ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопасность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
«юзин ¬ладислав«юзин ¬ладислав

8 минут чтени€

ћеждународна€ организации ISO представл€ет свою уникальную разработку под названием OSI, которой необходимо создать базу дл€ разработки сетевых стандартов.

—етева€ модель TCP/IP контролирует процесс межсетевого взаимодействи€ между компьютерными системами. Ќесмотр€ на это, модель OSI включает в себ€ 7 уровней сетевого взаимодействи€, а модель TCP/IP - 4.

—оотношение уровней модели OSI и TCP/IP

ћежсетевой экран Netfilter определ€ет протоколы Ќекоторые из них могут быть заданы только косвенно.


ѕротоколы сетевого уровн€ и межсетевое экранирование

ƒл€ формировани€ сквозной транспортной системы необходимо предоставить сетевой уровень (Network Layer). ќн определ€ет маршрут передачи данных, преобразует логические адреса и имена в физические; в модели OSI (“аблица 2.1) данный уровень получает дейтаграммы, определ€ет маршрут и логическую адресацию, и направл€ет пакеты в канальный уровень, при этом сетевой уровень прибавл€ет свой заголовок.


ѕротокол IP (Internet Protocol)

ќсновным протоколом €вл€етс€ IP, который имеет две версии: IPv4 и IPv6. ќсновные характеристики протокола IPv4:

  • –азмер адреса узла - 4 байта
  • ¬ заголовке есть поле TTL
  • Ќет гарантии при доставке, что будет правильна€ последовательность
  • ѕакетна€ передача данных.
  • ≈сли превыситс€ максимальный размер дл€ пакета, тогда обеспечиваетс€ его фрагментаци€.

¬ерси€ состо€щее из четырех бит поле, которое содержит в себе номер версии IP протокола (4 или 6).

ƒлина заголовка - состо€щее их 4х бит поле, которое определ€ет размер заголовка пакета.

“ип обслуживани€ поле, которое состоит из 1 байта; на сегодн€шний день не используетс€. ≈го замен€ют на два других:

  1. DSCP, которое делит трафик на классы обслуживани€, размер его составл€ет 6 бит.
  2. ECN - поле, состо€щее из 2 бит, используетс€ в случае, если есть перегрузка при передаче трафика.

—мещение фрагмента используетс€ в случае фрагментации пакета, поле которого равно 13 бит. ƒолжно быть кратно 8.

"¬рем€ жизни" поле, длиной в 1 байт, значение устанавливает создающий IP-пакет узел сети, поле, состо€щее из 1 байта

“ранспорт поле, размером в один байт.

ƒоп. данные заголовка поле, которое имеет произвольную длину в зависимости от содержимого и используетс€ дл€ спец. задач.

ƒанные выравнивани€. ƒанное поле используетс€ дл€ выравнивани€ заголовка пакета до 4 байт.

IP уникальный адрес. јдреса протокола четвЄртой версии имеют длину 4 байта, а шестой 16 байт. IP адреса дел€тс€ на классы (A, B, C). –исунок 2.2. —ети, которые получаютс€ в результате взаимодействи€ данных классов, различаютс€ допустимым количеством возможных адресов сети. ƒл€ классов A, B и C адреса распредел€ютс€ между идентификатором (номером) сети и идентификатором узла сети


ѕротокол ICMP

ѕротокол сетевого уровн€ ICMP передает транспортную и диагностическую информацию.

ƒаже если атакующий компьютер посылает множество ICMP сообщений, из-за которых система примет его за 1 из машин.

“ип поле, которое содержит в себе идентификатор типа ICMP-сообщени€. ќно длиною в 1 байт.

 од поле, размером в 1 байт. ¬ключает в себ€ числовой идентификатор, Internet Header + 64 bits of Original Data Datagram включает в себе IP заголовок и 8 байт данных, которые могут быть частью TCP/UDP заголовка или нести информацию об ошибке.

“ипы ICMP-сообщений, есть во всех верси€х ќ— јльт, и они подраздел€ютс€ на две большие категории.


ѕротоколы транспортного уровн€ и межсетевое экранирование

ѕри ѕ“” правильна€ последовательность прихода данных. ќсновными протоколами этого уровн€ €вл€ютс€ TCP и UDP.


ѕротокол UDP

ќсновные характеристики протокола UDP приведены ниже.

  • ѕростую структура, в отличие от TCP
  • —ведени€ придут неповрежденными, потому что провер€етс€ контрольна€ сумма
  • Ќет гарантии надЄжной передачи данных и правильного пор€дка доставки UDP-пакетов

ѕоследнее утверждение нельз€ рассматривать как отрицательное свойство UDP. ѕоддержка протокола не контролирует доставку пакетов, значит передача данных быстрее, в отличие от TCP.

UDP-пакеты €вл€ютс€ пользовательскими дейтаграммами и имеют точный размер заголовка 8 байт.

јдрес порта источника - поле, размером 16 бит, с є порта.

јдрес порта пункта назначени€ - поле, размером 16 бит, в котором есть адрес порта назначени€.

ƒлина - размером 16 бит. ќно предназначено дл€ хранени€ всей длины дейтаграммы пользовател€ и заголовка данных.

 онтрольна€ сумма. ƒанна€ €чейка обнаруживаетс€ всею пользовательскую дейтаграмму.

¬ UDP контрольна€ сумма состоит из псевдозаголовока, заголовка и данных, поступивших от прикладного уровн€.

ѕсевдозаголовок это часть заголовка IP-пакета, в котором дейтаграмма пользовател€ закодирована в пол€, в которых наход€тс€ 0.

ѕередающее устройство может вычисл€ет итоговую сумму за восемь шагов:

  1. ѕо€вл€етс€ псевдозаголовок в дейтаграмме.
  2. ¬ поле  — по итогу ставитс€ 0.
  3. Ќужно посчитать число байтов. ≈сли четное тогда в поле заполнени€ мы пишем 1 байт (все нули).
  4.  онечный результат - вычисление контрольной суммы и его удаление.
  5. —кладываютс€ все 16-битовых секций и дополн€ютс€ 1.
  6. ƒополнение результата. ƒанное число и есть контрольна€ сумма
  7. ”бираетс€ псевдозаголовка и всех дополнений.
  8. ѕередача UDP-сегмента к IP программному обеспечению дл€ инкапсул€ции.

ѕриемник вычисл€ет контрольную сумму в течение 6 шагов:

  1. ѕрописываетс€ псевдозаголовок к пользовательской дейтаграмме UDP.
  2. ≈сли надо, то дополн€етс€ заполнение.
  3. ¬се биты дел€тс€ на 16-битовые секции.
  4. —кладываетс€ все 16-битовых секций и дополн€ютс€ 1.
  5. ƒополнение результата.
  6.  огда результат = нулю, убираетс€ псевдозаголовок и дополнени€, и получает UDP-дейтаграмму только семь б. ќднако, если программа выдает иной рез., пользовательска€ дейтаграмма удал€етс€. „тобы передать данные - инкапсулируетс€ пакет.

¬ хосте пункта назначени€ биты декодируютс€ и отправл€ютс€ к звену данных. ѕоследний использует заголовок дл€ проверки данных, заголовок и окончание убираютс€, если все правильно, а дейтаграмма передаетс€ IP. ѕќ делает свою проверку.  огда будет все правильно, заголовок убираетс€, и пользовательска€ дейтаграмма передаетс€ с адресами передатчика и приемника. UDP считает контрольную сумму дл€ проверки . ≈сли и в этот раз все верно, тогда оп€ть заголовок убираетс€, и прикладные данные передаютс€ процессу.


ѕротокол TCP

“ранспортный адрес заголовка IP-сегмента равен 6 (“аблица 2.2). ѕротокол TCP совсем другой, в отличие от протокола UDP. UDP добавл€ет свой собственный адрес к данным, которые €вл€ютс€ дейтаграммой, и прибавл€ет ее IP дл€ передачи.

TCP образует виртуальное соединение между хостами, что разрешает передавать и получать данные как поток байтов.

“акже добавл€етс€ заголовок перед передачей пакету —”.

ѕорт источника и порт приемника пол€ размером по 16 бит. ¬ нем есть номер порта службы источника.

Ќомер в последовательности поле размером в 32 бита, содержит в себе номер кадра TCP-пакета в последовательности.

Ќомер подтверждени€ поле длиной в 32 бита, индикатор успешно прин€тых предыдущих данных.

—мещение данных поле длиной в 4 бита (длина заголовка + смещение расположени€ данных пакета.

Ѕиты управлени€ поле длиной 6 бит, содержащее в себе различные флаги управлени€.

–азмер окна поле размером 16 бит, содержит в себе размер данных в байтах, их принимает тот, кто отправил данный пакет. ћакс.значение размера окна - 40967байт.

 онтр. сумма поле размером 16 бит, содержит в себе значение всего TCP-сегмента

”казатель поле размером 16 бит, которое используетс€, когда устанавливаетс€ флаг URG. »ндикатор количества пакетов особой важности.

ќпции - поле произв. длины, размер которого зависит от данных наход€щихс€ в нЄм.

„тобы повысить пропускную функцию канала, необходим способ "скольз€щего окна". Ќеобходимы только пол€ заголовка TCP-сегмента: "Window". ¬месте с данным полем можно отправл€ть максимальное количество байт данных.


 лассификаци€ межсетевых экранов

ћежсетевые экраны не позвол€ют проникнуть несанкционированным путем, даже если будет использоватьс€ незащищенныеместа, которые есть в протоколах “—–/IP.

Ќынешние ћЁ управл€ют потоком сетевого трафика между сет€ми с различными требовани€ми к безопасности. ≈сть несколько типов ћЁ. „тобы их сравнить, нужно с точностью указать все уровни модели OSI, которые он может просчитать. ћЁ работают на всех уровн€х модели OSI.


ѕакетные фильтры

»значально сделанный тип ћЁ и есть пакетный фильтр. ѕ‘ - часть маршрутизаторов, которые могут быть допущены к разным сист.адресам.

ѕ‘ читают информацию заголовков пакетов 3-го и 4-го уровней.

ѕ‘ примен€етс€ в таких разделай сетевой инфраструктуры, как:

  • пограничные маршрутизаторы;
  • ос;
  • персональные ћЁ.

ѕограничные роутеры

√лавным приоритетом ѕ‘ €вл€етс€ скорость. “акже пф ограничивать доступ при DoS-атаки. ѕоэтому данные пф встроены в большинство роутеров.

ѕреимущества пф:

  • ѕф доступен дл€ всех, так как остаетс€ в целостности “—–-соединение.

Ќедостатки пакетных фильтров:

  • ѕфпропускают данные с высших уровней
  • ћЁ имеет доступ не ко всей информации
  • Ѕольшинство пф не аутентифицируют пользовател€.

ƒл€ исход€щего и вход€щего трафика происходит фильтраци€.


ћЁ анализирующие состо€ние сессии

“акие ћЁ €вл€ютс€ пакетными фильтрами, которые считывают сохран€емый пакет 4-го уровн€ OSI.

ѕлюсы ћЁ четвертого уровн€:

  • »нформацию могут узнать только установленные соединени€
  • ѕф доступен дл€ всех, остаетс€ в целостности “—–-соединение

ѕрокси-сервер прикладного уровн€

≈сли примен€ть ћЁ ѕ”, тогда нам не потребуетс€ устройство, чтобы выполнить маршрутизацию.

ѕрокси-сервер, анализирующий точный протокол ѕ”, называетс€ агентом прокси.

“акой ћЁ имеют много преимуществ.

ѕлюсы прокси-сервера ѕ”:

  • ѕрокси требует распознавание пользовател€
  • ћЁ ѕ” проанализирует весь сетевой пакет.
  • ѕрокси ѕ” создают детальные логи.

ћинусы прокси-сервера ѕ”:

  • ћЁ использует больше времени при работе с пакетами
  • рикладные прокси работают не со всеми сетевыми приложени€ми и протоколами

¬ыделенные прокси-серверы

Ёти прокси-серверы считывают трафик определенного прикладного протокола и не анализируют его полностью.

ѕрокси-серверы нужны дл€ сканировани€ web и e-mail содержимого:

  • отсеивание Java-приложений;
  • отсеивание управлений ActiveX;
  • отсеивание JavaScript;
  • уничтожение вирусов;
  • блокирование команд, определенных дл€ приложений и пользовател€, вместе с блокирование нескольких типов содержимого дл€ точных пользователей.