Шпаргалка по дисциплине "Информационные системы"

Основные характеристики назначаемые хосту по протоколу DHCP(Опции): 

Представляют собой дополнительные параметры настройки клиентов, которые DHCP-сервер может назначать одновременно с выделением IP-адреса. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. В качестве примера опции DHCP можно привести следующие параметры: IP-адреса шлюза по умолчанию, WINS-сервера или DNS-сервера. Опции могут быть определены как для каждой области отдельно, так и глобально для всех областей, размещенных на DHCP-сервере. Кроме стандартных опций, описанных в спецификации протокола DHCP, администратор может определять собственные опции.

· Адрес шлюза  по умолчанию. Шлюз по умолчанию используется для маршрутизации пакетов, адресованных хостам в других подсетях. Если хост не располагает информацией о  шлюзе по умолчанию, он не будет способен взаимодействовать с подобными  хостами. В данной опции требуется  определить адрес маршрутизатора, который  будет осуществлять доставку пакетов  хостам в других подсетях

· DNS-имя домена и адреса DNS-серверов. Эти опции  используются для определения DNS-имени  домена и DNS-серверов всех хостов, конфигурируемых  посредством данной области действия. DNS-сервер может быть представлен как именем, так IP-адресом. Опция допускает указание нескольких DNS-серверов, что позволит обеспечить гарантированное разрешение имен в случае, если один из серверов выйдет из строя.

· Адреса WINS-серверов. WINS-серверы используются для организации  процесса разрешения NetBIOS-имен хостов в IP-адреса этих хостов. Данная опция позволяет снабдить клиента адресами всех действующих в сети WINS-серверов. Так же, как и в случае с DNS-серверами, можно указать адреса нескольких WINS-серверов.

 

Аренда (Leases) - это интервал времени, задаваемый сервером DHCP, в течение которого клиент может использовать назначенный IP-адрес. После назначения клиенту IP-адреса аренда является активной. По истечении половины срока аренды клиент пытается обновить аренду на сервере. Срок аренды определяет длительность действия аренды и частоту, с которой ее назначение должно обновляться клиентом через сервер.

25. Технология NAT. Виды NAT. Принцип работы технологии NAT. Технология PAT.

NAT— это  механизм в сетях TCP/IP, позволяющий  преобразовывать IP-адреса транзитных  пакетов. Это процесс трансляции  внутренних адресов во внешние и обратно.

Специфика работы NAT такова, что соединения, инициируемые вашим  компьютером, прозрачно проходят через NAT-устройство в интернет. Однако соединения, которые хотели бы с вами установить другие компьютеры из интернета, до вас  дойти не могут.

Преобразование адреса методом NAT может производиться почти  любым маршрутизирующим устройством  — маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Основная  причина растущей популярности NAT связана  со все более обостряющимся дефицитом адресов протокола IPv4

 

Принцип работы:

Принимая  пакет от локального компьютера, роутер(устройство NAT) смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: частные, внутренние IP-адрес и порт клиента заменяются общими, внешними IP-адресом и портом устройства NAT.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

Получив пакет, сервер полагает, что имеет дело с каким-то одним компьютером, IP-адрес  которого допускает глобальную маршрутизацию. Сервер будет направлять ответные пакеты на внешние IP-адрес и порт устройства NAT, указывая в полях источника  свои собственные IP-адрес и порт. NAT принимает эти пакеты от сервера  и анализирует их содержимое на основе своей таблицы сопоставления  портов. Если в таблице будет найдено  сопоставление порта,  NAT выполнит обратное преобразование. NAT заменяет внешний IP-адрес и внешний порт в полях назначения пакета на частный IP-адрес и внутренний порт клиента.

 

Затем NAT отправляет пакет клиенту по внутренней сети. Однако если NAT не находит подходящего  сопоставления портов, входящий пакет  отвергается и соединение разрывается.

Через некоторое  время после того, как клиент и  сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице  запись о n-ом порте за сроком давности.

Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном на компьютер пользователя в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

 

Существует 3 базовых концепции  трансляции адресов:

Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT. При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Типы NAT:

• Симметричный NAT — Трансляция, при которой каждое соединение, инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом инициация соединения из публичной сети невозможна.
• Cone NAT, Full Cone NAT — Однозначная (взаимная) трансляция между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).
• Address-Restricted cone NAT, Restricted cone NAT — Постоянная трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
• Port-Restricted cone NAT — Трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на внутренний хост только с одного порта публичного хоста — того, на который внутренний хост уже посылал пакет.

 

PAT – частный случай NAT (DNAT), отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим  количеством, чем внутренних). По такому принципу построено большинство  сетей в мире: на небольшой район  домашней сети местного провайдера или  на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с приватными (внутренними) IP-адресами.

26. Механизмы защиты в локальных сетях. Технология ACL. Технология Port Security. Стандарт IEEE 802.1x. Протокол доступа и аутентификации в ЛВС.

Для решения  проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

1. Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Технические средства подразделяются на:

• аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой ЛВС по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);
• физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

2. Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции  защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного  сохранения информации. Необходим комплексный  подход к использованию и развитию всех средств и способов защиты информации.

ACL (список контроля доступа) — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

ACL представляет список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису.

Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.

 

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

• несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
• атак направленных на переполнение таблицы коммутации.

 

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему коммутатор. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802.1x. Состояние порта в этом случае unauthorized. Если клиент успешно проходит проверку, то порт переходит в состояние authorized.

Когда клиент отключается коммутатор переводит порт в состояние unauthorized.

 

Протоколы ЛВС(Локальная вычислительная сеть)

В ЛВС не требуется  обеспечивать большинство функций, относящихся к сетевому и транспортному  уровням ЭМВОС, поэтому выполняемые  функции разделены между физическим и канальным уровнями, причем канальный  уровень расщеплен на два подуровня: управление доступом к среде (МАС) и  управление логическим каналом (LLC).

Родоначальниками большинства  канальных протоколов в различных  сетях стали байт-ориентированный  протокол BSC и бит-ориентированный  протокол HDLC. Особенно популярны разновидности HDLC. К таким протоколам можно отнести  канальные протоколы XМodem для модемной связи, протоколы IEEE 802.Х, протокол LAPB для сетей Х.25 и др.

HDLC может применяться  в сетях с различными многоточечными  соединениями (в отличие от частного  случая - XМodem), с мультиплексорами, радиоканалами и охватывает следующие варианты: 1) централизованное управление с инициацией обмена только со стороны сервера; 2) то же, но с двусторонней инициацией: 3) одноранговое управление.

Протокол HDLC устанавливает  типы и структуру кадров, процедуры  обмена командами "запрос на соединение" и "согласие на соединение", передачи данных, ликвидации соединения,. Введены три типа кадров: информационные, дляустановления/разъединения соединений, супервизорные (для контроля ошибок и управления потоками).

Частные примеры  протоколов: для МАС подуровня - IEEE 802/3 (доступ по МДКН/ОК, сети Ethernet) и IEEE 802/5 (маркерный доступ, сети Token Ring), для LLC подуровня - протокол IEEE 802/2.

27. Технология QoS. Качество обслуживания в локальных сетях. Механизм работы QoS. Метка типа сервиса. Очередь с приоритетами. Типы трафика в локальных сетях.

QoS (англ. Quality of Service — качество обслуживания) — этим термином в области компьютерных сетей называют вероятность того, что сеть связи соответствует заданному соглашению о трафике или же, в ряде случаев, неформальное обозначение вероятности прохождения пакета между двумя точками сети.

QoS — это технология предоставления различным классам трафика различных приоритетов в обслуживании.

Любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек.

Для большинства  случаев качество связи определяется четырьмя параметрами:

• Полоса пропускания. Описывает номинальную пропускную способность среды передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (kbps), Mbit/s (Mbps).
• Задержка при передаче пакета (Delay), измеряется в миллисекундах.
• Колебания (дрожание) задержки при передаче пакетов — джиттер (Jitter).
• Потеря пакетов (Packet loss). Определяет количество пакетов, потерянных в сети во время передачи.

Механизм работы:

Для простоты понимания канал связи можно  представить в виде условной трубы, а пропускную способность описать  как функцию двух параметров: диаметра трубы и её длины.

Когда передача данных сталкивается с проблемой  «бутылочного горлышка» для приёма и отправки пакетов на маршрутизаторах, то обычно используется метод FIFO: первый пришел — первый ушёл (First In — First Out). При интенсивном трафике это создаёт заторы, которые разрешаются крайне простым образом: все пакеты, не вошедшие в буфер очереди FIFO (на вход или на выход), игнорируются маршрутизатором и, соответственно, теряются безвозвратно. Более разумный метод — использовать «умную» очередь, в которой приоритет у пакетов зависит от типа сервиса — ToS. Необходимое условие: пакеты должны уже нести метку типа сервиса для создания «умной» очереди. Обычные пользователи чаще всего сталкиваются с термином QoS в домашних маршрутизаторах с поддержкой QoS. Например, весьма логично дать высокий приоритет пакетам VoIP и низкий — пакетам FTP, SMTP и клиентам файлообменной сети.