Файл: Защита сетевой инфраструктуры предприятия (Основные протоколы в сети передачи данных).pdf

ВВЕДЕНИЕ

Сегодня, развитие информационных технологий позволяет передавать большой объём информации на огромные расстояния, что позволяет упростить обмен данными между организациями и отделами внутри одной компании. Но упрощения обмена информацией накладывает определенные риски, связанные с безопасностью передаваемых данных. Главным компонентом, используемым для обмена данными, является сетевая инфраструктура предприятия. Часто организации не уделяют должного внимания проектировки и обслуживанию сетевой инфраструктуры.

Цель моей работы рассмотреть пример сетевой инфраструктуры предприятия, которая будет соответствовать современным требования по безопасности и управляемости.

Сеть передачи данных предприятия АО «Новый регистратор» состоит из центрального узла и большого количества региональных филиалов и мобильных сотрудников. АО «Новый регистратор» ведет деятельность по регистрации акционерных обществ, а это значит, что оно хранит и обрабатывает персональные данные пользователей, что накладывает большие ограничения на сетевую инфраструктуру, эти ограничения регулируется федеральным законом от 27.07.2006 N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» и требованиями ФСТЭК России.

1. Описание основных сетевых протоколов, типы оборудования и иерархия в сети

В этой части работы мы подробнее рассмотрим технологии и стандарты с помощью которых будем описывать сетевую инфраструктуру АО «Новый регистратор» их можно условно разделить на несколько групп, отвечающие за безопасность, передачу данных и прикладной уровень.

1.1 Основные протоколы в сети передачи данных

Рассмотрим группу протоколов и технологий для передачи данных. Для удобства описания взаимодействия работы сетевых протоколов используется базовая эталонная модель Open Systems Interconnection (OSI) [1].

Модель OSI – представляет собой концептуальную модель, описывающие и стандартизирующие протоколы и сетевые системы без учета лежащих в их основе внутренней структуры и технологий. Её целью является совместимость разных систем по стандартным протоколам. В модели OSI присутствуют 7 различных уровней. Каждый уровень модели OSI, взаимодействует только со своим уровнем, горизонтальная связь, или с уровнем выше/ниже, вертикальная связь, например, сетевой уровень не может напрямую работать с прикладным, для взаимодействия он сначала инкапсулирует данные в сегмент и предает его на уровень выше, транспортный уровень, и т.д. Это справедливо и для обратного взаимодействия, прикладной уровень сначала инкапсулирует данные и передает их на уровень ниже, так происходит до тех пор, пока данные не достигнут сетевого уровня. Так как модель OSI появилась достаточно поздно, то к моменту ее появления уже была модель TCP/IP (рисунок 1.1), которая основана названа в честь самых распространённых протоколов, первые три уровня модели TCP/IP соответствуют первым уровням модели OSI, а прикладной уровень TCP/IP содержит в себе 3 уровня модели OSI, так же в модели TCP/IP физический и канальный соединены в один уровень. Сетевые

инженеры используют только первые 4 уровня модели OSI. Этого достаточно для организации работы сети.

Рисунок 1.1 – Модель OSI

Построение сети осуществляется с выбора среды передачи данных, первый уровень модели OSI. Существуют два типа среды передачи данных проводной и беспроводной (рисунок 1.2).

В корпоративной сети чаще всего используется проводные: витая пара и оптоволоконный кабель и беспроводные: Wi-Fi.

Витая пара – кабель связи, состоящий из нескольких пар проводников, скрученных между собой и покрытых изолирующей оболочкой, существует разделение витой пары по категориям и по наличию экранирования. Для организации локальной сети на предприятиях чаще всего используют неэкранированный кабель категории 5e, данный кабель обеспечивает передачу данных на скоростях до 1000 Мбит/с. Данные вид кабеля обладает простотой установки, большой ремонтопригодностью, но имеет ограничения на максимальную длину участка между сетевыми устройствами 100 м.

Рисунок 1.2 – Типы сред передачи данных

Оптоволоконный кабель – кабель, состоящий из волоконных световодов, предназначенный для передачи оптических сигналов. Типы и отличия оптоволоконных кабелей. На предприятиях редко использую оптоволоконный кабель для подключения сетевых устройств, но бывают исключения так как оптоволоконный кабель обладает лучшей помехозащищённостью, а длина прямого участка кабеля может достигать до 400 км, что позволяет подключить близстоящие здания в одну общую сеть. Так же пока развитие витой пары не позволило делать кабели для высокоскоростной передачи, оптоволоконные кабели использовались для коммутации систем хранения данных и высоконагруженных систем. Оптоволоконный кабель распространён у операторов связи, где он реализует свою главную особенность это большие расстояния, на которые можно передать сигнал.

Wi-Fi – группа стандартов IEEE 802.11 [6]. Это беспроводной стандарт передачи данных, работает на частотах 0,9, 2,4, 3,6 и 5 ГГц. В корпоративных сетях используется для мобильных пользователей в офисе и гостевого доступа в сеть интернет, либо для построения беспроводных мостов на здания в пределах прямой видимости. Так как у беспроводной передачи есть проблемы с безопасностью, в части защиты от несанкционированного подключения, чего лишены проводные сети, не рекомендуется предоставлять доступ к важным данным из беспроводной сети.

В качестве протокола канального уровня будет использоваться семейство стандартов Ethernet IEEE 802.3 [6]. Семейство Ethernet описывает сразу два уровня модели OSI, канальный и физический. Так же на втором уровне модели OSI мы будем использовать стандарт IEEE 802.1Q [6], сетевой стандарт, который добавляет поддержку виртуальных локальных сетей VLAN в сети Ethernet. Данный протокол добавляет новый тег в заголовок кадра, который позволяет указать принадлежность кадра определенному VLAN. Структуру обычного кадра и кадра с заголовком 802.1Q можно увидеть на рисунке 1.3. Стоит обратить внимание на поля Destination MAC и Source MAC, они содержат адреса канального уровня, адрес получателя и адрес отправителя соответственно, сам MAC адрес – это уникальный адрес каждого сетевого устройства состоит из 48 бит и обычно записывается в виде 16-го числа.

Рисунок 1.3 – Сравнение кадров Ethernet и 802.1q

Заканчивая со вторым уровнем модели OSI, необходимо сказать о устройствах, которые работают на данном уровне – коммутаторах. Коммутатор предназначен для соединения нескольких сетевых узлов.

Принцип работы коммутатора основывается на передаче кадров, при получении кадра, коммутатор смотрит поле заголовка кадра, где указан Destination MAC, если такой адрес есть в таблице коммутации, то кадр передается на порт, указанный в это таблице, если такой записи нет, то осуществляется широковещательная рассылка кадра на все порты, за исключением порта в который пришел данный кадр, так же коммутатор запоминает Source MAC из поступившего кадра и вносит его в таблицу коммутации. Пример вывода таблицы коммутации на рисунке 1.4.

Рисунок 1.4 – Таблица коммутации

Существует два основных типа коммутаторов первый это управляемые коммутаторы второй не управляемые, отличия как нетрудно догадаться в том, что первые коммутаторы можно настраивать, он поддерживает различные протоколы канального уровня, например, 802.1Q, STP, и др. что позволяет производить гибкую настройку и увеличивает безопасность от атак канального уровня, неуправляемые коммутаторы не имеют возможности настройки сетевым инженером, какие-то протоколы или функции могут быть включены в прошивку устройства на заводе-производителе, такие коммутаторы обычно дешевле и их использование оправдывает себя при массовых однотипных подключениях.

Сетевой уровень модели OSI, здесь располагаются протоколы IP и маршрутизации, маршрутизаторы, QoS. Он оперирует пакетами, основным протоколом, работающим на данном уровне, является протокол IP.

Протокол IP – основной сетевой протокол, который определяет адресацию устройств в сети Интернет. Сейчас существует две версии данного протокола IPv4 [7] и IPv6, протокол IPv6 был создан для того что бы полностью заменить протокол IPv4, так как при создании протокола IPv4 люди не рассчитывали на стремительный рост сети Интернет, и количество доступных адресов в протоколе IPv4. Каждое устройство в сети имеет IP адрес, это 32-х битный адрес который записывается в десятичном виде, при этом разбивается на 4 октета, пример 192.168.1.1. Структура IP пакета представлена на рисунке 1.5. Он чем-то напоминает кадр канального уровня, здесь так же есть поля где указаны адрес получателя и отправителя.

Рисунок 1.5 – Заголовки IP

Маршрутизатор – это устройство, предназначенное для объединения сегментов сети и служит для передачи пакетов между ними на основании каких-либо правил. Маршрутизатор работает на 3 уровне модели OSI. Одной из самых важных задач маршрутизаторов является выбор оптимального маршрута передачи пакетов между подключенными сетями. Причем сделать это необходимо максимально оперативно с минимальной временной задержкой. Одновременно с этим должна отслеживаться текущая обстановка в сети для исключения из возможных путей доставки перегруженные и поврежденные участки. Практически все маршрутизаторы используют в своей работе таблицы маршрутизации. Это базы данных, которые содержат информацию обо всех возможных маршрутах передачи пакетов с некоторой дополнительной информацией, которая берется в расчет при выборе оптимального варианта доставки. Это может быть загруженность, полоса пропускания или приоритет, который указывает сетевой инженер, в работе маршрутизатора заполнение таблиц маршрутизации может осуществляться вручную, статическая маршрутизация, либо автоматическая заполнение таблиц, это относиться в первую очередь к сетям, которые он подключен напрямую и во вторую это использование протоколов динамической маршрутизации.

Протоколы маршрутизации – это протоколы которые использует маршрутизатор для выбора маршрута к различным сегментам сети, их используют для уменьшения ошибок при заполнении маршрутов вручную и для автоматического перестроение таблиц маршрутизации при изменении состояния сети, например, недоступность канал до одного из маршрутизаторов.

Существуют различные классификации протоколов маршрутизации, первые по алгоритму маршрутизации, вторые по области применения.

Есть два типа алгоритма расчета маршрутизации, дистанционно- векторные протоколы, такие как RIP, EIGRP и протоколы состояния каналов связи, основной протокол OSPF так же существует протокол IS-IS.

В алгоритмах дистанционно-векторного типа каждый маршрутизатор периодически и широковещательно рассылает по сети вектор, компонентами которого являются расстояния от данного маршрутизатора до всех известных ему сетей. Под расстоянием обычно понимается число транзитных узлов. Метрика может быть и иной, учитывающей не только число промежуточных маршрутизаторов, но и время прохождения пакетов между соседними маршрутизаторами или надежность путей.

Получив вектор от соседа, маршрутизатор увеличивает расстояние до указанных в нем сетей на длину пути до данного соседа и добавляет к нему информацию об известных ему других сетях, о которых он узнал непосредственно (если они подключены к его портам) или из аналогичных объявлений других маршрутизаторов, а затем рассылает новое значение вектора по сети. В конце концов, каждый маршрутизатор узнает информацию обо всех имеющихся в объединенной сети сетях и о расстоянии до них через соседние маршрутизаторы.

Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В крупных же они загружают линии связи интенсивным широковещательным трафиком. Изменения конфигурации отрабатываются по этому алгоритму не всегда корректно, так как маршрутизаторы не имеют точного представления о топологии связей в сети, а располагают только обобщенной информацией — вектором расстояний, — к тому же полученной через посредников. Работа маршрутизатора в соответствии с дистанционно- векторным протоколом напоминает работу моста, так как точной топологической картины сети такой маршрутизатор не имеет [1].

Протоколы состояния каналов позволяют каждому маршрутизатору получить достаточную информацию для построения точного графа связей сети. Все маршрутизаторы работают на основании одинаковых графов, в результате процесс маршрутизации оказывается более устойчивым к изменениям конфигурации. «Широковещательная» рассылка (т. е. передача пакета всем ближайшим соседям маршрутизатора) производится здесь только при изменениях состояния связей, что в надежных сетях происходит не так часто. Вершинами графа являются как маршрутизаторы, так и объединяемые ими сети. Распространяемая по сети информация состоит из описания связей различных типов: маршрутизатор-маршрутизатор, маршрутизатор-сеть.

Для того чтобы понять, в каком состоянии находятся линии связи, подключенные к его портам, маршрутизатор периодически обменивается короткими пакетами HELLO со своими ближайшими соседями. Этот служебный трафик также засоряет сеть, но не в такой степени, как, например, пакеты RIP, так как пакеты HELLO имеют намного меньший объем.

QoS – под этим термином обычно подразумевают способность сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках. Необходимый сервис описывается многими параметрами, самые часто используемые это:

• Bandwidth (BW) - полоса пропускания, описывает номинальную пропускную способность среды передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (kbps), mbit/s (mbps).
• Delay - задержка при передаче пакета.
• Jitter - колебание (вариация) задержки при передаче пакетов.
• Packet Loss – потери пакетов. Определяет количество пакетов, отбрасываемых сетью во время передачи.

Чаще всего для описания пропускной способности канала проводят аналогию с водопроводной трубой. В ее рамках Bandwidth – это ширина трубы, а Delay – длина (рисунок 1.6).