Тема 19. Маршрутизація у комп'ютерних мережах.

1.Способи маршрутизації. 2. Проста маршрутизація. 3. Табличні методи маршрутизації. 4. Динамічна маршрутизація. 5. Алгоритми вибору найкоротшого шляху. 6. Алгоритм Дейкстри. 7. Алгоритм Форда–Фалкерсона. 8. Керування мережевим трафіком. 9. Рівні керування трафіком. 10. Керування трафіком на рівні каналів каналів передачі даних. 11. Керування трафіком на мережевому рівні. 12. Регулювання інтенсивності вхідного трафіка.

 

Способи маршрутизації.

 

 

Проста маршрутизація.

 

Табличні методи маршрутизації.

 

Динамічна маршрутизація.

 

Алгоритми вибору найкоротшого шляху.

 

Алгоритм Дейкстри.

 

Алгоритм Форда–Фалкерсона.

 

Керування мережевим трафіком.

 

Рівні керування трафіком.

 

 

Керування трафіком на рівні каналів каналів передачі даних.

 

 

Керування трафіком на мережевому рівні.

 

Регулювання інтенсивності вхідного трафіка.

 

Тема 20. Динамічна маршрутизація

1.Дистанційно-векторні протоколи IGP. 2. Протоколи стану звязків IGP. 3. Протоколи глобальних мереж EGP.

 

Дистанційно-векторні протоколи IGP.

 

 

Протоколи стану звязків IGP.

 

 

Протоколи глобальних мереж EGP.

 

 

Тема 21. Протокол RIP.

1.Алгоритм векторів. 2. Розповсюдження таблиць маршрутизації. 3. Зациклювання маршрутизаторів. 4. Боротьба із петлями

 

 

 

Тема 22. Протокол OSPF.

1.Алгоритм Дейкстри. 2. Стан зв'язків. 3. Основний і резервний координатори. 4. Зони. 5. Граничні зонні маршрутизатори. 6. Маршрутизатори зовнішніх границь.

 

 

Тема 23. Протокол BGP

1.Автономна система 2. Сусіди (peers, upstream, client) 3. Внутрішні і зовнішні зв’язки. 4. Відбивачі. 5. Конфедерації.

 

 

Тема 24 Взаємодія протоколів IGP і EGP.

1.Система Quagga. 2. Zebra 3. Static redistribution. 4. Metrics protocols

 

Система Quagga.

 

 

Zebra.

 

Static redistribution.

 

 

Metrics protocols

 

 

Тема 25 Сучасні маршрутизатори та їх основні характеристики

1.Пристрої Cisco. 2. Пристрої Juniper. 3. Пристрої D-link. 4. Пристрої H3C.

 

Пристрої Cisco.

 

 

Пристрої Juniper.

 

 

Пристрої D-link.

 

 

Пристрої H3C.

 

 

 

Тема 26. Пристрої для дому та малих офісів.

1.Пристрої SOHO 2. Маршрутизатори Еthernet 3. Маршрутизатори DSL. 4. Точки доступу. 5. Перемикаючі концентратори. 6. Повторювачі

 

 

 

Тема 27. Пристрої віртуальних приватних мереж.

1. Принципи VPN. 2. Програмні VPN. 3. Апаратні VPN. 4. Симетричні та асиметричні ключі.

 

 

Підтема 28. Мережева технологія MPLS.

1.Основні можливості МPLS. 2. Процес функціонування МPLS. 3. Переваги MPLS. 4. Підтримка QoS. 5. Створення VPN з'єднань за допомогою MPLS.

 

 

Тема 29. Брандмауери та файєрволи.

1.Фільтрація пакетів і потоків 2. Міжмережевий екран. 3. Асиметричний трафік. 4. Детектування атак 5. Рівні захисту.

 

Фільтрація пакетів і потоків

 

 

Міжмережевий екран.

Брандмауер, файєрвол, міжмережевий екран - це система або група систем, що реалізують правила керування доступом між двома мережами. Фактичні засоби, за допомогою яких це досягається, досить різні, але в принципі брандмауер можна розглядати як пару механізмів: один для блокування передачі інформації, а інший, - для пропуску інформації. Деякі брандмауери приділяють більше увагу блокуванню передачі інформації, інші - її пропуску. Імовірно головне, що потрібно знати про брандмауерів, це що вони реалізують правила керування доступом. Якщо не цілком зрозуміло, якого роду доступ необхідно забезпечити або заборонити, брандмауер вам нічим не допоможе. Також важливо розуміти, що конфігурація брандмауера, як механізму забезпечення виконання певних правил, визначає правила для всіх систем, які він захищає. Тому на адміністраторів брандмауерів, керуючих доступом до великої кількості хостів, покладає більша відповідальність.

Назначение брандмауэра

Internet, как и любое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети Internet что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра - оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Многие традиционные компании и центры обработки данных разработали правила и принципы компьютерной безопасности, которым надо следовать. Если правила работы компании указывают, как необходимо защищать данные, брандмауэр становится особенно важным, становясь частью корпоративной системы безопасности. Зачастую при подключении большой компании к сети Internet самым трудным является не обоснование того, что это выгодно или полезно, а объяснение руководству, что это вполне безопасно. Брандмауэр не только обеспечивает реальную защиту, он часто играет существенную роль гаранта безопасности для руководства.

Наконец, брандмауэр может служить корпоративным "посланником" ("лицом") в Internet. Многие компании используют системы брандмауэров для предоставления широкой общественности информации о продукции и услугах компании, в качестве хранилища файлов для загрузки, источника исправленных версий программ и т.д. Некоторые из этих систем стали важной составляющей спектра услуг сети Internet (например, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), что положительно сказалось на имидже их организаторов.

Некоторые брандмауэры пропускают только сообщения электронной почты, тем самым защищая сеть от любых атак, кроме атак на почтовую службу. Другие брандмауэры обеспечивают менее строгую защиту и блокируют лишь службы, определенно угрожающие безопасности.

Обычно брандмауэры конфигурируются для защиты от неавторизованной интерактивной регистрации из "внешнего" мира. Именно это, больше, чем все остальное, помогает предотвратить проникновение вандалов в машины вашей сети. Более развитые брандмауэры блокируют передачу информации извне в защищаемую сеть, разрешая при этом внутренним пользователям свободно взаимодействовать с внешним миром. При правильной настройке брандмауэр может защитить от любого типа сетевой атаки.

Брандмауэры также важны, поскольку позволяют создать единую "уязвимую точку" ("choke point"), где можно организовать защиту и аудит. В отличие от ситуации, когда компьютерная система атакуется извне путем дозвона по модему, брандмауэр может служить эффективным средством "прослушивания" и регистрации подключений. Брандмауэры обеспечивают важные функции журнализации и аудита; часто они позволяют администраторам получать отчеты о типах и объемах переданной через них информации, о количестве попыток взлома и т.п.

Важно, что создание такой "уязвимой точки" может служить в сети той же цели, что и ворота с охраной возле здания фирмы. Тем самым, при изменении "зон" или уровней защищенности имеет смысл создавать такую "проходную". Редко когда в здании фирмы есть только ворота для выезда транспорта и нет дежурного или охранников, проверяющих пропуска у входящих. Если в офисе есть различные уровни доступа, логичным будет и создание нескольких уровней защиты в офисной сети.

Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. К несчастью для них, магнитную ленту использовать для передачи данных ничуть не сложнее. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Смешно устанавливать стальную дверь двухметровой толщины в деревянном доме, но многие организации покупают дорогие брандмауэры и игнорирую другие многочисленные лазейки в корпоративную сеть. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом. Например, для систем с совершенно секретными или конфиденциальными данными брандмауэр вообще не нужен - их просто не надо подключать к Internet, или же надо изолировать системы с действительно секретными данными от остальной части корпоративной сети.

Брандмауэр практически не может защитить вас и от саботажников или идиотов внутри сети. Хотя агент, занимающийся промышленным шпионажем, может передавать информацию через ваш брандмауэр, он точно так же может предавать ее по телефону, по факсу или на флэшке. USB-флэшки и USB-HDD - куда более вероятные каналы утечки информации из компании, чем брандмауэр! Брандмауэры также не могут защитить от глупости. Пользователи, предоставляющие важную информацию по телефону, - хорошая цель для обработки психологически подготовленным злоумышленником. Он может взломать сеть, полностью обойдя брандмауэр, если сможет найти "полезного" сотрудника в организации, которого сможет обманом заставить дать доступ к модемному пулу. Прежде чем решить, что в вашей организации такой проблемы не существует, спросите себя, насколько сложно представителю организации-партнера получить доступ в сеть, или будет ли трудно пользователю, забывшему пароль, добиться его сброса. Если сотрудники справочной службы считают, что им звонят только из вашего офиса, у вас определенно есть проблема.

Наконец, брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр - не панацея, и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто, и это можно легко продемонстрировать. Защита - это не то, что можно "сделать и забыть".

Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки на базе данных, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.

Организации, серьезно обеспокоенные проблемой вирусов, должны применять специальные меры для контроля распространения вирусов в масштабе всей организации. Вместо того, чтобы пытаться оградить сеть от вирусов с помощью брандмауэра, проверьте, что каждое уязвимое рабочее место оснащено программами сканирования вирусов, запускаемыми при перезагрузке машины. Оснащение сети программами сканирования вирусов защитит ее от вирусов, полученных с флэшек, через модемы и по сети Internet. Попытка заблокировать вирусы на брандмауэре защитит только от попадания вирусов из Internet, а подавляющее большинство вирусов переносится как раз на USB-носителях: флэшках и переносных жестких дисках.

Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows-Intel или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.

Мощный брандмауэр не заменяет чувствительного программного обеспечения, знающего природу обрабатываемых данных - ненадежных и поступивших из не обладающего доверием источника, - и обрабатывающего их соответствующим образом. Не думайте, что вы в безопасности, раз "все" используют некую почтовую программу, произведенную гигантской транснациональной компанией.

 

Література