадет пара кадров, то это практически никак не скажется на конечном пользователе. Поэтому, при передаче данных, наиболее чувствительных к потерям на транспортном уровне используется протокол TCP, контролирующий целостность доставленной информации.

Для мультимедийных файлов небольшие потери не так важны, гораздо критичнее будет задержка. Для передачи таких данных, наиболее чувствительных к задержкам, используется протокол UDP, позволяющий организовать связь без установки соединения.

При передаче по протоколу TCP, данные делятся на сегменты. Сегмент — это часть пакета. Когда приходит пакет данных, который превышает пропускную способность сети, пакет делится на сегменты допустимого размера. Сегментация пакетов также требуется в ненадежных сетях, когда существует большая вероятность того, что большой пакет будет потерян или отправлен не тому адресату. При передаче данных по протоколу UDP, пакеты данных делятся уже на датаграммы. Датаграмма (datagram) — это тоже часть пакета, но ее нельзя путать с сегментом.

Первые четыре уровня — специализация сетевых инженеров, но с последними тремя они не так часто сталкиваются, потому что пятым, шестым и седьмым занимаются разработчики.

Пятый уровень, сеансовый (session layer, L5)

Пятый уровень оперирует чистыми данными; помимо пятого, чистые данные используются также на шестом и седьмом уровне. Сеансовый уровень отвечает за поддержку сеанса или сессии связи. Пятый уровень оказывает услугу следующему: управляет взаимодействием между приложениями, открывает возможности синхронизации задач, завершения сеанса, обмена информации.

Службы сеансового уровня зачастую применяются в средах приложений, требующих удаленного вызова процедур, т.е. чтобы запрашивать выполнение действий на удаленных компьютерах или независимых системах на одном устройстве (при наличии нескольких ОС).

Примером работы пятого уровня может служить видеозвонок по сети. Во время видеосвязи необходимо, чтобы два потока данных (аудио и видео) шли синхронно. Когда к разговору двоих человек прибавится третий — получится уже конференция. Задача пятого уровня — сделать так, чтобы собеседники могли понять, кто сейчас говорит.

Шестой уровень, представления данных (presentation layer, L6)

О задачах уровня представления вновь говорит его название. Шестой уровень занимается тем, что представляет данные (которые все еще являются PDU) в понятном человеку и машине виде. Например, когда одно устройство умеет отображать текст только в кодировке ASCII, а другое только в UTF-8, перевод текста из одной кодировки в другую происходит на шестом уровне.

Шестой уровень также занимается представлением картинок (в JPEG, GIF и т.д.), а также видео-аудио (в MPEG, QuickTime). Помимо перечисленного, шестой уровень занимается шифрованием данных, когда при передаче их необходимо защитить.

Седьмой уровень, прикладной (application layer)

Седьмой уровень иногда еще называют уровень приложений, но чтобы не запутаться можно использовать оригинальное название — application layer. Прикладной уровень — это то, с чем взаимодействуют пользователи, своего рода графический интерфейс всей модели OSI, с другими он взаимодействует по минимуму.

Все услуги, получаемые седьмым уровнем от других, используются для доставки данных до пользователя. Протоколам седьмого уровня не требуется обеспечивать маршрутизацию или гарантировать доставку данных, когда об этом уже позаботились предыдущие шесть. Задача седьмого уровня — использовать свои протоколы, чтобы пользователь увидел данные в понятном ему виде.

Критика модели OSI

Семиуровневая модель была принята в качестве стандарта ISO/IEC 7498, действующего по сей день, однако, модель имеет свои недостатки. Среди основных недостатков говорят о неподходящем времени, плохой технологии, поздней имплементации, неудачной политике.

Первый недостаток — это неподходящее время. На разработку модели было потрачено неоправданно большое количество времени, но разработчики не уделили достаточное внимание существующим в то время стандартам. В связи с этим модель обвиняют в том, что она не отражает действительность. В таких утверждениях есть доля истины, ведь уже на момент появления OSI другие компании были больше готовы работать с получившей широкое распространение моделью TCP/IP.

Вторым недостатком называют плохую технологию. Как основной довод в пользу того, что OSI — это плохая технология, приводят распространенность стека TCP/IP. Протоколы OSI часто дублируют другу друга, функции распределены по уровням неравнозначно, а одни и те же задачи могут быть решены на разных уровнях.

Разделение на семь уровней было скорее политическим, чем техническим. При построении сетей в реальности редко используют уровни 5 и 6, а часто можно обойтись только первыми четырьмя. Даже изначальное описание архитектуры в распечатанном виде имеет толщину в один метр.

Кроме того, в отличие от TCP/IP, OSI никогда не ассоциировалась с UNIX. Добиться широкого распространения OSI не получилось потому, что она проектировалась как закрытая модель, продвигаемая Европейскими телекоммуникационными компаниями и правительством США. Стек протоколов TCP/IP изначально был открыт для всех, что позволило ему набрать популярность среди сторонников открытого программного кода.

Даже несмотря на то, что основные проблемы архитектуры OSI были политическими, репутация была запятнана и модель не получила распространения. Тем не менее, в сетевых технологиях, при работе с коммутацией даже сегодня обычно используют модель OSI.

Вывод, роль модели OSI при построении сетей

В статье мы рассмотрели принципы построения сетевой модели OSI. На каждом из семи уровней модели выполняется своя задача. В действительности архитектура OSI сложнее, чем мы описали. Существуют и другие уровни, например, сервисный, который встречается в интеллектуальных или сотовых сетях, или восьмой — так называют самого пользователя.

Как мы упоминали выше, оригинальное описание всех принципов построения сетей в рамках этой модели, если его распечатать, будет иметь толщину в один метр. Но компании активно используют OSI как эталон. Мы перечислили только основную структуру словами, понятными начинающим.

Модель OSI служит инструментом при диагностике сетей. Если в сети что-то не работает, то гораздо проще определить уровень, на котором произошла неполадка, чем пытаться перестроить всю сеть заново.

Зная архитектуру сети, гораздо проще ее строить и диагностировать. Как нельзя построить дом, не зная его архитектуры, так невозможно построить сеть, не зная модели OSI. При проектировании важно учитывать все. Важно учесть взаимодействие каждого уровня с другими, насколько обеспечивается безопасность, шифрование данных внутри сети, какой прирост пользователей выдержит сеть без обрушения, будет ли возможно перенести сеть на другую машину и т.д. Каждый из перечисленных критериев укладывается в функции одного из семи уровней.

Сертификат и скидка на обучение каждому участнику

Любовь Богданова

Лекция 10. Защита информации на сетевом уровне - протокол IPSec

Архитектура протокола IPSec

Протоколы АН и ESP

Механизмы трансляции IPSec и NAT

Межсетевые экраны

Архитектура протокола IPSec

Зачем нужен IPSec. Протокол IP не имеет стандартного механизма безопасности, и IP-пакеты легко перехватывать. Без защиты и открытые, и частные сети подвержены несанкционированному доступу. Внутренние атаки - это обычно результат слабой или вообще отсутствующей защиты интрасети.

Поэтому сообщество Internet Engineering Task Force (IETF) разработало IPSec - протокол сетевого уровня для проверки подлинности, целостности, конфиденциальности данных и защиту от повторов. Поддержка IPSec встроена в Windows 2000/XP.

Развертывание протокола IPSec в Windows 2000/XP позволяет обеспечить высокий уровень безопасности всей сети, при этом приложения на серверах и клиентах, поддерживающих IPSec, защищаются автоматически.

Для предупреждения нападений в IPSec служат криптографические механизмы. Они защищают информацию путем хеширования и шифрования.

Уровень безопасности для данного сеанса в IPSec определяется политикой. Она назначается в распределенных системах через контроллеры домена с Windows 2000 или создается и хранится локально в реестре компьютера с Windows XP Professional.

IPSec – это набор протоколов, разработан IETF как базовый протокол обеспечения безопасности на уровне IP -соединения. Является дополнением к использующемуся протоколу IP ver .4 и составной частью IP ver .6.

Возможности, предоставляемые IPSec :

- контроль целостности данных;

- защита от повторений;

IPSec в работе. Перед передачей любых данных компьютер с поддержкой IPSec согласовывает с партнером по связи уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, туннелирования (при необходимости) и шифрования (также при необходимости). Секретные ключи проверки подлинности создаются на каждом компьютере локально на основании информации, которой они обмениваются. Никакие реальные ключи никогда не передаются по сети. После создания ключа выполняется проверка подлинности и начинается сеанс защищенного обмена данными.

Уровень безопасности (высокий или низкий) определяется политиками IP-безопасности обменивающихся компьютеров. Скажем, для связи между компьютером с Windows XP и ПК, не поддерживающим IPSec, создание защищенного канала не требуется. С другой стороны, в сессии обмена между Windows 2000-сервером, содержащим конфиденциальные данные, и компьютером в интрасети обычно нужна высокая степень безопасности.

Основная задача IPSec – создание между двумя компьютерами, связанными через общедоступную (небезопасную) IP -сеть, безопасного туннеля (рис.42), по которому передаются конфиденциальные или чувствительные к несанкционированному изменению данные. Подобный туннель создается с использованием криптографических методов защиты информации.

Операционные системы семейства Windows 2000 и выше имеют встроенную поддержку протокола IPSec . С точки зрения многоуровневой модели защиты, этот протокол является средством защиты уровня сети.

Рис.1. Туннель безопасности.

Процесс защищенной передачи данных регулируется правилами безопасности, принятыми в системе. Параметры создаваемого туннеля описывает информационная структура, называемая контекст защиты или ассоциация безопасности (от англ. Security Association , сокр. SA ). Как уже отмечалось выше, IPSec является набором протоколов, и состав SA может различаться, в зависимости от конкретного протокола. SA включает в себя:

- указание на протоколы безопасности, используемые при передаче данных;

- ключи, необходимые для шифрования и формирования имитовставки;

- указание на метод форматирования, определяющий, каким образом создаются заголовки;

- индекс параметров защиты (Security Parameter Index, сокр . SPI ) – идентификатор, позволяющий найти нужный SA .

Обычно, контекст защиты является однонаправленным, а для передачи данных по туннелю в обе стороны задействуются два SA . Каждый хост имеет свою базу SA , из которой выбирается нужный элемент либо на основании SPI , либо по IP -адресу получателя.

IPSec состоит из 2 протоколов:

1) протокол аутентифицирующего заголовка – AH (от англ. Authentication Header ), обеспечивающий проверку целостности и аутентификацию передаваемых данных; последняя версия протокола описана в RFC 4302 (предыдущие – RFC 1826, 2402);

2) протокол инкапсулирующей защиты данных – ESP (от англ. Encapsulating Security Payload ) – обеспечивает конфиденциальность и, дополнительно, может обеспечивать проверку целостности и аутентификацию, описан в RFC 4303 (предыдущие – RFC 1827, 2406).

Они имеют два режима работы – транспортный и туннельный, последний определен в качестве основного. Туннельный режим используется, если хотя бы один из соединяющихся узлов является шлюзом безопасности. В этом случае создается новый IP -заголовок, а исходный IP -пакет полностью инкапсулируется в новый.

Транспортный режим ориентирован на соединение хост-хост. При использовании ESP в транспортном режиме защищаются только данные IP -пакета, заголовок не затрагивается. При использовании AH защита распространяется на данные и часть полей заголовка. Более подробно режимы работы описаны ниже.

2. Протокол AH

В
IP ver .4 аутентифицирующий заголовок располагается после IP -заголовка. Представим исходный IP -пакет как совокупность IP -заголовка, заголовка протокола следующего уровня (как правило, это TCP или UDP , на рис. 2 он обозначен как ULP – от англ. Upper - Level Protocol ) и данных.

Рис. 2. а) исходный IP-пакет, b) IP-пакет при использовании AH в транспортном режиме, с ) IP-пакет при использовании AH в туннельном режиме.

На рисунке 2 представлен исходный пакет и варианты его изменения при использовании протокола AH в разных режимах. В транспортном режиме заголовок исходного IP -пакета остается на своем месте, но в нем модифицируются некоторые поля. Например, меняется поле Next Header , указывающее на то, заголовок какого протокола следует за IP -заголовком. В туннельном режиме создается новый IP -заголовок, после которого идет заголовок AH , а за ним – полностью исходный IP -пакет.

Р
ис.3. Структура заголовка протокола AH

При использовании AH в транспортном режиме, ICV рассчитывается для ULP , данных и неизменяемых полей IP -заголовка. Изменяемые поля, такие как поле TTL , указывающее на время жизни пакета и изменяемое при прохождении маршрутизаторов, при расчете значения хэш-функции принимаются равными 0. В туннельном режиме аутентифицируется весь исходный IP -пакет и неизменяемые поля нового заголовка.

Рассмотрим формат заголовка AH (рис.44). Первые 8 бит заголовка (поле Next Header ) содержат номер, соответствующий протоколу следующего уровня. Номер для каждого протокола назначает организация IANA ( Internet Assigned Numbers Authority ). Например, номер TCP – 6, ESP – 50, AH – 51 и т.д.

Поле Payload Len указывает длину заголовка AH в 32-битных словах. Далее 16 бит зарезервировано.

Поле SPI содержит значение индекса параметров защиты, по которому получатель сможет найти нужный SA . Нулевое значение SPI показывает, что для данного пакета SPI не существует.

Поле Sequence Number было введено в RFC 2402. Значение счетчика, содержащееся в этом поле, может использоваться для защиты от атак путем повторных посылок перехваченных пакетов. Если функция защиты от повторов активирована (а это указывается в SA ), отправитель последовательно наращивает значение поля для каждого пакета, передаваемого в рамках данной ассоциации (соединения, использующего единый SA ).

Поле Authentication Data , как уже указывалось ранее, хранит значение ICV .

Протокол ESP

Если AH обеспечивает защиту от угроз целостности передаваемых данных, то ESP также может обеспечивать и конфиденциальность.

Так же как и AH , ESP может работать в транспортном и туннельном режимах. На рис. 5 изображены варианты его использования (штриховкой выделены фрагменты пакета, которые защищаются с помощью шифрования). Для ESP определен следующий перечень обязательных алгоритмов, которые должны поддерживаться во всех реализациях:

- для формирования имитовставки HMAC-MD5-96 (используется по умолчанию) и HMAC-SHA-1-96;

- для шифрования - DES (в режиме CBC, используется по умолчанию) и NULL (отсутствие шифрования).

Рассмотрим формат заголовка ESP (рис. 5). Он начинается с двух 32-разрядных значений – SPI и SN . Роль их такая же, как в протоколе AH – SPI идентифицирует SA , использующийся для создания данного туннеля; SN – позволяет защититься от повторов пакетов. SN и SPI не шифруются.

Следующим идет поле, содержащее зашифрованные данные. После них - поле заполнителя, который нужен для того, чтобы выровнять длину шифруемых полей до значения кратного размеру блока алгоритма шифрования.

Р
ис.4. а) исходный IP-пакет, b) ESP в транспортном режиме, c) ESP в туннельном режиме

Р
ис. 5. Структура заголовка ESP.

После заполнителя идут поля, содержащие значение длины заполнителя и указание на протокол более высокого уровня. Четыре перечисленных поля (данные, заполнитель, длина, следующий протокол) защищаются шифрованием.

Если ESP используется и для аутентификации данных, то завершает пакет поле переменной длины, содержащее ICV . В отличие от AH , в ESP при расчете значения имитовставки, поля IP -заголовка (нового – для туннельного режима, модифицированного старого – для транспортного) не учитываются.

При совместном использовании протоколов AH и ESP , после IP заголовка идет AH , после него – ESP . В этом случае, ESP решает задачи обеспечения конфиденциальности, AH – обеспечения целостности и аутентификации источника соединения.

Рассмотрим ряд дополнительных вопросов, связанных с использованием IPSec . Начнем с того, откуда берется информация о параметрах соединения – SA . Создание базы SA может производиться различными путями. В частности, она может создаваться администратором безопасности вручную, или формироваться с использованием специальных протоколов – SKIP , ISAKMP ( Internet Security Association and Key Management Protocol ) и IKE ( Internet Key Exchange ).

Механизмы трансляции IPSec и NAT

Р
ис. 7. Пример использования NAT.

Внутренний локальный ip адрес : порт

Внешний ip адрес: порт

195.201.82.146: 2 16 1

При прохождении пакета через маршрутизатор, выполняющий трансляцию адресов, ip -адрес отправителя (192.168.0.2) будет заменен на адрес внешнего интерфейса маршрутизатора (195.201.82.146), а в таблицу трансляции адресов будет добавлена запись, аналогичная приведенной в таблице 4.

Получив представление о механизме работы NAT , разберемся, какие сложности могут возникнуть, в случае использования IPSec . Предположим, с хоста с адресом 192.168.0.2 пытаются установить защищенное соединение с внешним хостом 195.242.2.2, используя протокол аутентифицирующего заголовка ( AH ). При прохождении маршрутизатора, ip -адрес отправителя меняется, как было описано выше. Протокол AH определяет, что значение имитовставки рассчитывается, включая неизменяемые поля IP -заголовка, в частности – адрес отправителя. Сторона-получатель, обнаружит неверное (из-за трансляции адресов) значение имитовставки и отбросит пакет.

Таким образом, NAT и AH несовместимы. В то же время, протокол ESP , который не контролирует целостность ip -заголовка, может использоваться совместно с NAT .

Кроме того, RFC 2709 определяет расширение NAT - IPC - NAT ( IPSec policy Controlled NAT – NAT управляемый правилами IPSec ), которое позволяет решить указанную проблему путем создания IP - IP туннеля, одной из конечных точек которого является узел NAT . В этом случае, вместо модификации IP -адреса отправителя в заголовке исходного пакета, NAT -устройство помещает без изменений весь исходный пакет (который аутентифицирован AH ), в новый IP -пакет, в заголовке которого в качестве адреса отправителя ставится адрес NAT -устройства. На стороне получателя из полученного пакета изымают исходный пакет и далее обрабатывают его как обычно.

Отдельно необходимо решать вопрос с распределением ключей. Если для этой цели используется протокол IKE (а он использует UDP , порт 500), потребуется специально организовать пересылку соответствующих данных во внутреннюю сеть. В том, случае, если задействовать UDP -порт 500 не представляется возможным, можно использовать описываемый в RFC 3947, 3948 механизм NAT - T (от англ. NAT traversal ) , определяющий инкапсуляцию IKE и IPSec трафика в пакеты UDP . При этом задействуется порт 4500.

4. Межсетевые экраны

Межсетевой экран (МЭ) – это средство защиты информации, осуществляющее анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.

Английский термин, используемый для обозначения МЭ – firewall . Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог firewall ).

Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI . По этому признаку МЭ делятся на следующие классы:

- экранирующий транспорт (шлюз сеансового уровня);

- экранирующий шлюз (шлюз прикладного уровня).

Экранирующий маршрутизатор (или пакетный фильтр) функционирует на сетевом уровне модели OSI , но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip -адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота – функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.

Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.

Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности) и т.д.

hello_html_m6a6fe779.jpg

В подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (рис. 8 b ), а МЭ защищает остальную внутреннюю сеть.

hello_html_26d7b300.jpg

Рис. 8b.подключение межсетевого экрана с двумя сетевыми интерфейсами при выделении открытого сегмента внутренней сети

Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.

Более предпочтительным в данном случае является использование МЭ с тремя сетевыми интерфейсами (рис.8 c ).

hello_html_m7fbc62e7.jpg

Рис. 8c. подключение межсетевого экрана с тремя сетевыми интерфейсами для защиты внутренней сети и ее открытого сегмента

Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (рис.8 d ).

hello_html_m4d837655.jpg

Рис. 8 d . подключение двух межсетевых экранов для защиты внутренней сети и ее открытого

В этом случае, M Э 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной.

Читайте также: