Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Управління доступом до інформації про IP-адреси



Хоча технологія NAT і подібні засоби підстановки та імітації адреси необхідні при використанні приватних IP-адрес, деякі організації приймають рішення застосовувати ці засоби в своїх внутрішніх мережах стосовно дійсних загальнодоступних IP-адрес. Справа в тому, що взаємодія клієнтов з мережею в межах цієї мережі без застосування якої-небудь форми "приховування" адрес може призвести до того, що адрес­на структура такої внутрішньої мережі стане відома стороннім людям, що мають достаточню кваліфікацію. Вони можуть спробувати використати цю інформацію для того, щоб проникнути всередину організації — із загальнодоступної мережі Internet у внутрішнє корпоративне мережеве середовище, — і атакувати (attack) мережу. Ось чому для забезпечення безпеки IP вважається прийнятним застосовувати проксі-сервер або подібну службу, яка позиціонує себе на межі між внутрішнім і зовнішнім трафіком. Коли вихідний трафик проходить через проксі із зовнішньої мережі, проксі-служба замінює внут­рішні мережеві адреса одним або декількома різними адресами, щоб трафік, який переміщується по загальнодоступній мережі Internet, не зміг стати джерелом інформації про адресну структуру внутрішньої мережі. Так же, проксі-сервери можуть забезпечити так зване зворотнє посередництво (reverse proxying). При цьому проксі-сервер отримує можливість звертатись до серверів у внутрішній мережі, демонструючи навколишньому світу тільки свою власну адресу, а потім пересилаючи внутрішнім серверам для подальшої обробки тільки припустимі запити. Ще раз повторимо, що сторонні люди при цьому можуть дізнатися тільки адресу проксі-сервера, який діє від імени внутрішнього сервера.

Таким чином, одна з найважливіших функцій проксі-сервера складається в забезпеченні перетворення адрес джерела в проходящих через нього вихідних пакетах. Це допомогає уникнути втрати інформації про фактичні адреси внутрішньої мережі; в протилежному випадку сторонні люди можуть скористатися засобами зчитування адрес і вияснити, які саме адреси використовуються в будь-якому даному діапазоні.

Мережевий простір

Є декілька стримуючих факторів, які звичайно регламентують схеми IP-адресації, і ми розділимо їх на дві групи. В першую групу в­містимо фактори, які визначають кількість і розмір мереж. Серед них:

1. кількість фізичних місцерозташувань мереж;

2. кількість мережевих пристроїв в кожному місцерозташуванні;

3. обсяг широкомовленевого трафіка в кожному місцерозташуванні; доступність IP-адрес;

4. затримка, викликана маршрутизацією з однієї мережі в іншу.

Хоча є можливість провести міст між двома фізичними місцерозташуваннями мереж по з’єднанню WAN (Wide-Area Network, глобальна мережа), на практиці це робиться лише стосовно протоколів, які взагалі не допускають маршрутизації (наприклад, SNA та NetBEUI). Мар­шрутизація (замість створення моста) здійсниться в першу чергу для того, щоб запобігти непотрібним пересилкам із заповнених дорого­стоящих схем глобальної мережі (WAN). Отже, мінімально необхідна кількість IP-мереж — по одній для кожного місцярозташування в компанії та кожного канала WAN.

Далі. Оскільки IP-адрес недостатньо, розумно зменшувати мережі; але в будь-якому випадку в них повинна бути достатня кількість використовуваних адрес

2) щоб кожному пристрою припало по одній адресі, та крім того залишався достатній простір для зростання. IP-мережа — це широкомовленевий домен (broad­cast domain). Це значить, що коли один хост мережі відсилає широкомовленеве повідомлення, всі інші хости цієї мережі повинні його прийняти і обробити. Відповідно, швидкість мережевих з’єднань і процесорів хостов, а також кількість і характер застосовуваних протоколів, обмежують фактичний розмір мережі.

Інакше кажучи, чим більше широкомовлення і протоколів в мережі, тем менше повинно бути хостів.

В більшості маршрутизаторів рішення про маршрутизацію на мережевому рівні звичайно приймаються програмним забезпеченням, тому виконуються вони достатньо повільно, якщо порівнювати із аналогічними ріше­ннями, які приймаються на Канальному рівні комутаторами. Справа в тому, що комутатори приймають рішення, використовуючи таке обладнання, як спеціалізовані інтегральні схеми (Application Specific Integrated Circuits, ASIC). Відносно новий пристрій під назвою комутатора Мережевого рівня (lауег-3 switch) просто реалізує логічну схему цього рівня, прийняту в програмному забезпеченні, у власній спеціалізованій інтегральній схемі. В результаті швидкість маршрутизації значно збільшується. На практиці комутація Мережевого рівня дозволяє розділяти велику мережу на множину дрібних підмереж, при цьому майже не погіршуючи продуктивність.

Інша група, що допомагає визначитись з тим, як обирати IP-адреса, зв’язана із наступними проектними вимогами:

1. мінімізація розміру таблиць маршрутизації;

2. мінімізація часу, потрібного на "складання" мережі;

3. збільшення гнучкості, спрощення управління та пошуку несправностей.
Час, необхідний для здійснення маршрутизації з однієї мережі в іншу, залежить від розміру таблиці маршрутизації, — чим більше таблиця, тим довше по ній проводиться пошук. Однак ми вже визначили кількість необхідних мереж; як же зменшити кількість маршрутів в таблиці? Відповідь — концентрація маршрутів (route aggregation), або сумовані адреси (summary addresses).

В даному випадку важливо зрозуміти, що не існує однозначного відношення між мережами і маршрутами до них. Якщо маршрутизатор отримує шлях до 10.1.1.0/25 і 10.1.128/25, він може направити його до 10.1.1.0/24 до ви­шестоящих сусідів, і замість цих двох шляхів /25.

Ось ще одна перевага сумування. Якщо мережа 10.1.1.128/25 буде відключено, то маршрутизатори, які містять шлях до 10.1.1.128/25, повинні будуть його видалити, но маршрутизатори, які зберігають лише сумовані шляхи, навіть не дізнаються що відбулося.

Сенс всього цього полягає в тому, щоб пронумерувати мережі, в результаті чого вони зможуть бути сумовані, а це мінімізує кількість шляхів в таблиці маршрутизації і забезпечить їм більшу стабільность. В кінцевому підсумку, процесор зможе пропускати пакети, не витрачаючи час на таблицю маршрутизації.

Простір хостів

Розглянемо присвоєння IP-адрес хостам. Перевагами стратегії продуманого іменування хостів є бі­льш гнучке оточення та легкість підтримки. Припустимо, ком­панія має 500 філіалів по всьому світу, в кожному з яких є мережа /24, і всі ці мережі застосовують наступну угоду з нумерації:

IP-адресі Опис

10.х.х.0 Мережеві адреси

10.х.х.1— 10.х.х.14 Комутатори та регульовані концентратори

10.х.х.17 DHCP- та DNS-сервер

10.Х.Х.18 Файловий сервер та сервер друку

10.х.х.19— 10.х.х.30 Сервер додатків

10.х.х.33—10.х.х.6 Принтери

10.Х.Х.65-10.Х.Х.246 DHCP-клієнти

10.Х.Х.247—10.х.х.253 Різнорідні і статичні клієнти

10.х.х.254 Шлюзова адреса

10.Х.Х.255 Широкомовленева адреса

Ви можете легко визначити пристрій за його IP-адресою, де б він не знаходився. Ще більш важливо, хоча менш очевидно, що ці групи адрес повинні бути сформовані в двійковому, а не десятковому представленні. Це значить, що слід тримати групи всередині двійкових границь. В цьому прикладі сервери идентифікуються за адресами 10.х.х.16/28, навіть якщо для них настроені маски підмереж 255.255.255.0. Двійкова система зручна ще з однієї причини: коли-нибудь вам може знадобитися класифікувати трафк, щоб застосувати спеціальний уровень Quality of Service (QoS) або якусь політику. Можливо, ви встановите низький пріоритет для трафіка до 10.х.х.32/27 (принтери) і від цієї адреси. Якщо адреси принтеров не містяться в двійковому представле­нні, деякі з них можуть бути виключені із цього правила, а інші пристрої помилково включені в нього. Інше разповсюджене застосування двійкового представлення адрес — правила брандмауерів. Можна заборонити весь трафік від 10.х.х.0/26 (мережеве обладнання, сервери, принте­ри), який виходить мережу Internet. В результаті запобігають можливості застосування серверів хакерами в якості вихідних пунктів для атак інших мереж, але при цьому DHCP-клієнти зберігають можливість отримання дос­тупу через брандмауер.


q Основні терміни.

ASIC(Application Specific Integrated Circuit, спеціалізрована інтеграль­на схема) — спеціальний різновид інтегральної схеми. ASIC забезпечує спосіб реалізації визначеної програмної логіки безпосередньо в мікросхемі, в результаті чого ця логіка при обробці даних виконується настільки швидко, наскілько це можливо. Саме ASIC надають високошвидкісним та високооб’ємним маршру­тизаторам можливість виконання складних функцій визначення та управління адресами, які відповідають об’ємам даних та потребами в швидкій обробці.

CIDR(Classless Inter-Domain Routing, безкласова междоменна маршрути­зація) — різновид маскування підмереж, при якій зникає чітка диференціація між мережевою і хостовою частиною адреси по границях октета; замість цего використовуєся префіксна нотація /n, де n позначає кількість разрядів в мережевій частині даної адреси.

IANA (Internet Assigned Numbers Authority, Агенція по виділенню імен і унікальних параметрів протоколів Internet) — підрозділ Спілки Internet (ISOC), що раніше відповідав за реєстрацію доменних імен і розподіл загальнодоступних IP-адрес. Тепер ця функція викону­ється агенцією ICANN.

IPSec,або IP Sec(IP Security, IP-захист) — специфікація безпеки, що забезпечує я підтримку різних форм шифрування і аутентифі­кації, розподілення ключів та супутніх функцій. Факультатив­ний компонент IPv4,та обов’язковий — в IPv6.

IP-перенумерація(IP renumdering) — процес заміни одного набору число­вих IP-адрес на інший набір таких адрес із-за зміни постачальника послуг або перерозподілення адрес.

IP-шлюз(IP gateway) — в терминології TCP/IP так називається маршрути­затор, який забезпечує доступ до ресурсів за межами локальної мережевої адреси підмережі. (Шлюзом по замовчуванням називається клиентський конфігураційний запис TCP/IP, що визначає маршрутизатор, кото­рий клієнт повинен використовути для відправки даних за межі ло­кальної підмережі.)

ISP(Internet Service Provider, постачальник доступа в мережу Internet) — компа­нія, чиєю основною спеціалізацією є надання доступу в Internet приватним особам і організаціям. В теперешній час саме постачальники доступу в Internet, в основному, здійснюють виділення загально­доступних IP-адрес.

loopback(петля) — адреса, що на відправника. В IPv4 домен класу А 127.0.0.0 (або 127.0.0.1 для конкретної машинної адреси) зарезервований для виконання зворотніх петель. В протоколі IPv6 існує єдина возвратна адреса, яка позначається як "::1" (всі нулі, крім останнього розряда, в якому ставиться одиниця). Пропускаючи трафік че­рез стек TCP/IP в обох напрямках, зворотня адреса використовується для тестування програмного забезпечення TCP/IP.

МАС-адреса(адреса управління доступом до середовища) — спеціальний тип мережевої адреси, що управляється подрівнем Канального рівня, в звичайній си­туації зараніу встанавлений для всіх інтерфейсів для їх уникаль­ної ідентифікації в будь-якому сегменті мережевого кабеля (або віртуальному факсе). Организация ICANN контролює присвоення виробниками ідентификаторів, забезпечуючи унікальность таких адрес. Коли IP-фрейми передаються від одного інтерфейса другому, адреса МАС-рівня відправникаі отримувача застосовується для впливу на передачу.

МАС-рівень(Media Access Control layer, MAC layer) — підрівень Канального рівня. Є частиною визначення управління доступом до середовища, в якому діють методи мережевого доступа, такі як Ethernet і Token Ring.

ОUI(Organizationally Unique Identifier, організаційно унікальний іден­тифікатор) — унікальний ідентифікатор, який присвоюється організація­ми IANA або ICANN, який займає перші три байта МАС-адреси мережевої інтерфейсної плати та ідентифікуючий її виробника.

QoS(Quality of Service,якість обслуговування) — спеціальний рівень га­рантії роботи служб, зв’язаний з протоколами Прикладного рівня, при якому тимчасові вимоги для даних (наприклад, голосу або відео) передбачають спеціальні норми контролю затримки при достав­ці видимих або слишимих потоків даних.

Альтернативна адреса(anycast address) — новий тип адрес, реалізований в протоколі IPv6; альтернативною називається звичайна адреса, яка може присвоюваться декільком хостам або інтерфейсам. Пакети, на­правлені на альтернативнуй адресу, доставляються найближчому (в по­казниках відстані маршрутизації) до відправника власнику цієї адреси. В протоколі IPv4 альтернативні адреса відсутні.

Атака(attack) — спроба проникнення в систему або мережу, підриву її захисту або блокування доступу у неї.

Безпечне наскрізне з’єднання(cecure end-to-end connection) — мережеве з’єднання, при якрму вихідні відправляюча та приймаюча IP-адреси незмінні, а зв’язок між відправником та отримувачем зберігається весь час, доки з’єднання залишається активним.

Брандмауер(firewall) — сетевое пограничное пристрій, размещаемое між загальнодоступной и частной сторонами мережі; обеспечивает множество служб фильтрації и проверки, гарантуючи наявність тільки санкціонованого вхідного та вихідного трафіка.

Групова адреса(multicast address) — одна з групи адрес, зарезерво­ваних для відсилки одного повідомлення багатьом інтерфейсам або вуз­лам. Члени підписуються на групові адреси, щоб отримувати оновлення маршрутів, потокові дані (відео-, ау­діо-, телеконференції) та іншу інформацію. В протоколе IPv4 для широкомовлення зарезервована група адрес класу D. В протоколі IPv6 всі групові адресі починаються з 0xFF. Контролює ці адреси Організація з присвоення імен і номерів в мережі Internet (ICANN) при підтримці Агенції з виділення імен і унікальних параметрів протоколов Internet (IANA).

Доменне ім’я(domain name) — символічне ім’я мережевого ресурса TCP/IP; Служба доменних імен (Domain Name System, DNS) перетворює такі імена в числові IP-адреса, забезпечуючи коректну адресацію вихідного трафіка. Управління доменними іменами здійснюється декількома приватними та державними організаціями по всьому світу.

Комутатор Мережевого рівня(layer-3 switch) — специальний мережевий пристрій, що сполучає функції управління мережею, концентратора та маршру­тизатора. Дозволяє створювати і управляти множиною віртуальних під­мереж в межах одного пристрою, забезпечуючи надзвичайно високу пропускну здатність при окремих з’єднаннях між парами пристроїв, під’єдинаних до нього.

Концентрація (групуовання) маршрутов(route aggregation) — різновид аналізу IP-адрес, який дозволяює маршрутизаторам демонстру­вати спільним зацікавленість визначеним мережевим префіксом, який представляє "спільну частину" ряда мережевих IP-адресов. В результаті зменшується загальн е число позицій в окремих таблицях маршрутиза­ції.

Маска підмережі(subnet mask) — специальная бітовая комбинация, яка маскує мережеву частину IP-адрес одиницями.

Маскування підмереж маскою постійної довжини(Constant-length subnet masking, CLSM) —- схема организації підмереж IP, при якій всі підмережі використовують одну і ту ж маску, яка, таким чином, розділяє фрагментований адресний простір на визначену кількість рівновеликих підмереж.

Маскування підмережі маскою змінної довжини(Variable-Length Subnet Masking, VLSM) — схема організації підмережі для IP-адрес, яка робить можливим визначення для мережевого префікса контейнерів різних роз­мерів. Найбольша підмережа визначає максимальний розмір контейне­ра, і кожний окремий контейнер в даному адресному просторі може бути підрозділено на ще більш дрібні підконтейнери (іноді називаємі під-підмережами).

Зворотнє посередництво(reverse proxying) — методика, з допомогою якої проксі-сервер представляє внутрішній мережевий ресурс (наприклад, Web-, FTP- або поштовий сервер) таким чином наче він розміщу­ється на цьому проксі-сервере; в результате зовнішні клієнти отримують доступ до зовнішніх мережевих ресурсів, не маючи можливості дізнатись структуру IP-адрес внутрішньої мережі.

Загальнодоступні IP-адреси(public IP address) – будь-яка адреса TCP/IP, виді­лена організаціями IANA, ICANN або постачальником доступу до мережі Internet для ексклюзивного використання визначеної організацією.

Октет(octet) — позначення 8-бітного числа в терминології TCP/IP; чи­слові адреси протоколу IPv4 складаютьсяз чотирьох октетів.

Організації підмереж(subnetting) — застосування розрядів, захоплених з хостової частини IP-адреси, для розширення і підрозділення адресного простору мережевої частини діапазона IP-адрес.

Організація супермереж(supernetting) — методика захоплення розрядів з мережевої частини IP-адреси та їх передачі хостовій частині; в результаті складається більш широкий адресний простір для провідних адрес.

Перетворення мережевих адрес(Network Address Translation, NAT) — спе­ціальне мережеве програмне забезпечення, яке керує мережевими з’єднаннями від імені множини клієнтів у внутрішній мережі і заміе­нює вихідні адреси у всьому вихідному трафіку на адресу зовнішнього мережевого інтерфейса. Програмне забезпечення NAT також завідує пе­ресилкою відповіді на вихідний трафик відправникам. Часто застосовується для забезпечення клієнтів, які користуються приватними IP-адресами, доступу до мережі Internet.

Проксі-сервер(proxy server) — специальний тип мережевої пограничной служ­би, яка вміщується між зовнішніми та внутрішніми мережевими адресами. Від імени внутрішніх клієнтів проксі-сервер встановлює з’єднання із зовнішними ресурсами і виконує імітацію адрес. Для зовнішних клієнтів із загальнодоступної мережі Internet проксі-сервер представляє внутрішні ресурси таким чином, наче вони разміщуються на ньому самому.

Розширений мережевий префікс(extended network prefix)— частина IP-адреси, яка виражає суму мережевої частини адреси і кількості розрядів, які застосовуються для відправника та отримувача. Число транзитів з мережі джерела в мережу призначення визначається кількістю маршрутизаторів, через які повинен пройти (або проходить) пакет.

Фізична числова адрес(physical numeric address) — синонім адреси управління доступом до середовища (МАС-адреси).

Хостова частина(host portion) — крайні праві розряди IP-адреси, при­значені для ідентифікації хостів в супермережі, мережі або підмережі.

Приватна IP-адреса(private IP address) — будь-яка IP-адреса класу А, В або С, зарезервована агенцією IANA для приватного застосування, докумен­тована в RFC 1918 і призначена для неконтрольованого використання в організаціях. Оскільки немає гарантії, що такі адреса є унікальними, їх маршрутизація в мережі Internet неможлива.

Числова IP-адреса— IP-адреса, виражена в точечному десятковому або двійковому представленні.

Широкомовленева адреса(brodcast address) — адреса мережі або підмережі,яка складається із самих одиниць; дозволяє відправити одну і ту ж інформа­цію всім інтерфейсам даної мережі.




©2015 studenchik.ru Все права принадлежат авторам размещенных материалов.