Компьютерные сети
Н. ОлиферСейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL. Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух IP-адресов — внешнего и внутреннего.
Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуальные частные сети, в которых клиент самостоятельно создает туннели IPSec через IP-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети поставщика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) — туннели в них также строятся на базе устройств клиента (СЕ-based), но эти устройства удаленно конфигурируются и администрируются поставщиком услуг.
Пропускная способность каналов и другие параметры QoS этой технологией не поддерживаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.
В самое последнее время выросла популярность VPN на основе протокола SSL. Напомним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использующим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HTTPS. Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п.
Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локальной сети организации. Пользователи такой защищенной службы VPN получают удаленный доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального клиентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.
Выводы
Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.
Информационная безопасность обеспечивается техническими средствами — системами шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а также юридическими и морально-этическими нормами, просветительной работой и административными мерами.
Существует два класса алгоритмов шифрования — симметричные (например, DES) и асимметричные (например, AFS). Дайджест —■ это результат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись).
Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого секрета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза).
Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.
Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней используются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий).
Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе IP-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.
Прокси-сервер — это особый тип приложения, которое выполняет функции посредника между клиентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.
Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:
□ взаимная аутентификация абонентов при установлении соединения;
□ шифрование передаваемых по каналу сообщений;
О подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.
К числу наиболее популярных протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляют три протокола:
□ АН гарантирует целостность и аутентичность данных;
□ ESP, кроме того, обеспечивает конфиденциальность данных;
□ IKE решает задачу автоматического распределения секретных ключей, необходимых для работы протоколов аутентификации.
Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные мастные сети (VPN). VPN на основе шифрования включают шифрование, которое гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть, аутентификацию взаимодействующих систем на обоих концах VPN и туннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.
Вопросы и задания
1. В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:
а) аутентификация и авторизация;
б) антивирусные системы;
в) защищенный канал;
г) сетевой экран прикладного уровня;
д) фильтрующий маршрутизатор;
е) цифровая подпись.
2. Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Варианты ответов:
а) сканирование сигнатур;
б) метод контроля целостности;
в) отслеживание поведения команд;
г) эмуляция тестируемых программ.
3. К числу базовых функций сетевого экрана относятся:
а) аудит;
б) шифрование трафика;
в) фильтрация трафика;
г) антивирусная защита;
д) функция прокси-сервера;
е) авторизация;
ж) повышение пропускной способности канала.
4. Существует ли угроза похищения пароля при использовании аппаратного ключа?
5. Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?
6. Что содержится в электронном сертификате? Варианты ответов:
а) секретный ключ владельца данного сертификата;
б) данные о владельце сертификата;
в) информация о сертифицирующем центре, выпустившем данный сертификат;
г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся в сертификате.
7. Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают
более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Как вы думаете, почему? '
8. Какие из следующих утверждений верны:
а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;
б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;
в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.
9. Почему в семействе протоколов IPSec функции обеспечения целостности и аутентичности данных дублируются в двух протоколах — АН и ESP?
10. Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.
Хост-хост
Шлюз-шлюз
Хост-шлюз
Транспортный режим
Туннельный режим
Ответы на вопросы
Глава 1
1. От вычислительной техники компьютерными сетями были унаследованы интеллектуальные возможности конечных узлов — компьютеров, а от телекоммуникационных сетей — методы передачи информации на большие расстояния.
2. Вычислительные ресурсы многотерминальных систем централизованы, а в компьютерной сети они распределены.
3. Значимые практические результаты по объединению компьютеров с помощью глобальных связей впервые были получены в конце 60-х годов.
4. Сеть ARPANET, созданная в конце 60-х, стала прародительницей Интернета.
5. Варианта).
7. Технология Ethernet была стандартизована в 1980 году.
8. Компьютерные и телекоммуникационные сети сближаются в отношении типов услуг и используемых технологий.
Глава 2
2. Варианты б) и в).
4. Варианты б), ж) и з).
5. К сетевым службам относятся служба WWW, электронная почта, файловая служба, IP-телефония, справочная служба, DNS, DHCP, система управления сетью. Последние четыре ориентированы на администратора сети. Файловая служба, справочная служба, DNS, DHCP часто входят в состав сетевой ОС.
6. Варианты а), в) и г).
8. Рисунок 2.9, а, слева направо: ячеистая топология/звезда/дерево, полносвязная то-пология/кольцо. Рисунок 2.9, б, верхний ряд слева направо: полносвязная топология, ячеистая топология, ячеистая топология/звезда/дерево. Рисунок 2.9, б, нижний ряд слева направо: ячеистая топология/кольцо, ячеистая топология, ячеистая топология.
9. Варианте).
Глава 3
1. Вариант г).
2. Варианты а) и г).
3. Дискретизация по времени соответствует частоте квантования амплитуды звуковых колебаний 1/25мкс, или 40 000 Гц. Для кодирования 1024 градаций звука требуется 10 двоичных разрядов. Отсюда необходимая пропускная способность для передачи оцифрованного таким образом голоса равна 40 000 х 10 - 400 Кбит/с.
4. Вариант б).
5. Время передачи данных увеличится примерно на 240 мс (детали см. на сайте
www.olifer
. co.uk).
Глава 4
1. Модель OSI стандартизует, во-первых, семиуровневое представление средств взаимодействия систем в сетях с коммутацией пакетов, во-вторых, перечень функций каждого уровня, в-третьих, названия всех уровней.
2. Да, модель взаимодействия открытых систем можно представить с другим количеством уровней, например, в модели TCP/IP определено только 4 уровня.
3. Все утверждения верны.
4. Модель OSI не рассматривает средства взаимодействия приложений конечных пользователей. Поэтому работа приложений не может быть отнесена ни к одному из уровней модели OSL Однако некоторые приложения, вместо того чтобы обращаться к системным средствам организации сетевого взаимодействия, реализуют их «собственными силами». В таких случаях можно говорить о том, что приложение работает на соответствующем уровне (уровнях) модели OSI.
5. Как правило, протоколы транспортного уровня устанавливаются на конечных узлах. На промежуточных узлах сети, в частности на маршрутизаторах, транспортный протокол может быть установлен для поддержки дополнительных функций, например для удаленного управления промежуточным узлом, так как при этом промежуточный узел по отношению к управляющему узлу является конечным узлом.
6. Сетевые службы раббтйют на прикладном уровне.
8. Никакие из перечисленных терминов синонимами не являются. К примеру, спецификация может быть как стандартизованной, так и не стандартизованной, а документ RFC может как являться, так и не являться стандартом.
9. Вариант г).
10. Да, компьютеры будут функционировать нормально. Отличие межуровневых интерфейсов в стеке протоколов двух компьютеров не помешает их сетевому взаимодействию.
11 и 12. Соответствующую информацию можно найти на сайтах
www.ietf.org
и
www.rfc-editor.org
.
Глава 5
5. С одной стороны, сеть оператора связи назвать корпоративной сетью нельзя, поскольку существует традиционное деление сетей на эти два типа. С другой стороны, можно, так как эта сеть может выполнять внутрикорпоративные функции, если принадлежит корпорации, которая занимается предоставлением телекоммуникационных услуг.
9. См. заполненную таблицу на сайте
www.olifer.co.uk
.
12. Поставщик услуг Интернета (ISP), поставщик интернет-контента (ICP), поставщик услуг хостинга (HSP), поставщик услуг по доставке контента (CDP), поставщик услуг по поддержке приложений (ASP), поставщик биллинговых услуг (BSP).
Глава 6
1. Да, краткосрочные и долгосрочные значения одной и той же характеристики могут различаться.
3. Для пакета фиксированной длины фиксированными являются время сериализации и время задержки пакета.
4. От длины пакета зависит время его сериализации.
5. Варианты а), б) и в).
6. Медиана равна 17 мс, среднее значение — 1441,7.
7. Задержки в сети лучше характеризует медиана, так как ее значение ближе к значениям большинства задержек выборки.
8. 85-процентный квантиль равен 20 мс, так как задержки шести пакетов (85 %) меньше или равны 20 мс.
10. Единичное значение односторонней задержки пакета зависит от размера пакета, так как задержка измеряется между моментом помещения в исходящую линию связи первого бита пакета узлом-отправителем и моментом приема последнего бита пакета с входящей линии связи узла-получателя.
12. Вариацию задержки можно компенсировать применением буфера достаточного размера.
13. Избирательная функций формирует пары пакетов, для которых вычисляется разность односторонних задержек.
14. Варианты а) и б).
16. Трафик может передаваться с большими задержками, но без джиттера, например, при передаче по спутниковому каналу задержки для всех пакетов велики, но одинаковы.
Глава 7
1. В сетях с коммутацией каналов очереди не возникают.
2. На размер очереди в наибольшей степени влияет коэффициент загрузки.
3. Приоритетное обслуживание не дает никаких гарантий в отношении средней пропускной способности для трафика очередей более низких приоритетов.
4. В отношении предсказуемости скорости передачи данных приложения можно разделить на приложения с потоковым и пульсирующим трафиком.
5. При увеличении пульсации потока задержки, связанные с пребыванием пакетов этого потока в очереди, увеличатся.
6. Обслуживающий прибор модели М/М/1 обычно соответствует выходному интерфейсу маршрутизатора, при этом производительность обслуживающего прибора равна пропускной способности интерфейса.
7. Причиной возможного возникновения очередей в сети с коммутацией пакетов даже при невысокой средней загрузке коммутаторов и маршрутизаторов являются значительные кратковременные перегрузки.
8. Вариант б), так как трафик загрузки больших файлов данных требует некоторой гарантированной пропускной способности, обеспечиваемой при взвешенном обслуживании, и не чувствителен к задержкам, которые могут возникать при таком обслуживании.
9. Комбинировать приоритетное и взвешенное обслуживание можно. В наиболее популярном алгоритме подобного рода поддерживается одна приоритетная очередь и несколько очередей, обслуживаемых в соответствии с взвешенным алгоритмом.
10. Второй поток будет испытывать в очереди наименьшие задержки, так как он должен обслуживаться при относительном коэффициенте использования 0,5 — это минимальный коэффициент для всех потоков.
И. Вариант б).
12. Да, в те периоды, когда скорость потока А оказывается меньше зарезервированной для этого потока пропускной способности, эта пропускная способность может использоваться потоком В.
13. При инжиниринге трафика меняется маршрут.
14. Варианты б) и в).
16. При работе сети в недогруженном режиме операторы обычно выполняют мониторинг коэффициента использования пропускной способности линий связи сети.
Глава 8
1. Термин «линия связи»‘является синонимом всех трех представленных терминов.
3. Цифровой канал л!Ъжет передавать аналоговые данные, если они оцифрованы.
4. Усилители только увеличивают мощность сигнала, в то время как регенераторы помимо увеличения мощности восстанавливают исходную форму сигнала.
5. Теоретически спектр сигнала некоторой определенной формы можно найти с помощью формул Фурье, а сделать это практически можно с помощью спектрального анализатора.
6. Варианте).
7. Варианты а), в) и г).
8. Варианты а) и б).
10. Для устойчивой передачи данных мощность передатчика в 40 дБм достаточна, так как кабель вносит затухание -0,2 х 60 = -12 дБ, а это снижает мощность сигнала на входе до 28 дБм, что выше порога приемника в 20 дБм.
11. Причиной перекрестных наводок на ближнем конце кабеля является влияние электромагнитного поля, создаваемого передатчиками, на соседние провода кабеля, к которым подключены входы приемников.
12. Повысить пропускную способность канала за счет увеличения числа состояний информационного сигнала удается не всегда, поскольку это может привести к выходу спектра за пределы полосы пропускания линии.
13. Помехи в кабелях UTP подавляются за счет скручивания проводов.
14. Более качественно передает сигналы кабель с большим по абсолютной величине значением NEXT.
15. Для передачи данных на большие расстояния предназначен одномодовый кабель.
16. Вариант в), так как значения импеданса передатчика и кабеля будут не совпадать.
17. Теоретический предел скорости передачи данных рассчитывается следующим образом:
С - Flog
2
(l + Р
с
/Р
ш
) = 1 000 000 х log
2
( 1 + 62/2) = 1 000 000 х log
2
(32) = 5 Мбит/с.
Глава 9
1. В методе BFSK используется две частоты.
2. Варианта).
3. Пятый бит добавляется для устойчивого распознавания 4-х информационных битов при искажении сигналов.
4. Количество битов, которое передает один символ кода, имеющий 10 состояний, рассчитывается по следующей формуле:
log
2
10 = 3,32.
6. Варианты б) и в).
7. Для улучшения самосинхронизации кода B8ZS применяется искусственное искажение последовательности нулей запрещенными символами.
8. Варианты а) и б).
11. Варианты а) и в).
12. Варианта).
13. Вариант б).
14. В схемах контроля по паритету расстояние Хемминга равно 2.
16. В сетях с коммутацией пакетов используется асинхронный режим.
17. Первыми двумя гармониками являются 25 МГц и 75 МГц.
19. Нет, данные по каналу надежно передаваться не могут. Полоса пропускания равна 1 МГц, спектр с учетом первых двух гармоник — 10 МГц, что значительно шире имеющейся полосы пропускания.
20. Учитывая частоту появления символов, можно выбрать следующие коды: О — 1, А — 01, D — 001, В — 001, С — 0001, F — 00000. В этой кодировке для передачи указанного сообщения потребуется 35 бит. Таким образом, достигается компрессия по сравнению с обоими случаями. Кодировка ASCII дает 128 бит. В случае использования кодов равной длины при наличии только данных шести символов для кодирования одного символа достаточно 3 бит, а для всего сообщения — 48 бит.
21. Ширина спектра увеличится в два раза.
Глава 10
3. Варианта).
4. Радиоволны с частотами от 2 до 30 МГц могут распространяться на сотни километров за счет отражения ионосферой Земли.
5. Для спутниковой связи используется спектр 1,5-30,5 ГГц.
6. Распространению микроволн мешают туман, роса, дождь.
7. Вариант б).
8. Вариант б).
9. Эллиптические орбиты позволяют обеспечить связью районы, близкие к Северному и Южному полюсам.
10. Варианты а), б) и г).
11. Технология FHSS является высокоскоростной при условии, что применяется высокоскоростной метод кодирования для каждой из частот.
12. Последовательность БаркерЪ используется в технологии DSSS благодаря ее свойству быстрой синхронизации приемника с передатчиком.
13. Основным свойством расширяющих последовательностей, используемых в технологии CDMA, является взаимная ортогональность кодов.
Все материалы, размещенные в боте и канале, получены из открытых источников сети Интернет, либо присланы пользователями бота. Все права на тексты книг принадлежат их авторам и владельцам. Тексты книг предоставлены исключительно для ознакомления. Администрация бота не несет ответственности за материалы, расположенные здесь