Архитектурная безопасность

1. Введение

Интернет представляет собой сообщество сетей, не имеющих  единого централизованного управления и средств обеспечения и контроля качества сервисов (услуг). Каждая из участвующих  или подключенных сетей является единственно ответственной за обеспечение всех доступных сервисов и, в частности, безопасности. Провайдеры услуг, частные операторы сетей, пользователи и поставщики оборудования и программных средств все вместе ответственны за обеспечение функционирования системы. Это в свою очередь накладывает своеобразный отпечаток на систему стандартизации в Интернет и обеспечение безопасности в Интернет, а также внедрение и использование сервисов безопасности.

Правила функционирования Интернет, наподобие правил этикета, являются волюнтаристскими (произвольными) и добровольными (непринудительными) до тех пор, пока они не противоречат национальным законам. В свою очередь, различие или даже отсутствие законов, регулирующих сферу существования Интернет, в разных странах, делает невозможным установление обязательных правил функционирования и использования Интернет.

2. Система стандартизации  в Интернет

Поскольку стандартизация - довольно дорогостоящая процедура, в настоящее время в области  Интернет, телекоммуникаций и сетевых  информационных технологий (СИТ) используются стандарты, разработанные и выпущенные различными органами стандартизации, как международными (ISO, IEEE, ICTT, ECMA, IETF ISOC), так и национальными (ANSI), а также так называемые стандарты де-факто, внедряемые крупными производителями и группами производителей в составе продукции или работающих систем.

Вся система  стандартизации направлена на текущие  и перспективные потребности  рынка ИТ. Причем международной стандартизации подвергаются только важнейшие и  наиболее концептуальные вопросы и технологии. Большинство стандартов используются в оригинальном виде или гармонизируются (переводятся, и согласовывается терминология).

Система стандартизации в Интернет имеет своеообразную  структуру, носящей отпечаток того периода, когда Интернет развивалась, как научная сеть. Основные стандарты проходят путь через их первую версию, называемую RFC (Request For Comment - документ, предложенный для обсуждения), которая принимается Техническим Комитетом (IETF - Internat Engineering Task Force) при Обществе Интернет (ISOC - Internet Society), и начинают работать, как стандарты Интернет, а затем они могут приниматься IEEE или ISO (International Standard Organization).

В настоящее  время опубликовано более 1900 RFC, которые  стандартизуют все вопросы касающиеся применяемых в Интернет протоколов различных уровней модели ВОС (Взаимодействия Открытых Систем), операционных систем, приложений, систем обеспечения безопасности, представления и преобразования данных и информации. RFC могут иметь различный статус или версию: экспериментальный, для информации, проект, предложение и статус принятого стандарта Интернет.

Наиболее важные вопросы регламентируются стандартами ISO после их промышленной апробации. Если стандарты Интернет ориентированы  на применение в среде сетей Интернет, то стандарты ISO, как правило, покрывают вопросы межсетевого взаимодействия или актуальные для множества существующих сетей и технологий и ориентированы на широкое промышленное применение.

ISO стандартизована  Модель Взаимодействия Открытых  Систем (ВОС). К важнейшим вопросам стандартизации ISO относятся интерфейсы, форматы данных, национальные шрифты и кодировки, протоколы взаимодействия открытых систем, протоколы маршрутизации.

IEEE стандартизованы  интерфейсы локальных вычислительных  сетей (ЛВС, LAN - Local Area Network) IEEE 802.3 (Ethernet), IEEE 802.4 (MAP или Token Bus), IEEE 802.5 (Token Ring), форматы данных и протоколы уровня данных др.

Большую группу стандартов, применяемых в телекоммуникационных сетях, составляют стандарты Международного Телекоммуникационного Союза (ITU-Т - International Telecommunication Union, Telecommunications Standardization Sector, в прошлом МКТТ) групп RS, V, X, которые относятся к различным уровням модели ВОС. Наиболее известными среди них являются стандарты, определяющие интерфейсы физического уровня RS-232C, RS-580, RS-485, RS-422, интерфейсы уровней данных V.21, V.32, V.35, X.21, X.25, X.75, а также группы стандартов, определяющих протоколы и услуги прикладного уровня: X.400 (система электронной почты, использующая функции почтового агента в структутре Клиент/Сервер); X.500 (распределенная служба директорий), которая также включает стандарт Х.509, описывающий системы обмена открытыми ключами; Х.700 (протоколы управления телекоммуникационными сетями), Х.800 (архитектура безопасности для открытых сетей передачи данныхв соответствии с моделью ВОС).

3. Архитектура сетей  на основе протоколов TCP/IP (Интернет)

3.1. Группа протоколов TCP/IP

Группа протоколов TCP/IP, являющаяся базовой для построения глобальной сети Internet, была разработана в в ходе работ, финансированных Министерством обороны США в рамках проектов DARPA (Defence Advanced Project Agency) в 1970-х. Главной целью этой работы была разработка группы протоколов, которые могли бы использоваться для широкого диапазона применений, включая стратегические и тактические локальные и глобальные сети. Разрабатываемые протоколы должны были быть независимы от нижних сетвых уровней и работать в условиях изменяющейся топологии сети.

Группа протоколов TCP/IP и их соответствие модели Взаимодействия открытых систем показаны на рис. 3.1. Основные протоколы, входящие в группу TCP/IP:

ARP(Address Resolution Protocol), RARP (Reverse Address Resolution Protocol) - протоколы  разрешения МАС- адресов (адресов  доступа к среде, MAC - Media Access Control), использующие широковещательные протоколы для определения соответствия между Интернет-адресами (сетевыми адресами) и МАС-адресами.

IP (Internet Protocol) - протокол  межсетевого обмена (Интернет- протокол).

ICMP (Internet Control Message Protocol) - Протокол обмена управляющими сообщениями. Используется в протоколах маршрутизации для обмена служебными сообщениями.

TCP (Transmission Control Protocol) - Протокол транспортного уровня, обеспечивающий дуплексный обмен,  установление и контроль соединениями.

UDP (User Datagram Protocol) - упрощенный протокол транспортного  уровня, не имеющий средств управления  соединениями. Формат заголовка  имеет только поля портов отправителя  и получателя.

RPC (Remote Procedure Call), XDR (External Data Representation), NFS (Network File System) - сервисы распределенной файловой системы.

FTP (File Transfer Protocol) - протокол передачи файлов между  конечными системами. 

Telnet - протокол  эмуляции терминала для удаленного  доступа к системам.

SMTP (Simple Mail Transfer Protocol) - протокол передачи почтовых сообщений.

SNMP (Simple Network Management Protocol) - протокол управления малыми  сетями, который применяется для  управления достаточно большими  локальными, кампусными и региональными  сетями. 

	Уровень модели ВОС			Группа протоколов TCP/IP
7		Прикладной			NFS
6		Представительный		FTP, Telnet,	XDR
5		Сеансовый		SMTP, SNMP	RPC
4		Транспортный		TCP, UDP
3		Сетевой		Routing Protocols	ICMP
				IP
				ARP, RARP
2		Данных		Not Specified
1		Физический

Рис. 3.1. Группа протоколов TCP/IP. 

3.2. Форматы TCP/IP- пакетов

Форматы пакетов  включают в себя последовательно  вложенные заголовки различных  уровней сетевого взаимодействия. Причем заголовок уровня данных следует  первым, в его поле данных помещается фрейм сетевого уровня, начинающийся со своего заголовка, и т.д..

На рис. 3.2 приведен пример пакета Ethernet, содержащего все  заголовки последующих уровней  модели ВОС, которые находятся в  поле данных исходного пакета, длина  которого задается требованием стандарта на Ethernet и не должна превышать 1518 байт.

Рис. 3.2. Формат пакета Ethernet, содержащий вложенные  заголовки вышестоящих уровней.

На рис. 3.3 и 3.4 приведены форматы пакетов сетевого уровня IP и транспортного уровня ТСР соответственно.

Основные поля IP-пакета:

Version - номер  версии IP-протокола

IHL (IP Header Length) - длина IP-заголовка

Type of Service - определяет  тип протокола более высокого  уровня, который нужен для обработки данной дейтаграммы, включая требования безопасности.

Total Length - общая  длина IP-пакета.

Identification - число,  идентифицирующее данную дейтаграмму.  Это поле используется при  фрагментации исходной дейтаграммы. 

Flags - указывает, может ли данная дейтаграмма быть фрагментирована и является ли данная дейтаграмма последней.

Fragment offset - смещение  фрагмента.

Time To Live - устанавливает  счетчик, который работает на  вычитание пр каждом прохождении  пакета через межсетевое устройство. После обнуления счетчика пакет анулируется.

Protocol - определяет, какой вышестоящий потокол должен  получить полученный пакет.

Header Checksum - обеспечивает  целостность заголовка пакета.

Source Address, Destination Address - указывают сетевые адреса отправителя и получателя.

Option - позволяет  поддерживать различные сервисы,  включая сервисы безопасности.

Padding - ипсользуется  для дополнения пакета до необходимого  размера, например, кратного заданному  числу.

Основные поля ТСР-пакета:

Source port, Destination port - определяет номера портов, через которые доступны коммуницирующие сервисы вышестоящих уровней.

Sequence number - определяет  номер, присвоенный первому байту  текущего сообщения. Используется  при конвейерной пересылке данных (с использованием параметра Windows)в режиме установления соединения.

Acknowledgement number - указывает  на номер следующего байта,  который ожидает получить получатель  от отправителя при конвейерной  пересылке данных.

Data offset - указывает  на число 32-битовых слов в  ТСР-заголовке.

Reserved - поле зарезервировано  для последующего совершенствования  ТСР-протокола.

Flags (URG, ACK, PSH, RST, SYN, FIN) - поле флагов, используемых  при коммуникациях и установлении  соединений.

Window - определяет  размер буфера входных данных  получателя.

Checksum - используется  для контроля целосности ТСР-заголовка.

Urgent pointer - указывает  на первый байт срочных данных.

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

Version	IHL	Type of Service	Total Length
Identification			Flags	Fragment offset
Time To Live		Protocol	Header Checksum
Source Address
Destination Address
Option					Padding

Рис. 3.3. Формат заголовка IP-пакета (линейка вверху указывает номера битов). 

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

Source port								Destination port
Sequence number
Acknowledgement number
Data offset	Reserved	U R G	A C K	P S H	R S T	S Y N	F I N	Window
Checksum								Urgent pointer
Options									Padding
Data ...

Рис. 3.4. Формат заголовка ТСP-пакета (линейка вверху указывает номера битов).

4. Архитектура безопасности DOD/Internet

Сети общего пользования DOD/Internet используют группу протоколов TCP/IP, используемых также  в Интернет. Однако архитектура безопасности DOD существенно отличается от архитектуры безопасности Интернет, что является следсвием различных исходным принципов/подходов к обеспечению безопасности систем и приложений, сложившихся исторически.

В основе подхода DOD к обеспечению безопасности компьютерных сетей лежат три основных положения:

• конфиденциальность является первичным сервисом безопасности
• важно обеспечить высокие гарантии безопасности
• компьютеры, в общем, являются недоверительными элементами (в частности, могут быть подвержены скрытым атакам типа "Троянский конь")