img

Протоколы сети Интернет и межсетевое экранирование

Международная организации ISO представляет свою уникальную разработку под названием OSI, которой необходимо создать базу для разработки сетевых стандартов.

Сетевая модель TCP/IP контролирует процесс межсетевого взаимодействия между компьютерными системами. Несмотря на это, модель OSI включает в себя 7 уровней сетевого взаимодействия, а модель TCP/IP - 4.

Соотношение уровней модели OSI и TCP/IP

Межсетевой экран Netfilter определяет протоколы Некоторые из них могут быть заданы только косвенно.


Протоколы сетевого уровня и межсетевое экранирование

Для формирования сквозной транспортной системы необходимо предоставить сетевой уровень (Network Layer). Он определяет маршрут передачи данных, преобразует логические адреса и имена в физические; в модели OSI (Таблица 2.1) данный уровень получает дейтаграммы, определяет маршрут и логическую адресацию, и направляет пакеты в канальный уровень, при этом сетевой уровень прибавляет свой заголовок.


Протокол IP (Internet Protocol)

Основным протоколом является IP, который имеет две версии: IPv4 и IPv6. Основные характеристики протокола IPv4:

  • Размер адреса узла - 4 байта
  • В заголовке есть поле TTL
  • Нет гарантии при доставке, что будет правильная последовательность
  • Пакетная передача данных.
  • Если превысится максимальный размер для пакета, тогда обеспечивается его фрагментация.

Версия состоящее из четырех бит поле, которое содержит в себе номер версии IP протокола (4 или 6).

Длина заголовка - состоящее их 4х бит поле, которое определяет размер заголовка пакета.

Тип обслуживания поле, которое состоит из 1 байта; на сегодняшний день не используется. Его заменяют на два других:

  1. DSCP, которое делит трафик на классы обслуживания, размер его составляет 6 бит.
  2. ECN - поле, состоящее из 2 бит, используется в случае, если есть перегрузка при передаче трафика.

Смещение фрагмента используется в случае фрагментации пакета, поле которого равно 13 бит. Должно быть кратно 8.

"Время жизни" поле, длиной в 1 байт, значение устанавливает создающий IP-пакет узел сети, поле, состоящее из 1 байта

Транспорт поле, размером в один байт.

Доп. данные заголовка поле, которое имеет произвольную длину в зависимости от содержимого и используется для спец. задач.

Данные выравнивания. Данное поле используется для выравнивания заголовка пакета до 4 байт.

IP уникальный адрес. Адреса протокола четвёртой версии имеют длину 4 байта, а шестой 16 байт. IP адреса делятся на классы (A, B, C). Рисунок 2.2. Сети, которые получаются в результате взаимодействия данных классов, различаются допустимым количеством возможных адресов сети. Для классов A, B и C адреса распределяются между идентификатором (номером) сети и идентификатором узла сети


Протокол ICMP

Протокол сетевого уровня ICMP передает транспортную и диагностическую информацию.

Даже если атакующий компьютер посылает множество ICMP сообщений, из-за которых система примет его за 1 из машин.

Тип поле, которое содержит в себе идентификатор типа ICMP-сообщения. Оно длиною в 1 байт.

Код поле, размером в 1 байт. Включает в себя числовой идентификатор, Internet Header + 64 bits of Original Data Datagram включает в себе IP заголовок и 8 байт данных, которые могут быть частью TCP/UDP заголовка или нести информацию об ошибке.

Типы ICMP-сообщений, есть во всех версиях ОС Альт, и они подразделяются на две большие категории.


Протоколы транспортного уровня и межсетевое экранирование

При ПТУ правильная последовательность прихода данных. Основными протоколами этого уровня являются TCP и UDP.


Протокол UDP

Основные характеристики протокола UDP приведены ниже.

  • Простую структура, в отличие от TCP
  • Сведения придут неповрежденными, потому что проверяется контрольная сумма
  • Нет гарантии надёжной передачи данных и правильного порядка доставки UDP-пакетов

Последнее утверждение нельзя рассматривать как отрицательное свойство UDP. Поддержка протокола не контролирует доставку пакетов, значит передача данных быстрее, в отличие от TCP.

UDP-пакеты являются пользовательскими дейтаграммами и имеют точный размер заголовка 8 байт.

Адрес порта источника - поле, размером 16 бит, с № порта.

Адрес порта пункта назначения - поле, размером 16 бит, в котором есть адрес порта назначения.

Длина - размером 16 бит. Оно предназначено для хранения всей длины дейтаграммы пользователя и заголовка данных.

Контрольная сумма. Данная ячейка обнаруживается всею пользовательскую дейтаграмму.

В UDP контрольная сумма состоит из псевдозаголовока, заголовка и данных, поступивших от прикладного уровня.

Псевдозаголовок это часть заголовка IP-пакета, в котором дейтаграмма пользователя закодирована в поля, в которых находятся 0.

Передающее устройство может вычисляет итоговую сумму за восемь шагов:

  1. Появляется псевдозаголовок в дейтаграмме.
  2. В поле КС по итогу ставится 0.
  3. Нужно посчитать число байтов. Если четное тогда в поле заполнения мы пишем 1 байт (все нули).
  4. Конечный результат - вычисление контрольной суммы и его удаление.
  5. Складываются все 16-битовых секций и дополняются 1.
  6. Дополнение результата. Данное число и есть контрольная сумма
  7. Убирается псевдозаголовка и всех дополнений.
  8. Передача UDP-сегмента к IP программному обеспечению для инкапсуляции.

Приемник вычисляет контрольную сумму в течение 6 шагов:

  1. Прописывается псевдозаголовок к пользовательской дейтаграмме UDP.
  2. Если надо, то дополняется заполнение.
  3. Все биты делятся на 16-битовые секции.
  4. Складывается все 16-битовых секций и дополняются 1.
  5. Дополнение результата.
  6. Когда результат = нулю, убирается псевдозаголовок и дополнения, и получает UDP-дейтаграмму только семь б. Однако, если программа выдает иной рез., пользовательская дейтаграмма удаляется. Чтобы передать данные - инкапсулируется пакет.

В хосте пункта назначения биты декодируются и отправляются к звену данных. Последний использует заголовок для проверки данных, заголовок и окончание убираются, если все правильно, а дейтаграмма передается IP. ПО делает свою проверку. Когда будет все правильно, заголовок убирается, и пользовательская дейтаграмма передается с адресами передатчика и приемника. UDP считает контрольную сумму для проверки . Если и в этот раз все верно, тогда опять заголовок убирается, и прикладные данные передаются процессу.


Протокол TCP

Транспортный адрес заголовка IP-сегмента равен 6 (Таблица 2.2). Протокол TCP совсем другой, в отличие от протокола UDP. UDP добавляет свой собственный адрес к данным, которые являются дейтаграммой, и прибавляет ее IP для передачи.

TCP образует виртуальное соединение между хостами, что разрешает передавать и получать данные как поток байтов.

Также добавляется заголовок перед передачей пакету СУ.

Порт источника и порт приемника поля размером по 16 бит. В нем есть номер порта службы источника.

Номер в последовательности поле размером в 32 бита, содержит в себе номер кадра TCP-пакета в последовательности.

Номер подтверждения поле длиной в 32 бита, индикатор успешно принятых предыдущих данных.

Смещение данных поле длиной в 4 бита (длина заголовка + смещение расположения данных пакета.

Биты управления поле длиной 6 бит, содержащее в себе различные флаги управления.

Размер окна поле размером 16 бит, содержит в себе размер данных в байтах, их принимает тот, кто отправил данный пакет. Макс.значение размера окна - 40967байт.

Контр. сумма поле размером 16 бит, содержит в себе значение всего TCP-сегмента

Указатель поле размером 16 бит, которое используется, когда устанавливается флаг URG. Индикатор количества пакетов особой важности.

Опции - поле произв. длины, размер которого зависит от данных находящихся в нём.

Чтобы повысить пропускную функцию канала, необходим способ "скользящего окна". Необходимы только поля заголовка TCP-сегмента: "Window". Вместе с данным полем можно отправлять максимальное количество байт данных.


Классификация межсетевых экранов

Межсетевые экраны не позволяют проникнуть несанкционированным путем, даже если будет использоваться незащищенныеместа, которые есть в протоколах ТСР/IP.

Нынешние МЭ управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. Есть несколько типов МЭ. Чтобы их сравнить, нужно с точностью указать все уровни модели OSI, которые он может просчитать. МЭ работают на всех уровнях модели OSI.


Пакетные фильтры

Изначально сделанный тип МЭ и есть пакетный фильтр. ПФ - часть маршрутизаторов, которые могут быть допущены к разным сист.адресам.

ПФ читают информацию заголовков пакетов 3-го и 4-го уровней.

ПФ применяется в таких разделай сетевой инфраструктуры, как:

  • пограничные маршрутизаторы;
  • ос;
  • персональные МЭ.

Пограничные роутеры

Главным приоритетом ПФ является скорость. Также пф ограничивать доступ при DoS-атаки. Поэтому данные пф встроены в большинство роутеров.

Преимущества пф:

  • Пф доступен для всех, так как остается в целостности ТСР-соединение.

Недостатки пакетных фильтров:

  • Пфпропускают данные с высших уровней
  • МЭ имеет доступ не ко всей информации
  • Большинство пф не аутентифицируют пользователя.

Для исходящего и входящего трафика происходит фильтрация.


МЭ анализирующие состояние сессии

Такие МЭ являются пакетными фильтрами, которые считывают сохраняемый пакет 4-го уровня OSI.

Плюсы МЭ четвертого уровня:

  • Информацию могут узнать только установленные соединения
  • Пф доступен для всех, остается в целостности ТСР-соединение

Прокси-сервер прикладного уровня

Если применять МЭ ПУ, тогда нам не потребуется устройство, чтобы выполнить маршрутизацию.

Прокси-сервер, анализирующий точный протокол ПУ, называется агентом прокси.

Такой МЭ имеют много преимуществ.

Плюсы прокси-сервера ПУ:

  • Прокси требует распознавание пользователя
  • МЭ ПУ проанализирует весь сетевой пакет.
  • Прокси ПУ создают детальные логи.

Минусы прокси-сервера ПУ:

  • МЭ использует больше времени при работе с пакетами
  • рикладные прокси работают не со всеми сетевыми приложениями и протоколами

Выделенные прокси-серверы

Эти прокси-серверы считывают трафик определенного прикладного протокола и не анализируют его полностью.

Прокси-серверы нужны для сканирования web и e-mail содержимого:

  • отсеивание Java-приложений;
  • отсеивание управлений ActiveX;
  • отсеивание JavaScript;
  • уничтожение вирусов;
  • блокирование команд, определенных для приложений и пользователя, вместе с блокирование нескольких типов содержимого для точных пользователей.
Ссылка
скопирована
Получите бесплатные уроки на наших курсах
Все курсы
Сети
Скидка 25%
Основы сетевых технологий
Стань сетевиком с нуля за 2 месяца. Веселая и дружелюбная подача информации с эмуляцией реальных задач.
Получи бесплатный
вводный урок!
Пожалуйста, укажите корректный e-mail
отправили вводный урок на твой e-mail!
Получи все материалы в telegram и ускорь обучение!
img
Еще по теме:
img
В начале 2000-х, когда идея мессенджеров только формировалась, расширяемый протокол обмена сообщениями и информацией о присутств
img
Задержка в сети, или сетевая задержка, - это временная задержка при передаче запросов или данных от источника к адресату в сетев
img
Система доменных имен (DNS – Domain Name System) обеспечивает сетевую коммуникацию. DNS может показаться какой-то невидимой сило
img
Wi-Fi это технология, которая использует радиоволны для отправки и получения сигналов от находящихся поблизости устройств, чтобы
img
BGP (Border Gateway Protocol) - это протокол граничного шлюза, предназначенный для обмена информацией о маршрутизации и доступно
img
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до се
ЗИМНИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59