Эффективность работы сетевого комплекса

На рис. 1.2. проиллюстрирован процесс обнаружения коллизии применительно к топологии ''шина''.

В момент времени t0 узел А начинает передачу, естественно прослушивая свой же передаваемый сигнал. В момент времени t1, когда кадр почти дошел до узла B, этот узел, не зная о том, что уже идёт передача, сам начинает передавать. В момент времени t2=t1+, узел В обнаруживает коллизию (увеличивается постоянная составляющая электрического сигнала в прослушиваемой линии). После этого узел В передаёт jam-сигнал и прекращает передачу. В момент времени t3 сигнал коллизии доходит до узла А, после чего А также передаёт jam-сигнал и прекращает передачу.

Рисунок 4. Обнаружение коллизии в шине при использовании схемы CSMA/CD стандарта Ethernet

По стандарту Ethernet узел не может передавать очень короткие кадры, или, иными словами, вести очень короткие передачи. Даже если поле данных заполнено не до конца, то появляется специальное дополнительное поле, удлиняющее кадр до минимальной длины 64 байта без учета преамбулы.

Время канала ST (slot time) - это минимальное время, в течение которого узел обязан вести передачу, занимать канал. Это соответствует передаче кадра минимально допустимого размера, принятого стандартом Ethernet IEEE 802.3. Время канала связано с максимально допустимым расстоянием между узлами сети - диаметром коллизионного домена.

Допустим, что в приведенном выше примере реализуется наихудший сценарий, когда станции А и В удалены друг от друга на максимальное расстояние. Время распространения сигнала от А до В обозначим через tp. Узел А начинает передавать в нулевой момент времени. Узел В начинает передавать в момент времени t1 = tp + и обнаруживает коллизию спустя интервал после начала своей передачи. Узел А обнаруживает коллизию в момент времени t3 = 2tp - . Для того, чтобы кадр, испущенный А, не был потерян, необходимо, чтобы узел А не прекращал вести передачу к этому моменту, так как тогда, обнаружив коллизию, узел А будет знать, что его кадр не дошел, и попытается передавать его повторно. В противном случае кадр будет потерян. Максимальное время, спустя которое с момента начала передачи узел А еще может обнаружить коллизию, равно 2tp - это время называется задержкой на двойном пробеге RTD (round-trip delay). В более общем случае, RTD определяет суммарную задержку, связанную как с задержкой из-за конечной длины сегментов, так и с задержкой, возникающей при обработке кадров на физическом уровне промежуточных повторителей и оконечных узлов сети. Далее удобно использовать также другую единицу измерения времени: битовое время BT (bit time). Время 1 BT соответствует времени, необходимому для передачи одного бита, т.е. 0,1 мкс при скорости 10 Мбит/с.

Стандартом Ethernet регламентированы следующие правила обнаружения коллизий конечным узлом сети:

1. Узел А должен обнаружить коллизию до того, как передаст свой 512-й бит, включая биты преамбулы;

2. Узел А должен прекратить передачу раньше, чем будет передан кадр минимальной длины - передано 576 бит (512 бит после ограничителя начала кадров SFD);

3. Перекрытие между передачами узлов А и В - битовый интервал, начиная с момента передачи первого бита преамбулы узлом А и заканчивая приемом узлом А последнего бита, испущенного узлом В, - должно быть меньше, чем 575 BT.

Последнее условие для сети Ethernet является наиболее важным, поскольку, его выполнение ведет к выполнению и первых двух. Это третье условие задает ограничение на диаметр сети. Применительно к задержке на двойном пробеге RTD третье условие можно сформулировать в виде: RTD < 575 BT.

При передаче больших кадров, например 1500 байт, коллизия, если она вообще возникнет, обнаруживается практически в самом начале передачи, не позднее первых 64 переданных байт (если коллизия не возникла в это время, то позже она уже не возникнет, поскольку все станции прослушивают линию и, «слыша» передачу будут молчать). Так как jam-сигнал значительно короче полного размера кадра, то при использовании алгоритма CSMA/CD количество вхолостую израсходованной емкости канала сокращается до времени, требуемого на обнаружение коллизии. Раннее обнаружение коллизий приводит к более эффективному использованию канала. Позднее обнаружение коллизий, свойственное более протяженным сетям, когда диаметр коллизионного домена составляет несколько километров, снижает эффективность работы сети.

Рисунок 5. Алгоритмы доступа по методу CSMA/CD

На рисунке 5 представлены алгоритмы приема и передачи данных в одном из узлов при CSMA/CD.

Среди детерминированных методов преобладают маркерные методы доступа. Маркерный метод - метод доступа к среде передачи данных в ЛВС, основанный на передаче полномочий передающей станции с помощью специального информационного объекта, называемого маркером. Под полномочием понимается право инициировать определенные действия, динамически предоставляемые объекту, например станции данных в информационной сети.

Применяется ряд разновидностей маркерных методов доступа. Например, в эстафетном методе передача маркера выполняется в порядке очередности; в способе селекторного опроса (квантированной передачи) сервер опрашивает станции и передает полномочие одной из тех станций, которые готовы к передаче. В кольцевых одноранговых сетях широко применяется тактируемый маркерный доступ, при котором маркер циркулирует по кольцу и используется станциями для передачи своих данных.

1.3 Методы и решения проектирования сети

За основу дизайна необходимо брать принцип построения и рекомендации ведущего вендора активного сетевого оборудования - Cisco. Компания Cisco разработала технологию SAFE (Security Architecture For Enterprise network) - это набор документов, основанных на проверенных временем методиках и рекомендуемых руководствах по дизайну Cisco (Cisco Validated Design, CVD). SAFE концентрируется на аспектах обеспечения безопасности в сетях предприятия и имеет модульную архитектуру, позволяющую адаптировать руководство к различным реальным ситуациям.

1.3.1 Основы дизайна

SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:

- безопасность и борьба с атаками на основе политики;

- внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);

- безопасное управление и отчетность;

- аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;

- обнаружение атак на критически важные ресурсы и подсети;

- поддержка новых сетевых приложений;

Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети -- и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности. Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничения сложности дизайна. На многих этапах проектирования сети инженер встает перед выбором между интеграцией множества функций в едином сетевом устройстве и использованием специализированных сетевых средств. Интеграция функций часто является более привлекательной, потому что ее можно реализовать на существующем оборудовании и потому что функции могут взаимодействовать в рамках единого устройства, создавая более эффективное функциональное решение. Специализированные устройства чаще всего используются для поддержки весьма продвинутых функций или высокой производительности. Решение принимается на основе сравнения емкости и функциональности отдельного устройства и преимуществ, которые может дать интеграция. Например, в некоторых случаях вы можете выбрать интегрированный высокопроизводительный маршрутизатор с операционной системой Cisco IOS и встроенным программным межсетевым экраном, а в других -- менее крупный маршрутизатор с отдельным межсетевым экраном. В нашей архитектуре используются как тот, так и другой типы систем. Наиболее важные функции безопасности передаются выделенным устройствам, чтобы поддержать высокую производительность крупных корпоративных сетей.

1.3.2 Принцип модульности

Хотя по мере роста требований большинство сетей развивается, архитектура SAFE использует открытый модульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн с точки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику оценивать защищенность каждого модуля по отдельности, а не только всей системы в целом. Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы. Хотя многие сети нельзя четко разграничить на отдельные модули, такой подход дает ориентиры при внедрении в сети

функций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использовать их в имеющихся сетях. На рисунке 6 показан первый уровень модульности SAFE:

Рисунок 6. Корпоративный композитный модуль

Каждый блок представляет собой определенную функциональную зону. Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности. Второй уровень модульности, показанный на рисунке 7, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, «модуль здания», представляющий устройства конечных пользователей, может включать в себя до 80% всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т. е. в составе всей корпоративной системы.



Рисунок 7. Блок-схема корпоративной системы SAFE

Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этот подход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сетевые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего они будут пользоваться сочетанием описанных модулей, интегрированных в существующую сеть.

1.3.3 Дизайн сети предприятия

Дизайн SAFE средней сети состоит из трех модулей: корпоративного модуля Интернет, кампусного модуля и модуля территориальных сетей. Как и в случае дизайна малой сети, корпоративный модуль Интернет имеет подключение к Интернет и поддерживает со своей стороны VPN и трафик общедоступных сервисов (DNS, HTTP, FTP и SMTP). На этот же модуль выведен трафик входящего дозвона. К кампусному модулю относится инфраструктура коммутации Уровня 2 и Уровня 3, а также корпоративные пользователи, управляющие серверы и интранет-серверы. С точки зрения территориальных сетей, в рамках этого дизайна существуют два способа подключения удаленных сайтов. Первый способ -- это подключение по частным каналам, а второй -- IPSec VPN внутри корпоративного Интернет-модуля. Основные вопросы, связанные с этим дизайном, относятся к работе сети головного офиса корпорации, а также к специфическим изменениям в случае использования в качестве сети филиала.



Рисунок 8. Дизайн сети предприятия

Корпоративный модуль Интернет

Задача корпоративного модуля Интернет- предоставить внутренним пользователям доступ к услугам Интернет, а пользователям внешним обеспечить доступ к информации на общедоступных серверах (HTTP, FTP, SMTP и DNS). Кроме этого, модуль поддерживает трафик ВЧС от удаленных

серверов и пользователей, а также трафик обычных пользователей, подключающихся при помощи дозвона. Корпоративный модуль Интернет не предназначен для поддержки приложений электронной коммерции.

Рисунок 9. Дизайн модуля Интернет

Основные устройства

? Сервер дозвона (удаленного доступа) -- аутентифицирует отдельных пользователей и поддерживает их аналоговые подключения.

? Сервер DNS -- служит авторизованным внешним сервером DNS для средней сети; передает внутренние запросы в Интернет.

? Сервер FTP/http -- предоставляет открытую информацию предприятия.

? Межсетевой экран -- обеспечивает защиту ресурсов на сетевом уровне и динамическое фильтрование трафика; поддерживает дифференцированную защиту удаленных пользователей; проводит аутентификацию удаленных сайтов и поддерживает подключения по туннелям IPSec.

? Коммутатор Уровня 2 (с поддержкой частных виртуальных локальных сетей) -- обеспечивает подключение устройств по Уровню 2.

? Применение сетевых систем обнаружения вторжений -- обеспечивает наблюдение по Уровням 4 - 7 за важнейшими сегментами сети.

? Сервер SMTP -- выполняет промежуточную роль между внутренними почтовыми серверами и Интернет; контролирует пересылаемое содержание.

? Концентратор ВЧС -- аутентифицирует отдельных удаленных пользователей и со своей стороны поддерживает с ними туннели IPSec.

? Оконечный маршрутизатор -- обеспечивает базовое фильтрование и подключение к Интернет по Уровню 3.

Предотвращаемые угрозы

В рамках этого модуля наиболее вероятными объектами атаки являются открытые и общедоступные серверы. Ниже приведены предполагаемые угрозы:

? Неавторизованный доступ -- нейтрализуется фильтрованием у Интернет-провайдера, на оконечном маршрутизаторе и корпоративном межсетевом экране.

? Атаки уровня приложений -- нейтрализуются системой обнаружения вторжений в сетевом и хостовом вариантах.

? Вирусы и «троянские» атаки -- нейтрализуются фильтрованием электронной почты, сетевой системой обнаружения вторжений и антивирусным сканированием хостов.

? Атаки на пароли -- сокращаются путем уменьшения сервисов, уязвимых

для прямого перебора. Эту угрозу позволяют отследить операционная система и системы обнаружения вторжений.

? Отказ в обслуживании -- управление полосой пропускания на стороне Интернет-провайдера и контроль соединений TCP на межсетевом экране.

? Подмена адресов IP (spoofing) -- нейтрализуется фильтрованием согласно RFC 2827 и RFC 1918 на выходе от Интернет-провайдера и на оконечном маршрутизаторе сети средней величины.

? Прослушиватели пакетов -- эта угроза снижается благодаря коммутируемой инфраструктуре и хостовым системам обнаружения вторжений.

? Изучение сети -- система обнаружения вторжений распознает попытку изучения, а фильтрование протоколов снижает ее эффективность.

? Злоупотребление доверием -- запретительная модель доверия и частные виртуальные локальные сети для ограничения атак на основе доверия.

? Переадресация портов -- запретительное фильтрование и хостовая система обнаружения вторжений, ограничивающая атаки.

Рисунок 10. Отражение атак в модуле Интернет

Рекомендации по дизайну

Маршрутизатор Интернет-провайдера

Важнейшей задачей оконечного маршрутизатора у Интернет-провайдера является обеспечение связи пользователей с сетью Интернет. На выходе маршрутизатора задаются некоторые пределы, которые ограничивают некритичный исходящий трафик, превышающий заданный порог, что позволяет нейтрализовать атаки DDoS. Организованное на выходе маршрутизатора Интернет-провайдера фильтрование нейтрализует подделки адресов локальной сети и частных адресных пространств.

Оконечный маршрутизатор

Функции оконечного маршрутизатора в средней сети заключаются в том, чтобы разграничивать сеть Интернет-провайдера и сеть предприятия. Базовое фильтрование на входе оконечного маршрутизатора ограничивает доступ, про-

пуская только разрешенный IP-трафик и блокируя большинство известных атак. Здесь же в качестве проверки проводится фильтрование по RFC 1918 и RFC 2827. В дополнение к этому маршрутизатор конфигурируется на сброс фрагментированных пакетов, которые в обычных типах Интернет-трафика не видны, а для защиты сети являются серьезной опасностью. Эта опасность настолько велика, что считается допустимым терять из-за такого фильтрования даже часть разрешенного трафика. Наконец, маршрутизатор пересылает любой IPSec-трафик, предназначенный для концентратора ВЧС или межсетевого экрана. Поскольку для ВЧС удаленного доступа IP-адрес удаленной системы не разглашается, то фильтруется трафик только отвечающего хоста (концентратора ВЧС), к которому обращается удаленный пользователь. При VPN-подключении «сайт с сайтом» IP-адрес удаленного сайта, как правило, известен, и поэтому фильтровать трафик можно в обоих направлениях.

Межсетевой экран

Главная задача межсетевого экрана -- выполнять принудительное и подробное фильтрование инициированных через него сессий связи. Кроме этого, межсетевой экран работает как конечная точка для IPSec туннелей для управляющего и рабочего трафика удаленного сайта. В межсетевом экране различаются несколько сегментов. Во-первых, сегмент общедоступных сервисов, к которому относятся все общедоступные хосты. Второй сегмент -- ВЧС удаленного доступа и дозвон -- описан ниже. Общедоступные серверы в какой-то мере защищены от «затоплений» TCP SYN при помощи контроля «наполовину открытых соединений» на межсетевом экране. С точки зрения фильтрования в дополнение к ограничению трафика по адресам и портам в сегменте общедоступных сервисов используется также фильтрование в противоположном направлении. Если в ходе атаки взламывается один из общедоступных серверов, этот хост невозможно использовать как плацдарм для атаки других хостов сети. Нейтрализовать этот тип атак позволяет специальное фильтрование неавторизованных запросов, генерируемых общедоступными серверами и направляемых на какой-либо еще адрес. Например, фильтрование web-сервера ведется так, что сам web-сервер не может генерировать запросы, а может только отвечать на запросы клиентов. Это предотвращает хакеру возможность загрузить на взломанный в ходе первичной атаки web-сервер собственные утилиты. Также это запрещает хакеру переключать в ходе первичной атаки некоторые сессии. В дополнение к этому атаковать другие серверы в своем сегменте не позволяют частные виртуальные локальные сети. Такой трафик не всегда отслеживается межсетевым экраном, и поэтому частные виртуальные локальные сети являются весьма важным элементом.

Обнаружение вторжений

К сегменту общедоступных сервисов относится и работа сетевой системы обнаружения вторжений, основной задачей которой является отслеживание атак по портам, которые указаны на межсетевом экране как разрешенные. Сетевая система обнаружения вторжений в сегменте общедоступных сервисов должна реализовывать запретительную политику, поскольку межсетевой экран в некоторых случаях оказывается бессилен. Плюс к этому каждый сервер должен иметь собственную систему обнаружения вторжений. Основной задачей хостовой системы обнаружения вторжений является отслеживание вредоносной активности на уровне операционной системы, а также на уровне серверных приложений (HTTP, FTP, SMTP и т. д.). DNS должен откликаться исключительно на разрешенные команды и не допускать никаких второстепенных откликов, которые могут помочь хакеру в изучении сети. Сюда относится запрещение межзональных пересылок (zone transfers) откуда бы ни было, кроме разрешенных вторичных серверов DNS. Сервер SMTP имеет сервисы проверки электронных сообщений, нейтрализующие вирусы и «троянские» атаки на внутреннюю сеть, которые обычно поступают по электронной почте. Межсетевой экран фильтрует SMTP-сообщения на Уровне 7, разрешая только необходимые команды для почтового сервера. Размещение сетевой системы обнаружения вторжений между частным интерфейсом межсетевого экрана и внутренним маршрутизатором обеспечивает окончательный анализ атак. В этом сегменте могут обнаруживаться всего лишь несколько типов атак, поскольку внутрь пропускаются только отклики на инициированные запросы, некоторые выбранные порты сервисов общедоступного сегмента и трафик сегмента удаленного доступа. Здесь будут обнаруживаться только сложные атаки, которые подразумевают, что система в сегменте общедоступных сервисов взломана и хакер пытается реализовать этот плацдарм для нападения на внутреннюю сеть. Например, когда взломан общедоступный сервер SMTP, хакер может попытаться взломать внутренний почтовый сервер по порту 25 TCP, который предназначен для передачи электронных сообщений между двумя хостами. Если атака обнаруживается именно в этом сегменте, то реакция на нее должна быть более жесткой, так как это означает, что взлом уже произошел. Внимательно рассмотрите применение TCP-сбросов и блокирование, вплоть до обрыва атак, подобных вышеназванной атаке по SMTP.

Виртуальные частные сети удаленного доступа

Важнейшая функция концентратора VPN удаленного доступа заключается в обеспечении защищенных подключений к сети среднего размера удаленных пользователей. Перед тем как разрешить пользователю подключение, концентратор VPN инициирует сессию связи с сервером контроля доступа во внутренней сети, а сервер контроля доступа в свою очередь запрашивает систему одноразового пароля провести аутентификацию электронных идентификаторов пользователя. Благодаря пересылке политик IPSec между концентратором и клиентом пользователям запрещается запускать раздельное туннелирование (split tunneling), и они выходят в сеть только через корпоративное подключение. Для шифрования в протоколе IPSec используется алгоритм TripleDES или AES и алгоритм secure hash algorithm / hash-based message authentication code (SHA/HMAC) для проверки целостности данных. После туннеля трафик ВЧС проходит через межсетевой экран, гарантируя этим надежную фильтрацию пользователей. Такая организация также допускает блокирование атак на межсетевом экране системой обнаружения вторжений. Этот сценарий отличается от большинства прочих сценариев, в которых межсетевой экран размещается перед устройством ВЧС. При размещении перед устройством ВЧС межсетевой экран «не видит» типы трафика пользователей, так как весь трафик на этом этапе зашифрован.

Коммутаторы Уровня 2

Важнейшей функцией коммутаторов в рамках корпоративного Интернет-модуля является обеспечение связей между различными устройствами, входящими в этот модуль. Для обеспечения физического разделения внешнего сегмента, сегмента общедоступных сервисов, сегмента ВЧС и внутреннего сегмента применяется несколько коммутаторов, а не

один коммутатор с множеством виртуальных локальных сетей. Такая организация нейтрализует возможность изменения конфигурации коммутатора, которая может привести к взлому защиты.

Внутренний маршрутизатор

Важнейшей функцией внутреннего маршрутизатора является разделение по Уровню 3 и маршрутизация между корпоративным Интернет-модулем и кампусным модулем. Это устройство работает исключительно как маршрутизатор без каких-то списков доступа, запрещающих трафик по какому-либо интерфейсу. Поскольку сведения о маршрутизации могут использоваться для проведения атаки DoS, то должна использоваться

аутентификация маршрутной информации, чтобы нейтрализовать возможность такой атаки. Этот маршрутизатор является границей между маршрутизируемой внутренней сетью и внешним миром. Так как большинство межсетевых экранов конфигурируется без протоколов маршрутизации, внутри корпоративного Интернет-модуля необходимо обеспечить такую точку маршрутизации, которая не зависела бы от остальной сети.

Альтернативы

Для этого модуля допустимы два разных дизайна. Вместо внедрения базового фильтрования на оконечном маршрутизаторе администратор может применить на этом устройстве динамическое фильтрование. Наличие двух динамических межсетевых экранов обеспечивает большую защиту модуля при эшелонированном подходе. В зависимости от взгляда администратора на вероятность атак, перед межсетевым экраном, возможно, потребуется сетевая система обнаружения вторжений. Кроме базовых функций фильтрования система обнаружения вторжений, будучи вынесена за межсетевой экран, обеспечивает важные сведения при возникновении тревог; в ином случае эта информация просто теряется. Поскольку количество возникающих в этом сегменте тревог достаточно велико, реагирование на возникающие здесь тревоги может быть менее жестким, чем на тревоги, источники которых находятся за межсетевым экраном. Также предусмотрите отдельную управляющую станцию для регистрации тревог, поступающих из этого сегмента, чтобы каждой группе тревог уделялось необходимое внимание. Предлагаемое системой обнаружения вторжений наблюдение за пределами межсетевого экрана улучшает оценку атак, а плюс к этому позволяет оценить эффективность фильтров Интернет-провайдера и оконечных фильтров предприятия.

Существуют и две другие возможности. Первая -- удаление маршрутизатора, расположенного между межсетевым экраном и кампусным модулем. Несмотря на то, что его функции могут быть переданы коммутатору кампусного модуля Уровня 3, такое изменение сделает невозможным работу корпоративного Интернет-модуля из другой части сети без обращения к сервисам Уровня 3. Вторая возможность -- организация проверки контента помимо проверки электронной почты. Например, в общедоступный сегмент можно вынести сервер проверки адресов URL, будет проверять страницы, к которым обращаются сотрудники.

Рисунок 11. Дизайн кампусного модуля

Кампусный модуль

К кампусному модулю относятся рабочие станции конечных пользователей, корпоративные интранет-серверы, серверы управления, а также инфраструктура Уровня 2 и Уровня 3, необходимая для поддержки устройств.

Основные устройства

? Коммутатор Уровня 3 -- маршрутизирует и коммутирует рабочий и управляющий трафик внутри кампусного модуля, предоставляет сервисы уровня распределения встраиваемым коммутаторам, предлагает расширенные сервисы, как например фильтрование трафика.

? Коммутаторы Уровня 2 (с поддержкой виртуальных локальных сетей) -- обеспечивают рабочим станциям пользователей сервисы Уровня 2.

? Корпоративные серверы -- поддерживают для внутренних пользователей сервисы электронной почты (SMTP и POP3), а также сервисы доставки файлов, печати и DNS для рабочих станций.

? Рабочие станции пользователей -- предоставляют авторизованным пользователям сети сервисы

? Управляющий хост SNMP -- выполняет управление устройствами по протоколу SNMP.

? Консоль системы обнаружения вторжений -- собирает сведения о тревогах с установленных в сети устройств системы обнаружения вторжений.

? Хост(ы) Syslog -- собирают журнальную информацию о межсетевых экранах и хостах NIDS.

? Сервер контроля доступа -- поддерживает сервисы аутентификации для сетевых устройств.

? Сервер одноразовых паролей (One-time Password -- OTP) -- авторизует по одноразовому паролю информацию, поступающую от сервера контроля доступа.

? Хост администратора сети -- поддерживает изменения конфигурации, программного обеспечения и контента устройств.

? Устройство сетевой системы обнаружения вторжений - наблюдает по Уровням 4-7 за важнейшими сетевыми сегментами модуля.

Предотвращаемые угрозы

? Прослушиватели пакетов -- эта угроза снижается благодаря коммутируемой инфраструктуре.

? Вирусы и «троянские» атаки -- нейтрализуются антивирусным сканированием хостов.

? Неавторизованный доступ -- нейтрализуется обнаружением вторжений на хост и контролем доступа.

? Атаки на пароли -- нейтрализуются тем, что сервер контроля доступа поддерживает жесткую двухфакторную аутентификацию для важнейших приложений.

? Атаки уровня приложений -- нейтрализуются сетевой системой обнаружения вторжений, а также использованием предлагаемых производителем обновлений и программных «заплаток» для операционных систем, приложений.

? Подмена адресов IP (spoofing) -- нейтрализуется фильтрованием по RFC 2827, которое предотвращает такую возможность.

? Злоупотребление доверием -- частные виртуальные локальные сети запрещают хостам одной подсети обращаться друг к другу без необходимости.

? Переадресация портов -- сетевая система обнаружения вторжений предотвращает инсталляцию агентов переадресации портов.

Рисунок 12. Отражение атак в кампусном модуле

Рекомендации по дизайну

Главный коммутатор

Основной функцией главного коммутатора является маршрутизация и коммутация рабочего и управляющего трафика, распределение сервисов разных уровней (маршрутизация, QoS и контроль доступа) для прочих коммутаторов сети здания, подключение к корпоративным серверам и серверам управления, а также расширенные сервисы, например фильтрование трафика между подсетями. Вместо коммутатора Уровня 2 выбран коммутатор Уровня 3 -- это сделано для того, чтобы предоставить сегменту (или сегментам) корпоративных серверов, сегменту управляющих серверов, сегменту (или сегментам) корпоративных пользователей отдельные виртуальные локальные сети, а также чтобы обеспечить подключение к модулю территориальных сетей и к модулю корпоративных пользователей.

Коммутатор

Уровня 3 обеспечивает рубеж защиты и против атак, исходящих изнутри. Он запрещает департаменту доступ к конфиденциальной информации на сервере другого департамента, применяя для этого средства контроля доступа. Например, в сети предприятия существуют департамент маркетинга и департамент разработки и исследований; в этом случае сервер разработки и исследований выделяется в отдельную виртуальную локальную сеть, доступ к нему фильтруется, и это гарантирует его доступность только для сотрудников департамента разработки и исследований. По соображениям производительности важно, чтобы контроль доступа в данном случае был реализован на аппаратной платформе, которая способна фильтровать трафик со скоростью, близкой к скорости канала. Такая организация сети диктует использование коммутации Уровня 3 в противоположность более традиционным выделенным устройствам маршрутизации. Подобный контроль доступа также позволяет предотвратить локальную подделку исходных адресов с помощью фильтрования по RFC 2827 -- оно должно присутствовать в виртуальных локальных сетях корпоративных пользователей и корпоративных интранет-серверов. Например, серверам в сегменте корпоративных серверов бывает необязательно связываться между собой, а только с устройствами, которые подключены к сегменту. Чтобы организовать следующий рубеж защиты для серверов управления, на интерфейсе виртуальной локальной сети, исходящей к сегменту корпоративных серверов, настраивается экстенсивное фильтрование Уровня 3 и Уровня 4. Фильтр ограничивает подключения управляющих серверов, а также подключения к ним самим, разрешая это только контролируемым ими устройствам (по IP-адресу) и только по разрешенным протоколам. Сюда же входит контроль доступа для управляющего трафика, предназначенного устройствам на удаленных сайтах. Этот трафик шифруется межсетевым экраном и отсылается удаленным сайтам. Доступ к управляемым устройствам и далее контролируется тем, что разрешается только одно обратное подключение через список доступа (фильтр -- ACL).

Вторичные коммутаторы в сети здания

Главной задачей вторичных коммутаторов кампусного модуля является обеспечение сервисов Уровня 2 для рабочих станций корпоративных пользователей. Реализуемые на этих коммутаторах частные виртуальные локальные сети нейтрализуют атаки злоупотребления доверием, так как персональным рабочим станциям не требуется подключаться друг другу. В дополнение к принципам сетевой защиты, которые описываются как аксиомы защиты коммутаторов, на уровне рабочих станций организуется антивирусное сканирование.

Обнаружение вторжений

К кампусному модулю также относится сетевая система обнаружения вторжений. Подключенный к устройству системы обнаружения вторжений порт коммутатора конфигурируется таким образом, чтобы со всех виртуальных локальных сетей трафик, который необходимо наблюдать, зеркалировался бы на наблюдающий порт устройства. В этом месте обнаруживается очень немного атак, поскольку это устройство отслеживает те атаки, которые исходят из самого кампусного модуля. Например, когда рабочая станция пользователя взламывается через неопознанное модемное

подключение, система обнаружения вторжений обнаруживает подозрительную активность, исходящую из этого места. Источниками других атак могут быть недовольные сотрудники, посторонние лица, воспользовавшиеся авторизованной в сети рабочей станцией в отсутствие ее пользователя, «троянские» приложения, случайно загруженные на мобильный компьютер, и прочее. На каждом управляющем и корпоративном интранет-сервере плюс к этому устанавливается хостовая система обнаружения вторжений.

Альтернативы

Если сеть среднего размера относительно мала, то можно обойтись без вторичных коммутаторов, а их функции передать главному коммутатору. В этом случае рабочие станции конечных пользователей подключаются непосредственно к главному коммутатору, а для нейтрализации атак злоупотребления доверием на нем реализуется функциональность частных виртуальных локальных сетей. Если требования к производительности внутренней сети невысоки, то вместо высокопроизводительного коммутатора Уровня 3 можно использовать отдельный маршрутизатор и коммутатор Уровня 2. При желании отдельное устройство сетевой системы обнаружения вторжений можно заменить интегрированным модулем, который встраивается в главный коммутатор. Это обеспечивает ускоренную обработку трафика модулем системы обнаружения вторжений, поскольку в этом случае модуль с коммутатором объединен, а не ограничен скоростью порта подключения 10/100-Mбит Ethernet. Для контроля трафика, передаваемого модулю системы обнаружения вторжений можно, использовать ACL.

Модуль территориальных сетей

Рисунок 13. Дизайн модуля территориальных сетей

Этот модуль возникает только при необходимости подключения к удаленным сайтам по частной сети. Такая необходимость может возникнуть в том случае, когда требования к качеству сервиса (QoS) уже не могут быть удовлетворены с помощью IPSec VPN или когда используются морально устаревшие подключения, а переход на IPSec не предполагается.

Основные устройства

? Маршрутизатор IOS - обеспечивает маршрутизацию, контроль доступа и механизм QoS для удаленных подключений

Рисунок 14. Отражение атак в территориальном модуле

Предотвращаемые угрозы

? Подмена адресов IP (spoofing) - нейтрализуется фильтрованием по Уровню 3

? Неавторизованный доступ - простой контроль доступа позволяет ограничить филиалам типы протоколов, к которым они имеют

Рекомендации по дизайну

Степень защищенности модуля WAN зависит от уровня доверия к удаленным сайтам, а также от Интернет-провайдера, предоставляющего связь. Защита обеспечивается средствами IOS. При этом дизайне приложенные к последовательному интерфейсу списки доступа на вход используются для блокирования попыток доступа в сеть любого нежелательного трафика. Будучи приложенными к Ethernet-интерфейсу, списки доступа на вход позволяют ограничивать трафик, направляемый из сети на удаленные сайты.

Альтернативы

Некоторые предприятия, трепетно следящие за приватностью информации, шифруют трафик в классических каналах территориальных сетей. Аналогично междусайтовым VPN такой же уровень защиты данных дает IPSec. Плюс к этому маршрутизатор, выполняя дополнительную роль межсетевого экрана в территориальной сети, обеспечивает больший набор функций контроля доступа по сравнению с классическими списками доступа (ACL), применяемыми в дизайне SAFE.

Сеть филиала

При конфигурации для филиала некоторые элементы дизайна среднего размера могут быть удалены. Во-первых, надо выяснить, как предприятие собирается подключаться к корпоративной штаб-квартире: по частному каналу или по IPSec VPN. В пользу частного канала говорит более детализированная поддержка QoS, устойчивость сетевой инфраструктуры, поддержка многоадресной рассылки (multicast), требования к иному, чем IP, трафику. Помните, что при использовании IPSec поверх туннелей GRE (generic routing encapsulation) многоадресная рассылка и другие сетевые протоколы, а не только IP, могут поддерживаться средой VPN. Есть несколько аргументов в пользу выбора IPSec VPN вместо подключения по территориальным сетям. Во-первых, IPSec VPN по Интернет может обеспечить локальный доступ в Интернет ко всем удаленным сайтам, экономя при этом пропускную способность канала (и сокращая расходы) главной сети. Также во многих собственных и большинстве общеизвестных приложений IPSec VPN предлагает значительную экономию по сравнению с частными подключениями территориальных сетей. Если для сети среднего размера, выполняющей роль сети филиала, выбирается частный канал, то корпоративный модуль Интернет становится не нужен (если в филиале не предполагается еще и собственный доступ в Интернет). С другой стороны, если выбран IPSec VPN, то становится ненужным частный канал, можно обойтись без концентратора VPN или маршрутизатора дозвона для удаленного доступа, если такие сервисы предоставляются штаб-квартирой. С точки зрения управления, конфигурирование и управление защитой сети среднего размера должно выполняться из модуля управления, расположенного в штаб-квартире (предполагается централизация IT-ресурсов). Когда для взаимодействия сайтов выбран частный канал, то управляющий трафик может передаваться по нему ко всем управляемым устройствам. При выборе IPSec VPN большая часть управляющего трафика передается аналогичным образом, но некоторые устройства, например, оконечный маршрутизатор, размещенный вне межсетевого экрана, не являются частью канала IPSec и должны управляться иначе. В этом случае можно организовать к устройству дополнительный туннель IPSec или использовать для конфигурирования устройства шифрование приложений (SSH). Но, как упоминалось в аксиомах, не все приложения имеют защищенные варианты.

1.4 Сетевое оборудование

1.4.1 Введение

При выборе активного сетевого оборудования в первую очередь необходимо обратить внимание на линейку продуктов, предоставляемых ведущим вендором в данной области, компании Cisco Systems. По данным Dell'Oro Group компания Cisco занимает 60% мирового рынка магистрального оборудования, то есть, больше, чем все остальные конкуренты. Компания Cisco является лидером и в других секторах телекоммуникационного оборудования, опережая таких "ветеранов" отрасли, как HP, Lucent, Nortel и др. Что более важно, Cisco является пионером в данной отрасли, само понятие "коммутатор локальной вычислительной сети" относилось впервые к одному из подразделений Cisco (Kalpana).

Cisco производит коммутаторы, маршрутизаторы, серверы доступа и другое оборудование, различающиеся по месту расположения в сети и ее типу. То есть, в прайс-листе может существовать несколько разных моделей с одинаковыми внешними параметрами - количеством и скоростью портов. Отличаются они функциями программного обеспечения, производительностью, возможностями резервирования и взаимодействием с "соседями" по сети.

1.4.2 Маршрутизаторы

Типичный маршрутизатор представляет собой сложный специализированный компьютер, который работает под управлением специализированной операционной системы, оптимизированной для выполнения операций построения таблиц маршрутизации и продвижения пакетов на их основе.

Основная функция маршрутизатора -- чтение заголовков пакетов сетевых протоколов, принимаемых и буферизуемых по каждому порту (например, IPX, IP, AppleTalk или DECnet), и принятие решения о дальнейшем маршруте следования пакета по его сетевому адресу, включающему, как правило, номер сети и номер узла. Функции маршрутизатора могут быть разбиты на три группы в соответствии с уровнями модели OSI (рисунок 15).

Рисунок 15. Функциональная модель маршрутизатора

Уровень интерфейсов

На нижнем уровне маршрутизатор, как и любое устройство, подключенное к сети, обеспечивает физический интерфейс со средой передачи, включая согласование уровней электрических сигналов, линейное и логическое кодирование, оснащение определенным типом разъема. В разных моделях маршрутизаторов часто предусматриваются различные наборы физических интерфейсов, представляющих собой комбинацию портов для подсоединения локальных и глобальных сетей.

С каждым интерфейсом для подключения локальной сети неразрывно связан определенный протокол канального уровня, например Ethernet, Token Ring, FDDI. Интерфейсы для присоединения к глобальным сетям чаще всего определяют только некоторый стандарт физического уровня, над которым в маршрутизаторе могут работать различные протоколы канального уровня. Например, глобальный порт может поддерживать интерфейс V.35, над которым могут работать протоколы канального уровня: LAP-B (в сетях Х.25), LAP-F (в сетях frame reiay), LAP-D (в сетях ISDN). Разница между интерфейсами локальных и глобальных сетей объясняется тем, что технологии локальных сетей работают по собственным стандартам физического уровня, которые не могут, как правило, использоваться в других технологиях, поэтому интерфейс для локальной сети представляет собой сочетание физического и канального уровней и носит название по имени соответствующей технологии, например интерфейс Ethernet.

Интерфейсы маршрутизатора выполняют полный набор функций физического и канального уровней по передаче кадра, включая получение доступа к среде (если это необходимо), формирование битовых сигналов, прием кадра, подсчет его контрольной суммы и передачу поля данных кадра верхнему уровню, в случае если контрольная сумма имеет корректное значение. Перечень физических интерфейсов, которые поддерживает та или иная модель маршрутизатора, является его важнейшей потребительской характеристикой. Маршрутизатор должен поддерживать все протоколы канального и физического уровней, используемые в каждой из сетей, к которым он будет непосредственно присоединен. На рис. 14.6 показана функциональная модель маршрутизатора с четырьмя портами, реализующими следующие физические интерфейсы: 10Base-T и 10Base-2 для двух портов Ethernet, UTP для Token Ring и V.35, над которым могут работать протоколы LAP-B, LAP-D или LAP-F, обеспечивая подключение к сетям Х.25, ISDN или frame relay.

Кадры, которые поступают на порты маршрутизатора, после обработки соответствующими протоколами физического и канального уровней освобождаются от заголовков канального уровня. Извлеченные из поля данных кадра пакеты передаются модулю сетевого протокола.

Уровень сетевого протокола

Сетевой протокол, в свою очередь, извлекает из пакета заголовок сетевого уровня и анализирует содержимое его полей. Прежде всего проверяется контрольная сумма, и если пакет пришел поврежденным, то он отбрасывается. Выполняется проверка, не превысило ли время, которое провел пакет в сети (время жизни пакета), допустимой величины. Если превысило -- пакет также отбрасывается. На этом этапе вносятся корректировки в содержимое некоторых полей, например наращивается время жизни пакета, пересчитывается контрольная сумма.

На сетевом уровне выполняется одна из важнейших функций маршрутизатора -- фильтрация трафика. Маршрутизатор, обладая более высоким интеллектом, нежели мост или коммутатор, позволяет задавать и может отрабатывать значительно более сложные правила фильтрации. Пакет сетевого уровня, находящийся в поле данных кадра, для мостов и коммутаторов представляется неструктурированной двоичной последовательностью. Маршрутизаторы же, программное обеспечение которых содержит модуль сетевого протокола, способны производить разбор и анализ отдельных полей пакета. Они оснащаются развитыми средствами пользовательского интерфейса, которые позволяют администратору без особых усилий задавать сложные правила фильтрации. Они, например, могут запретить прохождение в корпоративную сеть всех пакетов, кроме пакетов, поступающих из подсетей «родного» предприятия.

Фильтрация в данном случае производится по сетевым адресам, и все пакеты, адреса которых не входят в разрешенный диапазон, отбрасываются. Маршрутизаторы, как правило, также могут анализировать структуру сообщений транспортного уровня, поэтому фильтры могут не пропускать в сеть сообщения определенных прикладных служб, например службы telnet, анализируя поле типа протокола в транспортном сообщении.

В случае если интенсивность поступления пакетов выше интенсивности их обработки, пакеты могут образовать очередь. Программное обеспечение маршрутизатора может реализовывать различные дисциплины обслуживания очередей пакетов: в порядке поступления по принципу «первый пришел -- первым обслужен» (First Input First Output, FIFO), дисциплину случайного раннего обнаружения (Random Early Detection, RED), когда обслуживание идет по правилу FIFO, но при достижении длиной очереди некоторого порогового значения вновь поступающие пакеты отбрасываются, а также различные варианты приоритетного обслуживания.

К сетевому уровню относится основная функция маршрутизатора -- определение маршрута пакета. По номеру сети, извлеченному из заголовка пакета, модуль сетевого протокола находит в таблице маршрутизации строку, содержащую сетевой адрес следующего маршрутизатора, и номер порта, на который нужно передать данный пакет, чтобы он двигался в правильном направлении. Если в таблице отсутствуют записи о сети назначения пакета и о маршрутизаторе по умолчанию, то данный пакет отбрасывается.

Перед тем как передать сетевой адрес следующего маршрутизатора на канальный уровень, необходимо преобразовать его в локальный адрес той технологии, которая используется в сети, содержащей следующий маршрутизатор. Для этого сетевой протокол обращается к протоколу разрешения адресов. Протоколы этого типа устанавливают соответствие между сетевыми и локальными адресами либо на основании заранее составленных таблиц, либо путем рассылки широковещательных запросов. Таблица соответствия локальных адресов сетевым адресам строится отдельно для каждого сетевого интерфейса. Протоколы разрешения адресов занимают промежуточное положение между сетевым и канальным уровнями.

С сетевого уровня пакет, локальный адрес следующего маршрутизатора и номер порта маршрутизатора передаются вниз, канальному уровню. На основании указанного номера порта осуществляется коммутация с одним из интерфейсов маршрутизатора, средствами которого выполняется упаковка пакета в кадр соответствующего формата. В поле адреса назначения заголовка кадра помещается локальный адрес следующего маршрутизатора. Готовый кадр отправляется в сеть.

Уровень протоколов маршрутизации

Сетевые протоколы активно используют в своей работе таблицу маршрутизации, но ни ее построением, ни поддержанием ее содержимого не занимаются. Эти функции выполняют протоколы маршрутизации. На основании этих протоколов маршрутизаторы обмениваются информацией о топологии сети, а затем анализируют полученные сведения, определяя наилучшие по тем или иным критериям маршруты. Результаты анализа и составляют содержимое таблиц маршрутизации.

Помимо перечисленных выше функций на маршрутизаторы могут быть возложены и другие обязанности, например операции, связанные с фрагментацией.

Дополнительные функциональные возможности маршрутизаторов

Наряду с функцией маршрутизации многие маршрутизаторы обладают важными дополнительными функциональными возможностями (они перечислены далее), которые значительно расширяют сферу применения этих устройств.

Поддержка одновременно нескольких протоколов маршрутизации. В протоколах маршрутизации обычно предполагается, что маршрутизатор строит свою таблицу на основе работы только этого одного протокола. Деление Интернета на автономные системы также направлено на исключение использования в одной автономной системе нескольких протоколов маршрутизации. Тем не менее иногда в большой корпоративной сети приходится поддерживать одновременно несколько таких протоколов, чаще всего так складывается исторически.

При этом таблица маршрутизации может получаться противоречивой -- разные протоколы маршрутизации могут выбрать разные следующие маршрутизаторы для какой-либо сети назначения. Большинство маршрутизаторов решает эту проблему за счет придания приоритетов решениям разных протоколов маршрутизации. Высший приоритет отдается статическим маршрутам (администратор всегда прав), следующий приоритет имеют маршруты, выбранные протоколами состояния связей, такими как OSPF или NLSP, а низшим приоритетом обладают маршруты дистанционно-векторных протоколов, как самых несовершенных.

Приоритеты сетевых протоколов. Можно установить приоритет одного протокола сетевого уровня над другими. На выбор маршрутов эти приоритеты не оказывают никакого влияния, они влияют только на порядок, в котором многопротокольный маршрутизатор обслуживает пакеты разных сетевых протоколов. Это свойство бывает полезно в случае недостаточной полосы пропускания кабельной системы и существования трафика, чувствительного к временным задержкам, например трафика SNA или голосового трафика, передаваемого одним из сетевых протоколов.

Поддержка политики маршрутных объявлений. В большинстве протоколов обмена маршрутной информации (RIP, OSPF, NLSP) предполагается, что маршрутизатор объявляет в своих сообщениях обо всех сетях, которые ему известны. Аналогично предполагается, что маршрутизатор при построении своей таблицы учитывает все адреса сетей, которые поступают ему от других маршрутизаторов сети. Однако существуют ситуации, когда администратор хотел бы скрыть существование некоторых сетей в определенной части своей сети от других администраторов, например, по соображениям безопасности. Или же администратор хотел бы запретить некоторые маршруты, которые могли бы существовать в сети. При статическом построении таблиц маршрутизации решение таких проблем не составляет труда. Динамические же протоколы маршрутизации не позволяют стандартным способом реализовывать подобные ограничения.

...