осуществляет кодирование данных и представление их в виде сигналов для передачи по физическим каналам связи (коаксиальный кабель, витая пара, оптоволоконный кабель). Имея дело с входящими сообщениями физический уровень осуществляет обратный процесс, превращая сигналы в биты.
Преамбула
| Признак начала данных
| Данные
| Признак конца данных
|
Канальный уровень (Data Link layer)
осуществляет проверку доступности среды передачи, направление пакетов данных, поступающих от протоколов верхних уровней, узлу назначения, адрес которого указывает протокол верхнего уровня физическому уровню и реализацию механизмов обнаружения и коррекции ошибок, предотвращает перегрузку сети (приостановкой трафика).
MAC-адрес получателя
| MAC-адрес отправителя
| Длина и тип данных
| Данные
| Контрольная сумма
|
Сетевой уровень (Network layer)
Осуществляет фрагментацию (сборку) передаваемых транспортным уровнем данных, маршрутизацию и продвижение пакета по составной сети. На основании сетевого адреса
Сетевой адрес отправителя
| Сетевой адрес получателя
| Длина, тип и номер пакета
| Контрольная сумма
| Служебная информация
| Данные
|
Представительский уровень
|
Представительский уровень
|
Данные принимающей машины
|
Транспортный уровень(Transport layer)
Обеспечивает приложениям или верхним уровням стека — прикладному и сеансовому — передачу данных с той степенью надежности, которая им требуется.
· разбивку сообщения сеансового уровня на пакеты, их нумерация;
· буферизация принимаемых пакетов;
· упорядочивание прибывающих пакетов;
· адресация прикладных процессов;
· управление потоком.
В то время, как задачей сетевого уровня является передача данных между произвольными узлами сети, задача транспортного уровня заключается в передаче данных между любыми прикладными процессами, выполняющимися на любых узлах сети. Действительно, после того, как пакет средствами протокола IP доставлен в компьютер-получатель, данные необходимо направить конкретному процессу-получателю. Каждый компьютер может выполнять несколько процессов, более того, прикладной процесс тоже может иметь несколько точек входа, выступающих в качестве адреса назначения для пакетов данных.
Вид приложения отправителя
| Вид приложения получателя
| Длина, тип и номер пакета
| Контрольная сумма
| Служебная информация
| Данные
|
Пакеты, поступающие на транспортный уровень, организуются операционной системой в виде множества очередей к точкам входа различных прикладных процессов. В терминологии TCP/IP такие системные очереди называются портами. Таким образом, адресом назначения, который используется на транспортном уровне, является идентификатор (номер) порта прикладного сервиса. Номер порта, задаваемый транспортным уровнем, в совокупности с номером сети и номером компьютера, задаваемыми сетевым уровнем, однозначно определяют прикладной процесс в сети.
Сеансовый уровень (Session layer)
Устанавливает, поддерживает, завершает текущее соединение между отправителем и получателем.
При обрыве связи позволяют вставлять контрольные точки в длинные передачи, для возможности начала соединения с последней контрольной точкой, а не сначала. установление способа обмена сообщениями (дуплексный или полудуплексный); синхронизация обмена сообщениями.
Представительный уровень
Представительный уровень (Presentation layer) Уровень представления — согласовывает представление (синтаксис) данных при взаимодействии двух прикладных процессов: преобразование данных из внешнего формата во внутренний; шифрование и расшифровка данных.
Прикладной уровень
Прикладной уровень (Application layer) — это в действительности просто набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организуют совместную работу, например с помощью протокола электронной почты. Единица данных, которой оперирует прикладной уровень, обычно называется сообщением (message).
Прикладной уровень — набор всех сетевых сервисов, которые предоставляет система конечному пользователю:
идентификация, проверка прав доступа;
принт- и файл-сервис, почта, удаленный доступ...
Существует очень много различных служб прикладного уровня. Приведем в качестве примера хотя бы несколько наиболее распространенных реализаций файловых служб: NCP в операционной системе Novell NetWare, SMB в Microsoft Windows NT, NFS, FTP и TFTP, входящие в стек TCP/IP.
Табл. Возможные нарушения безопасности в модели OSI
Уровень
| Функции
| Возможные нарушения
| Способы устранения нарушений
|
Физический
| - синхронизация;
- модуляция;
- кодирование информации;
- формирование электрических сигналов:
- передача битов по каналам связи.
| 1. Перехват данных с помощью несанкционированного физического подключение к сети;
2. Прослушивание сети;
3. Наличие коллизий и ошибок.
4. Электромагнитные наводки
| 1.-2. Шифрование данных;
1.-2. Использование интеллектуальных концентраторов для назначения MAC- адресов, имеющих доступ к сети;
3. Автосегментация- способность изолировать работающие порты, создающие помехи, ошибки или имеющих недопустимый для данной сети МАС-адрес.
4.Кодирование информации
5. Заземление линий передач данных.
|
Канальный
| - установление и расторжение соединения;
- управление соединением физических каналов передачи данных.
- расщепление соединения на несколько физических;
- сериализация;
- обнаружение и исправление ошибок;
- управление потоком;
|
Сетевой
| Функции сетевого уровня:
- выбор наилучшего маршрута передачи данных;
- организация сетевых соединений;
- согласование разных протоколов канального уровня;
- сегментирование и блокирование;
- обнаружение и исправление ошибок;
- сериализация;
- управление потоком;
- передача срочных данных;
| 1. Фальсификация IP-адреса;
2. Сканирование сети
3. Атаки на протоколы маршрутизации;
4. Использование туннелирования для передачи трафика в обход системы фильтрации пакетов;
| 1. Межконцевое шифрование (VPN);
2. Использование механизмов аутентификации (партнеров взаимодействия, ЦП, привязка к сетевым адресам);
3. Использование средств обнаружения атак (IDS)
4. Использозвание механизмов управление доступом (в.т. ч. МЭ, фильтрация трафика)
|
Транспортный
| - отображения транспортного адреса на сетевой адрес;
- мультиплексирование и расщепление транспортных соединений на сетевые соединения;
- установление и расторжение транспортных соединений;
- управление потоком на отдельных соединениях;
- обнаружение ошибок и управление качеством сервиса;
- исправление ошибок;
- сегментирование, блокирование и сцепление;
- передача срочных блоков данных.
| Сканирование портов
| 1. Использование механизмов аутентификации (привязка к портам);
|
Сеансовый
| Функции сеансового уровня:
- установлению и расторжению сеансового соединения;
- обмен нормальными и срочными данными;
- управлению взаимодействием;
- синхронизации сеанса;
- восстановлению сеанса;
| Принуждение к ускоренной передаче данных
| 1. увеличение окна передачи данных после получения подтверждения
2. VPN сеансового уровня;
3. Регистрация событий,
4. Трансляция внутренних сетевых адресов
|
Представления данных
| Функции представительного уровня
- запрос на установление сеанса;
- передача данных;
- согласование и пересогласование выбора синтаксиса;
- преобразование синтаксиса, включая преобразование данных,
форматирование и специальные преобразования (сжатие, шифрование/дешифрование)
| Подбор паролей, ключей
| 1.Использование механизмов идентификации и аутентификации;
2. Криптографическое преобразование данных
|
Прикладной
| Предоставление услуг на уровне конечного пользователя: почта, регистрация и т.д.
| 1.Подбор паролей, ключей, атаки типа маскарад;
2.Вирусные, спам– атаки
3.Атаки отказ в обслуживании
4. Атаки направленные на «дырки» в программном обеспечении
| 1. Криптографическое преобразование;
2. Использование механизмов идентификации и аутентификации; Использование средств обнаружения атак (IDS)
3. Использование механизмов управление доступом (в.т. ч. МЭ, фильтрация трафика)
4. Контроль за участниками взаимодействия;
5. Антивирусная защита;
Системное администрирование (в т.ч., анализ log-файлов, установка заплат на ОС и т.д)
|
Стек Протоколов Internet