вторник, 1 июня 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 6

В этой части рассмотрены следующие вопросы:
  • Маршрутизаторы
  • Коммутаторы
  • Виртуальные сети (VLAN)
  • Шлюзы


Мы передвигаемся вверх по уровням модели OSI в процессе обсуждения различных сетевых устройств. Повторители работают на физическом уровне, мосты – на канальном, а маршрутизаторы – на сетевом уровне. Устройства на каждом вышестоящем уровне более интеллектуальны и функциональны и глубже заглядывают в кадры. Повторитель смотрит только на электрический сигнал. Мост смотрит на МАС-адрес в заголовке. Маршрутизатор снимает с кадра первый (внешний) заголовок и заглядывает в кадр глубже в поисках IP-адреса и другой информации маршрутизации. Чем выше уровень устройства в модели OSI, тем глубже устройство может изучить кадр и принять больше решений на основе содержащейся в нем информации. Позже мы увидим, что шлюзы (gateway) могут просмотреть весь кадр вплоть до прикладного уровня, а не только адреса и информацию маршрутизации.

Маршрутизаторы (router) работают на третьем (сетевом) уровне. Они используются для соединения похожих или различных сетей (например, с помощью них можно соединить две сети Ethernet или сеть Ethernet с сетью Token Ring). Маршрутизатор – это устройство, которое имеет два или более интерфейсов и таблицу маршрутизации, с помощью которой он принимает решения о том, как отправлять пакеты по назначению. Маршрутизатор может фильтровать трафик на основе списков контроля доступа (ACL), фрагментировать пакеты при необходимости. Поскольку маршрутизаторы больше знают о сети, они могут выполнять более высокоуровневые функции, такие как расчет самого короткого и экономичного пути между узлами отправителя и получателя.

Маршрутизатор получает информацию о маршрутах и изменениях в сети с помощью протоколов маршрутизации (RIP, BGP, OSPF и т.п.). Эти протоколы сообщают маршрутизатору об отключениях каналов, перегрузках маршрутов, а также уведомляют о других, более экономичных, маршрутах. Также, с помощью этих протоколов обновляются таблицы маршрутизации и передаются сообщения о возникновении у маршрутизатора проблем или его отключении.

Мост использует одни и те же сетевые адреса для всех своих портов, а у маршрутизатора используются отдельные адреса для каждого порта, что позволяет ему соединять различные сети.

Маршрутизатор может быть выделенным устройством (appliance) или «двухканальным» (dual-homed) компьютером с сетевой операционной системой. Когда пакеты поступают на один из интерфейсов, маршрутизатор проверяет параметры этих пакетов по своим спискам ACL. Эти списки показывают, какие пакеты считаются разрешенными, а какие – нет. При этом решение принимается на основе IP-адресов и портов отправителя и получателя, типа протокола. Например, администратор может блокировать все пакеты, исходящие из сети 10.10.12.0, пакеты FTP, а также любые пакеты, отправленные на порт 80 компьютера с адресом 10.10.15.1. Все это реализуется с помощью ACL, которые администратор должен запрограммировать и по мере необходимости обновлять.

Что в действительности происходит внутри маршрутизатора, когда он получает пакет? Давайте пройдем по шагам:
  1. Кадр принят одним из интерфейсов маршрутизатора. Маршрутизатор анализирует данные маршрутизации.
  2. Маршрутизатор отыскивает в датаграмме IP-адрес (подсеть) получателя.
  3. Маршрутизатор просматривает свою таблицу маршрутизации в поисках своего порта, соответствующего IP-адресу (подсети) получателя.
  4. Если маршрутизатор не находит в своей таблице информации об адресе получателя, он отправляет компьютеру-отправителю ICMP-сообщение об ошибке, говоря ему, что не может найти получателя.
  5. Если маршрутизатор находит нужный маршрут в своей таблице маршрутизации, он уменьшает значение TTL и смотрит, не отличается ли значение MTU в сети получателя. Если в сети получателя требуется MTU меньшего размера, маршрутизатор производит фрагментацию датаграммы.
  6. Маршрутизатор изменяет информацию в заголовке кадра, чтобы он смог пройти к следующему маршрутизатору или компьютеру-получателя (если маршрутизатор непосредственно подключен к сети, в которой находится компьютер-получатель).
  7. Маршрутизатор направляет кадр в очередь на отправку соответствующего своего интерфейса.
В Таблице 5-6 представлен краткий обзор отличий между маршрутизатором и мостом.

Таблица 5-6. Основные различия между мостами и маршрутизаторами

В каких случаях какое устройство является наилучшим выбором? Повторитель применяется в тех случаях, когда администратору нужно расширить сеть и усилить сигналы, чтобы они не затухали в длинном кабеле. Однако повторитель пересылает информацию о коллизиях и широковещательную информацию, поскольку не имеет достаточного интеллекта, чтобы отличать различные виды трафика.

Мосты работают на канальном уровне и имеют немного больше интеллекта, чем повторители. Мосты могут выполнять простую фильтрацию, они разделяют коллизионные, но не широковещательные домены. Мост следует использовать в тех случаях, когда администратору нужно разделить сеть на сегменты для снижения нагрузки от трафика и снижения количества коллизий.

Маршрутизатор разделяет сеть на коллизионные домены и широковещательные домены. Маршрутизатор позволяет более четко разделить сеть на сегменты, чем повторители или мосты. Если администратор хочет иметь возможность более четкого управления прохождением трафика, ему следует использовать маршрутизатор, поскольку маршрутизатор позволяет настроить более сложные правила фильтрации, а если маршрутизатор используется для разделения сети на сегменты, результат может быть более контролируемым.

Маршрутизаторы применяются для разделения сети по подразделениям, рабочим группам или иным бизнес-группам. Мосты применяются для разделения сети на сегменты на основе видов трафика и загруженности.

Ссылки по теме:

Коммутаторы (switch) сочетают в себе функциональность повторителей и мостов. Коммутатор усиливает электрический сигнал, как повторитель, и имеет встроеннные компоненты и интеллектуальность моста. Это многопортовое устройство, позволяющее соединить отдельные компьютеры или другие коммутаторы и концентраторы. Любое устройство, подключенное к одному из портов коммутатора, может взаимодействовать с другими устройствами, подключенными к другим его портам, используя при этом собственные виртуальные частные соединения. В чем заключается отличие коммутаторов от концентраторов или мостов? Когда концентратор получает кадр, он отправляет его по всем своим портам. Когда кадр получает мост, он отравляет его в порт, к которому подключен сетевой сегмент получателя. Когда кадр получает коммутатор, он отправляет его напрямую компьютеру-получателю (или сети получателя), что позвляет уменьшить трафик. На Рисунке 5-28 показана конфигурация сети, в которой компьютеры напрямую подключены к соответствующим коммутаторам.

Рисунок 5-28. Коммутаторы позволяют устройствам взаимодействовать друг с другом посредством собственных виртуальных соединений

В сетях Ethernet компьютеры используют общую сетевую среду. Каждый компьютер должен прослушивать сетевую активность и передавать данные, когда он думает, что сетевая среда свободна. Конфликты и коллизии вызывают задержки трафика и повышают загрузку полосы пропускания. Если используются коммутаторы, конфликты и коллизии перестают быть проблемой, что повышает эффективность использования полосы пропускания и снижает латентность сети. Коммутаторы снижают или полностью устраняют совместное использование сетевой среды, исключая связанные с этим проблемы.

Коммутатор – это многопортовое устройство сопряжения, каждый порт которого предоставляет выделенную полосу пропускания для подключенного к нему устройства. Порт соединяется с другим портом, что позволяет двум устройствам создать частное соединение точка-точка. Коммутатор применяет полнодуплексную связь, одна пара проводов в нем используется для отправки, а другая – для приема. Это позволяет двум подключенным устройствам не соревноваться за использование общей полосы пропускания.

Обычные коммутаторы работают на канальном уровне и пересылают трафик на основе МАС-адресов. Однако на сегодняшний день существуют коммутаторы, работающие на 3, 4 и других уровнях, и обеспечивающие более широкую функциональность, чем коммутаторы 2 уровня. Такие высокоуровневые коммутаторы зачастую обладают функциями маршрутизации, анализа пакетов, приоритезации трафика, функциональностью QoS. Эти коммутаторы называют многоуровневыми (multilayered switch), поскольку они сочетают в себе функциональность канального, сетевого и других уровней.

Многоуровневые коммутаторы обладают большой вычислительной мощностью, что позволяет им глубже анализировать сетевые пакеты, принимать больше решений на основе такого анализа, выполнять маршрутизацию и задачи управления трафиком. Часто такой объем работы приводит к некоторым перегрузкам и задержкам передачи трафика, но многоуровневые коммутаторы выполняют эти действия с помощью ASIC (Application Specific Integrated Circuit – Специализированная интегральная микросхема). Это означает, что большинство функций коммутатора выполняется на аппаратном уровне (в чипе), что значиельно быстрее, чем выполнение этих функций на программном уровне.

Коммутаторы уровней 3 и 4

Интеллектуальности коммутаторов втоорого уровня достаточно только для пересылки кадров на основе МАС-адресов, но они не имеют представления о сети в целом. Коммутаторы третьего уровня обладают интеллектуальностью маршрутизатора. Они не только могут маршрутизировать пакеты на основе их IP-адресов, они также могут выбирать маршруты на основе их доступности и производительности. Коммутаторы третьего уровня – это «продвинутые» маршрутизаторы, т.к. они переводят функции анализа маршрутов на более эффективный аппаратный уровень.

Основным различием между коммутаторами 2, 3 и 4 уровней является информация заголовка, которую они анализируют для принятия решения о пересылке или маршрутизации. Коммутаторы 3 и 4 уровней могут использовать теги, которые связаны с каждой целевой сетью или подсетью. Когда пакет приходит на коммутатор, он сравнивает адрес получателя со своей Базой информации о тегах (Tag Information Base), которая является списком всех подсетей и соответствующих им номеров тегов. Коммутатор добавляет тег к пакету и отправляет его следующему коммутатору. Все коммутаторы между первым (ближайшим к отправителю) коммутатором и узлом получателя просто просматривают информацию о теге для выбора маршрута, а не анализируют весь заголовок. Когда пакет приходит на последний (ближайший к получателю) коммутатор или маршрутизатор, этот тег удаляется и пакет отправляется получателю. Использование тегов увеличивает скорость маршрутизации пакетов от одного места к другому.

Использование такого типа тегов, называемое MPLS (Multiprotocol Label Switching - Мультипротокольная коммутация по меткам), позволяет не только увеличить скорость маршрутизации, но и учесть требования по уровню сервиса для различных типов пакетов. Некоторый чувствительный ко времени трафик (такой как видео-конференции) требует определенного уровня сервиса (QoS), гарантирующего минимальную скорость доставки, которая соответствует требованиям приложения или пользователя. При использовании MPLS, информация о приоритетах указывается в тегах, помогая обеспечить чувствительному ко времени трафику более высокий приоритет, чем всему остальному, как показано на Рисунке 5-29.

Рисунок 5-29. MPLS используется для чувствительного ко времени трафика

Многие компании в настоящее время используют коммутируемые сети, в которых компьютеры подключены к выделенным портам Ethernet-коммутаторов, Gigabit Ethernet-коммутаторов, АТМ-коммутаторов и т.д. Текущий уровень развития коммутаторов, расширение их функциональности, возможности выполнения ими функций повторителей, мостов и маршрутизаторов, сделали коммутаторы важной частью современного сетевого мира.

Поскольку безопасность требует контроля доступа к определенным ресурсам, более интеллектуальные устройства обеспечивают более высокий уровень защиты, т.к. они могут принять больше ориентированных на детали решений о доступе к ресурсам. Если устройство может заглянуть глубже в пакеты, оно может узнать больше информации для принятия решения о возможности предоставления доступа, что обеспечивает более детальный контроль.

Как было указано ранее, использование коммутируемых сетей создает злоумышленникам больше сложностей в части возможного перехвата и мониторинга сетевого трафика, т.к. в таких сетях широковещательная и коллизионная информация не передается постоянно через всю сеть. Коммутаторы, в отличие от других устройств предосавляют также сервисы безопасности. Виртуальные сети (VLAN – Virtual LAN) также являются важной частью коммутируемой сети, поскольку они позволяют администраторам получить больше возможностей для управления сетевой средой. С помощью VLAN’ов можно изолировать пользователей и группы в логичные и управляемые единицы. Виртуальные сети описаны в следующем разделе.

Ссылки по теме:

Технологии в лице коммутаторов позволили реализовать функциональность виртуальных сетей (VLAN). VLAN’ы позволяют администраторам разделить и сгруппировать компьютеры логически, на основе необходимых им ресурсов, безопасности или потребностей бизнеса, вместо стандартной группировки систем на основе их физического размещения, которая применяется при использовании повторителей, мостов и маршрутизаторов. Рисунок 5-30 показывает как компьютеры, физически размещенные рядом друг с другом, могут быть логически сгруппированы в различные VLAN’ы. Администраторы могут сформировать такие группы на основе потребностей пользователей и компании, а не на основе физического расположения систем и ресурсов.

Рисунок 5-30. VLAN’ы позволяют администраторам размещать системы в логических сетях

Администратору может понадобиться, например, разместить компьютеры всех пользователей Департамента маркетинга в одном VLAN. При этом все эти пользователи будут получать одни и те же широковещательные сообщения и смогут использовать одни и те же типы ресурсов. Такое распределение позволяет администратору включить в тот же VLAN несколько пользователей, размещенных в другом здании или на другом этаже. VLAN’ы также позволяют администратору применять различные политики безопасности для различных логических групп. Например, если требуется максимальная безопасность для бухгалтерии, администратор может разработать политику, добавить все бухгалтерские системы в отдельный VLAN и применить к нему эту политику безопасности.

VLAN расположен над физической сетью, как это показано на рисунке 5-31. Если рабочая станция Р1 хочет взаимодействовать с рабочей станцией D1, передаваемые между ними сообщения должны пройти маршрутизацию, даже если эти рабочие станции физически находятся в непосредственной близости друг от друга. Дело в том, что они находятся в разных логических сетях.

Рисунок 5-31. VLAN’ы существуют на более высоком уровне, чем физическая сеть, и не ограничены ей


Термин «шлюз» (gateway) обычно относится к программному обеспечению, запущенному на устройстве, которое объединяет две различных среды, часто работая в качестве транслятора для них, либо некоего ограничителя их взаимодействия. Обычно шлюз требуется в случае, когда объединяемые среды «говорят на разных языках», т.е. одна среда использует протокол, который другая среда не понимает. Шлюз может транслировать пакеты протокола IPX (Internetwork Packet Exchange) в IP-пакеты, принимать почту с почтового сервера одного типа и форматировать ее таким образом, чтобы почтовый сервер другого типа мог принимать и понимать ее, либо соединять и транслировать различные канальные технологии, например, объединить среды FDDI и Ethernet.

Шлюзы выполняют гораздо более сложные задачи, чем сетевые устройства типа маршрутизаторов и мостов. Однако некоторые называют маршрутизаторы шлюзами, если они соединяют две различных сети (например, Token Ring и Ethernet), поскольку маршрутизаторы также могут транслировать технологии канального уровня. Рисунок 5-32 показывает, как функционирует сервер NAS (Network Access Server - Сервер сетевого доступа) в качестве шлюза между телекоммуникационными и сетевыми соединениями.

Рисунок 5-32. В сети может использоваться множество различных типов шлюзов. Один из примеров – NAS.

Если сеть подключена к магистрали, шлюз может транслировать различные технологии и форматы кадров между магистральной сетью и LAN. Если бы между магистралью FDDI и сетью Ethernet был установлен мост, компьютеры в LAN вероятно не смогли бы понять кадры протоколов FDDI. Для такой трансляции протоколов может понадобиться шлюз.

Популярным типом шлюзов являются шлюзы электронной почты. Поскольку многие производители систем электронной почты используют свой собственный синтаксис, формат сообщений и способы их передачи, почтовые шлюзы требуются для преобразования сообщений между различным программным обеспечением почтовых серверов. Предположим, что Дэвид, использующий Sendmail в своей корпоративной сети, пишет электронное письмо Дэну, в корпоративной сети которого используется Microsoft Exchange. Почтовый шлюз конвертирует это сообщение в стандарт, который понимают все почтовые серверы (обычно в Х.400), и отправляет его на почтовый сервер Дэна.

Другим примером шлюза является голосовой и медиа-шлюз. Часто он используется для объединения сетей передачи голоса с сетями передачи данных. Это повышает эффективность, поскольку одна и та же среда может использоваться и для передачи голоса, и для передачи данных. Однако передача голоса осуществляется с помощью потоковых технологий, тогда как данные обычно передаются в виде пакетов. Таким образом, объединенная общая среда может взаимодействовать с двумя различными типами сетей: PSTN телефонных компаний и маршрутизаторами, работающими с пакетными данными в Интернете. Это означает, что шлюз должен разделять голосовую информацию и данные, и преобразовывать их в форму, которую может понять каждая из сетей.

В таблице 5-7 перечислены устройства, рассмотренные нами ранее в разделе «Сетевые устройства», и указаны их важнейшие характеристики.

Таблица 5-7. Различия между сетевыми устройствами

Комментариев нет: