суббота, 22 мая 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 4

В этой части рассмотрены следующие вопросы:
  • Кабели
  • Коаксиальный кабель
  • Витая пара
  • Оптоволоконный кабель
  • Проблемы, связанные с кабелями
  • Помехи
  • Затухание
  • Перекрестные помехи
  • Пожарные рейтинги кабелей
  • Методы передачи
  • Технологии доступа к среде
  • Передача маркера
  • CSMA
  • Коллизионные домены
  • Опрос
  • Протоколы LAN
  • ARP
  • DHCP
  • ICMP


Прокладка сетевых кабелей играет важную роль при создании новой сети или расширении уже существующей. Типы используемых кабелей должны соответствовать используемым технологиям канального уровня. Кабели различаются по скорости передачи данных, максимальной длине, а также способам подключения к сетевым картам. В 1970-х – 1980-х годах, единственным вариантом был коаксиальный кабель, но в конце 1980 года, появилась витая пара, которая по сей день является наиболее популярным типом используемых сетевых кабелей.

На поток электрических сигналов, проходящих через сетевые кабели, может негативно влиять множество факторов внешнего окружения, таких как, двигатели, флюоресцентное освещение, магнитные поля и различные электрические приборы. Эти факторы могут повредить проходящие через кабель данные. Именно поэтому применяются различные стандарты кабелей, определяющие тип кабеля, защитную оболочку, скорость передачи данных и возможную длину кабеля.

Кабели имеют различную ширину полосы пропускания и связанную с ней скорость передачи данных. Хотя два этих термина связаны между собой, в действительности они разные. Полоса пропускания (bandwidth) кабеля указывает максимальный диапазон частот, которые он использует, например, 10Base-T использует 10 МГц, а 100Base-TX использует 80 МГц. Это отличается от реального объема данных, которые могут быть переданы через кабель. Скоростью передачи данных (data throughput rate) является фактический объем данных, который в единицу времени проходит через кабель после сжатия и кодирования. 10Base-T имеет скорость передачи данных 10 Мбит/с, а 100Base-TX – 100 Мбит/с. Ширину полосы пропускания можно представить в виде размера трубы, а скорость передачи данных – в виде фактического объема данных, проходящего через нее в единицу времени.


Коаксиальный кабель (coaxial cable) состоит из медного центрального провода (токопроводящей жилы), окруженного изоляционным слоем и заземляющим проводом, как показано на Рисунке 5-23. Это все помещено во внешнюю защитную оболочку. По сравнению с витой парой, коаксиальный кабель более устойчив к электромагнитным помехам (EMI), обеспечивает более широкую полосу пропускания, а также позволяет использовать кабель большей длины. Так почему же витая пара более популярна? Дело в том, что витая пара дешевле и удобнее в использовании, а переход на коммутируемую среду, предоставляющую иерархическую схему проводки кабелей, позволил решить проблемы с длиной кабеля витой пары.
Рисунок 5-23. Коаксиальный кабель

Два основных вида коаксиального кабеля, используемого в сетях LAN, это 50 Ом-ный кабель (используется для передачи цифрового сигнала) и 75 Ом-ный кабель (используется для высокоскоростной передачи цифрового сигнала и аналогового сигнала). Разновидностями коаксиального кабеля являются 10Base2 (ThinNet) и 10Base5 (ThickNet). По коаксиальному кабелю можно передавать данные, используя однополосную (baseband) передачу, когда по кабелю передается только один канал, или широкополосную (broadband) передачу, когда по кабелю передается одновременно несколько каналов.


Витая пара состоит из изолированных медных проводов, заключенных во внешнюю защитную оплетку. Экранированная витая пара (STP – shielded twisted pair) имеет внешнюю защитную оплетку из фольги, которая улучшает защиту от радиочастотных и электромагнитных помех. Если витая пара не имеет дополнительного внешнего экранирования, она называется неэкранированной витой парой (UTP – unshielded twisted pair).

Кабель состоит из медных проводов, скрученных друг с другом, как показано на Рисунке 5-24. Это переплетение проводов защищает передаваемые сигналы от радиочастотных и электромагнитных помех, а также от перекрестных помех. Каждый провод образует уравновешенную схему, так как напряжение в каждой паре использует ту же амплитуду, но с противоположной фазой. Тугое переплетение проводов обеспечивает большую устойчивость кабеля от помех и затухания сигнала. В UTP входит несколько категорий кабелей, каждый из которых имеет свои уникальные характеристики. Разница в категориях кабеля основана на том, насколько туго сплетен кабель.
Рисунок 5-24. Витая пара

Скорость передачи данных определяется переплетением проводов, типом используемой изоляции, качеством токопроводящего материала и экранированием провода. Категории UTP указывают на характеристики этих компонентов, использованные при изготовлении кабеля.

Таблица 5-5. Категории кабеля UTP

Медный кабель используется повсеместно в течение многих лет. Он недорог и прост в использовании. Сегодня большинство телефонных систем используют медные кабели категории, подходящей для передачи голоса. Витая пара предпочтительна при создании сетей, но у нее есть свои недостатки. Медь обладает электрическим сопротивлением, что приводит к деградации сигнала после прохождения им определенного расстояния. Именно поэтому даются рекомендации по максимальной длине медного кабеля. Если эти рекомендации не будут соблюдены, в сети могут происходить потери сигнала и повреждения данных. Кроме того, медь излучает энергию, что дает возможность злоумышленникам перехватывать передаваемую информацию. По сравнению с коаксиальным и оптоволоконным кабелем, UTP наименее безопасна. Если компании требуется более высокая скорость, более высокий уровень безопасности, а также большая длина кабелей, чем это позволяют медные кабели, наилучшим выбором для нее может быть оптоволоконный кабель.


Витая пара и коаксиальный кабель используют медные провода в качестве среды передачи данных, а оптоволоконный кабель использует разновидность стекла, через которое передаются световые волны. Эти световые волны переносят данные. Стеклянное ядро окружено защитной оболочкой, которая, в свою очередь, помещена в наружную оплетку.

Оптоволоконные кабели обеспечивают передачу сигналов на большие расстояния и с более высокой скоростью, поскольку для передачи данных используются световые волны. Оптоволоконные кабели не подвержены затуханию сигнала и электомагнитным помехам (EMI) в отличие от кабелей, в которых используются медные провода. Оптоволоконные кабели не излучают сигналы, в отличие от кабелей UTP, информацию с них трудно перехватить, поэтому оптоволоконные кабели гораздо более безопасны по сравнению с UTP, STP или коаксиальными кабелями.

Преимущества оптоволоконного кабеля звучат прекрасно, даже удивительно, зачем при этом продолжают использовать UTP, STP или коаксиальный кабель. К сожалению, оптоволоконный кабель чрезвычайно дорог и с ним трудно работать. Оптоволоконные кабели обычно используются в магистральных сетях и средах, которые требуют высокой скорости передачи данных. Большинство сетей используют UTP и подключены к магистралям, работающим на оптоволоконном кабеле.


Кабели имеют чрезвычайно важное значение для сетей. Когда с сетевыми кабелями происходят проблемы, эти проблемы могут затронуть всю сеть. В этом разделе рассматриваются некоторые из наиболее распространенных проблем, связанных с кабелями, с которыми сталкивается большинство сетей.


Помехи в кабелях обычно вызываются окружающим их оборудованием или характеристиками внешней среды. Помехи могут быть вызваны работой моторов, компьютеров, копировальных устройств, флюоресцентных ламп, микроволновых печей и т.п. Фоновые помехи могут накладываться на передаваемые по кабелю данные и искажать сигнал, как показано на Рисунке 5-25. Чем больше помех вокруг кабеля, тем более вероятно, что данные не дойдут до получателя или дойдут в искаженном виде. (Аналогичные проблемы воздействия на линии электропередач были рассмотрены в Домене 04).

Рисунок 5-25. Фоновый шум может накладываться на электрический сигнал и нарушать целостность данных
Магистраль. Если используется кабель UTP и его длина превышает 185 метров, в нем может происходить затухание сигнала. Обычно данные находятся в форме электронов, «плывущих» по медному проводу. Однако это похоже на плавание против течения, т.к. существует сопротивление движению электронов в этой среде. После прохождения определенного расстояния электроны начинают терять темп, а формат их кодировки теряет форму. Если эта форма слишком деградирует, система получателя не сможет ее раскодировать. Поэтому стандарт устанавливает ограничение по максимальной длине кабеля – не более 185 метров. Если сетевому администратору требуется кабель большей длины, он должен установить повторители (repeater) или другие аналогичные устройства, усиливающие сигнал и гарантирующие, что он дойдет до получателя в надлежащем виде.

Затухание (attenuation) сигнала – это потеря мощности сигнала в процессе передачи. Чем длинее кабель, тем больше затухание, что может привести к повреждению данных. Поэтому в стандарты включены рекомендации по максимальной длине кабеля; когда данные прошли определенное расстояние, сопротивление потоку электронов накапливается и сигнал теряет целостность.

Эффект затухания увеличивается на высоких частотах, поэтому у 100Base-TX, работающей на 80МГц, затухание больше, чем у 10Base-T, работающей на 10МГц. В связи с этим кабели, используемые для передачи данных на высоких частотах, следует делать короче, чтобы снизить воздействие затухания.

Затухание сигнала может также быть вызвано неисправностью кабеля. Поэтому кабели необходимо проверять. Если предполагается, что проблема вызвана затуханием сигнала в кабеле, тестировщик вводит на вход кабеля сигналы и считывает их на выходе из него, анализируя произошедшие изменения.


Как было сказано ранее, кабель UTP подвержен перекрестным помехам (crosstalk), при которых электрический сигнал из одного провода накладывается на сигнал в другом проводе. Когда различные электрические сигналы смешиваются, их целостность нарушается, и передаваемые данные могут быть повреждены. Кабель UTP в большей степени подвержен перекрестным помехам, чем STP или коаксиальный кабель, т.к. UTP не имеет дополнительного уровня экранирования, который помогает защититься от этого.

Как было сказано ранее, два провода в витой паре образуют уравновешенную схему, поскольку они оба имеют одинаковую амплитуду, но различные фазы. Перекрестные и фоновые помехи могут нарушить это равновесие и провода начнут работать как антенна, захватывающая все помехи из окружающего пространства.


Поскольку здание должно соответствовать определенным пожарным кодексам, им должна соотвествовать и проводка. Многие компании прокладывают провода над подвесными потолками – в пространстве между подвесным и настоящим потолком, либо под фальшполом. Это скрывает кабели и позволяет людям не спотыкаться и не ходить по ним. Однако при возгорании кабелей, протянутых в таких местах, существует большая вероятность, что никто этого не заметит. Некоторые кабели при горении выделяют ядовитые газы, которые быстро распространяются по зданию. При прокладке сетевых кабелей в таких замкнутых пространствах, необходимо учитывать соответсвующий пожарный рейтинг, чтобы обеспечить отсутствие ядовитых газов при пожаре. Следует учитывать, что система вентиляции здания обычно размещается в этих же замкнутых пространствах, поэтому если токсичные газы попадут в них, они могут за несколько минут распространиться по всему зданию.

Не предназначенные для замкнутых пространств кабели (nonplenum cable) обычно имеют оплетку из поливинилхлорида (PVC), а предназначенные – фторополимерную. Когда создается новая сеть или расширяется существующая, важно понимать, какие типы кабелей требуются в этой конкретной ситуации.

Вы должны учитывать следующие факторы при выборе сетевых кабелей: бюджет, выделенный компанией на создание (расширение, модернизацию) сети, простота использования, возможные помехи, необходимая длина кабелей, необходимая скорость передачи данных, требуемая безопасность и пожарный рейтинг.

Кабели следует прокладывать в недоступных местах (например, в коробах), чтобы никто не ходил по ним, чтобы они не были повреждены или прослушаны. Кабели следует прокладывать по стенам и в защищенных пространствах над подвесным потолком. В некоторых случаях кабели прокладывают в трубах под давлением, и если кто-то попытается получить доступ к проводу и нарушит целостность трубы, зазвучит тревога и администратору будет автоматически направлено соответствующее уведомление.

Если в окружающем пространстве установлено много станков или других устройств, создающих электромагнитные поля, следует использовать кабель STP или оптоволоконный. Если для компании важнее всего безопасность, следует использовать оптоволоконные кабели.


Может потребоваться отправить пакет только одной рабочей станции, группе рабочих станций или одновременно всем рабочим станциям в подсети. Если пакет нужно отправить только одному получателю, используется метод одноадресной (unicast) передачи. Если пакет нужно отправить определенной группе получателей, отправляющая система использует метод многоадресной (multicast) рассылки. Если необходимо, чтобы сообщение получили все компьютеры в подсети, нужно использовать широковещательный (broadcast) метод.

Одноадресная передача самая простая, т.к. используется только адрес отправителя и адрес получателя. Данны просто идут из точки A в точку Z, от одного компьютера – другому (один-к-одному). Многоадресная рассылка немного отличается от одноадресной. С помощью многоадресной рассылки один компьютер может отправить даные выбранной группе компьютеров. Хорошим примером многоадресной рассылки является прослушивание сетевой радиостанции на компьютере. Существует программное обеспечение, которое позволяет пользователю выбрать желаемое направление музыки. Пользователь выбирает жанр, а программное обеспечение сообщает драйверу сетевой карты, что нужно принимать пакеты, содержащие определенный адрес групповой рассылки.

Разница между широковещательной и многоадресной передачей данных заключается в том, что широковещательная рассылка – это передача данных один-ко-всем, в то время как многоадресная рассылка – один-к-нескольким, выбранным в качестве получателей данных. Но каким образом сервер при многоадресной рассылке направляет данные определенному компьютеру в конкретной сети? Пользователь, который выбрал получение рассылки, в действительности сообщил своему локальному маршрутизатору, что он хочет получать проходящие через этот маршрутизатор кадры с этим конкретным адресом групповой рассылки. Этот локальный маршрутизатор сообщает об этом вышестоящему маршрутизатору и так далее, пока каждый маршрутизатор между отправителем и получателем не будет знать, куда нужно передавать данные этой конкретной многоадресной рассылки. При этом в действительности пользователь не взаимодействует непосредственно с маршрутизаторами, за него это делает используемое им программное обеспечение.

IP-протоколы многоадресной рассылки используют адреса класса D, которые являются специальным адресным пространством, выделенным для многоадресной рассылки данных. Их можно использовать для отправки информации, мультимедиа-данных, а также голоса и видео в режиме реального времени.

Для сообщения маршрутизаторам информации о членах групп многоадресной рассылки используется протокол IGMP (Internet Group Management Protocol - Протокол управления группами интернета). Когда пользователь включает прием многоадресного трафика, он становится членом определенной группы многоадресной рассылки. IGMP является механизмом, который позволяет компьютерам информировать локальные маршрутизаторы, что они (компьютеры) являются частью определенной группы и что следует отправлять им трафик с соответствующим адресом многоадресной рассылки.
Определения связи. Ниже представлено краткое резюме по основным концепциям передачи данных, которые нужно знать:
  • Цифровые сигналы – двоичные цифры, представленные в виде дискретных электрических импульсов.
  • Аналоговые сигналы – непрерывные сигналы, отличающиеся друг от друга амплитудой и частотой.
  • Асинхронная передача – последовательная передача данных, использующая стартовые и стоповые биты, и требующая, чтобы взаимодействующие устройства работали на одной скорости
  • Синхронная передача – высокоскоростная передача данных, управляемая сигналами электронных часов
  • Однополосная передача – вся полоса пропускания используется только для одного канала, имеет низкую скорость передачи данных
  • Широкополосная передача – делит полосу пропускания на несколько каналов, позволяя одновременно передавать различные типы данных, обеспечивает высокую скорость передачи
  • Одноадресная передача – пакет передается с одного компьютера-отправителя на один компьютер-получатель
  • Многоадресная передача – пакет передается с одного компьютера-отправителя, на несколько определенных компьютеров-получателей
  • Широковещательная передача – пакет отправляется с одного компьютера-отправителя на все компьютеры определенного сетевого сегмента
Ссылки по теме:

Физическая топология сети – это нижний уровень, фундамент сети. Она определяет тип используемой среды и порядок соединения средой передачи данных различных систем. Технологии доступа к среде определяют порядок взаимодействия систем через среду, обычно они представляют собой протоколы, драйверы сетевых карт и интерфейсы. Технологии доступа к LAN устанавливают правила взаимодействия компьютеров по сети, правила обработки ошибок, использования физической среды, устанавливают максимальный размер MTU кадра и многое другое. Эти правила позволяют всем компьютерам и устройствам взаимодействовать, исправлять ошибки, а пользователям – позволяют эффективно выполнять свои сетевые задачи. Каждая отдельная система должна знать, как правильно взаимодействовать с другими системами, чтобы они понимали ее передачи, команды и запросы. Обо всем этом заботится технология доступа к среде LAN.
ПРИМЕЧАНИЕ. Параметр MTU указывает, как много данных может содержать кадр в конкретной сети. Различные типы сетевых технологий могут требовать различный размер MTU, из-за этого кадры часто бывают фрагментированными.
Передача маркера

Маркер (token) – это 24-битный управляющий кадр, используемый для управления взаимодействием компьютеров и интервалами этого взаимодействия. Маркер передается с компьютера на компьютер, и только тот компьютер, который имеет маркер, может отправлять кадры с данными по сети. Маркер дает компьютерам право на взаимодействие. Маркер содержит передаваемые данные, а также информацию об адресах отправителя и получателя. Если компьютеру нужно передать данные, он ждет маркер. После получения маркера, компьютер прикрепляет к нему свое сообщение и помещает его в сетевой провод. Каждый компьютер, который затем получит это сообщение, проверяет – не адресовано ли оно ему. Это продолжается до тех пор, пока компьютер-получатель не получит сообщение. Компьютер-получатель делает себе копию сообщения и устанавливает в кадре специальный бит, чтобы сообщить компьютеру-отправителю, что он получил сообщение. Когда этот пакет возвращается компьютеру-отправителю, он удаляет этот кадр из сети. Обратите внимание, что компьютер-получатель делает себе копию сообщения, но он не удаляет сообщение из сети. Только компьютер-отправитель сообщения может удалить его из маркера и сети.

Если компьютер получает маркер, но у него нет сообщений для отправки, он просто передает маркер следующему компьютеру в сети. Пустой маркер имеет заголовок, поле данных и окончание. При добавлении к пустому маркеру сообщения, он получает новый заголовок, адреса отправителя и получателя, а также новое окончание.

Такой метод доступа к сети применяется технологиями Token Ring и FDDI.
ПРИМЕЧАНИЕ. Некоторые приложения и сетевые протоколы работают лучше, если они могут взаимодействовать через определенные интервалы времени, а не «когда придут данные». В технологиях с передачей маркера передача трафика приходит имеет детерминированную природу, т.к. все системы не могут взаимодействовать одновременно – взаимодействовать могут только системы, имеющие маркер.

Протоколы Ethernet определяют порядок взаимодействия узлов, исправления ошибок, использования общего сетевого кабеля. Ethernet использует CSMA для доступа к сетевому кабелю. Существует два различных типа CSMA: CSMA/CD и CSMA/CA.

Передача данных называется несущей (carrier), поэтому, если компьютер передает кадры, он выполняет функции несущей. Если компьютеры используют протокол множественного доступа с контролем несущей и с выявлением коллизий (CSMA/CD – Carrier Sense Multiple Access with Collision Detection), они отслеживают передачу данных (или несущую) в проводе, чтобы определить наилучшее время для передачи данных. Каждый узел постоянно контролирует провод и ждет, пока он освободится, чтобы этот узел мог передать свои данные. В качестве аналогии представьте себе беседу нескольких людей. Если один человек хочет что-то сказать, он обычно сначала слушает уже говорящего и ждет паузы, чтобы начать говорить самому. Если он не будет дожидаться, пока договорит первый и будет говорить одновременно с ним, люди вокруг не смогут понять ни одного из говорящих.

При использовании метода доступа CSMA/CD, компьютеры прослушивают кабель и ждут момента, когда в нем не будет сигнала несущей, что означает, что никто не передает данные. Если два компьютера зафиксируют отсутствие несущей и одновременно начнут передачу своих данных, может произойти конфликт и коллизия. При возникновении конфликта (contention) все узлы должны прекратить совместное использование среды передачи данных. Коллизия (collision) происходит при столкновении двух или более кадров, что приводит к повреждению обоих кадров. Если компьютер отправил кадр по проводу, но он столкнулся с кадром другого компьютера, передача обоих компьютеров прерывается, и все остальные компьютеры оповещаются о возникновении коллизии. При получении информации о коллизии все компьютеры запускают коллизионный таймер на случайно выбранное время, которое будет являться задержкой, по прошествии которой они снова начнут предпринимать попытки передать данные. Этот коллизионный таймер, запускаемый на случайное время, называется алгоритмом выдержки (back-off algorithm). (Число коллизий обычно снижается при разделении сети мостами или коммутаторами).

Множественный доступ с контролем несущей и предотвращением коллизий (CSMA/CA – Carrier Sense Multiple Access with Collision Avoidance) – это метод доступа, при использовании которого каждый компьютер сигнализирует о своем намерении передавать данные до начала реальной передачи. При получении такого сигнала все остальные компьютеры в сети понимают, что им пока нельзя передавать данные, т.к. это может привести к коллизии. Система прослушивает общую среду, чтобы определить, свободнна ли она. Как только система определяет, что линия свободна и готова к передаче данных, эта система отправляет широковещательное сообщение всем остальным системам, говоря им, что она собирается передавать данные. После получения такого сообщения, каждая из остальных систем ждет определенный промежуток времени перед попыткой самой начать передачу данных, чтобы избежать коллизий. Технологии беспроводных сетей 802.11 используют технологию CSMA/CA для доступа к среде.
Методы доступа с контролем несущей и передачей маркера. В целом методы доступа с конролем несущей работают быстрее методов с передачей маркера, но для них актуальна проблема коллизий. В сетевом сегменте с большим количеством устройств может возникать большое количество коллизий, снижая производительность сети. Для технологий с передачей маркера проблемы коллизий не существует, но они не обладают такой скоростью, как технологии с контролем несущей. Сетевые коммутаторы могут существенно помочь в изоляции сетевых ресурсов для обоих методов (CSMA/CD и передача маркера), поскольку это снижает конкуренцию.

Как было указано в предыдущем разделе, коллизии происходят в сетях Ethernet, когда два компьютера пытаются передавать данные одновременно. Другие компьютеры в сети выявляют эту коллизию, т.к. при этом наложившиеся друг на друга сигналы увеличивают напряжение сигнала выше определенного уровня. Чем больше устройств в конкурентной (contention-based) сети, тем выше вероятность коллизий, что увеличивает латентность такой сети (задержки при передаче данных). Коллизионный домен (collision domain) – это группа компьютеров, которые конкурируют (или соперничают) за доступ к среде передачи данных.

Неприемлемое количество коллизий может быть вызвано перенаселенностью сети, повреждением сетевого кабеля или коннектора, слишком большим количеством повторителей, либо кабелем, длина которого превышает рекомендуемый максимум. Если кабель длинее, чем это рекомендуется спецификацией Ethernet, два компьютерам на противоположных концах кабеля могут начать передавать данные одновременно. При этом они могут не узнать о том, что произошли коллизии, поскольку они находятся слишком далеко друг от друга. Если кабель слишком длинный, компьютеры не могут прослушивать сеть достаточно хорошо, чтобы выявлять коллизии. При получении компьютером-получателем разрушенного кадра, он отправляет запрос отправителю на повторную передачу сообщения, что становится причиной увеличения трафика.

Проблемы такого типа в основном связаны с реализацией коллизионных доменов. Сеть Ethernet может иметь широковещательные и коллизионные домены. Одна подсеть будет находиться в одном коллизионном и широковещательном домене, если она не разделена маршрутизаторами или мостами. Если подсеть разделена мостами, мосты могут позволить широковещательному трафику проходить между различными частями подсети, но не коллизиям, как показано на рисунке 5-26. Так создаются коллизионные домены. Изоляция коллизионных доменов снижает количество происходящих в сети коллизий и увеличивает общую производительность сети.

Рисунок 5-26. Коллизионные домены в рамках одного широковещательного домена

Другое преимущество ограничения и управления широковещательными и коллизионными доменами состоит в том, что это затрудняет перехват злоумышленником критичной информации, передающейся по сети (сниффинг). Атакующие часто используют тактику установки на скомпрометированный компьютер троянской программы, выполняющей функции сетевого сниффера. Этот сниффер обычно настраивается на перехват определенной информации, такой как имена пользователей и пароли. Если широковещательный и коллизионный домен находятся под таким воздействием, скомпрометированная система может получить доступ к широковещательному и коллизионному трафику только в рамках отдельной подсети или широковещательного домена. Скомпрометированная система не сможет прослушивать трафик в другом широковещательном и коллизионном домене, что значительно снизит объем трафика и информации, доступной атакующему.

Опрос

Третья разновидность методов доступа к среде LAN – это опрос (polling). При использовании этого метода, некоторые системы настроены как первичные станции, а другие – как вторичные. Через предопределенные интервалы времени первичные станции спрашивают у вторичных станций – есть ли у них данные для передачи. Вторичные станции могут передавать данные только в этот момент.

Опрос – это метод мониторинга множества систем и контролируемой передачи данных по сети. Если используется метод опроса для мониторинга устройств, первичное устройство взаимодействует с каждым вторичным устройством, через определенные интервалы времени для проверки их состояния. Затем первичное устройство фиксирует в журнале полученный ответ и переходит к следующему устройству. При использовании опроса для доступа к сети, первичная станция спрашивает каждое устройство, есть ли у него данные для передачи другому устройству. Метод опроса обычно используется в среде мейнфреймов.


Некоторые протоколы, такие как UDP, TCP и IP, обсуждались в предыдущих разделах. Сети используют эти и многие другие протоколы, для реализации определенного объема функциональности. Наиболее широко используются такие протоколы TCP/IP, как ARP, DHCP и ICMP. Они будут обсуждаться в следующих разделах.


В сети TCP/IP каждому компьютеру и сетевому устройству требуется уникальный IP-адрес и уникальный физический аппаратный адрес. Каждая сетевая карта имеет уникальный физический аппаратный адрес, который прошивается производителем в микросхеме ее ПЗУ. Этот физический адрес также называют МАС-адресом (Media Access Control). Сетевой уровень работает с IP-адресами и понимает только их, а канальный уровень - МАС-адреса. Но как обеспечить совместную работу двух этих адресов, использующихся на разных уровнях?
ПРИМЕЧАНИЕ. МАС-адрес является уникальным, поскольку первые 24 бита в нем являются кодом производителя, а последние 24 бита – представляют собой уникальный серийный номер устройства, присвоенный производителем.
Когда данные приходят с прикладного уровня, они поступают на транспортный уровень для присвоения порядкового номера, создания сеанса и включения в поток. Затем данные переходят на сетевой уровень, где к каждому пакету добавляется информация маршрутизации и IP-адреса отправителя и получателя. Затем данные направляются на канальный уровень, который должен найти МАС-адрес и добавить его в заголовок кадра. Когда кадр физически попадает в провод, он направляется по МАС-адресу, указанному в заголовке кадра. Работающие на этом уровне модели OSI механизмы не понимают IP-адреса. Поэтому, если компьютер не может при передаче пакета на нижний уровень сопоставить IP-адресу соответствующий МАС-адрес, взаимодействие с компьютером-получателем невозможно.
ПРИМЕЧАНИЕ. Кадр – это полностью инкапсулированные данные со всеми необходимыми заголовками и окончаниями.
Чтобы сетевое взаимодействие было возможно, MAC- и IP-адреса должны быть корректно сопоставлены. Это производится с помощью протокола ARP (Address Resolution Protocol - Протокол определения адреса). Когда канальный уровень получает кадр, сетевой уровень уже прикрепил к нему IP-адрес получателя, но канальный уровень не понимает IP-адресов, поэтому он призывает на помощь ARP. ARP делает широковещательный запрос МАС-адреса, соответствующего указанному IP-адресу получателя. Каждый компьютер в подсети получает этот запрос и игнорирует его, если его IP-адрес не соответствует запрашиваемому. Только компьютер с соответсвующим запрашиваемому IP-адресом отвечает на запрос, указывая в ответе свой МАС-адрес. Теперь ARP знает, какой аппаратный адрес соответствует этому IP-адресу. Канальный уровень добавляет к кадру МАС-адрес и передает его на физический уровень, который помещает его в провод для отправки компьютеру-получателю. ARP таким образом связывает аппаратный адрес с соответствующим ему IP-адресом и сохраняет информацию об этой связи в специальной таблице, чтобы в дальнейшем использовать ее повторно и сэкономить время. В случае, если новый кадр будет адресован тому же IP-адресу, такое кэширование позволяет ARP не выполнять повторный широковещательный запрос – он просто берет информацию из своей таблицы.

Иногда атакующие изменяют ARP-таблицу системы, внося в нее некорректную информацию. Это называется «отравлением ARP» (ARP table poisoning). Целью атакующего в этом случае является получение пакетов, предназначенных для другого компьютера. Это разновидность атаки маскарадинга (masquerading attack). Например, компьютер А имеет IP-адрес 10.19.34.3 и МАС-адрес X, и эта информация сохранена в ARP-таблице компьютера В. Атакующий может изменить эту ARP-таблицу и указать, что IP-адрес 10.19.34.3 соответствует МАС-адресу Y (МАС-адресу компьютера атакующего). Тогда все пакеты компьютера В, которые он будет пытаться отправить на компьютер А, в действительности будут отправляться на компьютер атакующего.

Ссылки по теме:

Компьютер при первоначальной загрузке может получить IP-адреса несколькими различными способами. Если он имеет статический адрес, ему не нужно присваивать никаких других адресов. Если компьютеру требуется DHCP-сервер (Dynamic Host Configuration Protocol - Протокол динамической конфигурации узла) для получения корректного IP-адреса, при загрузке он направляет запрос DHCP-серверу, который присваивает ему IP-адрес.

DHCP – это протокол, основанный на UDP, который позволяет серверам присваивать сетевым клиентам IP-адреса в режиме реального времени. В отличие от статических IP-адресов (настроенных вручную), DHCP автоматически проверяет доступные IP-адреса и присваивает их клиентам. Это исключает возможные конфликты адресов, вызванные тем, что две системы в сети имеют одинаковый IP-адрес. Кроме того, DHCP значительно снижает объем работы, необходимой для управления большими сетями.

DHCP присваивает IP-адреса из определенного диапазона в режиме реального времени, при прдключении клиента к сети. Это отличается от использования статических адресов, когда каждой системе изначально присвоен IP-адрес. В стандартной сети, использующей DHCP, для получения IP-адреса клиентский компьютер отправляет по сети широковещательное сообщение DHCPDISCOVER (обнаружение DHCP), чтобы найти DHCP-сервер. Когда соответствующий DHCP-сервер получает запрос DHCPDISCOVER, он отвечает на него пакетом DHCPOFFER (предложение DHCP), предлагая клиенту IP-адрес. Сервер присваивает клиенту свободный IP-адрес в соответствии с административными политиками сети. Отправляемый сервером пакет DHCPOFFER содержит информацию о присвоенном IP-адресе и конфигурационных параметрах для настройки служб на стороне клиента.


После получения клиентом направленных сервером в пакете DHCPOFFER настроек, он отвечает серверу пакетом DHCPREQUEST, подтверждая принятие этих настроек. Сервер в ответ отправляет подтверждение пакетом DHCPACK, указывая в нем период действия (аренды) предоставленных параметров.

К сожалению, при этом обе стороны (и клиент, и сервер) уязвимы к фальсификации. На стороне клиента атакующий может сделать собственную систему похожей на легитимного клиента сети. Это позволит его системе стать частью сети компании и попытаться проникнуть на другие системы этой сети. Также, атакующий может создать поддельный DHCP-сервер в сети, который будет взаимодействовать с настоящими клиентами, ищущими IP-адреса. Управляемый атакующим DHCP-сервер может скомпрометировать настройки клиентской системы, выполнить атаку «человек посередине» (man-in-the-middle), несанкционированно пересылать трафик в другую сеть и т.п., и в конечном итоге подвергнуть опасности всю сеть.

Эффективным методом защиты сетей от неуполномоченных клиентов DHCP является использование перехвата DHCP (DHCP snooping) на сетевых коммутаторах. Перехват DHCP обеспечивает, что DHCP серверы могут присваивать IP-адреса только выбранным системам, идентифицированным по их MAC-адресам. Также, современные коммутаторы имеют возможность направления клиентов непосредственно легитимным серверам DHCP для получения IP-адресов, исключая возможность для злоумышленника сделать свою систему DHCP-сервером сети.

Но что если в сети есть бездисковые рабочие станции, которые не имеют операционной системы? Бездисковые рабочие станции имеют достаточно кода только для того, чтобы включиться и направить широковещательный запррос на получение IP-адреса. Также они хранят указатель на сервер, содержащий операционную систему. Бездисковые рабочие станции знают свой аппаратный адрес и включают его в широковещательный запрос. Для этого аппаратного адреса DHCP-сервер выдает IP-адрес. Аналогично ARP, кадры RARP (Reverse Address Resolution Protocol - Обратный протокол определения адреса) отправляются всем системам в подсети, но только RARP-сервер отвечает на них. После получения RARP-сервером запроса, он просматривает свою таблицу в посках IP-адреса, соответствующего аппаратному адресу, указанному в широковещательном запросе. Затем сервер отправляет сообщение с найденным IP-адресом обратно запросившему компьютеру. После получения системой IP-адреса она может работать в сети.

Протокол BOOTP (Boot Protocol) был создан для расширения функциональности RARP, предоставляемой им бездисковым рабочим станциям. Бездисковые рабочие станции могут получить от BOOTP-сервера свой IP-адрес, адрес сервера имен для последующего разрешения имен, а также адрес шлюза по умолчанию. BOOTP предоставляет больше функциональности для бездисковых рабочих станций, чем RARP.

Этот протокол развивался следующим образом: RARP был преобразован в BOOTP, а BOOTP – в DHCP.
Различия между ARP и RARP. ARP знает IP-адрес и отправляет широковещательный запрос, чтобы получить соответствующий ему аппаратный МАС-адрес. RARP, наоборот, знает аппаратный адрес и отправляет широковещательный запрос для получения IP-адреса.

Протокол ICMP (Internet Control Message Protocol - Межсетевой протокол управляющих сообщений) передает статусные сообщения, отчеты об ошибках, ответы на некоторые запросы, отчеты по информации маршрутизации. Он используется для проверки соединений и выявления проблем в IP-сетях.
Проще всего понять протокол ICMP с помощью утилиты ping. Эта утилита нужна для проверки соединения с другой системой. Она отправляет проверяемой системе кадр ICMP ECHO REQUEST, а та отвечает на него кадром ICMP ECHO REPLY, получение которого утилита ping отображает на экране. Если ответ не был получен в течение определенного периода времени, утилита ping повторно отправляет кадры ECHO REQUEST. Если ответа снова нет, утилита ping сообщает, что проверяемая система недоступна.

ICMP также указывает на возникновение проблем с каким-либо маршрутом в сети и сообщает окружающим маршрутизаторам о лучших маршрутах на основе информации о функционировании и перегрузке различных маршрутов. Маршрутизаторы используют ICMP для отправки сообщений в ответ на датаграммы, которые не удалось доставить. При этом маршрутизатор выбирает соответствующий ICMP-ответ и отправляет его обратно запросившей системе, говоря ей, что возникла проблема с передачей ее запроса.

ICMP используется другими протоколами, не устанавливающими соединений, а не только IP, поскольку такие протоколы не имеют способов выявления и реакции на ошибки передачи данных, аналогичных используемым протоколами, устанавливающими соединения. Протоколы, не устанавливающие соединения, могут использовать ICMP для отправки сообщений об ошибках системам-отправителям для информирования их о сетевых проблемах.
Атака Loki. Протокол ICMP был разработан для отправки сообщений о статусе, но не для хранения или передачи пользовательских данные. Но сейчас появились способы вставки данных внутрь ICMP-пакета, что может использоваться для взаимодействия с ранее скомпрометированной системой. Loki – это настоящая клиент-серверная программа, используемая хакерами для установления «черного хода» в системы. Атакующий взламывает компьютер и устанавливает на него серверную часть Loki, которая слушает порт, являющийся «черным ходом» и используемый злоумышленником доступа в систему. Для получения доступа и открытия удаленной командной строки на этом компьютере, атакующий отправляет команды внутри ICMP-пакетов. Обычно они успешно доходят до цели, поскольку маршрутизаторы настроены на разрешение трафика ICMP на вход и выход из сети, т.к. он считается безопасным – ведь он был разработан не для того, чтобы содержать данные или иную полезную нагрузку.
Ссылки по теме:

Комментариев нет: