Адресація мережі.
Жодних магічних формул використання
адресації мережі для зашиті інформації немає. Існує певний захист, який
приховує або маскує адреси мережі. Одним з ключових елементів інформації, який
можуть використовувати для визначення слабких місць мережі, є доступ до списку
задіяних адрес. Задіяні адреси можуть істотно полегшити завдання по з'ясуванню
того, які системи можуть бути активними і відповідними для атаки. Існує два
способи вирішення цієї проблеми: конфігурація служби іменування доменів і
перетворення адрес мережі.
Конфігурація служби
іменування доменів
Служба імен доменів (DNS— Domain Name
Service) використовується для перетворення системних імен в цифрові адреси. Її
також можна використовувати для зворотного перетворення цифрових адрес в
системні імена. Той, хто зуміє взнати імена або адреси, зможе використовувати
DNS для перетворення їх в щось зрозуміліше. Не дивлячись на те, що багато людей
уявляють собі це як досить безпечну форму атаки, проте імена можуть дати що
атакує величезну кількість інформації. Наприклад, якщо хтось має мережеві
адреси організації і всі крапки відображення системних адрес, що іменуються кадри (hr) або розрахунок
(acct), він може спробувати проникнути в ці системи в
цілях пошуку інформації. Крім того, у зломщиків з'явиться можливість визначити
архітектуру мережі. Ця інформація, отримана зовнішніми користувачами, може
допомогти їм визначити структуру організації незалежно від її розмірів і сфери
діяльності. Коли автор працював з компанією, в якій було не більше 100
користувачів, що вільно обмінюються інформацією, було виявлено, що в головну систему було здійснено декілька вторгнень
користувачами Internet. Ця система була "головним сервером" компанії
і містила багато інформації про компанію. Навіть після того, як система була
відокремлена від мережі, поставлений маршрутизатор і написані правила, що
вирішують доступ до ресурсів лише внутрішнім користувачам, спроби злому цієї
системи продовжувалися. Посту проведеної в компанії роботи по перетворенню
системних імен і зміні адрес для багатьох серверів була створена система 2-dns.
Головна причина створення системи
2-dns полягала в організації служби перетворення імен внутрішніх користувачів в
осмислені імена, і в той же час в забезпеченні перетворення імен в
"знеособлені" імена для Internet відповідно до стандарту DNS. У цьому
подвійному підході DNS внутрішній сервер імен ставав недоступний з Internet, і
в той же час встановлювалися системні імена, які були зрозумілі користувачам організації.
При конфігурації систем організації слід було враховувати, що вони повинні
користуватися сервером імен для перетворення адрес. Друга частина системи була
встановлена так, щоб бути доступною з Internet, але містила інший набір імен
для зовнішніх користувачів. На мал. 5.2
показано, як це може бути реалізовано.
Деякі дрібніші організації
користуються послугами сторонніх організацій для зв'язку з Internet, і не мають
прямого доступу до власних входів DNS. Це не є проблемою, поки адміністратор
може запрошувати, які були зроблені зміни. У будь-якому випадку було б краще
розробити політику, яка передбачила б створення в системі відкритої частини, в
якій надавалося б інформації не більше, ніж це необхідно. Можна включити в
політику наступне формулювання.
Для забезпечення груповими іменами доступних внутрішніх
систем необхідне наступне: служба мережевих імен повинна забезпечити
користувачів Internet умовними іменами, зрозумілими для внутрішніх систем, а
достовірні імена привласнити користувачам для роботи у внутрішній мережі
організації.
Мал. 5.2. Використання
двосистемної DNS для заховання внутрішніх імен
Перед здійсненням таких змін
організація повинна розглянути безліч питань. Деякі з них стосуються того, як
внутрішня DNS перетворюватиме адреси, розміщені в Internet, для внутрішніх
користувачів, а також угод про привласнення імен і доступності до кожної
системи DNS. Є і інші питання. Необхідно розглянути наслідки проведення такої
політики - як це відіб'ється на впровадженні заходів безпеки. Декілька розділів
було присвячено саме цій темі. Можливо, це не самий кращий підхід для вашої
організації, тому потрібно упевнитися, що це має сенс саме для ваших умов.
Перетворення
мережевих адрес
Інший спосіб приховати конфігурацію
внутрішньої мережі полягає у використанні одних адрес для внутрішніх систем і
перетворенні їх при зв'язку з Internet або іншими зовнішніми мережами. Такий
механізм називається перетворенням мережевих адрес (NAT— Network Address
Translation). Основна функція NAT полягає у використанні особливого алгоритму
формування адрес при роботі у внутрішній мережі організації, які перед посилкою
їх в Internet мають бути перетворені в інші адреси.
Чому необхідне перетворення мережевих адрес
Коли на початку 90 років почалося повсюдне використання Internet, стало очевидним, що таке бурхливе зростання числа користувачів приведе до браку адрес доступу. Намагаючись уповільнити цей процес, робоча група інженерів Internet (IETF - Internet Engineering Task Force) опублікувала RFC 1631, Перетворювач мережевих адрес протоколу IP (NAT- The IP Network Address Translator). У цьому документі пояснювалося, як створювати мережу, в якій використовується окремий список адрес для незареєстрованих систем, які можуть бути перетворені в зареєстровані або "реальні" адреси, маршрутизовані в Internet. Після аннонсированія цього RFC професіонали безпеки стали закликати використовувати NАТ, аби ховати мережеву конфігурацію і масштаб робіт організації, не змінюючи відкритої інформації про організацію або відкритих відомостей про її інфраструктуру.
Коли на початку 90 років почалося повсюдне використання Internet, стало очевидним, що таке бурхливе зростання числа користувачів приведе до браку адрес доступу. Намагаючись уповільнити цей процес, робоча група інженерів Internet (IETF - Internet Engineering Task Force) опублікувала RFC 1631, Перетворювач мережевих адрес протоколу IP (NAT- The IP Network Address Translator). У цьому документі пояснювалося, як створювати мережу, в якій використовується окремий список адрес для незареєстрованих систем, які можуть бути перетворені в зареєстровані або "реальні" адреси, маршрутизовані в Internet. Після аннонсированія цього RFC професіонали безпеки стали закликати використовувати NАТ, аби ховати мережеву конфігурацію і масштаб робіт організації, не змінюючи відкритої інформації про організацію або відкритих відомостей про її інфраструктуру.
Один з поширених способів використання
NAT полягає в призначенні мережевих адрес для систем організації, Internet, що
не користуються, з окремого блоку, встановленого для прихованих мереж, які
перетворюватимуться в легальні адреси. Адресами прихованих мереж є:
·
10.0.0.0-10.255.255.255.
Окремий блок адрес класу А.
·
172.16.0.0-172.31.255.255.
16 суміжних блоків адрес класу Ст
·
192.168.0.0-192.168.255.255.
255 суміжних блоків адрес класу С.
При використанні NАТ користувач дістає
стандартний доступ в Internet, але адреса прихованої мережі перед передачею має
бути перетворена системою, яка забезпечує підключення і модифікацію адреси
перед відправкою (мал. 5.3). Пристрої системи NАТ не є посередником в сеансах.
Проте представляти NАТ як проміжної ланки досить зручно.
Мал. 5.3. Перетворення
адрес за допомогою NАТ
Не у кожній організації є сенс
застосовувати NAT. Одна з проблем полягає в тому, що якщо мережа розростається,
то може виявитися недостатньо легальних адрес для доступу в Internet.
Адміністратори мережі повинні провести ретельний аналіз і вирішити, чи потрібно
використовувати NAT. Але в тому випадку, якщо NAT використовуватиметься,
необхідно скласти формулювання для документа політики в найбільш узагальненому
вигляді, аби забезпечити архітекторам і адміністраторам мережі максимальну
свободу вибору. Формулювання може виглядати таким чином.
Адреси внутрішньої мережі організації повинні залишатися
прихованими. Коли системи запрошують доступ до інших мереж, приховані адреси
перед передачею мають бути перетворені в легальні зареєстровані адреси.
Інші проблеми
адресації
Деяких людей шокує кількість питань,
які їм необхідно розглянути, аби осягнути те, що на перший погляд здається
досить простим. Але якщо мати чіткі правила адресації кожного важливого
елементу мережі, можна позбавити адміністраторів мережі від необхідності
управляти різними схемами. Правила адресації повинні враховувати спосіб
призначення адрес. Нижче перераховано, що має бути враховане при призначенні
адрес.
1.
1.
Чи буде адреса постійною і заздалегідь привласненою системі або мережевому
пристрою?
2.
2.
Чи буде адреса постійною і завантажуватися за допомогою протоколу вибору
адреси, такого як протокол динамічного вибору конфігурації хост-машини (DHCP—
Dynamic Ноst Configuration Protocol) або протокол початкового завантаження
(ВООТР — Bootstrap Protocol)?
3.
3.
Чи буде адреса привласнюватися динамічно, коли система підключається до мережі?
Всі ці схеми мають свої переваги, але
загальноприйнято використовувати постійні або наказані адреси навіть в тому
випадку, якщо вони отримані за допомогою DHCP. Оновлюючи карту адрес мережі,
мережеві диспетчери (люди або автоматизовані системи) зможуть легко визначити,
хто відповідає за мережевий трафік. Аби користуватися такою схемою, в правила
може бути включене наступне формулювання.
Адреси мережі мають бути заздалегідь визначені для кожної
системи і мережевого пристрою і можуть завантажуватися заздалегідь або бути
сформованими перед підключенням до мережі.
Ті ж виводи можуть бути зроблені
відносно адресації мережі, що не використовує IP-адреса. Наприклад, IPX-адреса
в середовищі Novell Netware або сформовані за допомогою WINS (Windows Internet
Naming Service— служба міжмережевих адрес в середовищі Windows) для мережі
Microsoft також мають подібні властивості і повинні підкорятися тим же
правилам.
Крім того, в правила формування адрес
можна додати рядок, що дає право захищати адреси і сервери від тих, хто не має
права доступу до них. Ці правила можуть бути написані так, щоб вони личили і
для інших адресних серверів і контроллерів, таких як пристрій NAT або DNS.
Формулювання правил може бути наступним.
Сервери мережевих адрес і сервери, які використовуються
для формування адрес, мають бути захищені всіма доступними для цих пристроїв
способами.
Адресація в IP-мережах
[ред.] Типи адрес стека TCP/IP
У стеці TCP/IP використовуються три типи адрес: локальні
(які також називаються апаратними), IP-адреси й символьні доменні імена.
У термінології TCP/IP під локальною адресою розуміється
такий тип адреси, що використовується засобами базової технології для доставки
даних у межах підмережі, що є елементом складеної інтермережі. У різних
підмережах припустимі різні мережеві технології, різні стеки протоколів, тому
при створенні стека TCP/IP передбачалася наявність різних типів локальних
адрес. Якщо підмережею інтермережі є локальна мережа, то локальна адреса - це
Мас-адреса. Мас-адреса призначається мережевим адаптерам і мережевим
інтерфейсам маршрутизаторів. Мас-адреси призначаються виробниками обладнання і
є унікальними, тому що управляються централізовано. Для всіх існуючих
технологій локальних мереж Мас-адреса має формат 6 байт, наприклад
11-A0-17-3D-BC-01. Однак протокол IP може працювати й над протоколами більш
високого рівня, наприклад над протоколом IPX або Х.25. У цьому випадку
локальними адресами для протоколу IP відповідно будуть адреси IPX і Х.25. Варто
врахувати, що комп'ютер у локальній мережі може мати кілька локальних адрес
навіть при одному мережевому адаптері. Деякі мережеві пристрої не мають
локальних адрес. Наприклад, до таких пристроїв відносяться глобальні порти
маршрутизаторів, призначені для з'єднань типу «точка-точка».
IP-адреси являють собою основний тип адрес, на підставі яких мережевий рівень
передає пакети між мережами. Ці адреси складаються з 4 байт, наприклад
109.26.17.100. IP-адреса призначається адміністратором під час конфігурування
комп'ютерів і маршрутизаторів. IP-адреса складається із двох частин: номера
мережі й номера вузла. Номер мережі може бути обраний адміністратором довільно,
або призначений за рекомендацією спеціального підрозділу Internet (Internet
Network Information Center, InterNIC), якщо мережа повинна працювати як
складова частина Internet. Звичайно постачальники послуг Internet одержують
діапазони адрес у підрозділів InterNIC, а потім розподіляють їх між своїми
абонентами. Номер вузла в протоколі IP призначається незалежно від локальної
адреси вузла. Маршрутизатор по визначенню входить відразу в кілька мереж. Тому
кожен порт маршрутизатора має власну IP-адресу. Кінцевий вузол також може
входити в кілька IP-мереж. У цьому випадку комп'ютер повинен мати кілька
IP-адрес, по числу мережевих зв'язків. Таким чином, IP-адреса характеризує не
окремий комп'ютер або маршрутизатор, а одне мережеве з'єднання.
Символьні доменні імена. Символьні імена в IP-мережах
називаються доменними й будуються по ієрархічній ознаці. Складові повного
символьного імені в IP-мережах розділяються крапкою й перераховуються в
наступному порядку: спочатку просте ім'я кінцевого вузла, потім ім'я групи
вузлів (наприклад, ім'я організації), потім ім'я більшої групи (піддомена) і
так до імені домена найвищого рівня (наприклад, домена об'єднуючої організації
по географічному принципу: UА - Україна, SU - США). Прикладом доменного імені
може служити ім'я base2.sales.zil.uа. Між доменним ім'ям й IP-адресою вузла
немає ніякої алгоритмічної відповідності, тому необхідно використовувати якісь
додаткові таблиці або служби, щоб вузол мережі однозначно визначався як по
доменному імені, так і по IP-адресі. У мережах TCP/IP використовується
спеціальна розподілена служба Domain Name System (DNS), що встановлює цю
відповідність на підставі створюваних адміністраторами мережі таблиць
відповідності. Тому доменні імена називають також DNS-іменами.
[ред.] Класи IP-адрес
IP-адреса має довжину 4 байти й звичайно записується у
вигляді чотирьох чисел, що представляють значення кожного байта в десятковій
формі й розділених точками, наприклад, 128.10.2.30 - традиційна десяткова форма
представлення адреси, а 10000000 00001010 00000010 00011110 - двійкова форма
представлення цієї ж адреси.
Адреса складається із двох логічних частин — номера
мережі й номери вузла в мережі. Яка частина адреси відноситься до номера
мережі, а яка — до номера вузла, визначається значеннями перших біт адреси.
Значення цих біт є також ознаками того, до якого класу відноситься та або інша
IP-адреса.
Якщо адреса починається з 0, то мережу відносять до класу
А і номер мережі займає один байт, інші 3 байти інтерпретуються як номер вузла
в мережі. Мережі класу А мають номери в діапазоні від 1 до 126. (Номер 0 не
використовується, а номер 127 зарезервований для спеціальних цілей, про що буде
сказано нижче.) Мереж класу А небагато, зате кількість вузлів у них може
досягати 224, тобто 16 777 216 вузлів.
Якщо перші два біти адреси є 10, то мережа відноситься до
класу В. У мережах класу В під номер мережі й під номер вузла виділяється по 16
біт, тобто по 2 байти. Таким чином, мережа класу В є мережею середніх розмірів
з максимальним числом вузлів 216, що становить 65 536 вузлів.
Якщо адреса починається з послідовності 110, то це мережа
класу С. У цьому випадку під номер мережі приділяється 24 битка, а під номер
вузла — 8 біт. Мережі цього класу найпоширеніші, число вузлів у них обмежено
28, тобто 256 вузлами.
Якщо адреса починається з послідовності 1110, то вона є
адресою класу D і позначає особливу, групову адресу — multicast. Якщо в пакеті
як адреса призначення зазначена адреса класу D, то такий пакет повинні отримати
всі вузли, яким привласнена дана адреса.
Якщо адреса починається з послідовності 11110, то це
значить, що дана адреса відноситься до класу Е. Адреси цього класу
зарезервовані для майбутніх застосувань.
[ред.] Особливі IP-адреси
У протоколі IP існує кілька угод про особливу
інтерпретацію IP-адрес.
- Якщо вся IP-адреса складається тільки із двійкових нулів, то вона позначає адресу того вузла, що згенерував цей пакет; цей режим використовується тільки в деяких повідомленнях ICMP.
- Якщо в полі номера мережі стоять тільки нулі, то за замовчуванням вважається, що вузол призначення належить тій же самій мережі, що й вузол, що відправив пакет.
- Якщо всі двійкові розряди IP-адреси рівні 1, то пакет з такою адресою призначення повинен розсилатися всім вузлам, що перебувають у тій же мережі, що й джерело цього пакета. Таке розсилання називається обмеженим широкомовним повідомленням (limited broadcast).
- Якщо в поле номера вузла призначення стоять тільки одиниці, то пакет, що має таку адреса, розсилається всім вузлам мережі із заданим номером мережі. Наприклад, пакет з адресою 192.190.21.255 доставляється всім вузлам мережі 192.190.21. 0. Таке розсилання називається широкомовним повідомленням(broadcast).
При адресації необхідно враховувати ті обмеження, які
вносяться особливим призначенням деяких IP-адрес. Так, ні номер мережі, ні
номер вузла не може складатися тільки з одних двійкових одиниць або тільки з
одних двійкових нулів. Звідси треба, що максимальна кількість вузлів, наведена
в таблиці для мереж кожного класу, на практиці повинна бути зменшена на 2.
Наприклад, у мережах класу С під номер вузла відводиться 8 біт, які дозволяють
задавати 256 номерів: від 0 до 255. Однак на практиці максимальне число вузлів
у мережі класу С не може перевищувати 254, тому що адреси 0 й 255 мають
спеціальне призначення. Із цих же міркувань слідує, що кінцевий вузол не може
мати адресу типу 98.255.255.255, оскільки номер вузла в цій адресі класу А
складається з одних двійкових одиниць.
Особливий смисл має IP-адреса, перший октет якої дорівнює
127. Вона використовується для тестування програм і взаємодії процесів у межах
одної машини. Коли програма посилає дані по IP-адресі 127.0.0. 1, то утвориться
як би «петля». Дані не передаються по мережі, а повертаються модулям верхнього
рівня як тільки що прийняті. Тому в IP-мережі забороняється привласнювати
машинам IP-адреси, що починаються з 127. Ця адреса має назву loopback.
Можна віднести адресу 127.0.0.0 до внутрішньої мережі модуля маршрутизації
вузла, а адресу 127.0.0.1 - до адреси цього модуля на внутрішній мережі.
Насправді будь-яка адреса мережі 127.0.0.0 служить для позначення свого модуля
маршрутизації, а не тільки 127.0.0.1, наприклад 127.0.0.3.
У протоколі IP немає поняття широкомовності в тому
розумінні, у якому воно використовується в протоколах канального рівня
локальних мереж, коли дані повинні бути доставлені абсолютно всім вузлам. Як
обмежена широкомовна IP-адреса, так і широкомовна IP-адреса мають межі
розповсюдження в інтермережі - вони обмежені або мережею, до якої належить
вузол-джерело пакета, або мережею, номер якої зазначений в адресі призначення.
Тому ділення мережі за допомогою маршрутизаторів на частини локалізує
широкомовний шторм межами однієї зі складових загальної мережі частин просто
тому, що немає способу адресувати пакет одночасно всім вузлам всіх мереж
складеної мережі.
Уже згадувана форма групової IP-адреси — multicast
— означає, що даний пакет повинен бути доставлений відразу декільком вузлам,
які утворять групу з номером, зазначеним у полі адреси. Вузли самі
ідентифікують себе, тобто визначають, до якій із груп вони належать. Той самий
вузол може входити в кілька груп. Члени якої-небудь групи multicast не
обов'язково повинні належати одній мережі. У загальному випадку вони можуть
розподілятися по зовсім різних мережах, що перебувають друг від друга на
довільній кількості хопів. Групова адреса не ділиться на поля номера мережі й
вузла й обробляється маршрутизатором особливим чином.
Основне призначення multicast -адрес -
розповсюдження інформації зі схеми «один-до-багатьох». Хост, що хоче передавати
ту саму інформацію багатьом абонентам, за допомогою спеціального протоколу IGMP
(Internet Group Management Protocol) повідомляє про створення в мережі нової
мультимовної групи з певною адресою. Машрутизатор, що підтримують
мультимовність, поширюють інформацію про створення нової групи в мережах,
підключених до портів цього маршрутизатора. Хости, які хочуть приєднатися до
знов створеною мультимовної групи, сповіщають про це своїм локальним
маршрутизаторам і ті передають цю інформацію хосту, ініціаторові створення
нової групи.
Щоб маршрутизатори могли автоматично поширювати пакети з
адресою multicast по складеній мережі, необхідно використовувати в
кінцевих маршрутизаторах модифіковані протоколи обміну маршрутною інформацією,
такі як, наприклад, MOSPF (Multicast OSPF, аналог OSPF).
Групова адресація призначена для економічного поширення в
Internet або великої корпоративної мережі аудіо- або відеопрограм, призначених
відразу великій аудиторії слухачів або глядачів. Якщо такі засоби знайдуть
широке застосування (зараз вони представляють в основному невеликі експериментальні
острівці в загальному Internet), то Internet зможе створити серйозну
конкуренцію радіо й телебаченню.
Комментариев нет:
Отправить комментарий