Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 96

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 90 91 92 93 94 95 < 96 > 97 98 99 100 101 102 .. 181 >> Следующая

Защита в локальных сетях
235
Говоря о топологии построения ЛВС и преимуществах использования тех или топологий с точки зрения обеспечения безопасности, необходимо отметить так называемые виртуальные локальные вычислительные сети (VLAN).
VLAN представляют собой группу компьютеров, серверов и других сетевых ресурсов, которые функционируют так, как будто они подключены к одному сегменту сети, хотя на самом деле этого может и не быть. За счет того, что VLAN реализуются на сетевом уровне, такое программное решение повышает производительность сети и улучшает ее управляемость, поскольку весь этот инструментарий при добавлении, перемещении или реорганизации узлов сети может быть быстро и просто перенастроен. VLAN, организуемые посредством установки коммутатора, не позволяют некоторым типам трафика, таким как пакеты протоколов ARP (address resolution protocol) и SAP (service advertising protocol), выходить за пределы тех участков сети, где они используются. Это же распространяется и на сетевые пакеты, которые должны оставаться внутри определенных доменов (например, пакеты данных, которыми обмениваются рабочая станция пользователя и его локальный сервер). Прочая информация, предназначенная для ресурсов вне локальной сети, может передаваться в другие VLAN.
Использование VLAN дает возможность повысить пропускную способность сети за счет ее эффективной сегментации. В отличие от обычной коммутации, в этом случае передача данных ограничена только необходимыми адресатами, что приводит к снижению общей загрузки сети.
Говоря об оборудовании, применяемом для создания VLAN, следует отметить, что, на первый взгляд, коммутаторы VLAN мало отличаются от сетевых маршрутизаторов. Разница, однако, заключается в том, что коммутаторы ethernet, применяемые в вычислительных сетях подобного вида, устанавливают виртуальные линии связи между узлами таким образом, чтобы гарантировать получение каждой станцией необходимой ей полосы и не мешать при этом другим станциям. Широковещательные пакеты, например ARP и SAP, остаются в пределах VLAN.
Кроме того, наиболее приспособленные для организации VLAN коммутаторы могут выполнять также функции мостов и маршрутизаторов. Действует ли такое устройство в качестве моста, маршрутизатора или коммутатора, зависит от получаемой команды и от собственных возможностей. Например, по МАС-адресу коммутаторы определяют передающие и принимающие станции сети, а некоторые из них используют этот адрес для фильтрации VLAN. Другие узнают, к какой VLAN подсоединена та или иная станция, по соответствующему порту.
В зависимости от используемого в сети протокола и от предписанного устройству порядка действий в отношении данной станции коммутатор
236 Компьютерная безопасность и практическое применение криптографии
будет играть роль моста или маршрутизатора. Так, создавая виртуальную сеть между двумя устройствами, коммутатор не выполняет функций ни моста, ни маршрутизатора. Если же необходимо обеспечивать трафик между отдельными VLAN, он может действовать как маршрутизатор (если протокол допускает маршрутизацию IP или IPX) или как мост.
Таким образом, в рамках VLAN создаются виртуальные границы, которые могут быть пересечены только через маршрутизаторы. При этом условии для управления правами доступа можно использовать стандартные средства безопасности. Так, например, в качестве правил фильтрации могут выступать следующие протоколы: на основе широкого вещания и на основе защиты. В частности, создание VLAN на основе правил защиты означает, что трафик не может выходить за пределы VLAN, если он не проходит через маршрутизатор. Возможность создавать виртуальные соединения между внешней и защищенной VLAN отсутствует.
Кроме правил фильтрации можно воспользоваться маршрутизаторами со встроенными средствами шифрования проходящего через них трафика.
Более подробную информацию по этой проблеме можно найти в Internet (см. список Web-серверов).
Пример внедрения ложного АИР-сервера в ЛВС
В IP-сетях для адресации IP-пакетов, кроме непосредственно IP-адреса, необходимо знание физического адреса рабочей станции, например ethernet-адреса, находящегося в сетевой карте. Для определения соответствия IP-адреса физическому адресу используется ARP-протокол (Address Resolution Protocol). Принцип действия ARP-протокола заключается в следующем: при первом обращении к сетевым ресурсам рабочая станция отправляет широковещательный запрос, в котором указывается IP-адрес целевой рабочей станции, и просит ее сообщить свой ethernet-адрес. Эта процедура характерна тем, что данный запрос получат все станции. Полученный в ARP-ответе физический адрес будет внесен ОС запросившей рабочей станции в ARP-таблицу, содержащую соответствия IP и ethernet целевой рабочей станции. Последовательность действий нарушителя в этом случае такова:
1. Нарушитель находится в ожидании ARP-запроса (осуществляется с помощью анализа широковещательных пакетов, передаваемых в ЛВС).
2. При получении конкретного запроса происходит передача па запрашивающую станцию ARP-ответа, в котором будет содержаться
Предыдущая << 1 .. 90 91 92 93 94 95 < 96 > 97 98 99 100 101 102 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed