Средства и протоколы управления ЛВС.

Средства управления ЛВС предназначены для реализации функций в рамках пяти категорий управления определенных международной организацией по стандартизации. Эти средства входят в состав системы управления ЛВС и включают четыре типа средств: контрольно-измерительные приборы, сетевые мониторы, сетевые анализаторы и интегрированные системы управления сетями.

Из контрольно-измерительных приборов наиболее распространенными являются рефлектометры, осциллографы, детекторы разрывов, измерителя мощности.

Сетевой монитор представляет собой компьютер, подключенный к ЛВС для контроля трафика всей сети или выделенной ее части. Являясь автономной функциональной частью сети, они работают непрерывно, набирая информацию об использовании сети, типах пакетов сообщений каждым узлов ЛВС.

Сетевые анализаторы являются сложными и дорогостоящими устройствами, обладающими более широкими возможности, чем кабельные тестеры, в которые входят рефлектометры. Они применяются не только для обнаружения неполадок в сети, но и для выяснения их причин и устранения.

Интегрированные системы управления (ИСУ) ЛВС реализуют функции по всем пяти категориям управления вычислительной сетью, определенными ISO. При использовании ИСУ контроль всей сети осуществляется из единого центра с помощью терминала с графическим пользовательским интерфейсом, интегрированным со станцией управления сетью.

Протоколы управления ЛВС специально разработаны и используются диагностики работоспособности различных локальных сетей.

SNMP (Simple Network Management Protocol) – простой протокол для управления вычислительной сетью, предназначен для решения коммуникационных проблем в сетях TCP/IP (в настоящее время область его применения расширена: его возможности позволяют контролировать сетевой трафик и выявлять аппаратные неисправности и узкие места в широком диапазоне не только TCP/IP сетевых устройств).

CMIP (Common Management Information Protocol) – протоколы общего управления информацией, предназначен для решения коммуникационных проблем в сетях модели ISO и являются частью этой стандартной модели. Это стандарт управления для сетей, соответствующих модели ISO.

Стандарты систем управления, основанных на протоколе SNMP, формализуют минимум аспектов системы управления, а стандарты ISO – максимум аспектов, как и большинство стандартов, разработанных ITV-T.

Традиционно в локальных и корпоративных сетях применяются в основном системы управления на основе SNMP, а стандарты ISO/ITU-T и протокол CMIP находят применение в телекоммуникационных сетях.

Основное сходство протоколов SNMP и CMIP (кроме общей цели, состоящей в облегчении задач управления и диагностики при работе в ЛВС) заключается в использовании одной и той же концепции MIB и ее расширения (Management Information Base – База управления информацией). Концепция состоит из набора переменных, тестовых точек и контрольных параметров, которые поддерживаются всеми устройствами сети и могут контролироваться администратором ЛВС.

Сравнение протоколов SNMP и CMIP:

- протокол SNMP ориентирован на связь без соединения с целью сокращения накладных расходов и обеспечения управления на пользовательском уровне. Для передачи запросов или ответов при управлении ЛВС в SNMP используются простые дейтаграммы. В этом случае связывающиеся стороны должны предусматривать возможность неполучения данных адресатом и, следовательно, бать готовыми к повторным передачам. Для маршрутизации сообщений в SNMP могут использоваться простые коммуникационные протоколы (IPX или IP и UDP). Протокол CMIP ориентирован на связь с соединением, обеспечивающим прозрачную обработку параметров. Использование в этом протоколе сеансового обмена информацией делает его белее удобным при необходимости получения большого количества данных. Однако это может затруднить управление сетью при возникновении неполадок;

- протокол CMIP содержит гораздо более надежный набор средств сетевого управления, чем SNMP. Он обеспечивает шесть типов услуг: управление конфигурацией, управление защитой, контроль неисправностей, учет, управление качеством функционирования и службу каталогов. Серьезным недостатком SNMP является отсутствие средств защиты;

- применение протокола SNMP позволяет строить как простые, так и сложные системы управления, а применение протокола CMIP определяет некоторый, достаточно высокий начальный уровень сложности системы управления, так как для его работы необходимо реализовать ряд вспомогательных служб, объектов и баз данных объектов;

- в протоколе SNMP не различаются объект и его атрибуты (объект может быть устройством, а атрибут – характеристикой или параметром этого устройства). Это означает, что в среде SNMP приходиться формировать новые определения для каждого из устройств, которые создаются для SNMP-сети. При работе в среде CMIP для новых устройств используются уже созданные определения, включаются только дополнительные атрибуты, чтобы было отличить новые устройства;

- протокол SNMP работает через периодические опросы устройств сети для определения их статуса. В протоколе CMIP используются отчеты устройств, в которых они информируют центральную управляющую станцию об изменениях в своем статусе;

- система управления сетью на базе протокола SNMP отличается большей компактностью, большим быстродействием и меньшей стоимостью. Изделия на базе SNMP получили большое распространение. Протокол CMIP еще не получил широкого применения, потому что пока мало сетей, работающих по протоколам модели OSI.

Службы безопасности ЛВС.

Защита информации в компьютерных сетях становится одной из самых острых проблем в современной информатике. Сформулировано три базовых принципа информационной безопасности, которая должна обеспечить:

- целостность данных (защиту от сбоев, ведущих к потере информации, а также неавторизированного создания или уничтожения данных);

- конфиденциальность информации;

- доступность информации для всех авторизированных пользователей.

Обеспечение безопасности в компьютерных сетях требует защиты следующих информационных ресурсов:

- общесистемное программное обеспечение (ОС, СУБД, офисные приложения и т.п.);

- прикладное программное обеспечение;

- информационное обеспечение (БД, файлы).

Нарушителями нормального функционирования ЛВС могут быть:

- администраторы ЛВС;

- пользователи, допущенные к обработке информации ЛВС;

- технический персонал, обслуживающий вычислительную технику, но не допущенный к обработке информации в ЛВС в повседневной деятельности;

- удаленные пользователи, не допущенные к обработке информации в ЛВС;

- разработчики программного обеспечения и вычислительной техники, используемых в ЛВС.

Возникновение угроз информационным ресурсам ЛВС может происходить вследствие следующих причин.

Несанкционированного доступа (НСД) злоумышленников (взломщиков сети – хакеров):

- копирование, уничтожение или подделка информации;

- ознакомление с конфиденциальной информацией посторонних лиц.

Ошибок обслуживающего персонала и пользователей:

- случайное уничтожение или изменение данных;

- некорректное использование программное обеспечения, ведущее к уничтожению или изменению данных.

Некорректной работы программного обеспечения:

- при ошибках в программном обеспечении или внесении в него недекларированных возможностей;

- при заражении системы компьютерными вирусами.

Неправильного хранения архивных данных.

Сбоев оборудования:

- кабельной системы;

- электропитания;

- дисковых систем;

- систем архивации данных;

- серверов, рабочих станций, сетевых карт и т.п.

Пути несанкционированного доступа к защищаемой информации:

- перехват побочных электромагнитных излучений;

- перехват в радиосетях;

- принудительное магнитное облучение (подсветка) линий связи с целью паразитной модуляции несущей частоты;

- применение подслушивающих устройств (закладок);

- перехват акустических излучений и восстановление текста принтера;

- хищение носителей информации;

- копирование информации с ее носителей с преодолением средств защиты;

- маскировка под зарегистрированного пользователя;

- маскировка под запросы системы;

- использование программных ловушек;

- незаконное подключение к аппаратуре и линиям связи;

- злоумышленных вывод из строя средств защиты;

- внедрение и использование компьютерных вирусов.

«Эффекты», вызываемые вирусами, принято делить на следующие целевые группы:

- искажение информации в файлах либо таблицы разрешения файлов, которое может привести к разрушению файловой системы в целом;

- имитация сбоев программных средств;

- создание визуальных и звуковых эффектов, включая отображения сообщений, вводящих операторов в заблуждение или затрудняющих их работу;

- инициирование ошибок в программах пользователей или операционных систем.

Концепция обеспечения безопасности информационных ресурсов ЛВС должна базироваться на технологии многоуровневой защиты (MLS – Multilevel Security), в которую входят:

- физическая защита кабельной системы, электропитания, средств архивации, дисковых массивов и т.д.;

- организация мер защиты вычислительной техники, кадровый подбор и расстановка персонала, контроль доступа в помещения и парольная защита компьютеров, планы действия в чрезвычайных ситуациях и т.д.;

- программно-технические средства защиты информации, вычислительной техники и систем передачи данных, а именно – средства защиты от НСД (средства поиска и обнаружения закладных устройств НСД к информации); межсетевые экраны; средства шифрования (криптографии) информации, передаваемой по каналам связи; электромагнитное управление техники или помещений, в которых расположена техника; активная радиотехническая маскировка с использованием широкополосных генераторов шума; электронно-сетевая подпись; антивирусные программы; системы разграничения доступа; системы мониторинга и анализа уязвимости ЛВС.

Нейтрализация перечисленных и других угроз безопасности осуществляется службами сети и механизмами реализации функций этих служб. Документами Международной организации стандартизации (МОС) определены следующие службы безопасности:

- аутентификация (подтверждение подлинности);

- обеспечение целостности передаваемых данных;

- контроль доступа;

- защита от отказов.

Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инвариантны по отношении к этим сетям.

В виртуальных сетях используются протоколы информационного обмена типа виртуального соединения. Передача информации между абонентами организуется по виртуальному каналу и происходит в три этапа: создание (установление) канала, собственно передача и уничтожение (разъединение) канала. При этом сообщения разбиваются на одинаковые части (пакеты). Пакеты передаются по виртуальному каналу в порядке их следования в сообщении.

В дейтаграммных сетях реализуются дейтагрммные протоколы информационного обмена. Пакеты, принадлежащие одному и тому же сообщению, передаются от отправителя к получателю в составе дейтаграмм независимо друг от друга и в общем случае по различным маршрутам, то есть в сети они являются самостоятельными единицами информации. На приемном пункте из пакетов, поступивших по различным маршрутам и в разное время, составляется первоначальное сообщение.

Службы и механизмы безопасности используются на определенных уровнях эталонной модели ВОС.

На рис. 47 представлено распределение служб безопасности (СБ) по уровням эталонной модели ВОС, а на рис. 48 – механизмы реализации служб безопасности.

Служба аутентификации одноуровневого объекта, обеспечивает подтверждение (опровержение) того, что объект, предлагающий себя в качестве отправителя сообщения по виртуальному каналу, является именно таковым как на этапе установления связи между абонентами, так и на этапе передачи сообщения.

В дейтаграммных сетях эта служба называется службой аутентификации источника данных, передаваемых в виде дейтаграмм.

Службы целостности обеспечивают выявление искажений в передаваемых данных. Они разделяются по виду сетей, в которых они

№ п/п	Наименование СБ	Уровни модели
1.	СБ виртуальных сетей			+	+			+
Аутентификация одноуровневого объекта
2.	Целостность соединения с восстановлением				+			+
3.	Целостность соединения без восстановления			+	+			+
4.	Целостность выборочных полей соединения							+
5.	Засекречивание соединения	+	+	+	+			+
6.	Засекречивание выборочных полей соединения							+
7.	СБ дейтаграммных сетей			+	+			+
Аутентификация источника данных
8.	Целостность без соединения			+	+			+
9.	Целостность выборочных полей без соедиения							+
10.	Засекречивание без соединения		+	+	+			+
11.	Засекречивание выборочных полей без соединения							+
12.	Общие СБ	+		+				+
Засекречивание потока данных
13.	Контроль доступа			+	+			+
14.	Защита от отказов с подтверждением источника							+
15.	Защита доступа с подтверждением доставки							+

Рис. 47. Распределение СБ по уровням эталонной модели ВОС.

№ п/п

Наименование СБ

СБ виртуальных сетей

СБ дейтаграммных сетей

Общие службы безопасности

1.

Шифрования

+

+

+

+

+

+

+

+

+

+

+

+

2.

Цифровая подпись

+

+

+

+

+

+

3.

Контроль доступа

+

4.

Обеспечение целостности данных

+

+

+

+

+

+

+

5.

Обеспечение аутентификации

+

6.

Подстановка трафика

+

7.

Управление маршрутизацией

+

+

+

8.

Арбитраж

+

Рис. 48. Механизм реализации СБ.

применяются (СБ в виртуальных и дейтагрммных сетях), по действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), по степени охвата передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).

Службы засекречивания обеспечивают секретность передаваемых данных: в виртуальных сетях – всего пересылаемого сообщения или только его выборочных полей, а дейтаграммных – каждой дейтаграммных – каждой дейтаграммы или только отдельных ее элементов.

Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и дейтаграммных сетей (как и службы 13¸15 (рис. 47)), предотвращает возможность получения сведений об абонентах сети и характере использования сети.

Служба контроля доступа обеспечивает нейтрализацию попыток несанкционированного использования общественных ресурсов.

Служба защиты от отказов от информации со стороны ее отправителя и/или получателя. Механизмы реализации указанных СБ (рис. 48) представлены соответствующими, преимущественно программными, средствами. Некоторые из механизмов, перечисленных на рис. 48, используются для реализации не одной, а ряда служб безопасности. Это относится к шифрованию, цифровой подписи, обеспечению целостности данных, управлению маршрутизацией.

В рамках построения защиты ЛВС возможен выбор одной из двух концепций:

- создание системы безопасности, построенной на базе каналов связи и средств коммутации территориальных сетей связи общего использования, в которых применяются открытые протоколы Internet;

- отказ от средств Internet, создание локальной сети на базе специализированной или выделенной сети связи с использованием конкретной сетевой технологии, в частности ATM, FR, ISDN.