Кабели Ethernet с прямыми и перекрестными проводниками

Для соединения компьютеров в локальных сетях чаще всего используются кабели Ethernet. Ethernet - стандарт связи, предназначенный для локальных сетей. Наиболее часто встречаются кабели Ethernet с прямыми (straight), перекрестными (cross over) и перевернутыми (roll over) соединениями. Кабель с прямыми соединениями предназначен для соединения компьютера с хабом или коммутатором, кабель с перекрестными соединениями используется для соединения двух компьютеров напрямую, а с перевернутыми соединениями - для соединения хабов или коммутаторов. Кабель с перевернутыми соединениями используется также для подключения компьютера к порту консоли маршрутизатора.

Персональная сеть (PAN) на базе Bluetooth

Персональная беспроводная сеть на базе Bluetooth представляет собой технологию, использующуюся для создания сети Ethernet с применением беспроводной связи с мобильными компьютерами. В такую сеть можно соединить до восьми компьютеров, мобильных устройств, например мобильных телефонов и карманных компьютеров, и т.п. При этом ноутбук со встроенной системой Bluetooth может связываться с компьютером, снабженным внешним портом связи типа Bluetooth.

Беспроводная (Wi-Fi) сеть компьютер-компьютер

Беспроводную связь возможно осуществлять также по протоколу IEEE Wireless 802.11b/g, который еще называют Wi-Fi или беспроводным Ethernet. Компьютеры, снабженные платами локальной беспроводной сети, получают возможность обмениваться данными с точками доступа. Главными компонентами, используемыми в локальной беспроводной сети, являются беспроводные маршрутизаторы, платы локальной беспроводной сети, точки доступа и т.п. Для настройки настольного компьютера необходимо подсоединить к нему беспроводную точку доступа и далее действовать по инструкции.

Волоконно-оптический кабель

Волоконно-оптический кабель состоит из нескольких стеклянных волокон, позволяющих передавать данные со скоростью света. Волоконно-оптические кабели обладают большой пропускной способностью и характеризуются скоростью передачи порядка Гбайт/с. Сигналы, передаваемые по волоконно-оптическим кабелям не нуждаются в регенерации. Они очень стойки к воздействию электромагнитных сигналов, возникающих рядом с различными силовыми кабелями, электродвигателями и источниками электромагнитных помех. Технология внедрения волоконно-оптической связи в быту FTTH стала общепринятым стандартом благодаря очень высокой скорости подключения к Интернету - до 100 Мбайт/с и выше.

63. Архитектура сети, одноранговые и иерархические сети.

Архитектура сети – реализует структуру сети передачи данных, определяет её топологию, обеспечивает устойчивость и правильность работы ПК в сети.

Наиболее распространены следующие архитектуры:

Ethernet – широковещательная сеть

§ Топология - шина, звезда

§ Среда передачи данных - коаксиал, витая пара.

§ Скорость передачи данных - до 100 Мбит/с

§ Длина кабельного сегмента сети - не более 100 м до хаба

Token ring - Более молодой, по сравнению с Ethernet, технология ориентирована на кольцо, по которому постоянно движется маркер. Маркер представляет собой особого рода пакет, предназначенный для синхронизации передачи данных.

§ Топология - кольцо

§ Среда передачи данных - коаксиал, витая пара.

§ Скорость передачи данных - до 100 Мбит/с

§ Длина кабельного сегмента сети - не более 185 м до коммутатора.

ArCNET - Принцип работы сети ArCNET аналогичен Token ring, однако "способ" реализации маркера здесь отличен от Token ring.

§ Топология - шина, звезда

§ Среда передачи данных - коаксиал, витая пара.

§ Скорость передачи данных - до 10 Мбит/с

§ Длина кабельного сегмента сети - не более 185м

FDDI - Технологя FDDI ориентирована на волоконную оптику. FDDI поддерживает сеть с передачей маркера. FDDI опирается на 1-ю модификацию циклического кольца (2 кольца: в первом сообщения передаются по часовой стрелке; во втором - против).

§ Топология - кольцо

§ Среда передачи данных - оптоволоконные линии.

§ Скорость передачи данных - от 100 Мбит/с

§ Длина кабельного сегмента сети - не более 200км.

АТМ - Асинхронный режим передачи, она основана на принципе асинхронного временного мультиплексирования в едином физическом канале связи множества виртуальных соединений с различными характеристиками трафика.

§ скорости передачи данных от 25 Мбит/с до 2,4 Гбит/с.

 

Одноранговая вычислительная сеть (одноранговая ЛВС, децентрализованная ЛВС, пиринговая сеть; peer-to-peer LAN, peer LAN, P2P) — «безсерверная» организация построения сети, которая допускает включение в нее как компьютеров различной мощности, так и терминалов ввода-вывода. Термин «одноранговая сеть» означает, что все терминалы сети имеют в ней одинаковые права. Каждый пользователь одноранговой сети может определить состав файлов, которые он предоставляет для общего использования (так называемые public files). Пользователи одноранговой сети могут работать как со всеми своими файлами, так и с файлами, предоставляемыми другими ее пользователями. Известны три основных варианта топологии одноранговой сети — «шина», «кольцо», «звезда». Создание одноранговой сети обеспечивает наряду с взаимообменом данными между включенными в нее ЭВМ совместное использование части дискового пространства (через public files), а также совместную эксплуатацию периферийных устройств (например, принтеров). Одна из ЭВМ может временно брать на себя функции «сервера», а другие работать в режиме «клиентов». Эти возможности используется в обучающих системах. Поиск в развитой децентрализованной сети выполняется сначала у соседей (neighbours), с которыми соединение производится напрямую, затем — у соседей соседей. Достоинствами одноранговых ЛВС являются относительная простота их установки и эксплуатации, умеренная стоимость, возможность развития (например, по числу включенных терминалов), независимость выполняемых вычислительных и других процессов для каждой включенной в сеть ЭВМ.

В иерархической сети при установке сети заранее выделяются один или несколько компьютеров, управляющих обменом данных по сети и распределением ресурсов. Такой компьютер называют сервером.Любой компьютер, имеющий доступ к услугам сервера называют клиентом сети или рабочей станцией. Сервер в иерархических сетях - это постоянное хранилище разделяемых ресурсов. Сам сервер может быть клиентом только сервера более высокого уровня иерархии. Поэтому иерархические сети иногда называются сетями с выделенным сервером. Серверы обычно представляют собой высокопроизводительные компьютеры, возможно, с несколькими параллельно работающими процессорами, с винчестерами большой емкости, с высокоскоростной сетевой картой (100 Мбит/с и более). Иерархическая модель сети является наиболее предпочтительной, так как позволяет создать наиболее устойчивую структуру сети и более рационально распределить ресурсы.

64. Сеть Интернет, информационная система поиска ресурсов Интернет.

Интернет – ПК сеть, обеспечивает постоянный доступ к любой информации, предоставляемой информ ресурсами, обеспечивает передачу информации. Владелец Интернета – совет по архитектуре Интернета, срздан в 84-м году.

Связь с Интернет:

§ почтовое соединение (e-mail)

§ сетевые подключения в режиме on-line – возможности сети на определённое время

§ прямое подключение – все возможности в любое время

§ доступ к www и т.д.

Информационный поиск — процесс нахождения, отбора и выдачи определенной заранее заданными признаками информации из массивов и записей любого вида. В автоматизированных информационных системах (АИС) информационный поиск обеспечивается и осуществляется с привлечением лингвистических, информационных, программно-технических, технологических, организационных средств и составленных из них комплексов. Непосредственно информационный поиск производится средствами информационно-поисковой системы, являющейся подсистемой АИС. Основными критериями качества результатов информационного поиска являются полнота, точность и оперативность поиска.

65. Протокол ТСР и протокол IP, IP-адрес.

TCP/IP (Transmission Control Protocol/Internet Protocol) — стандартный сетевой протокол связи, предназначенный для работы в сетях Интернет в режиме коммутации каналов. TCP (Transmission Control Protocol) — протокол, определяющий порядок разделения данных на дискретные пакеты и контролирующий передачу (доставку) и целостность передаваемых данных. IP (Internet Protocol) — описывает формат пакета данных, передаваемых в сети, а также порядок присвоения и поддержки адресов абонентов сети. По мере развития Интернета появились его версии Ipv4 и Ipv6.

IP – адрес 4 байта

1-2 байты – адрес сети

3-й – адрес подсети

4-й – адрес ПК в подсети

 

Адресация IP обеспечивает пять различных классов сетей. Самые крайние левые биты обозначают класс сети.

Сети класса А предназначены главным образом для использования крупными организациями, так как они обеспечивают всего 7 бит для поля адреса сети. Адреса класса А предназначены для использования в больших сетях общего пользования. Они допускают большое количество номеров узлов.

Сети класса В выделяют 14 бит для поля адреса сети и 16 бит для поля адреса главной вычислительной машины. Адреса класса В используются в сетях среднего размера, например, сетях университетов и крупных компаний.

Сети класса С выделяют 22 бита для поля адреса сети. Однако сети класса С обеспечивают только 8 бит для поля адреса главной вычислительной машины, поэтому число главных вычислительных машин, приходящихся на сеть, может стать ограничивающим фактором. Адреса класса С используются в сетях с небольшим числом компьютеров.

Адреса класса D резервируются для групповой адресации (при обращениях к группам машин) в соответствии с документом RFC-1112. В адресах класса D четыре бита наивысшего порядка устанавливаются на значения 1, 1, 1 и 0.

Адреса класса Е также определены IP, но зарезервированы для использования в будущем. В адресах класса Е все четыре бита наивысшего порядка устанавливаются в 1.

66. Классификация компьютерной сети.

1. Локальная сеть (ЛВС;LAN) – сеть связывающая ПК в единую сеть в зоне ограниченной одной комнатой, зданием или предприятием.

2. Глобальная сеть (ГВС;WAN) – сеть соединяющая ПК удалённые географически на большие расстояния.

3. Городская сеть (MAN) – сеть, обслуживающая информационные потребности города.

4. Одноранговая сеть – сеть, соединяющая ПК, которые являются и клиентами и серверами одновременно.

5. Сеть с выделенным сервером – сеть в которой есть сервер.

6. Клиент–сервер – при этой технологии выделяется ПК под сервер, на котором устанавливаются нужные программы.
Файл-сервер – технология при которой сервер выделяет дисковое пространство.

67. Устройства для соединения локальных сетей, беспроводные сети.

1. сетевые кабели(коаксиал, оптоволоконные, витая пара)

2. конвекторы соединений, для подключения кабеля в ПК.

3. Сетевой адаптер
Трансивер (Transceiver) — устройство, которое передает, принимает и усиливает цифровые и аналоговые сигналы. В компьютерных сетях трансивер является вспомогательным устройством, соединяющим активное устройство с локальной вычислительной сетью (LAN).
ХАБ - сетевой концентратор, который принимает от рабочей станции данные, определяет адресата и пересылает ему информацию.

Беспроводная локальная сеть (Wireless LAN, WLAN) — локальная вычислительная сеть, использующая в качестве среды передачи данных электромагнитное излучение радиочастотного (как правило, СВЧ) или оптического (инфракрасного — ИК) диапазонов. Особенностью стандарта является отсутствие требований получать лицензии для работы в большинстве стран мира. На рынке, где доминируют американские производители, большей популярностью пользуется стандарт IEEE 802.11a, который имеет скорость передачи данных 54 Мбит/с.

68. Программа пересылки файлов FTP, Программа удаленного доступа Telnet. Электронная почта.

FTP (ftp, File Transfer Protocol, протокол передачи файлов) — протокол и стандартная программа для передачи и приема файлов между разными компьютерами (в том числе между сервером и клиентом), работающими в сетях, поддерживающих протокол TCP/IP. FTP является сервисным средством Интернет, которое обеспечивает доступ к файлам в файловых массивах. Использование FTP предполагает, что пользователь зарегистрирован и соединяется с сервером под своим именем и паролем.

Telnet (Telecommunications network protocol) — сетевой протокол удаленного доступа с помощью командного интерпретатора. Клиент Telnet представляет собой программу, которая позволяет конечным пользователям устанавливать сетевые соединения и дистанционно управлять термин Telnet не использует шифрование и уязвим при применении в Интернете или локальной сети.

Электронная почта (E-mail, email, e-mail) — служба и услуги по пересылке и получению электронных сообщений по распределенной (в том числе глобальной) компьютерной сети.

69. Системы информационного поиска Rambler и Alta Vista.

AltaVista — одна из старейших поисковых систем Интернета (в эксплуатации с 1995 года), в ней впервые был апробирован и внедрен язык запросов (знаки «+», «-», усечение «*», кавычки для поиска точно по фразе, булевые операторы и оператор расстояния — «NEAR»). Поисковый механизм дополнен интеллектуальным модулем «Prism», облегчающим формулировку запроса. AltaVista была приобретена корпорацией Yahoo!, и как самостоятельная система прекратила свое существование.

Rambler – российская поисковая система Интернета. Имеет множество дополнительных функций, например flash-игры или почтовые услуги.

70. Аппаратные, программные средства мультимедиа и основные виды технологий мультимедиа.

Аппаратные средства мультимедиа:

§ Средства звукозаписи;

§ Звуковоспроизведении;

§ Манипуляторы;

§ Средства «виртуальной реальности»;

§ Носители информации (CD-ROM);

§ Средства передачи;

§ Средства записи;

§ Обработки изображения;

ПРОГРАММНЫЕ СРЕДСТВА СОЗДАНИЯ ПРОЕКТОВ

§ Средства создания и обработки изображения;

§ Средства создания и обработки анимации, 2D, 3D – графики;

§ Средства создания и обработки видеоизображения (видеомонтаж, 3D-титры);

§ Средства создания и обработки звука;

§ Средства создания презентации.

71. ЛВС построенные по принципу «Клиент-сервер», «Файл-сервер».

Клиент–сервер – при этой технологии выделяется ПК под сервер, на котором устанавливаются нужные программы.
Файл-сервер – технология при которой сервер выделяет дисковое пространство.

В первой модели используется файловый сервер, на котором хранится большинство программ и данных. По требованию пользователя ему пересылаются необходимая программа и данные. Обработка информации выполняется на рабочей станции.

В системах с архитектурой клиент-сервер обмен данными осуществляется между приложением-клиентом (front-end) и приложением-сервером (back-end). Хранение данных и их обработка производится на мощном сервере, который выполняет также контроль за доступом к ресурсам и данным. Рабочая станция получает только результаты запроса. Разработчики приложений по обработке информации обычно используют эту технологию.

Использование больших по объему и сложных приложений привело к развитию многоуровневой, в первую очередь трехуровневой архитектуры с размещением данных на отдельном сервере базы данных (БД). Все обращения к базе данных идут через сервер приложений, где они объединяются.

 

72. Модели компьютерных атак.

Атака (attack) — действие, связанное с несанкционированным доступом в вычислительную сеть и преднамеренным нанесением ущерба как сети в целом, так и любым ее составным частям, включая условия или результаты их функционирования.

Модели атак.

1:1, 1:Мн, Мн:1, Мн:Мн.

73. Этапы реализации компьютерных атак.

1. предварительные действия – сбор информации.
определение топологии сети, тип и версия ОС, доступные сетевые сервисы.

2. реализация атаки – проникновение и установление контроля, достижение цели атаки, лом сети.

3. завершение атаки (заметание следов)

74. Классификация атак.

1. Удаленное проникновение.

2. Локальное прониконовение.

3. Удаленный отказ в обслуживании.

4. Локальный отказ в обслуживании.

5. Сетевой сканер.

6. Сканеры уязвимости.

7. Взломщики паролей.

8. Анализаторы протоколов.

75. Программы с потенциально опасными последствиями.

Программой с потенциально опасными последствиями назовем программу или часть программы, которая способна выполнить одно из следующих действий:

§ скрыть признаки своего присутствия в программной среде ПЭВМ;

§ самодублироваться, ассоциировать себя с другими программами и/или переносить свои фрагменты в какие-либо области оперативной или внешней памяти, не принадлежащие программе;

§ изменять код программ в оперативной или внешней памяти;

§ сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти (локальных или удаленных);

§ искажать произвольным образом, блокировать и/или подменять выводимый во внешнюю память или канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

76. Программы – «вирусы», «троянский конь», атака «салями».

Вирус

Компьютерным вирусом называется программа, которая может создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, сети и так далее. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

§ по среде обитания вируса;

§ по способу заражения среды обитания;

§ по деструктивным возможностям.

Троянский конь

Существуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие функции, в документации не описанные. Такие программы называются "троянскими конями".

Атака салями

А теперь поговорим о биче банковских компьютерных систем - атаке "салями". Чтобы понять смысл такой атаки, полезно вспомнить технологию изготовления известного сорта колбасы, которая создается путем соединения в общее целое множества мелких кусочков мяса. Получается достаточно вкусно. При разработке банковских систем устанавливается правило округления (или усечения), используемое при выполнении всех операций. Вся хитрость состоит в том, как запрограммировать обработку округлений. Можно, конечно, просто удалять несуществующие величины. Но можно и не удалять, а накапливать на некоем специальном счете. Там пол цента, тут пол цента... - а в сумме? Как свидетельствует практика, сумма, составленная буквально из ничего, за пару лет эксплуатации "хитрой" программы в среднем по размеру банке, может исчисляться тысячами долларов. Можно сказать, что атака салями - компьютерная реализация известной поговорки "С миру по нитке - голому рубаха". Программные закладки при хаотичной "информатизации" финансовой сферы становятся мощным деструктивным фактором в ее развитии. Трудность обнаружения закладок и борьбы с их воздействием без преувеличения позволяет назвать их информационным оружием. Легко понять недоумение и огорчение банкиров, видящих заведомо фальшивые платежные поручения, которые системы электронной подписи считают подлинными.

77. Программы типа «программный червь», «логический люк», «логическая бомба».

Сетевые черви (worms) — программы, которые, распространяясь по сети, не изменяют файлы, а проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Они не размножаются и не обращаются к ресурсам компьютера за исключением его оперативной памяти. Примерами сетевых червей могут служить получившие распространение летом 2003 года в Интернете вирусы LoveSan и Sobig.f. Первый из них был призван показать ненадежность ПО с маркой Microsoft. Он вносил в тело программ запись с обвинением Билла Гейтса в нежелании улучшить качество своих программных продуктов. Сетевые черви-«погонщики» (Hijackers) переадресуют пользователей Интернета на заданные ими сайты, включая порнографические. Червь Sobig.f превращает зараженные ПК в распространителей спама — «спам-машины». Червь Welchia, распространяясь по сети, «лечил» ПК, зараженные вирусом LoveSan, путем инсталлирования на них «заплат», снимаемых с сайта Microsoft. Сетевые черви подразделяют на Интернет-черви (распространяются по Интернету), LAN-черви (локальных сетей), IRC-черви (распространяются через телеконференции — чаты; IRC — Internet Relay Chat).

Люк

Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности - выход в привилегированный режим).

Люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы разработчики часто создают временные механизмы, облегчающие ведение отладки за счет прямого доступа к отлаживаемым частям продукта. По окончанию отладки большинство люков убирается из программы; но люди есть люди - зачастую они забывают о существовании каких-то мелких "лючков".

Логическая бомба

"Логической бомбой" обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия.

Мировая компьютерная общественность достаточно хорошо знакома с логическими бомбами. Логическая бомба является одним из излюбленных способов мести программистов компаниям, которые их уволили или чем-либо обидели. При этом чаще всего срабатывание бомбы ставится в зависимость от установки в системе даты - так называемые "часовые" бомбы. Это очень удобно: допустим, программист знает, что его уволят 1 марта; в таком случае он может установить "часовую" бомбу на взрыв, допустим, 6 июля или даже на Рождество, когда сам он будет уже вне пределов досягаемости для пострадавшей компании.

В этом отношении интересна высказанная одним из администраторов систем мысль, что при увольнении системного программиста будет лучше, если глава фирмы проводит его до дверей офиса, вежливо попрощается и подаст пальто.

78. Программы-закладки.

Программные закладки

Для того чтобы закладка смогла выполнить какие-либо функции по отношению к другой прикладной программе, она должна получить управление на себя, то есть процессор должен начать выполнять инструкции, относящиеся к коду закладки. Это достигается путем анализа и обработки закладкой общих относительно нее и прикладной программы событий, например, прерываний. Причем данные события должны сопровождать работу прикладной программы или работу всей ПЭВМ.

Исполнение кода закладки может быть сопровождено операциями несанкционированной записи (НСЗ), например, для сохранения некоторых фрагментов информации, и несанкционированного считывания (НСЧ), которое может происходить отдельно от операций чтения прикладной программы или совместно с ними. При этом операции считывания и записи, возможно, не связаны с получением конфиденциальной информации, например, считывание параметров устройства или его инициализация (закладка может использовать для своей работы и такие операции, в частности, для инициирования сбойных ситуаций или переназначения ввода-вывода).

Приведем несколько важных примеров. Предположим, что программное средство производит некоторые файловые операции. Для этого открывается файл, часть его считывается в буфер оперативной памяти, обрабатывается и затем, записывается в файл с прежним или новым именем.

Теперь представьте себе, что вводимые вами документы не записываются на диск или записываются в искаженном виде, либо сугубо конфиденциальная информация банка помимо записи в базу данных дополнена к файлу, посланному в сеть. Или вы дали команду зашифровать файл для передачи, а файл отправился "в путь" незашифрованным. Таковы лишь некоторые из широко известных негативных действий, могущих производиться закладками с файлами-документами.

Рассмотренные действия особенно опасны для программ подтверждения подлинности электронных документов ("электронная цифровая подпись" - ЭЦП). При считывании приготовленного для подписи файла-документа может произойти изменение имени автора, даты, времени, цифровых данных, заголовка документа (например, изменение суммы платежа в платежных поручениях и др.)

79. Брандмауэр (пакетные фильтры, сервера прикладного уровня, сервера уровня соединения).

Брандмауэр (brandmauer, firewall) — средство защиты работающих в Интернете серверов и сетей от несанкционированного доступа; предохраняет от попадания в защищаемый объект или выхода из него пакетов данных, которые не отвечают установленным правилам безопасности. На корпоративные брандмауэры возложена организация множественных шифрованных соединений или виртуальных частных сетей VPN (Virtual Private Network). Брандмауэры отличаются от средств индивидуальной защиты тем, что допускают возможность программирования и контроля, как входящих, так и исходящих пакетов. Примерами могут служить: ППП Axent Technologies, Check Point, Cisco Firewall/Plus, Network Associates, Secure Computing. Разработка в данной области фирмы Microsoft — Internet Security and Acceleration Server 2000 (также ISA Server 2000).

Packet filter(пакетный фильтр) — брандмауэр, работающий на сетевом (третьем) уровне модели OSI или на IP-уровне протоколов TCP/IP. Пакетные фильтры присутствуют в обязательном порядке в каждом маршрутизаторе, поскольку работают на третьем уровне модели OSI. Задачей пакетных фильтров является фильтрация пакетов на основе сведений об IP-адресах источника или получателя, а также — номерах портов;
Circuit-level gateway (шлюз сеансового уровня) — работает на пятом уровне модели OSI или на транспортном (четвертом) TCP/IP уровне. Брандмауэры этого вида отслеживают процессы установления TCP-соединений и организацию сеансов обмена данными между оконечными машинами. Они позволяют определить легитимность каждой связи. При этом данные, передаваемые во внешнюю сеть не содержат сведений об источнике передачи в защищаемой сети. Для повышения безопасности сети встроенные в маршрутизаторы брандмауэры, как правило, используют протокол NAT (Network Address Tranalation);
Application-level gateway (шлюз прикладного уровня, proxy-сервер) — работает на седьмом уровне модели OSI, отвечающем за доступ приложений в сеть, обмен почтовыми сообщениями и управление сетью. Получая сведения о пакетах на прикладном уровне, шлюзы могут блокировать доступ к определенным сервисам и производить фильтрацию специфических команд. Шлюзы прикладного уровня могут использоваться для регистрации активности отдельных пользователей и установленных ими сеансов связи.

80. Схемы подключения брандмауэров.

Схемы подключения

Для подключения брандмауэров используются различные схемы. Брандмауэр может

использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для

подключения к внешней сети (см рис. 1). Иногда используется схема, изображенная на рис 3,

однако пользоваться ей следует только в крайнем случае, поскольку требуется очень

аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в

защите.

 

 

 

Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed

брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис.

4).

 

 

При этом между внешним роутером и брандмауэром имеется только один путь, по которому

идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является

единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с

точки зрения безопасности и надежности защиты.

 

Другая схема представлена на рис. 5.

 

 

При этом брандмауэром защищается только одна

подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто

располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые

брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с

точки зрения загрузки машины и безопасности самого брандмауэра

 

Существуют решения (см рис. 6),которые позволяют организовать для серверов,

которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за

доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

 

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не

могли случайно или умышленно открыть дыру в локальную сеть через эти сервера

Для повышения уровня защищенности возможно использовать в одной сети несколько

брандмауэров, стоящих друг за другом.

81. Надежность систем (политика безопасности, гарантированность). Вычислительная база. Монитор обращений.

Надежность систем оценивается по двум основным критериям:

§ Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

§ Гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.

 

При оценке степени гарантированности, с которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база - это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).

Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.

82. Криптосистемы (подстановка).

В подстановочных шифрах буквы исходного сообщения заменяются на подстановки. Замены в криптотексте расположены в том же порядке, что и в оригинале. Если использование замен постоянно на протяжение всего текста, то криптосистема называется одноалфавитной (моноалфавитной). В многоалфавитных системах использование подстановок меняется в различных частях текста.

Основные системы:

§ Шифр Цезаря;

§ Аффинная криптосистема;

§ Шифр Полибия.

 

83. Криптосистемы (перестановка).

Перестановки - несложный метод криптографического преобразования. Используется как правило в сочетании с другими методами.

Перестановкой ** набора целых чисел (0,1,...,N-1) называется его

переупорядочение. Для того чтобы показать, что целое i перемещено из

позиции i в позицию **(i), где 0 ** (i) < n, будем использовать запись

 

**=(**(0), **(1),..., **(N-1)).

 

Число перестановок из (0,1,...,N-1) равно n!=1*2*...*(N-1)*N. Введем

обозначение ** для взаимно-однозначного отображения (гомоморфизма) набора

S={s[0],s[1],...,s[N-1]}, состоящего из n элементов, на себя.

 

**: S ** S

84. Криптосистемы (гаммирование).

Гаммирование - этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Прин­цип шифрования гам­ми­ро­ва­ни­ем за­клю­ча­ет­ся в ге­не­ра­ции

гам­мы шиф­ра с по­мо­щью дат­чи­ка псев­до­слу­чай­ных чи­сел и на­ло­же­нии

по­лу­чен­ной гам­мы на от­кры­тые дан­ные об­ра­ти­мым об­ра­зом.

Про­цесс дешифрования дан­ных сво­дит­ся к по­втор­ной ге­не­ра­ции

гам­мы шиф­ра при из­вест­ном клю­че и на­ло­же­нии та­кой гам­мы на

за­шиф­ро­ван­ные дан­ные.

По­лу­чен­ный за­шиф­ро­ван­ный текст яв­ля­ет­ся дос­та­точ­но труд­ным для

рас­кры­тия в том слу­чае, ес­ли гам­ма шиф­ра не со­дер­жит

по­вто­ряю­щих­ся би­то­вых по­сле­до­ва­тель­ностей. По су­ти де­ла гам­ма

шиф­ра долж­на из­ме­нять­ся слу­чай­ным об­ра­зом для ка­ж­до­го

шиф­руе­мо­го сло­ва. Фак­ти­че­ски же, ес­ли пе­ри­од гам­мы пре­вы­ша­ет

дли­ну все­го за­шиф­ро­ван­но­го тек­ста и не­из­вест­на ни­ка­кая часть

ис­ход­но­го тек­ста, то шифр мож­но рас­крыть толь­ко пря­мым пе­ре­бо­ром

(про­бой на ключ). Криптостойкость в этом слу­чае оп­ре­де­ля­ет­ся

раз­ме­ром клю­ча.

85. Криптосистемы (аналитические преобразования)

Достаточно надежное закрытие информации может быть обеспечено при

использовании для шифрования некоторых аналитических преобразований. Для

этого нужно использовать методы алгебры матриц, например, умножение матрицы

на вектор. При этом зашифрованый текст будет иметь вид:99,62,28,96,60,24.

Расшифрование осуществляетсяс использованием того же правила умножения матрицы

на вектор, только в качестве основы берется матрица, обратная той, с помощью

которой осуществляется закрытие, а в качестве вектора-самножителя –

соответствующие колличество символов закрытого текста; тогда значениями

вектора-результата будут цифровые эквиваленты знаков открытого текста.

Обратной к данной называется матрица, полущающая из так называемой

присоединенной матрицы делением всех ее элементов на определитель данной

матрицы.

 

**********************************

Криптология (cryptologic) — область деятельности, связанная с защитой информации; подразделяется на два направления — криптографию и криптоанализ. Криптография (cryptography) — поиск и использование методов гарантирующих засекречивание сообщений и подтверждения их подлинности. Результат криптографической обработки исходных (открытых) сообщений носит наименование криптограммы или шифр-текста. Управление процессами шифрования и дешифрирования производится при помощи специальных алгоритмов и ключей. При этом алгоритмы могут быть известны (не засекречены), а основная нагрузка на защиту сообщений ложится на секретный ключ. Степень способности криптосистемы противостоять раскрытию шифра называют ее стойкостью. Криптоанализ (cryptanalysis) — деятельность, ориентированная на вскрытие шифров, а также подделку кодов сигналов так, чтобы их можно было принять за подлинные.