Протоколы сети Internet

В Internet, как и во всякой другой сети, имеется семь уровней взаимодействия прикладных процессов, причем каждому уровню соответствует набор протоколов (т.е. правил взаимодействия).

Протоколы физического уровня определяют вид и характеристики линий связи между компьютерами. Для каждого типа линий связи разработан протокол канального (логического) уровня, занимающийся управлением передачи информации по каналу. Например, к протоколам канального уровня для телефонных линий относятся протоколы SLIP (Serial Line Internet Protocol – протокол последовательного канала Internet) и PPP (Point to Point Protocol – протокол взаимодействия между узлами). Для связи по кабелю локальной сети - это пакетные драйверы плат ЛКС.

Протоколы сетевого уровня обеспечивают маршрутизацию пакетов в сети, т.е. отвечают за передачу данных между компьютерами в разных сетях. К ним относятся протоколы IP и ARP (Address Resolution Protocol).

На транспортном уровне управление передачей данных осуществляется протоколами ТCP и UDP (User Datagram Protocol). Протоколы сеансового уровня отвечают за установку, поддержание и уничтожение соответствующих каналов. В Internet этим занимаются протоколы TCP, UDP, UUCP.

На представительном уровне протоколы занимаются обслуживанием прикладных программ. К программам представительного уровня относятся, например, программы, запускаемые на Unix-сервере для предоставления различных услуг пользователям. Это программы telnet-сервер, FTP-сервер, Gopher-сервер, NNTP (Net News Transfer Protocol), SMPT (Simple Mail Transfer Protocol) и др. К протоколам прикладного уровня относятся программы предоставления сетевых услуг.

Все сервисы сети Internet можно разделить на три группы - интерактивные, прямого обращения и отложенного чтения.

К группе интерактивных сервисов относятся такие, где требуется немедленная реакция от получателя информации, т.е. получаемая информация в сущности является запросом.

Сервисы прямого обращения характеризуются тем, что информация по запросу возвращается немедленно.

Наиболее распространенными являются сервисы отложенного чтения, например электронная почта. Для них основным признаком служит та особенность, что запрос и получение информации могут быть достаточно сильно разделены во времени (это определяется актуальностью информации на момент ее получения). Сервисы отложенного чтения наиболее универсальны и наименее требовательны к ресурсам ЭВМ и линиям связи.

Существует и другой подход к делению услуг, предоставляемых сетью Internet. Они делятся на две категории: услуги по обмену информацией между абонентами сети и услуги, связанные с использованием баз данных сети.

Рассмотрим наиболее распространенные услуги сети.

Электронная почта - типичный сервис отложенного чтения (off-line). Электронное письмо состоит из заголовка, содержащего адрес отправителя и получателя, и собственно текста письма. Каждому пользователю в системе ЭП выделяется почтовый ящик, реализованный в виде файла на диске, куда и помещается пересылаемое сообщение от другого пользователя. Электронные письма извлекаются из почтового ящика с помощью соответствующих команд.

Система электронной почты (E-mail) стандарта Internet универсальна: сети, построенные на совершенно разных принципах и протоколах, могут обмениваться электронными письмами с Internet, получая тем самым доступ к прочим его ресурсам. Практически все сервисы Internet, использующиеся обычно как сервисы прямого доступа (on-line), имеют интерфейс к электронной почте. Поэтому если пользователь не располагает доступом к Internet в режиме on-line, он может получить большую часть информации, хранящейся в этой сети, посредством дешевой электронной почты.

В Internet есть возможность отправки как текстовых, так и двоичных файлов. На размер почтового сообщения в сети накладывается ограничение: он не должен превышать 64 килобайт.

Сетевые новости (телеконференции) - второй по распространенности сервис Internet. Механизм распространения сетевых новостей достаточно прост: каждый узел сети, получивший новое сообщение, передает его тем узлам, с которыми он обменивается новостями. Следовательно, посланное пользователем сообщение распространяется, многократно дублируясь, по сети, достигая за короткие сроки всех участников телеконференций USENET во всем мире.

Новости разделены по иерархически организованным тематическим группам. Имя каждой группы состоит из имен подуровней иерархии, разделенных точками, причем более общий уровень пишется первым. Имеются глобальные иерархии и иерархии, локальные для какой-либо организации, страны или сети. Набор групп, получаемых локальным сервером USENET, определяется администратором этого сервера и наличием этих групп на других серверах, с которыми обменивается новостями локальный сервер. Обычно сервер получает: все глобальные иерархии; группы, локальные для страны, в которой сервер расположен; группы, локальные для организации, где функционирует сервер. К различным иерархиям применимы различные нормы и правила работы с ними. Это касается прежде всего языка сообщений. В группы российской иерархии relcom сообщения лучше писать по-русски, в то время как в группы локальной иерархии comp следует писать только по-английски.

Любой компьютер, полноценно подключенный к Internet, имеет доступ к новостям USENET, однако новости USENET распространяются и по другим сетям.

Удобство работы с новостями существенно зависит от способа их получения. В Internet программа-клиент абонента может напрямую получать новости с сервера USENET, и тогда между просмотром списка сообщений, содержащихся в группе, и чтением этих сообщений нет задержки. Если же пользование новостями идет через электронную почту, то абонент сначала получает список статей, а уже потом принимает по электронной почте заказанные им из этого списка статьи. Это весьма неудобный и устаревший способ работы с новостями USЕNET, являющийся, однако, наиболее распространенным в России.

FTР (File Transfer Protocol) - протокол передачи файлов. Это не просто протокол, а именно сервис - доступ к файлам в файловых архивах. FTР - это стандартная программа, работающая по протоколу ТСР. Она обеспечивает передачу файлов между компьютерами, взаимодействующими в сетях ТСР/IP: на одном из них работает программа-сервер, а на другом пользователь запускает программу-клиент, которая соединяется с сервером и передает или получает по протоколу FTР файлы.

FTР - сервис прямого доступа, требующий подключения компьютера в сеть Internet. Однако возможен доступ и через электронную почту, для чего имеются серверы, которые по запросу могут прислать по электронной почте запрашиваемые файлы. При этом запрос может довольно долго ожидать своей очереди. Есть и другое неудобство: большие файлы при отсылке делятся сервером на части ограниченного размера, посылаемые отдельными письмами; в случае потери хотя бы одного письма, остальные принятые письма, принадлежащие запрашиваемому файлу, окажутся ненужными.

Системы автоматизированного поиска информации в сети Internet. Компании всего мира широко используют сеть Internet - эту всемирную информационную супермагистраль для поиска и получения информации практически любого вида. В сети Internet имеются тысячи баз данных и десятки навигационных систем. Для облегчения и ускорения поиска необходимой информации используются вспомогательные программы, интегрированные в структуру Internet и составляющие ядро автоматизированных систем поиска и получения информации.

Сеть Internet работает с тремя основными системами поиска информации - Gopher, Wais и WWW.

Гипертекстовая система Gopher. Это достаточно известное и распространенное средство поиска информации в сети Internet, позволяющее находить информацию по ключевым словам и фразам. При работе с Gopher пользователю предлагается пройти сквозь ряд вложенных меню, из которых доступны файлы различных типов. Gopher, будучи распределенной системой экспорта структурированной информации, являются сервисом прямого доступа и требует, чтобы и сервер, и клиент были полноценно подключены к Internet.

Система Gopher позволяет получать информацию без указания имен и адресов авторов. Пользователь просто сообщает системе, что именно ему нужно, и система находит необходимые данные.

Система WAIS. Это информационная система широкого профиля, представляющая собой комплекс программ, предназначенных для индексирования больших объемов неструктурированной (как правило, просто текстовой) информации, поиска по таким материалам и извлечения из них запрашиваемых данных. Эти функции выполняются с помощью программ индексирования, программ локального поиска по полученным индексам, а также серверных и клиентских программ, взаимодействующих между собой по специальному протоколу Z39.50.

Задача поиска данных в больших объемах неструктурированной информации весьма нетривиальна, пока не существует общепринятого ее решения. В системе WAIS реализован приемлемый вариант решения этой задачи, поэтому она получила достаточную известность как один из сервисов Internet. Однако в последнее время эта система самостоятельно почти не используется, а во многих случаях применяется как вспомогательное средство, например, для индексирования документов, хранящихся на WWW-сервере.

Система WWW (World Wide Web – всемирная информационная сеть). WWW - самое популярное и удобное средство работы с информацией. Больше половины потока данных в Internet приходится на долю WWW. Количество серверов WWW сегодня превышает 30 тысяч. WWW - гипертекстовая, гипермедийная, распределенная, интегрированная, глобальная децентрализованная информационная система, реализующая самую передовую и массовую технологию. Это сервис прямого доступа, требующий полноценного подключения к Internet. WWW работает по принципу клиент - серверы. Имеется множество серверов, которые по запросу клиента представляют ему гипермедийный документ, состоящий из частей с разнообразным представлением информации (текст, звук, графика, трехмерные объекты и т.д.). Программные средства WWW являются универсальными для различных сервисов Internet, а сама система играет интегрирующую роль. Соединение между клиентом и сервером WWW одноразовое: получив запрос от клиента и выдав ему документ, сервер прерывает связь.

WWW – это объединение в одной информационной системе возможностей вышеуказанных информационных инструментов с добавлением к ним передачи (помимо текстов и программ) графических изображений, звуков, видео. Все эти информационные объекты связываются структурой гипертекста, т.е. текста, содержащего в себе связи с другими текстами, графической, видео- или звуковой информацией. Систему WWW отличают такие особенности: использование гипертекста и возможность пользователей взаимодействовать с другими приложениями Internet.

Гипертекст можно рассматривать как систему документов с перекрестными ссылками. Связь между гипертекстовыми документами осуществляется с помощью ключевых слов, причем документы, на которые сделаны ссылки, могут находиться на удаленных компьютерах. Следовательно, по ссылкам можно значительно удалиться от первоначального источника информации, но возврат к нему не вызывает затруднений.

Гипермедиа–документы (т.е. гипертекстовые документы, включающие не только тексты, но и графику, звук и видео) хранятся на WWW-серверах сети Internet. Для работы с гипермедиа-документами имеется много различных программ-клиентов, называемых программами просмотра WWW, или броузерами (browsers). По известному адресу броузеры позволяют вызывать нужные документы, накапливать их, сортировать, объединять, редактировать, печатать. Наибольшее распространение в настоящее время получили программы просмотра Netscape Navigator и Microsoft Internet Explorer. Программы просмотра имеют много общего, поэтому, овладев принципами и средствами работы одной из них, без труда можно переключиться на работу с другой. Большинство современных программ просмотра обеспечивают доступ не только к страницам Web-серверов (или к Web-страницам), но и включают возможности обработки электронной почты, телеконференций Usenet, позволяют работать с сервисом FTP, Gopher и др. в программы просмотра встраиваются редакторы Web-страниц.

Подготовка гипермедиа-документов осуществляется на языке HTML (Hyper Text Markup Language – язык описания гипертекстовых документов). HTML – это язык World Wide Web, используемый для отображения информации каждым Web-узлом. Он был разработан в начале 90-х годов инициативной группой в Европейской лаборатории физики частиц в Женеве. Web-страница в формате HTML (называемая также Web-документом) – это простой текстовый файл (ASCII-файл), который можно создавать и читать. Он содержит набор команд HTML, которые сообщают броузеру порядок отображения страницы Web. Следовательно, после соединения с Web-узлом с помощью броузера по сети связи от Web-сервера к броузеру отправляется запрашиваемый документ в формате HTML. Любой компьютер (независимо от того, является ли он обычным РС, работающим под Windows, рабочей станцией, ориентированной на Unix, или компьютером Macintosh) может принимать и отображать HTML-страницы. Этим и объясняется эффективность и популярность языка HTML. Существует большое количество программ, осуществляющих преобразование различных документов в формате HTML.

В Internet реализуются две стороны поиска информации, разные по методам, но единые в целях: каталоги и поисковые серверы. Условно можно сказать, что каталоги - средства сфокусированного поиска информации, а поисковые серверы - рассеянного. Использование этих средств позволяет быстро и эффективно находить необходимую информацию в глобальной сети.

Поисковые серверы (search engune)- это специальное программное обеспечение, которое, автоматически просматривая все ресурсы сети Internet, может найти запрашиваемые ресурсы и проиндексировать их содержание. Пользователь передает поисковому серверу фразу или набор ключевых слов, описывающих интересующую его тему. Выполняя такой запрос, сервер сообщает пользователю список соответствующих ресурсов. В сети Internet имеется множество поисковых серверов, охватывающих практически все доступные ресурсы. При этом разные серверы охватывают различные, частично перекрывающиеся, области информации в сети. Они используют различающиеся методы индексирования документов и способы оценки значимости слов в них. Имеются специализированные серверы поиска по отдельным типам ресурсов сети и универсальные, охватывающие все виды сервисов.

Каталоги Internet - средства хранения тематически систематизированных коллекций ссылок на различные сетевые ресурсы, в первую очередь на документы WWW. Ссылки в такие каталоги заносятся администраторами, которые стараются сделать свои коллекции наиболее полными, включающими все доступные ресурсы на каждую тему. В результате пользователь должен найти интересующий его вопрос в каталоге, и ему не нужно самому собирать все ссылки по этому вопросу, так как работа по поиску и систематизации ссылок уже проделана, Каталоги обычно имеют древовидную структуру и похожи на очень большой список закладок. Каталоги обеспечивают разнообразный дополнительный сервис: поиск по ключевым словам в своей базе данных, предоставление списков последних поступлений, автоматическое оповещение по электронной почте о свежих поступлениях и др. Имеется каталог русскоязычных ресурсов сети Internt.

Абонент, научившийся использовать наиболее подходящий для него каталог и несколько поисковых серверов, получает эффективное средство быстрого нахождения информации в сети.

Организации, определяющие направление развития сети Интернет:

1) Сообщество Интернет,

2) Инженерная проблемная группа Интернет,

3) Консорциум WWW,

4) Группа регистрации.

Основные сервисы Интернет:

1. Эл. почта.

2. WWW- гипертекстовая система передачи web страниц.

страница – наименьшая единица передачи WWW информации.

сайт – совокупность веб-страниц, принадлежащих одной компании или частному лицу.

портал – группа сайтов с определенным набором услуг для пользователя.

3. FTP – протокол передачи файлов.

4. Telnet – предназначен для управления удаленными компьютерами.

5. Gopher – аналог www, позволяющий искать информацию с помощью системы меню, имеющих вид дерева данных.

6. IRC – служба, предоставляющая пользователям сети возможность обмена текстовыми сообщениями в реальном времени.

Система адресации в Интернет:

IP адрес – это уникальный числовой адрес, однозначно идентифицирующий узел, группу узлов или подсеть в составе Интернет.

Уникальность сетевых адресов гарантируется спец. организацией, которая называется сетевым информационным центром.

Domain Name System (DNS) – служба, позволяющая преобразовывать IP адресацию в доменную и наоборот (т.е. 657621418óyandex.ru)

domen3. domen2. domen1.

Домены первого уровня:

Com-коммерческие организации

Edu-образовательные организации

Gov-правительственные

Центр обработки данных — физическое местоположение, в котором собраны важные вычислительные ресурсы. Центр предназначен для поддержки необходимых для ведения бизнеса приложений и связанных с ними вычислительных ресурсов, таких как мэйнфреймы, серверы и группы серверов.

К бизнес-приложениям относятся приложения финансовые, кадровые, электронной коммерции и приложения « бизнес-бизнес ». Кроме тех групп серверов, которые поддерживают бизнес приложения, существуют и другие группы серверов, которые поддерживают сетевые сервисы и сетевые приложения. К сетевым сервисам относятся NTP, Telnet, FTP, DNS, DHCP, SNMP, TFTP и NFS. Сетевые приложения, это IP-телефония, передача видео по IP, системы видеокоференцсвязи т.д.

К бизнес-приложениям относится любое приложение, выполняющее функции необходимые для бизнеса, что, вообще говоря, подразумевает очень большое количество таких приложений. Некоторые корпоративные приложения логически организованы в виде нескольких уровней, которые выделены по тем функциям, которые они выполняют.

Некоторые уровни выделены для поддержки клиентских обращений или внешних функций, таких как обслуживание web-страниц или поддержка интерфейса командной строки (CLI) для приложений. В некоторых случаях внешние функции могут быть реализованы на основе web. Другие функции выполняют обработку пользовательских запросов и преобразование их в формат понятный таким уровням как уровень серверов или баз данных.

Такой многоуровневый подход называется N-уровневой моделью, поскольку кроме уровней внешнего и внутреннего может существовать еще несколько уровней между ними. Такие уровни связаны с управлением объектами, их взаимоотношениями, контролируют взаимодействие с базой данных, предлагают необходимые интерфейсы приложениям.

Корпоративные приложения обычно относятся к одной из следующих основных областей бизнеса:

• Управление отношениями с заказчиками (Customer Relationship Management — CRM).
• Планирование корпоративных ресурсов (Enterprise Resource Planning — ERP).
• Управление поставками (Supply Chain Management — SCM).
• Автоматизация продаж (Sales Force Automation — SFA).
• Обработка заказов (Order Processing).
• Электронная коммерция.

Источник: Cisco

Необходимо отметить, что внешний уровень, поддерживающий обращения клиентов к серверу, поддерживает приложения доступа. В настоящее время существуют приложения, как с собственным, так и с web-интерфейсом и наблюдается тенденция перехода к web-приложениям.

Такая тенденция подразумевает, что для работы с клиентами применяется web-интерфейс, но в то же время у приложений существует средний уровень, которые по запросу клиента получают информацию из внутренней базы данных и передают ее на внешний уровень, например, web-серверу, доводя, таким образом, ответ до клиента.

Этот средний уровень приложений и системы баз данных является логически выделенной частью, которая выполняет особые функции. Логическое разделение этих функций делает возможным и разделение физическое. А вывод состоит в том, что серверы приложений и web-серверы теперь не обязательно должны находиться в одном месте физически.

Подобное разделение повышает масштабируемость сервисов и упрощает управление крупными группами серверов. С точки зрения сети такие группы серверов, выполняющие различные функции, можно физически разнести в разные уровни сети по соображениям защищенности и управляемости. На Рис. 10 средний уровень и уровень базы данных обеспечивают сетевое соединение с каждой группой серверов.

Возможности центра обработки данных

Поскольку в названных местах размещены особо важные вычислительные ресурсы, то требуется предпринять специальные меры по подготовке персонала и технических средств для обеспечения круглосуточной поддержки. Объектом поддержки являются вычислительные и сетевые ресурсы. Специфичность этих ресурсов и их важность для ведения бизнеса требуют обратить особое внимание на следующие области:

• Энергоснабжение
• Охлаждение
• Кабельная проводка
• Контроль температуры и влажности
• Пожарные и дымовые системы
• Физическая защита: запрет доступа и системы наблюдения
• Установочное физическое пространство и фальшполы

Рабочий персонал должен состоять из специалистов, хорошо изучивших требования по управлению центром и контролем его работы. В дополнение к вышеназванным областям обслуживания необходимо упомянуть:

• Ресурсы серверов, включая сюда аппаратное и программное обеспечение и операционные системы.
• Инфраструктура сети, поддерживающей серверные ресурсы

Инфраструктура сети

Необходимая для поддержки вычислительных ресурсов инфраструктура во многом определяется тем набором сервисов центра обработки данных, которые служат достижению целей архитектуры. По этим же сервисам затем группируются и основные компоненты сетевой инфраструктуры. Список компонентов сетевой инфраструктуры задает набор сервисов, но сам по себе он очень велик, и его удобнее очертить, описывая подробности каждого сервиса.

Преимущества создания центров обработки данных

Преимущества центров обработки данных можно описать одним предложением: «Центр обработки данных объединяет важнейшие вычислительные ресурсы в защищенных условиях для централизованного управления, обеспечивая предприятию возможность работы по собственному, в том числе круглосуточному графику».

Круглосуточная работа предполагается для всех сервисов, поддерживающих центр обработки данных. Нормальную деловую активность поддерживают важнейшие бизнес-приложения, в отсутствии которых бизнес либо серьезно страдает, либо останавливается вообще.

Для построения центра необходимо провести серьезное планирование. Стратегии эффективности, масштабируемости, защищенности и управления должны быть понятны, и явным образом соответствовать требованиям бизнеса.

Потерю доступа к важной информации можно оценить количественно, так как она влияет на результат — на доход. Существуют предприятия, которые обязаны по закону планировать непрерывность своей деятельности: федеральные агентства, финансовые институты, здравоохранение и т.п.

Разрушительность последствий при возможной потери доступа к информации вынуждают предприятия искать пути снижения такого риска и его влияния на бизнес. Значительная часть планов рассматривает использование центров обработки данных, которые охватывают важнейшие вычислительные ресурсы.

Михаил Кадер / Cisco

Основные положения международного стандарта ISO/IEC 17799.

Часть 19-я: Контроль доступа. Продолжение.

Контроль доступа к вычислительной сети

Доступ как ко внутренним, так и к внешним сетевым сервисам следует контролировать. Это поможет гарантировать, что пользователи, имеющие доступ к сети и сетевым сервисам, не нарушают безопасность этих сервисов. Для этого используются следующие средства:

соответствующие интерфейсы между сетью организации и общественными сетями и сетями, принадлежащими другим организациям;

соответствующие механизмы аутентификации для пользователей и оборудования;

контроль доступа пользователей к информационным сервисам.

Политика использования сетевых сервисов

Незащищенные подключения к сетевым сервисам могут повлиять на безопасность всей организации. Пользователям должен предоставляться непосредственный доступ только к тем сервисам, на использование которых они получили специальное разрешение. Это в особенности важно для сетевых подключений к конфиденциальным или критичным бизнес - приложениям, а также для пользователей, работающих в областях с повышенным риском, например, в общественных местах и на внешних территориях, находящихся за пределами области действия средств защиты, реализованных в организации.

Необходимо разработать политику в отношении использования сетей и сетевых сервисов. Эта политика должна охватывать:

сети и сетевые сервисы, к которым разрешается доступ;

административные правила и средства защиты доступа к сетевым подключениям и сетевым сервисам.

Эта политика должна быть согласована с политикой контроля доступа в организации.

Аутентификация пользователей для внешних подключений

Внешние подключения (например, подключения по телефонным линиям) предоставляют потенциальную возможность для несанкционированного доступа к информации организации. В связи с этим для доступа удаленных пользователей должна применяться аутентификация.

Существуют различные методы аутентификации. Некоторые их этих методов обеспечивают более эффективную защиту по сравнению с другими – например, методы, основанные на шифровании, могут обеспечить усиленную аутентификацию. Необходимый уровень защиты следует определить при оценке рисков. Эта информация потребуется при выборе подходящего метода аутентификации.

Для аутентификации удаленных пользователей можно использовать, например, криптографические методы, аппаратные средства или протоколы с запросом и подтверждением. Кроме того, для обеспечения достоверности источника соединения могут использоваться выделенные частные линии или средства проверки сетевых адресов пользователей.

Для защиты от несанкционированных и нежелательных подключений к средствам обработки информации в организациях могут использоваться средства обратного вызова, например, модемы с функцией обратного вызова. Этот метод контроля служит для аутентификации пользователей, пытающихся подключиться к сети организации из удаленного пункта. При применении этого метода не следует использовать сетевые сервисы, обеспечивающие перенаправление вызовов. Если функция перенаправления вызовов все же имеется, ее следует отключить, чтобы избежать связанных с ней уязвимостей. Кроме того, процесс обратного вызова обязательно должен включать проверку реального прекращения соединения со стороны организации. В противном случае удаленный пользователь может остаться на линии, сымитировав проверку путем обратного вызова. Средства обратного вызова следует тщательно проверить на наличие этой возможности.

Аутентификация узлов

Средства автоматического подключения к удаленному компьютеру могут быть использованы злоумышленникам для получения несанкционированного доступа к бизнес -приложениям. В связи с этим подключения к удаленным компьютерным системам должны требовать аутентификации. Это особенно важно в том случае, если для подключения используется сеть, находящаяся за пределами контроля организации.

Аутентификация узлов может служить альтернативным средством для аутентификации групп удаленных пользователей при подключении к совместно используемым защищенным компьютерным сервисам.

Защита удаленных диагностических портов

Доступ к диагностическим портам должен тщательно контролироваться. Во многих компьютерах и системах связи имеется система удаленной диагностики путем подключения по телефонной линии, используемая инженерами сервисной службы. При отсутствии защиты такие диагностические порты могут быть использованы для несанкционированного доступа. Поэтому они должны быть защищены с помощью соответствующего защитного механизма (например, замка). Необходимо ввести правила, гарантирующие, что эти порты будут доступны только по договоренности между сотрудником, ответственным за компьютерную систему, и специалистами сервисной службы, которым необходим доступ.

Разделение вычислительных сетей

По мере появления партнерских отношений, требующих объединения или совместного использования сетей и средств обработки информации, сети все чаще выходят за традиционные рамки организации. Такое расширение может увеличить риск несанкционированного доступа к подключенным к сети информационным системам, некоторые из которых могут требовать защиты от других пользователей сети из -за своей критичности или конфиденциальности. В подобных условиях рекомендуется рассмотреть внедрение средств сетевого контроля для разделения групп информационных сервисов, пользователей и информационных систем.

Один из методов контроля безопасности в крупных сетях – разделение таких сетей на отдельные логические сетевые зоны, например, внутренние сетевые зоны организации и внешние сетевые зоны. Каждая такая зона защищается определенным периметром безопасности. Подобный периметр можно реализовать путем установки защищенного шлюза между двумя объединяемыми сетями для контроля доступа и передачи информации между этими двумя доменами. Конфигурация данного шлюза должна обеспечивать фильтрацию трафика между этими доменами и блокировку несанкционированного доступа в соответствии с политикой контроля доступа в организации.

Хорошим примером подобного шлюза является система, которую принято называть межсетевым экраном.

требованиях к доступу. Кроме того, при внедрении средств сетевой маршрутизации и шлюзов необходимо учитывать относительную стоимость и влияние на производительность.

Контроль сетевых подключений

Политика контроля доступа в совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может требовать реализации средств ограничения возможностей подключения для пользователей. Подобные средства могут быть реализованы с помощью сетевых шлюзов, фильтрующих трафик в соответствии с заданной таблицей или набором правил. Вводимые ограничения должны быть основаны на политике доступа и на потребностях организации. Эти ограничения необходимо поддерживать и своевременно обновлять.

Вот примеры областей, для которых необходимо ввести ограничения:

электронная почта;

односторонняя передача файлов;

двухсторонняя передача файлов;

интерактивный доступ;

сетевой доступ с привязкой ко времени дня или дате.

Контроль сетевой маршрутизации

В совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может возникнуть необходимость создания средств контроля маршрутизации, гарантирующих, что компьютерные подключения и потоки данных не нарушают политику контроля доступа в организации. Такой контроль зачастую необходим для сетей, которые используются совместно с другими пользователями, не являющимися сотрудниками организации.

Средства контроля маршрутизации должны быть основаны на специальных механизмах проверки адресов источника и пункта назначения. Кроме того, для изоляции сетей и предотвращения возникновения маршрутов между двумя сетями различных организаций очень удобно использовать механизм трансляции сетевых адресов. Эти средства могут быть реализованы как на программном, так и на аппаратном уровне. При реализации необходимо учитывать мощность выбранных механизмов.

Материалы стандарта предоставлены компанией

Они делятся на интерактивные, прямые и отложенного чтения. Сервисы, относящиеся к классу отложенного чтения (off-line), наиболее распространены, наиболее универсальны и наименее требовательны к ресурсам компьютеров и линиям связи. Основным признаком этой группы является та особенность, что запрос и получение информации могут быть достаточно сильно разделены по времени (E-mail). Сервисы прямого обращения характерны тем, что информация по запросу возвращается немедленно. Однако от получателя информации не требуется немедленной реакции (ftp). Сервисы, где требуется немедленная реакция на полученную информацию, т.е. получаемая информация является, по сути дела, запросом, относятся к интерактивным (on-line) сервисам (www).

Электронная почта (e-mail) – первый из сервисов Internet, наиболее распространенный и эффективный из них. Это типичный сервис отложенного чтения. E-mail (E lectronic mail ) – электронный аналог обычной почты. Обычное письмо состоит из конверта, на котором написан адрес получателя и стоят штампы почтовых отделений пути следования, и содержимого – собственно письма. Электронное письмо также состоит из заголовков, содержащих служебную информацию (об авторе письма, получателе, пути прохождения по сети и т.д.), играющих роль конверта, и собственно содержимого письма. С помощью электронной почты можно посылать и получать сообщения, рассылать копии письма одновременно нескольким получателям, переправлять полученное письмо по другому адресу, включать в письмо файлы, и т.д.

Сетевые новости Usenet, или, как их принято называть в российских сетях, телеконференции – это, пожалуй, второй по распространенности сервис Internet. Если электронная почта передает сообщения по принципу "от одного – одному", то сетевые новости передают сообщения "от одного – многим". Механизм передачи каждого сообщения похож на передачу слухов: каждый узел сети, узнавший что-то новое (т.е. получивший новое сообщение), передает новость всем знакомым узлам, т.е. всем тем узлам, с кем он обменивается новостями. Таким образом, один раз посланное сообщение распространяется, многократно дублируясь, по сети, достигая за довольно короткие сроки всех участников телеконференций Usenet во всем мире. При этом в обсуждении может участвовать множество людей, независимо от того, где они находятся физически. Число пользователей Usenet весьма велико – по оценкам UUNET technologies, количество новых сообщений, поступающих в телеконференции ежедневно, составляет около миллиона.

Еще один простой, но в то же время весьма полезный сервис Internet – списки рассылки (maillists). Это практически единственный сервис, не имеющий собственного протокола и программы-клиента и работающий исключительно через электронную почту. Идея работы списка рассылки состоит в том, что существует некий адрес электронной почты, который на самом деле является общим адресом многих людей – подписчиков этого списка рассылки. Письмо, посылаемое на этот адрес, получают все люди, подписанные на этот список рассылки. Причины использования списков рассылки: Во-первых, сообщения, распространяемые по электронной почте, всегда будут прочитаны подписчиком, дождавшись его в почтовом ящике, в то время как статьи в сетевых новостях стираются по прошествии определенного времени и становятся недоступны. Во-вторых, списки рассылки более управляемы и конфиденциальны: администратор списка полностью контролирует набор подписчиков и может следить за содержанием сообщений. Каждый список рассылки ведется какой-либо организацией, и она обладает полным контролем над списком, в отличие от новостей Usenet, не принадлежащих никому и менее управляемых. В-третьих, для работы со списком рассылки достаточно доступа к электронной почте, и подписчиками могут быть люди, не имеющие доступа к новостям Usenet или каким-либо группам этих новостей. В-четвертых, такой способ передачи сообщений может быть просто быстрее, коль скоро сообщения передаются напрямую абонентам, а не по цепочке между серверами Usenet.

File Transfer Protocol (ftp) – удаленный доступ к файлам, протокол, определяющий правила передачи файлов с одного компьютера на другой. Для работы с ftp нужно иметь право входа на ту удаленную машину, с которой вы хотите перекачать себе файлы, т.е. иметь входное имя и знать соответствующий пароль. Несмотря на его распространенность, у ftp есть и множество недостатков. Программы-клиенты ftp могут быть не всегда удобны и просты в использовании. Не всегда можно понять, что именно за файл находится перед вами. Нет простого и универсального средства поиска на серверах anonymous ftp (это означает, что соединение с сервером ftp может проходить не под своим именем). Программы ftp довольно стары и некоторые их особенности, бывшие полезными при рождении, не очень понятны и нужны сегодня. Серверы ftp нецентрализованны, и это несет свои проблемы.

Пожалуй самым "сетевым" сервисом Internet является удаленный доступ (Remote Login, telnet ) – это работа на удаленном компьютере в режиме эмуляции терминала необходимого сетевого узла, т.е. выполнение всех (или почти всех) действий, которые можно с обычного терминала telnet-сервера. Трафик, относящийся к этому виду работы в сети, в среднем составляет около 19% всего сетевого трафика. Telnet – протокол эмуляции терминала, который обеспечивает поддержку удаленного доступа в Internet. Для использования этого сервиса необходимо иметь доступ в Internet класса не ниже dial-up доступа.

WAIS (произносится как вэйс) – еще один сервис Internet, который расшифровывается как информационная система широкого профиля, но на самом деле это комплекс программ, предназначенных для индексирования больших объемов неструктурированной, как правило просто текстовой, информации, поиска по таким документам и их извлечения. Существуют программы для индексирования, для локального поиска по полученным индексам, а также серверная и клиентская программа, общающиеся между собой по специальному протоколу.

Gopher – это распределенная система экспорта структурированной информации. При работе с ней вы находитесь в системе вложенных меню, из которых доступны файлы различных типов – как правило, простые тексты, но это может быть и графика, и звук и любые другие виды файлов. Таким образом, в публичный доступ экспортируются файлы с информацией, но не в виде файловой системы, как в ftp, а в виде аннотированной древовидной структуры. Gopher – сервис прямого доступа и требует, чтобы и сервер, и клиент были полноценно подключены к Internet.

Оболочка Gopher – это один из интеграторов возможностей Internet. В ней являются доступными и сеансы telnet, и ftp, и e-mail и т.д. В эту оболочку также включены интерфейсы с такими серверами, с которыми невозможно ручное общение из-за их машинно-ориентированного протокола.

Другой возможностью интеграции сетевых служб Internet является "Всемирная паутина" (World Wide Web, сокращенно WWW ).В настоящее время WWW получила наиболее широкое распространение. Основной единицей представления сетевой информации в WWW является так называемый гипертекстовый документ.

трафик (traffic): перемещение, поток данных в передающей среде, объем потока данных в локальной или глобальной сети.

Universal Resource Identification (URI) это универсальная форма адресации информационных ресурсов, представляет собой довольно стройную систему, учитывающую опыт адресации и идентификации e-mail, Gopher, WAIS, telnet, ftp и т.п. Но реально, из всего, что описано в URI, для организации баз данных в WWW требуется только Universal Resource Locator (URL). Без наличия этой спецификации вся мощь HTML оказалась бы бесполезной. URL используется в гипертекстовых ссылках и обеспечивает доступ к распределенным ресурсам сети. В URL можно адресовать как другие гипертекстовые документы формата HTML, так и ресурсы e-mail, telnet, ftp, Gopher. Использование URL налагает на адресацию ресурсов два ограничения: первым и самым важным является то, что в URL не должно быть пробелов, второе ограничение состоит в том, что URL различают прописные и строчные буквы, причем даже в тех системах, где они обычно не различаются.

Сетевой протокол обеспечивает связь локальных компьютеров с удаленными серверами.

Common Gateway Interface – предназначена для расширения возможностей WWW за счет подключения внешнего программного обеспечения. Он позволил продолжить принцип публичности, простоты разработки. Предложенный и описанный в CGI способ подключения не требовал дополнительных библиотеки был очень прост.. Сервер взаимодействовал с программами через стандартные потоки ввода/вывода, что упрощало программирование. Главное назначение Common Gateway Interface – обеспечение единообразного потока данных между сервером и прикладной программой, которая запускается из-под сервера. CGI определяет протокол обмена данными между сервером и программой.

Понятие CGI-шлюза. Отличие от обычной CGI-программы.

Прикладное программное обеспечение, работающее с сервером, разделяется на обычные CGI-программы и шлюзы. Обычная CGI-программа запускается сервером НТТР для выполнения некоторой работы, возвращает результаты серверу и завершает свое выполнение. Шлюз выполняется точно также, как и обычная CGI-программа, только фактически он инициирует взаимодействие в качестве клиента с третьей программой.

Hot Java позволяет использовать программы, написанные на Java и встроенные в WWW-документ. Эти программы называются апплетами (applet).

Второй способ оптимизации работы антивируса - это создание различных его версий для компьютеров, служащих разным целям. Зачастую они отличаются лишь наличием тех или иных специфических модулей и различием в интерфейсе, в то время как непосредственно антивирусная проверка осуществляется одной и той же подпрограммой, называемой антивирусным ядром 1Антивирусное ядро - это реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов .

Антивирусный комплекс - набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз

Всякая локальная сеть , как правило, содержит компьютеры двух типов - рабочие станции, за которыми непосредственно сидят люди, и сетевые серверы, используемые для служебных целей. В соответствии с характером выполняемых функций сервера делятся на:

• Сетевые , которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие
• Почтовые , на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому
• Шлюзы , отвечающие за передачу информации из одной сети в другую. Например, шлюз необходим для соединения локальной сети с Интернет

Следовательно, выделяют четыре вида антивирусных комплексов - для защиты рабочих станций, файловых серверов, почтовых систем и шлюзов 2Любой почтовый сервер или шлюз в тоже время является сетевым сервером. Соответственно, возможен вариант, когда один компьютер может выполнять все три функции - если на сетевом сервере устанавливается и программа для трансляции почты, и шлюз. Противоположный случай - файловый сервер, реализующий исключительно файловое хранилище, относится только к сетевым серверам и требует установки только антивирусного комплекса для защиты сетевых серверов .

Рабочие станции - это компьютеры локальной сети, за которыми непосредственно работают пользователи. Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервера - это компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна. Следовательно, антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть, проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ , то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть, механизм их обновления. Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз 3Подробнее средства удаленного управления описаны далее в соответствующем разделе курса.

Антивирус для домашнего компьютера часто отличается особой простотой в настройках и интерфейсе и не требует от пользователя особых знаний. Это же можно сказать и про защиту мобильных пользователей 4К мобильным относятся все устройства, предназначенные для работы без привязки к конкретному рабочему месту и локальной компьютерной: мобильные телефоны, смартфоны, карманные компьютеры. Однако по всем остальным параметрам, кроме отсутствия возможности централизованно и удаленно управляться системным администратором, такие программы относятся к антивирусному комплексу для защиты рабочих станций.