Similar presentations:
Сети лекции 1-14pptx
1.
Инфокоммуникационныесистемы и сети
2. Определения
Компьютерная сеть – это совокупность компьютеров ителекоммуникационного оборудования, обеспечивающая
информационный обмен компьютеров в сети. Основное
назначение компьютерных сетей - обеспечение доступа к
распределенным ресурсам.
Телекоммуникации - это передача и прием любой информации
(звука, изображения,данных, текста) на расстояние по
различным электромагнитным системам(кабельным и
оптоволоконным каналам, радиоканалам и другим проводным
и беспроводным каналам связи).
3. Определения
Телекоммуникационная сеть - это система техническихсредств, посредством которой осуществляются
телекоммуникации.
К телекоммуникационным сетям относятся:
1. Компьютерные сети (для передачи данных)
2. Телефонные сети (передача голосовой информации)
3. Радиосети (передача голосовой информации широковещательные услуги)
4. Телевизионные сети (передача голоса и изображения широковещательные услуги)
4. Локальная сеть
Локальная сеть — это сеть, системы которой расположенына небольшом расстоянии друг от друга. Она охватывает
небольшое пространство, как правило, одно здание и
характеризуется высокими скоростями передачи данных.
Каналы такой сети имеют высокое качество и принадлежат
одной организации.
5. Применяются две архитектуры локальных сетей:
1)архитектура «клиент-сервер» В ней выделяется один илинесколько узлов (их название - серверы), выполняющих в
сети управляющие или специальные обслуживающие
функции, а остальные узлы (клиенты) являются
терминальными, в них работают пользователи.
2)одноранговая архитектура предполагает взаимодействие
равноправных абонентских систем. Все узлы равноправны;
поскольку в общем случае под клиентом понимается объект
(устройство или программа), запрашивающий некоторые
услуги, а под сервером - объект, предоставляющий эти
услуги. Поэтому каждый узел в одноранговых сетях может
выполнять функции и клиента, и сервера.
6. Локальные сети
В зависимости от используемых физических средствсоединения выделяют:
1. кабельные локальные сети,
2. беспроводные локальные сети.
7. КЛС
Коммутируемая локальная сеть (КЛС) — это локальнаясеть, состоящая из сегментов, которые с помощью
коммутирующего комплекса соединяются в единое
целое.
Деление локальной сети на сегменты позволяет:
●отключать от сети повреждѐнные сегменты;
●не пропускать блоки данных в другие сегменты, если
они адресованы системе того же сегмента;
●создавать коммуникационную локальную сеть.
8. Территориальная сеть
Территориальная сеть — это сеть, системы которойрасположены в различных географических точках. Она
охватывает большое пространство (от района до группы
стран). В случае, если она охватывает континенты, то
используется название глобальной сети. Характерной
особенностью является применение протяжѐнных
широкополосных каналов, большого числа узлов
коммутации или спутников связи.
9. Территориальная сеть
Она должна удовлетворять следующим основнымтребованиям:
*включать большое число абонентских систем (до
нескольких тысяч);
*покрывать большой географический район;
*обеспечивать широковещание и доставку сообщений
группам и отдельным адресатам;
*иметь высокую пропускную способность (до десятков
Гбит/с);
*обладать большой надѐжностью в работе;
*гарантировать безопасность данных;
*передавать разнообразные виды данных: тексты, звук,
изображения.
10. Виртуальная сеть
Глобальная сеть — это сеть, абонентские системыкоторой расположены в разных странах. Стремление к
предоставлению сетевых служб и ресурсов большому
числу пользователей привело к объединению
территориальных сетей и созданию глобальных сетей.
Она является связующим звеном большого числа
небольших сетей. Глобальную сеть, состоящую из группы
взаимодействующих территориальных сетей, называют
также метасетью. Пример: сеть Internet.
Виртуальная сеть — это сеть, характеристики которой в
основном определяются еѐ программным обеспечением.
11. Виртуальная сеть
Глобальная сеть — это сеть, абонентские системыкоторой расположены в разных странах. Стремление к
предоставлению сетевых служб и ресурсов большому
числу пользователей привело к объединению
территориальных сетей и созданию глобальных сетей.
Она является связующим звеном большого числа
небольших сетей. Глобальную сеть, состоящую из группы
взаимодействующих территориальных сетей, называют
также метасетью. Пример: сеть Internet.
Виртуальная сеть — это сеть, характеристики которой в
основном определяются еѐ программным обеспечением.
12. Виртуальная сеть
Причины создания виртуальных сетей:●необходимость создания оперативных изолированных от
других пользователей рабочих групп.
Рабочая группа — это совокупность пользователей,
имеющих общие ресурсы и права использования этих
ресурсов. Рабочая группа создаѐтся в сети для
выполнения комплекса задач, определяемых
функциональными обязанностями пользователей
(разработка проекта, проведение электронного
маркетинга и т.д.);
●желание облегчить процедуры перемещения, удаления
объектов сети;
13. Топологические модели построения сетей
Все компьютеры в локальной сети соединены линиями связи.Геометрическое расположение линий связи относительно узлов
сети и физическое подключение узлов к сети называется
физической топологией. В зависимости от топологии различают
сети: шинной, кольцевой, звездной, иерархической и
произвольной структуры.
14. Физическая и логическая топологии
Различают физическую и логическую топологию. Логическая ифизическая топологии сети независимы друг от друга.
Физическая топология - это геометрия построения сети, а логическая
топология определяет направления потоков данных между узлами сети
и способы передачи данных.
В настоящее время в локальных сетях используются следующие
физические топологии:
• физическая "шина" (bus);
• физическая ―звезда (star);
• физическое ―кольцо (ring);
• физическая "звезда" и логическое "кольцо" (Token Ring).
15. Шинная топология
Сети с шинной топологией используют линейный моноканал(коаксиальный кабель) передачи данных, на концах которого
устанавливаются оконечные сопротивления (терминаторы).
Каждый компьютер подключается к коаксиальному кабелю с помощью Тразъема (Т - коннектор).
Данные от передающего узла сети передаются по шине в обе стороны,
отражаясь от оконечных терминаторов.
Терминаторы предотвращают отражение сигналов, т.е. используются
для гашения сигналов, которые достигают концов канала передачи
данных. Таким образом, информация поступает на все узлы, но
принимается только тем узлом, которому она предназначается.
16. Шинная топология
В топологии логическая шина среда передачи данных используютсясовместно и одновременно всеми ПК сети, а сигналы от ПК
распространяются одновременно во все направления по среде передачи.
Так как передача сигналов в топологии физическая шина является
широковещательной, т.е. сигналы распространяются одновременно во
все направления, то логическая топология данной локальной сети
является логической шиной.
17. Шинная топология
Преимущества сетей шинной топологии:• отказ одного из узлов не влияет на работу сети в целом;
• сеть легко настраивать и конфигурировать;
• сеть устойчива к неисправностям отдельных узлов.
Недостатки сетей шинной топологии:
• разрыв кабеля может повлиять на работу всей сети;
• ограниченная длина кабеля и количество рабочих станций;
• трудно определить дефекты соединений
18. Топология типа “звезда”
В сети построенной по топологии типа ―звезда‖ каждая рабочаястанция подсоединяется кабелем (витой парой) к концентратору или
хабу (hub). Концентратор обеспечивает параллельное соединение ПК
и, таким образом, все компьютеры, подключенные к сети, могут
общаться друг с другом.
19. Топология типа “звезда”
Данные от передающей станции сети передаются через хаб повсем линиям связи всем ПК. Информация поступает на все
рабочие станции, но принимается только теми станциями,
которым она предназначается.
Так как передача сигналов в топологии физическая звезда
является широковещательной, т.е. сигналы от ПК
распространяются одновременно во все направления, то
логическая топология данной локальной сети является
логической шиной
20. Топология типа “звезда”
Преимущества сетей топологии звезда:• легко подключить новый ПК;
• имеется возможность централизованного управления;
• сеть устойчива к неисправностям отдельных ПК и к разрывам
соединения отдельных ПК.
Недостатки сетей топологии звезда:
• отказ хаба влияет на работу всей сети;
• большой расход кабеля;
21. Топология “кольцо”
В сети с топологией кольцо все узлы соединены каналами связи в неразрывноекольцо (необязательно окружность), по которому передаются данные. Выход одного
ПК соединяется со входом другого ПК. Начав движение из одной точки, данные, в
конечном счете, попадают на его начало. Данные в кольце всегда движутся в одном
и том же направлении.
22. Топология “кольцо”
Принимающая рабочая станция распознает и получает только адресованное ейсообщение. В сети с топологией типа физическое кольцо используется маркерный
доступ, который предоставляет станции право на использование кольца в
определенном порядке. Логическая топология данной сети - логическое кольцо.
Данную сеть очень легко создавать и настраивать. К основному недостатку
сетей топологии кольцо является то, что повреждение линии связи в одном
месте или отказ ПК приводит к неработоспособности всей сети.
Как правило, в чистом виде топология ―кольцо не применяется из-за своей
ненадежности, поэтому на практике применяются различные модификации
кольцевой топологии.
23. Топология Token Ring
Эта топология основана на топологии "физическое кольцос подключением типа звезда". В данной топологии все
рабочие станции подключаются к центральному
концентратору (Token Ring) как в топологии физическая
звезда.
Центральный концентратор - это интеллектуальное
устройство, которое с помощью перемычек обеспечивает
последовательное соединение выхода одной станции со
входом другой станции.
24. Топология Token Ring
С помощью концентратора каждая станциясоединяется только с двумя другими станциями
(предыдущей и последующей станциями).
Таким образом, рабочие станции связаны петлей кабеля,
по которой пакеты данных передаются от одной станции к
другой и каждая станция ретранслирует эти посланные
пакеты.
В каждой рабочей станции имеется для этого приемопередающее устройство, которое позволяет управлять
прохождением данных в сети. Физически такая сеть
построена по типу топологии ―звезда
25. Топология Token Ring
Концентратор создает первичное(основное) и резервное кольца.
Если в основном кольце произойдет
обрыв, то его можно обойти,
воспользовавшись резервным
кольцом, так как используется
четырехжильный кабель. Отказ
станции или обрыв линии связи
рабочей станции не влечет за собой
отказ сети как в топологии кольцо,
потому что концентратор отключит
неисправную станцию и замкнет
кольцо передачи данных.
26. Топология Token Ring
В архитектуре Token Ring маркерпередается от узла к узлу по
логическому кольцу, созданному
центральным концентратором.
Такая маркерная передача
осуществляется в фиксированном
направлении (направление
движения маркера и пакетов
данных представлено на рисунке
стрелками синего цвета). Станция,
обладающая маркером, может
отправить данные другой станции.
27. Топология Token Ring
Для передачи данных рабочие станции должны сначаладождаться прихода свободного маркера. В маркере
содержится адрес станции, пославшей этот маркер, а
также адрес той станции, которой он предназначается.
После этого отправитель передает маркер следующей в
сети станции для того, чтобы и та могла отправить свои
данные. Один из узлов сети (обычно для этого
используется файл-сервер) создает маркер, который
отправляется в кольцо сети.
Такой узел выступает в качестве активного монитора,
который следит за тем, чтобы маркер не был утерян или
разрушен
28. Топология Token Ring
Преимущества сетей топологии Token Ring:• топология обеспечивает равный доступ ко всем
рабочим станциям;
• высокая надежность, так как сеть устойчива к
неисправностям отдельных станций и к разрывам
соединения отдельных станций.
Недостатки сетей топологии Token Ring:
• большой расход кабеля и соответственно
дорогостоящая разводка линий связи.
29. Эталонная модель OSI
30. Эталонная модель OSI
Все сетевые функции в модели разделены на 7 уровней. Приэтом вышестоящие уровни выполняют более сложные, глобальные задачи,
для чего используют в своих целях нижестоящие уровни, а также управляют
ими.
Цель нижестоящего уровня – предоставление услуг вышестоящему
уровню, причем вышестоящему уровню не важны детали выполнения этих
услуг. Нижестоящие уровни выполняют более простые и конкретные
функции.
В идеале каждый уровень взаимодействует только с теми, которые
находятся рядом с ним (выше и ниже него). Верхний уровень соответствует
прикладной задаче, работающему в данный момент приложению, нижний –
непосредственной передаче сигналов по каналу связи.
31. Эталонная модель OSI
Модель OSI относится не только к локальным сетям,но и к любым сетям связи между компьютерами или
другими абонентами. В частности, функции сети
Интернет также можно поделить на уровни в
соответствии с моделью OSI. Принципиальные
отличия локальных сетей от глобальных, с точки
зрения модели OSI, наблюдаются только на нижних
уровнях модели.
32. Беспроводные технологии компьютерных сетей.
Беспроводной связь - это передача информации на расстояние безиспользования электрических проводников или «проводов». Это
расстояние может быть как малой (несколько метров, как в
телевизионном дистанционном управлении), так и очень большим
(тысячи или даже миллионы километров для телекоммуникаций ).
Беспроводная связь обычно рассматривается как отрасль
телекоммуникаций.
33. Беспроводные технологии компьютерных сетей.
Беспроводная технология в общем используется дляоборудования мобильных информационных технологий. В их состав
входят мобильные телефоны, наладонники (PDA) и беспроводные
сети. Другие примеры беспроводных технологий включают
устройства глобального позиционирования, устройства
дистанционного открывания гаража, беспроводные компьютерные
мыши и клавиатуры, спутниковое телевидение и мобильные и
радиотелефоны.
34. Аппаратные средства построения сетей
Локальные вычислительные сети подразделяются надва кардинально различающихся класса:
Одноранговые (одноуровневые или Peer to Peer).
Иерархические (многоуровневые) сети.
Архитектура сети описывает:
• Физическое расположение сетевых устройств.
• Тип используемых адаптеров и кабелей.
• Методы передачи данных по кабелю.
35. Аппаратные средства построения сетей
Одноранговая сеть• Все компьютеры равноправны:
• Нет иерархии среди компьютеров.
• Нет выделенного сервера.
• Как правило, каждый компьютер
функционирует и как клиент и как
сервер.
36. Одноранговую сеть называют так же рабочей группой
Рабочая группа – это небольшой коллектив, поэтому водноранговой сети не более 10 компьютеров.
Все пользователи самостоятельно решают, какие
данные на своем компьютере сделать доступными для
всех.
Преимущества:
• Одноранговые сети относительно просты.
• Одноранговые сети дешевле сетей на основе сервера,
но требуют более мощных и дорогих компьютеров.
37. Иерархическая сеть.
Сервер - специальный компьютер, на котором хранитсяинформация, совместно используемая различными
пользователями.
Выделенным называется такой сервер, который
функционирует только как сервер. Сервер
оптимизирован для быстрой обработки запросов от
сетевых клиентов и для управления защитой файлов и
каталогов. Из-за большого круга выполняемых задач,
серверы в больших сетях специализированы.
38. Иерархическая сеть.
Преимущества:Основным аргументом в пользу сети на основе
выделенного сервера является защита данных.
• Благодаря тому, что важная информация
сосредоточена на одном или нескольких серверах,
нетрудно обеспечить ее регулярное резервное
копирование
• Сети на основе сервера могут поддерживать тысячи
пользователей.
• Для работы в сети компьютеры пользователей могут
быть любых конфигураций, даже самых
минимальных.
39. Сетевые протоколы
Протоколы – это набор правил и процедур,регулирующих порядок осуществления некоторой связи.
Протоколы реализуются во всех областях деятельности
человека, например, дипломатических. В сетевой среде
– это правила и технические процедуры, позволяющие
нескольким компьютерам общаться друг с другом
40. Сетевые протоколы
Различают три определяющих свойства протоколов:1. Каждый протокол предназначен для различных задач
и имеет свои преимущества и недостатки.
2. Протоколы работают на разных уровнях модели OSI.
Функции протокола определяются уровнем, на
котором он работает.
3. Несколько протоколов могут работать совместно. В
этом случае они образуют так называемый стек, или
набор протоколов.
41. Сетевые протоколы
Как сетевые функции распределяются по всем уровням модели OSI,так и протоколы совместно работают на различных уровнях стека.
Например, прикладной уровень протокола TCP/IP соответствует
уровню представления модели OSI. В совокупности протоколы
определяют полный набор функций и возможностей стека.
Передача данных по сети должна быть разбита на ряд последовательных
шагов, каждому из которых соответствует свой протокол. Эти шаги должны
выполняться на каждом сетевом компьютере в одной и той же
последовательности. На компьютере-отправителе они выполняются сверху
вниз, а на компьютере-получателе – снизу вверх.
42. Сетевые протоколы
Компьютер-отправитель в соответствии с протоколомвыполняет следующие действия:
а) разбивает данные на небольшие блоки – пакеты, с
которыми может работать протокол;
б) добавляет к пакетам адресную информацию, чтобы
компьютер-получатель мог определить, что эти данные
предназначены именно ему;
в) подготавливает данные к передаче через плату СА по
сетевому кабелю.
43. Сетевые протоколы
Компьютер-получатель в соответствии с протоколомвыполняет те же действия, но в обратном порядке:
а) принимает пакеты данных из сетевого кабеля и через
плату СА передает пакеты в компьютер;
б) удаляет из пакета всю служебную информацию,
добавленную компьютером-отправителем;
в) копирует данные из пакета в буфер для их объединения в
исходный блок данных;
г) передает приложению собранный из пакетов блок данных
в том формате, который использует это приложение.
44. TCP/IP
TCP/IP – стандартный промышленный набор протоколов,обеспечивающий связь в неоднородной среде, т.е. между компьютерами
разных типов. Совместимость – одно из основных преимуществ TCP/IP,
поэтому его поддерживают большинство ЛВС.
Стек TCP/IP включает и другие
протоколы:
• SMTP (Simple Mail Transfer
Protocol) – для обмена E-mail;
• FTP (File Transfer Protocol) – для
обмена файлами;
• SNMP (Simple Network Management
Protocol) – для управления сетью.
45. TCP/IP
Протокол TCP/IP в точности несоответствует модели OSI. Вместо семи
уровней в нем используется только
четыре:
1. Уровень сетевого интерфейса.
2. Межсетевой уровень.
3. Транспортный уровень.
4. Прикладной уровень. Каждый из них
соответствует одному или
нескольким уровням модели OSI.
46. TCP/IP
Уровень сетевого интерфейса, относящийся к Физическому иКанальному уровням модели OSI, напрямую взаимодействует с сетью. Он
реализует интерфейс между сетевой архитектурой (Ethernet или Token Ring)
и Межсетевым уровнем.
Межсетевой уровень, относящийся к Сетевому уровню модели OSI,
использует несколько протоколов для маршрутизации и доставки пакетов.
Для этого используются маршрутизаторы, которые работают на Сетевом
уровне и могут переадресовывать и маршрутизировать пакеты через
множество, сетей, обмениваясь информацией между отдельными сетями.
47. TCP/IP
Транспортный уровень, соответствующий Транспортному уровню моделиOSI, отвечает за установку и поддержание соединения между двумя
хостами. Транспортный уровень отвечает также за отправку уведомлений о
получении данных, управление потоком, упорядочение пакетов и их
повторную передачу. Transmission Control Protocol (TCP) отвечает за
надежную передачу данных между узлами. Это ориентированный на
соединение протокол, поэтому он устанавливает сеанс связи между двумя
компьютерами прежде, чем начать передачу.
Прикладной уровень, соответствующий Сеансовому, Представительскому и
Прикладному уровням модели OSI, соединяет в сети приложения.
48. Сетевые службы
Сетевые службы (сетевые сервисы) — это программныеприложения или процессы, работающие на сетевых
устройствах и предоставляющие определённые функции
другим устройствам или пользователям через сеть. Эти
службы обеспечивают коммуникацию, совместное
использование ресурсов и различные вычислительные задачи
на разных системах.
Одной из важнейших сетевых служб является DNS – служба – служба
определения соответствия доменного имени узла и его IP – адреса. Среди
сетевых служб выделяется отдельная группа административных служб,
используемых только администратором сети для управления вычислительной
сетью, например, служба администрирования пользовательских учѐтных
записей (позволяет администратору вести общую базу данных о
пользователях сети), служба мониторинга сети (позволяет анализировать
сетевой трафик), служба безопасности (в еѐ функции аутентификация
пользователей и процессов) и др.
49. Сетевое оборудование
Оборудование делится на:• активное
• пассивное
• другое
Активное оборудование требует подачи энергии для генерации
сигналов (сетевая карта, повторители, концентраторы, модем).
Пассивное оборудование подачи энергии не требует (кабельная
система,
соединительные разъемы, коммутационные панели).
Устройства бесперебойного питания, устройства
кондиционирования
воздуха, аксессуары (монтажные стойки, шкафы, кабеле-проводы)
50. Сетевой трафик
Сетевой трафик - это поток информации, передаваемый по сети.Трафик кроме полезной информации включает и служебную, необходимую
для организации взаимодействия узлов сети. Пропускная способность сети
определяется количеством информации, проходящей через линию связи за
единицу времени (бит/сек, кбит/сек, Мбит/сек, Гб/сек).
Производительность сети применима для активного коммуникационного
оборудования. Определяется как общее количество неструктурированной
информации, пропускаемой оборудованием за единицу времени
(бит/сек).
51. Открытые и закрытые системы.
При соединении нескольких закрытых систем используются частныерешения, которые работают, но ограничивают возможности
пользователей, привязывая их к приложениям или к аппаратному
обеспечению определенных производителей.
Открытые системы предполагают открытые стандарты, направленные
на обеспечение совместимости между различными системами, т.е.
задача построения сетей разбита на несколько взаимосвязанных
подзадач с определением правил взаимодействия между ними.
Стандартизация этих правил позволяет расширить количество
разработчиков ПО и АО.
52. Стек протоколов TCP/IP
В основу архитектуры TCP/IP была целенаправленно заложенаодноранговая структура. TCP/IP имеет распределенный характер, в
отличие от классической "нисходящей" модели обеспечения
надежности.
В среде с TCP/IP никакого центрального органа нет. Узлы
взаимодействуют непосредственно друг с другом, и каждый из них
обладает полной информацией о всех доступных сетевых сервисах.
Если какой-либо из хосткомпьютеров отказывает, ни одна из
остальных машин на это не реагирует (если только ей не нужны
данные, которые как раз на отказавшем компьютере и находятся).
53. Стек протоколов TCP/IP
TCP (Transmission Control Protocol - протокол управленияпередачей) - базовый транспортный протокол, давший название всему
семейству протоколов TCP/IP;
UDP (User Datagram Protocol) - второй по распространенности
транспортный протокол семейства TCP/IP;
IP (Internet Protocol) - межсетевой протокол;
ARP (Address Resolution Protocol - протокол разрешения адресов)
- используется для определения соответствия IP-адресов и Ethernet-адресов;
SLIP (Serial Line Internet Protocol) - протокол передачи данных по
телефонным линиям;
PPP (Point to Point Protocol) - протокол обмена данными "точкаточка";
RPC (Remote Process Control) - протокол управления удаленными
процессами;
TFTP (Trivial File Transfer Protocol) - простой протокол передачи
файлов;
DNS (Domain Name System) - протокол обращения к системе
доменных имен;
RIP (Routing Information Protocol) - протокол маршрутизации.
54. Методы маршрутизации информационных потоков.
Маршрутизация –routing–процесс определения в коммуникационнойсети пути, по которому вызов, либо блок данных может достигнуть
адресата.
Маршрутизация представляет собой правила выбора очередного узла
вычислительной сети на пути движения от источника к адресату.
Маршрутизация охватывает все потоки, передаваемые по
коммуникационной подсети, но она не оказывает непосредственно
влияния на интенсивность поступления потоков в ИС и объемы
информации, подлежащий передаче. Маршрутизация имеет дело с
сообщениями уже принятыми в сеть.
55. Стохастические и детерминированные алгоритмы маршрутизации
Стохастические алгоритмы для принятия решения омаршруте, используют оценки, полученные из
наблюдений за прохождением сообщений через узлы, как
правило без учета топологии сети передачи данных.
Детерминированные алгоритмы основываются на
расчете временных характеристик, например, времени
для достижения узлов назначения в идеальных условиях
для соответствующей структуры сети условиях.
56. Классификация алгоритмов маршрутизации
- детерминированная маршрутизация (неизменяющейсястратегия без изменения условий в сети);
- локальная адаптивная маршрутизация (принятие решений в
зависимости только от локальной информации о работе и загрузке
узла);
- распределенная адаптивная маршрутизация (узлы
обмениваются информацией между собой и выбор происходит
на основе как локальной информации о работе, так и
информации о работе всей сети);
- централизованная маршрутизация (все узлы передают
информацию центральному узлу, а тот рассылает директивы о
том, как управлять работой каждого из них).
57. Детерминированная стратегия
Алгоритм маршрутизации, использующий детерминированнуюстратегию, работает таким образом, чтобы каждый узел мог
распознать адрес назначения каждого проходящего через него
пакета.
По этому адресу в таблице маршрутизации определяется
конкретный канал, по которому следует передать пакет данных. В
таблице указываются также кратчайшие пути между всеми парами
узлов, причем кротчайший путь из любого узла не зависит от того,
откуда пакет поступил в данный узел.
Для известной нагрузки на сеть, изменяющейся со временем,
фиксированные таблицы составляют таким образом, чтобы
обеспечить максимальную пропускную способность в различных
местах сети.
58. Детерминированная стратегия
Выбор маршрута можно сделать зависимым от того, откуда принятпакет.
Это в некоторых случаях делает алгоритм более эффективным.
Известен метод маршрутизации, заключающийся в детерминированном
распределении трафика в узле на пропорциональные части для передачи по
двум или более выходящим из этого узла каналам.
Однако детерминированные алгоритмы зачастую неэффективны, поэтому
широко применяется адаптивная маршрутизация, при которой принятие
решения о выборе производится часто по неполной информации. В этом
случае применяют неоптимальные адаптивные алгоритмы, которые
основываются на измерениях времен задержек, длин очереди,
интенсивности потоков с учетом информации с близлежащих узлов.
59. Топологические структуры
С точки зрения топологической структуры адаптивнаямаршрутизация может быть централизованной, локальной и
распределенной.
При централизованной адаптивной маршрутизации каждый узел
сети передает сообщение о своем состоянии (текущее значение о
длинах очередей, работоспособность трактов) в центральный узел
(ЦУ), который составляет глобальную картину состояния сети. На
основе этой информации определяются наилучшие моменты
распределения потоков по сети.
60. Топологические структуры
Способ сбора информации о состоянии сети и рассылкауправляющих директив в сети могут быть
синхронными и асинхронными. Если все узлы
посылают свои сообщения и получают директивы от
ЦУ, то такой способ управления трафиком называется
синхронным.
При асинхронном управлении маршрутизацией эти
действия выполняют о процессе существенных
отклонений от нормального режима, когда необходимо
внести соответствующие коррективы.
61. Топологические структуры
При синхронном способе обмена служебной информацией,представляемой для целей маршрутизации, объем ее может быть
слишком большим.
При асинхронном он меньше, поскольку ЦУ действует на основе
частично устаревшей информации. Если в сети меняются достаточно
быстро, то централизованное управление может оказаться
неэффективным вследствие запаздывания.
Централизация управления может привести к потере управления по
всей сети при выходе ЦУ из строя. Во избежание этого создаются
системы гибридной адаптивной маршрутизации.
62. Дельта-маршрутизация
Примером является так называемая дельта-маршрутизация. При этомалгоритме ЦУ следит за общей ситуацией, в то время как всем остальным
узлам предоставлена возможность быстро и независимо реагировать на
локальные колебания трафика и состоянии компонентов сети. В дельтаалгоритме ЦУ рассылает маршрутные таблицы остальным узлам сети, но
эти таблицы используются в сочетании с анализом длин очередей в этом
узле.
При нескольких одинаковых по эффективности путях маршрутный
алгоритм предоставляет узлу самому решать, по какому из них направить
пакет. Но если маршрутная таблица, построенная ЦУ, предусматривает
лишь один путь до некоторого адресата, то алгоритм обязывает узел
посылать пакеты только поэтому пути.
63. Шлюзы
Увеличение размеров сетей достигаетсяувеличением числа узлов и объединением сетей.
Объединение производится путем создания общих узлов мысленно эти узлы
можно разделить на две части, каждая из которых является узлом своей
сети.
Другой вариант соединения сетей состоит в том, что узлы объединяемых
сетей связываются общим трактом. Независимо от способа соединения
проблемы маршрутизации оказываются достаточно сложными. Узлы,
соединяющие разные сети принято называть шлюзами.
64. Шлюзы
Принцип образования шлюзов позволяет избежать необходимости храненияв каждом узле полного набора маршрутных таблиц.
При использовании шлюзов указывают маршрут от узла сети до шлюза,
соединяющего одну сеть с другой. Если объединяются не две, а более
сетей, может оказаться, что пакет должен пройти промежуточные сети
через несколько шлюзов. Имеет смысл в этом случае создать специальный
формат, удовлетворяющий требованиям местного протокола.
После упаковки пакетов межсетевой формат маршрутизации в
промежуточных сетях между конечными шлюзами может выполняться
независимо от межсетевой маршрутизации
65. Маршрутизация
Применение таблиц для решения задач маршрутизациипри управлении является сложным процессом,
требующим больших вычислительных ресурсов. Чтобы
устранить этот недостаток были разработаны
простейшие алгоритмы маршрутизации без таблиц. Они
работают следующим образом.
В большинстве алгоритмов маршрутизации применяются
таблицы и фиксированные стратегии распределения
потоков, которые затем адаптируются к различным
требованиям и условиям, обеспечивающим
эффективное управление процессом.
66. Стохастическая маршрутизация
При стохастической маршрутизации пакеты,передаваемые по сети, совершают случайные
блуждания и не имеют определенного направления. Они
снабжаются счетчиками пройденных узлов и
уничтожаются, если их значения превышают
установленную величину.
При большой скорости операций пакет может быстро
дойти в узел назначения. Недостаток метода –
отсутствие гарантии, что пакет вообще придет, но
преимущества очевидны – полная независимость от
информации о состоянии сети и отсутствие таблиц
67. Лавинная маршрутизация
При лавинной маршрутизации пакет, поступивший вузел, размножают в количестве, равном числу выходных
каналов. В этом случае, как и при стохастической
маршрутизации, применяется счетчик шагов. При
повторном поступлении в узел передача может быть
прекращена.
Достоинство метода в том, что, по крайней мере, одна
копия достигает адресата по кратчайшему пути, причем
для управления не требуется таблиц. Однако, могут
возникнуть и трудности, связанные с восстановлением
процессов.
68. Фиксированная маршрутизация
Она основывается на готовых таблицах, причем для слабо загруженных сетейи при постоянном трафике можно подобрать наиболее эффективные таблицы
маршрутизации.
Работа алгоритма в этом случае осуществляется следующим образом.
При выходе из строя некоторого промежуточного узла или канала узлы,
находящиеся на концах неисправного участка, передают сообщения всем
другим и представляют при необходимости таблицы. Чтобы эта информация
распространялась как можно быстрее, соответствующим сообщениям
устанавливается высший приоритет.
В процессе обработки таблиц реализуется одна из возможных разновидностей
фиксированной маршрутизации: использование нескольких путей, разгрузка
каналов и создание обходных путей
69. Маршрутизация по предыдущему опыту
Алгоритмы фиксированной маршрутизации легко можно приспособить кизменению трафика и перейти к адаптивной маршрутизации.
Эти алгоритмы рекомендуется применять при небольших нагрузках и при
повреждениях в сетях. Кроме фиксированного алгоритма для адаптивной
маршрутизации применяется маршрутизация по предыдущему опыту, т.е.
сначала применяют лавинные и случайные алгоритмы маршрутизации, а по
мере получения данных о работе сети и переходе ее в устойчивый режим
начинают применять детерминированную стратегию и маршрутизация
осуществляется по вновь созданным таблицам.
Такая сеть может приспособиться к изменениям, но перенастройка
происходит очень медленно
70. Метод скорейшей передачи
Существует еще один метод адаптивной маршрутизации – метод скорейшейпередачи.
Каждый узел, получив пакет, пытается как можно скорее его отправить
соседнему узлу независимо от того, входит ли канал в кратчайший путь.
Каналы упорядочиваются по мере и способности к быстрой доставке.
Таблицы строятся аналогично на основе полученных результатов. Для
управления распределением нагрузок, потоков и восстановлением
нормальных режимов в масштабах всей сети следует организовать
управление маршрутизацией, исходя из требований нормального
функционирования каждого отдельного узла.
Этот принцип организации определяет одну из разновидностей алгоритмов
маршрутизации – локальную адаптивную маршрутизацию
71. Информация об узлах
Если узел находится в исправном состоянии, то для принятиярешения необходима информация, представляющая собой
заранее загруженные в память таблиц, а также сведения о
текущем состоянии его выходных каналов и длинах очередей
пакетов.
Информация о состоянии других узлов не используется.
Алгоритм выбирает маршрут из множества возможных,
заданных таблицами, и исходя из характеристик собственного
состояния.
72. Маршрутизация
Маршрутам присваиваются различные веса: основномумаршруту – вес 3, вторичному маршруту – 2,
третичному маршруту – 1 и т.д. Устанавливаются
зависимости между весами и длинами очередей,
причем задается максимальная длина. В каждой
очереди также задается определенный вес,
зависящий от числа свободных мест до заполнения.
Вес очереди складывается с весом маршрута. В
процессе маршрутизации делается выбор между
первичным и вторичным маршрутом в соответствии с
обобщенным значением веса.
Если какая-либо из очередей полна, то пакет
посылается по другому пути независимо от числа
свободных мест в нем.
73. Сравнение механизмов маршрутизации
Локальный адаптивный алгоритм мало увеличивает пропускную способностьсети. Он слишком медленно реагирует на увеличение трафика, ведущее к
перегрузке. Однако важно то, что сеть оказывается устойчивой.
Распределенная адаптивная маршрутизация учитывает указанные
недостатки, обеспечивает минимальное время задержки передаваемого
трафика. Каждый узел формирует таблицы маршрутов и передает ко всем
узлам назначения с указанием времени передачи к каждому адресату,
организует обмен этими таблицами. После обмена таблицами задержек каждый
узел приступает к пересчету задержек, учитывая длины собственных очередей
к выходным трактам. Эти расчеты показывают, к какому из узлов следует
направить пакет, чтобы достичь его с минимальными задержками.
74. Методы коммутации информации
Важное значение в архитектуреоткрытых сетей играет
коммутация
информации.
Ее задачей является прокладка в
сетях тактов, необходимых для
доставки последовательностей
блоков данных абонентским
системам-адресатам.
75. Коммутация каналов
Коммутация каналов появилась ранее других в сетях, имеющих большое числоканалов. Для этой цели в коммуникационной подсети устанавливается один либо
нужное число коммутаторов, именуемых узлами коммутации каналов. Каждый из
них соединяет нужные пары каналов передачи данных.
Благодаря этому создаются тракты — последовательности каналов, через которые
обеспечивается взаимодействие пар абонентских систем. При работе в режиме
коммутации каналов перед началом взаимодействия необходимо выполнить ряд
предварительных процедур связанных с организацией создания тракта.
76. Коммутация пакетов
Метод коммутации пакетов не имеет указанных недостатков. Важной егоособенностью является одновременное коллективное использование
каналов значительным числом абонентских систем.
Здесь физические тракты не создаются и ни один канал не отдается в
монопольное владение парой абонентских систем. По каждому из каналов
по мере поступления передаются блоки данных, посылаемые различными
абонентскими систем ими.
Сети с коммутацией пакетов используют вместо одноуровневых
коммутаторов (как в предыдущем случае) используют трехуровневые
маршрутизаторы. Коммутация пакетов позволяет резко повысилась загрузку
каналов.
77. Смешанная коммутация
При смешанной коммутации используются уровни и процессы, применяемыекак в коммутации каналов так и в коммутации пакетов.
При смешанной коммутации имеющиеся каналы отдаются в первую очередь
для создания трактов соединяющих абонентские системы. Свободные при
этом каналы не простаивают и используются для коммутации пакетов.
Естественно, что в рассматриваемом случае в подсети устанавливаются
комбинированные узлы, выполняющие роль, как коммутаторов каналов, так и
коммутаторов пакетов.
78. Интегральная коммутация
Четвертым типом коммутации информации являетсяинтегральная коммутация. Она, как и смешанная,
предназначена для обеспечения передачи
информации с заданным случайным временем
доставки блоков данных. Однако интегральная
коммутация отличается от смешанной тем, что здесь
коммутация каналов и коммутация пакетов
осуществляются одновременно в каждом
физическом канале.
79. Эволюция моделей и структур информационных сетей
80. Эволюция моделей и структур информационных сетей
81. Информационная безопасность в сетях. Типы угроз в сетях IP-телефонии
1. Прослушивание. В момент передачи конфиденциальнойинформации о пользователях (идентификаторов, паролей) или
конфиденциальных данных по незащищенным каналам существует
возможность прослушивания и злоупотребления ими в корыстных целях
злоумышленником.
2. Манипулирование данными. Данные, которые передаются по
каналам связи, в принципе можно изменить.
82. Информационная безопасность в сетях. Типы угроз в сетях IP-телефонии
3. Подмена данных о пользователе происходит в случае попыткивыдачи одного пользователя сети за другого. При этом возникает
вероятность несанкционированного доступа к важным функциям системы.
4. Отказ в обслуживании (denial of service - DoS) является одной из
разновидностей атак нарушителей, в результате которой происходит вывод
из строя некоторых узлов или всей сети. Она осуществляется путем
переполнения системы ненужным трафиком, на обработку которого уходят
все системные ресурсы. Для предотвращения данной угрозы необходимо
использовать средство для распознавания подобных атак и ограничения их
воздействия на сеть.
83. Информационная безопасность в сетях.
Базовыми элементами в области безопасности являются:• аутентификация;
• целостность;
• активная проверка.
Применение расширенных средств аутентификации помогает
сохранить в неприкосновенности вашу идентификационную
информацию и
данные. Такие средства могут основываться на информации,
которую пользователь знает (пароль).
84. Информационная безопасность в сетях.
Целостность информации - это способность средств вычислительнойтехники или автоматизированной системы обеспечивать неизменность
информации в условиях случайного и (или) преднамеренного искажения
(разрушения).
Под угрозой нарушения целостности понимается любое
умышленное изменение информации, хранящейся в вычислительной системе
или передаваемой из одной системы в другую. Когда злоумышленники
преднамеренно изменяют информацию, говорится, что целостность
информации нарушена. Целостность также будет нарушена, если к
несанкционированному изменению приводит случайная ошибка
программного или аппаратного обеспечения.
85. Информационная безопасность в сетях.
Активная проверка означает проверку правильностиреализации элементов технологии безопасности и помогает обнаруживать
несанкционированное проникновение в сеть и атаки типа DоS. Активная
проверка данных действует как система раннего оповещения о различных
типах неполадок и, следовательно, позволяет принять упреждающие меры,
пока не нанесен серьезный ущерб.
86. Методы оценки эффективности информационных сетей.
Эффективность информационной сети — это ее способность достигатьПоставленную цель в заданных условиях применения и с определенным
качеством.
Эффективность информационной сети — это характеристика, отражающая
степень соответствия сети своему назначению, техническое совершенство и
экономическую целесообразность.
Понятие эффективности связано с
получением некоторого полезного результата - эффекта использования
информационных сетей. Эффект достигается ценой затрат определенных
ресурсов, поэтому эффективность сети часто рассматривается в виде
соотношения между эффектом (выигрышем) и затратами.
87. Методы оценки эффективности информационных сетей.
Показатель эффективности сети — количественная характеристикаинформационной сети, рассматриваемая применительно к определенным
условиям ее функционирования.
При оценке эффективности информационной сети необходимо учитывать
характеристики трудовой деятельности человека, взаимодействующего с
ЭВМ и другими техническими средствами сети. Следовательно, сеть
рассматривается как система "человек-машина" (СЧМ).
Показатель эффективности информационной сети определяется
процессом ее функционирования, он является функционалом от этого
процесса.
88. Территориальные и глобальные сети как средство взаимодействия
При физическом соединении двух или более компьютеров образуетсякомпьютерная сеть. В общем случае, для создания компьютерных сетей
необходимо специальное аппаратное обеспечение (сетевое
оборудование) и специальное программное обеспечение (сетевые
программные средства). Простейшее соединение двух компьютеров для
обмена данными называется прямым соединением.
89. Территориальные и глобальные сети как средство взаимодействия
Основной задачей, решаемой при созданиикомпьютерных сетей, является обеспечение
совместимости оборудования по
электрическим и механическим
характеристикам и обеспечение
совместимости информационного
обеспечения (программ и данных) по системе
кодирования и формату данных. Решение этой
задачи относится к области стандартизации и
основано на так называемой модели OSI
90. OSI и TCP/IP
91. OSI
Согласно модели ISO/OSI архитектуру компьютерных сетей следуетрассматривать на разных уровнях (общее число уровней — до семи).
Самый верхний уровень — прикладной. На этом уровне пользователь
взаимодействует с вычислительной системой. Caмый нижний уровень —
физический. Он обеспечивает обмен сигналами между устройствами.
Обмен данными в системах связи происходит путем их перемещения с
верхнего уровня на нижний, затем транспортировки и, наконец, обратным
воспроизведением на компьютере клиента в результате перемещения с
нижнего уровня на верхний.
92. Протоколы
Для обеспечения необходимой совместимости на каждом из семивозможных уровней архитектуры компьютерной сети действуют
специальные стандарты, называемые протоколами.
Они определяют характер аппаратного взаимодействия компонентов сети
(аппаратные протоколы) и характер взаимодействия программ и данных
(программные протоколы). Физически функции поддержки протоколов
исполняют аппаратные устройства (интерфейсы) и программные средства
(программы поддержки протоколов). Программы, выполняющие поддержку
протоколов, также называют протоколами.
93. Протоколы OSI
Если два компьютера соединены между собой прямым соединением, то нанизшем (физическом) уровне протокол их взаимодействия определяют
конкретные устройства физического порта
(параллельного или последовательного) и механические компоненты
(разъемы, кабель и т.п.). На более высоком уровне взаимодействие между
компьютерами определяют программные средства, управляющие передачей
данных через порты.
Для стандартных портов они находятся в базовой
системе ввода/вывода (BIOS). На самом высоком уровне протокол
взаимодействия обеспечивает операционная система.
94. LAN и WAN
В соответствии с используемыми протоколами компьютерные сетипринято разделять на локальные (LAN — Local Area Network)
и глобальные (WAN — Wide Area Network).
Компьютеры локальной сети
преимущественно используют единый комплект протоколов для всех
участников. По территориальному признаку локальные сети отличаются
компактностью. Они могут объединять компьютеры одного помещения,
этажа, здания, группы компактно расположенных сооружений. Глобальные
сети имеют, как правило, увеличенные географические размеры. Они могут
объединять как отдельные компьютеры, так и отдельные локальные сети, в
том числе и использующие различные протоколы.
95. Функции компьютерных сетей
Назначение всех видов компьютерных сетей определяется двумяфункциями:
• обеспечение совместного использования аппаратных и
• программных ресурсов сети;
• обеспечение совместного доступа к ресурсам данных.
96. Локальные сети
Так, например, все участники локальной сети могут совместноиспользовать одно общее устройство печати (сетевой принтер) или,
например, ресурсы жестких дисков одного выделенного компьютера
(файлового сервера). Это же относится и к программному, и к
информационному обеспечению.
Если в сети имеется специальный
компьютер, выделенный для совместного использования участниками сети
он называется файловым сервером. Компьютерные сети, в которых нет
выделенного сервера, а все локальные компьютеры могут общаться друг с
другом на «равных правах» (обычно это небольшие сети),
называютсяодноранговыми.
97. Рабочая группа
Группы сотрудников, работающих над одним проектом в рамкахлокальной сети называются рабочими группами.
В рамках одной локальной сети могут работа несколько рабочих групп. У
участников рабочих групп могут быть разные права для доступа к общим
ресурсам сети.
Совокупность приемов разделения и ограничения прав участников
компьютерной сети называется политикой сети. Управление сетевыми
политиками (их может быть несколько в одной сети) называет
администрированием сети.
Лицо, управляющее организацией работы участников локальной
компьютерной сети, называется системным администратором.
98. Локальные сети
Создание локальных сетей характерно для отдельных предприятийили отдельных подразделений предприятий. Если предприятие (или отрасль)
занимает обширную территорию, то отдельные локальные сети могут
объединяться в глобальные сети.
В этом случае локальные сети связывают
между собой с помощью любых традиционных каналов связи (кабельных,
спутниковых, радиорелейных и т. п.). При соблюдении специальных условий
для этой цели могут бы использованы даже телефонные каналы, хотя они в
наименьшей степени удовлетворяют требованиям цифровой связи.
99. Шлюзы
Для связи между собой нескольких локальных сетей, работающих поразным протоколам, служат специальные средства, называемые шлюзами.
Шлюзы могут бы: как аппаратными, так и программными. Например, это
может быть специальный компьютер (шлюзовый сервер), а может быть и
компьютерная программа. В последнем случае компьютер может выполнять
не только функцию шлюза, но и какие-то иные функции, типичные для
рабочих станций.
100. Сетевая безопасность
При подключении локальной сети предприятия к глобальной сетиважную роль играет понятие сетевой безопасности. В частности, должен
быть ограничен доступ в локальную сеть для посторонних лиц извне, а также
ограничен выход за пределы локальной сети для сотрудников предприятия,
не имеющих соответствующих прав.
Для обеспечения сетевой безопасности
между локальной и глобальной сетью устанавливают так
называемые брандмауэры. Брандмауэром может быть специальный
компьютер или компьютерная программа, препятствующая
несанкционированному перемещению данных между сетями.
101.
Реальные угрозы сетямПрослушивание каналов
Запись и последующий анализ всего проходящего потока сообщений.
Фальсификация
Умышленное искажение сообщений или включение ложных данных в
поток.
Подмена идентификатора
Присвоение чужого ID для отправки или получения данных от чужого
имени.
Разрыв линии связи
Преднамеренное прекращение доставки сообщений злоумышленником.
Сетевые вирусы
Передача вредоносного кода по сети с его последующей активизацией.
102.
Причинысетевых
уязвимостей
Архитектура сети
Протоколы TCP/IP
Изначальная открытость и
децентрализация Интернета при
отсутствии единой политики
безопасности.
Врожденные
уязвимости в
базовых
службах и
протоколах
стека,
используемых
для передачи
данных.
Инфраструктура
Большая протяженность каналов связи
и сложность конфигурации множества
сервисов.
Человеческий фактор
Ошибки администрирования, частичная
анонимность пользователей и
социальная инженерия.
ПО и Аппаратура
Наличие ошибок в
программном
обеспечении и
аппаратных
средствах (база
NVD NIST).
Понимание этих причин необходимо для выбора адекватных механизмов защиты сетевого
периметра.
103.
Функции сетевой защиты01
Аутентификация
Подтверждение подлинности взаимодействующих
объектов.
02
Контроль доступа
Защита от несанкционированного использования
ресурсов сети.
03
Конфиденциальность
Маскировка данных, циркулирующих в сети.
04
Целостность
Контроль и восстановление всех данных в сети.
05
Арбитраж
Защита от отказа от фактов отправки или приема
данных.
104.
Аутентификация: Виды и особенностиАутентификация партнеров
Аутентификация источника
Удостоверение подлинности удаленного абонентаполучателя. Обеспечивается во время установления
соединения или обмена данными.
Подтверждение подлинности абонентаотправителя конкретного сообщения.
Гарантирует, что логический объект, с которым
осуществляется взаимодействие, является тем, за кого
себя выдает.
Данная услуга не ориентирована на
соединение и не обеспечивает защиту
от дублирования («проигрывания»)
ранее перехваченных данных.
Основная цель аутентификации в сетях — предотвращение маскарада (подмены субъекта) и обеспечение доверенной среды
взаимодействия между узлами.
105.
Доступ и КонфиденциальностьУправление доступом
Защита от несанкционированного использования ресурсов. Ограничение
прав по чтению, записи и уничтожению информации.
Виды конфиденциальности
Соединения:
защита всех сообщений в рамках сессии.
Вне соединения:
защита отдельных блоков данных.
Избирательная:
защита конкретных полей данных.
Трафика: скрытие характеристик сетевого потока.
106.
Целостность данных в сетиС восстановлением
Обнаружение попыток вставки, удаления или модификации с последующим
восстановлением данных.
Без восстановления
Только обнаружение нарушений целостности без попыток автоматического
исправления.
Избирательная целостность
Контроль неизменности отдельных полей данных пользователя в общем
потоке.
Вне соединения
Обнаружение модификации в отдельном сервисном блоке данных
(датаграмме).
Защита от: вставки, удаления, модификации, переадресации.
107.
Суть сервисаАрбитражное
обеспечение
Защита от возможного отказа участников информационного обмена
от фактов отправки, приема или содержания переданных данных.
(Неотказуемость)
Уровень реализации
Доказательная база
Относится к прикладному уровню модели
OSI. Касается содержательных действий
пользователей.
Предоставляет отправителю или
получателю неоспоримую информацию о
факте доставки/отправки.
Контроль действий
Третья сторона
Позволяет обнаруживать логические
объекты, которые не выполняют
требуемых действий после обмена.
Обеспечивает возможность разрешения
споров с привлечением независимого
арбитра.
108.
Механизмы защитыШифрование
Цифровая подпись
Управление доступом
Контроль целостности
Аутентификация
Дополнение трафика
Управление маршрутами
Нотаризация
Данные механизмы являются технической реализацией функций безопасности,
рассмотренных в первой части лекции.
109.
Шифрование данныхСимметричное
Асимметричное
Используется один и тот же секретный ключ для шифрования и
расшифровки. Знание ключа шифрования влечет знание ключа
расшифровки.
Используется пара ключей: открытый и
секретный. Знание открытого ключа не
позволяет вычислить секретный ключ
расшифровки.
Различают также обратимое шифрование (для передачи данных) и необратимое (для вычисления контрольных сумм и хеширования).
110.
Электронная подписьВыработка подписи
Проверка подписи
Использует информацию, известную только лицу,
подписывающему порцию данных (секретный ключ). Процесс
гарантирует уникальность подписи для каждого документа.
Является общедоступной процедурой. Она
подтверждает подлинность автора и
целостность данных, не позволяя при этом
вычислить секретный ключ.
ЦЕЛЬ 1: Подтверждение авторства (неотказуемость)
ЦЕЛЬ 2: Контроль целостности документа
111.
Управление доступомБазы данных ACL
Списки управления доступом, хранимые централизованно или на
оконечных системах.
Аутентификация
Пароли, ПИН-коды и иная информация, подтверждающая права субъекта.
Токены и билеты
Цифровые удостоверения, предъявление которых свидетельствует о
наличии прав доступа.
Метки безопасности
Атрибуты, ассоциированные с субъектами и объектами для разграничения
доступа.
Также учитываются: время, маршрут и длительность запрашиваемого доступа.
112.
Целостность и АутентификацияКонтроль целостности
Целостность сообщения
Базируется на использовании контрольных сумм (хеш-функций).
Не защищает от дублирования.
Целостность потока
Защита от переупорядочивания и вставки с помощью порядковых
номеров, временных штампов и криптографического связывания.
Факторы аутентификации
Фактор знания:
то, что пользователь знает (пароли, ПИН-коды,
кодовые слова).
Фактор владения:
то, что у пользователя есть (токены, смарт-карты,
телефон для SMS-подтверждения).
Биометрия:
то, чем пользователь является (отпечатки
пальцев, радужка глаза, голос).
113.
Специфические механизмыДополнение трафика
Создание фиктивных сообщений для скрытия реальных паттернов обмена
данными. Эффективно только при использовании шифрования.
Управление маршрутизацией
Выбор безопасных путей передачи данных. Позволяет обходить
скомпрометированные или атакуемые узлы сети.
Нотаризация
Заверение характеристик коммуникации (время, отправитель,
целостность) доверенной третьей стороной.
114.
Криптографические методыЗащита от
анализа
трафика
(Sniffing)
Самый надежный способ. Использование протоколов
IPSec, SSL и SSH делает перехваченную информацию
бесполезной для злоумышленника.
Сильная аутентификация
Использование одноразовых паролей (OTP).
Перехваченный пароль не имеет ценности, так как не
может быть использован повторно.
Анти-снифферы
Специализированные средства, выявляющие
работу снифферов в сегменте сети путем
проверки нагрузки на узлах.
Коммутируемая инфраструктура
Использование коммутаторов вместо
концентраторов ограничивает область
прослушивания трафика рамками одного
порта.
Шифрование — основной рубеж обороны против прослушивания.
115.
Защита от сканированияМетоды сбора информации
Запросы DNS: выяснение адресной области и владельца домена.
Эхо-тестирование: выявление активных хостов (ping).
Сканирование портов: перечень доступных служб и приложений.
Меры противодействия
IDS: системы обнаружения вторжений для выявления признаков
сканирования.
Фильтрация ICMP: ограничение эхо-ответов на маршрутизаторах.
Мониторинг: уведомление администратора о подозрительной
активности.
Полное отключение ICMP может затруднить диагностику сетевых сбоев.
116.
Защита от выявления паролейМетоды атак
Простой перебор (brute-force), перебор по словарю, сниффинг трафика и
социальная инженерия.
Требования к паролям
Длина не менее 8-12 символов
Использование букв разного регистра (A-z)
Наличие цифр (0-9) и спецсимволов (@, #, $, %)
Отсутствие словарных слов и личных данных
Меры противодействия
Использование одноразовых паролей (OTP), криптографическая
аутентификация и блокировка после неудачных попыток.
Уязвимость пароля зависит от самого слабого участка его использования.
117.
Защита от Spoofing и DDoSПротиводействие IP-spoofing
Защита от DDoS-атак
Фильтрация RFC 2827
Стойкие протоколы:
Отбраковка исходящего трафика, исходный адрес которого не
принадлежит сети организации.
Избыточность:
Контроль доступа
Блокировка внешнего трафика, имеющего внутренние IP-адреса в
качестве источника.
Аутентификация
Внедрение криптографических методов проверки подлинности
узлов.
использование механизмов аутентификации на ранних
этапах соединения.
распределение нагрузки и резервирование
ресурсов для сохранения доступности.
Очистка трафика:
использование специализированных систем
фильтрации аномальной активности.
Настройка МСЭ:
ограничение количества полуоткрытых соединений и
темпа поступления пакетов.
118.
Безопасный доступ кустройствам.
Назначение
административных ролей.
119.
Инфраструктура — фундамент ИББезопасность сети невозможна без защиты самих
устройств (маршрутизаторов и коммутаторов), которые
управляют всем трафиком организации.
Тип угрозы
Последствия
Компрометация
Полный контроль над потоками данных.
Сброс конфига
Остановка процессов и риск потери данных.
DoS-атаки
Исчерпание памяти и отказ всей сети.
120.
Граничный маршрутизаторEdge Router — первая и последняя линия
обороны, разделяющая доверенную и внешнюю
среды.
Фильтрация трафика: Первичный анализ
пакетов на основе политик безопасности.
Защита периметра: Предотвращение
несанкционированных попыток входа извне.
Управление доступом: Реализация правил NAT
121.
Эшелонированная оборонаРаспределение функций защиты между уровнями:
01Граничный маршрутизатор: Экранирование и базовая
фильтрация входящего трафика.
02Межсетевой экран (МСЭ): Глубокий анализ и
контроль состояний соединений.
03DMZ (Демилитаризованная зона): Изоляция
публичных серверов от внутренней сети.
04Внутренний маршрутизатор: Финальная фильтрация
перед пользователями.
122.
Три вектора защиты.Инфраструктурные устройства
Физическая безопасность
Защита от прямого
Защита ОС
Hardening
Обеспечение стабильности и
Тонкая настройка конфигурации для
безопасности программной среды.
минимизации уязвимостей.
несанкционированного доступа к
оборудованию.
Контроль среды: температура,
влажность, электропитание.
Отключение неиспользуемых функций
Актуальность версий и целостность
образов системы.
и сервисов.
123.
Физическая защита и ОСФизическая безопасность
Размещение:
Запертые серверные помещения с ограничением
доступа только для уполномоченного персонала.
Среда:
Защита от электромагнитных помех, контроль
температуры и влажности, системы
пожаротушения.
Стабильность ОС
Актуальность:
Использование последних стабильных
версий операционной системы для
устранения уязвимостей.
Резервирование:
Регулярное создание копий образов ОС и
файлов конфигурации устройства.
Питание:
Ресурсы:
Использование ИБП и резервных генераторов для
Максимизация свободной памяти для
обеспечения непрерывности работы.
устойчивости к DoS-атакам и работы функций
защиты.
124.
Hardening:Минимизация поверхности атаки
Интерфейсы
Ресурсы
Неиспользуемые физические и виртуальные порты
Максимизация свободной памяти позволяет
должны быть программно выключены командой
устройству эффективнее справляться с
shutdown. Это исключает возможность
аномальным трафиком и DoS-атаками.
несанкционированного подключения.
Золотой стандарт
Сервисы
Отключение потенциально опасных протоколов
(CDP, Finger, HTTP, Source Routing), если они не
требуются для работы.
Принцип «отключено по умолчанию» —
основа настройки безопасности любого
сетевого оборудования.
125.
Модель AAA:Основа управления
Аутентификация
Проверка подлинности пользователя. Ответ на
вопрос: «Кто вы такой?» (пароли, сертификаты).
Авторизация
Определение прав доступа. Ответ на вопрос: «Что
вам разрешено делать?» (уровни привилегий).
Учет (Accounting)
Сбор статистики и логирование действий. Ответ на
вопрос: «Что и когда вы сделали?»
Концепция защищенного доступа Cisco
126.
Локальное управлениечерез консоль
Особенности
Инструментарий
Локальный доступ является наиболее доверенным.
Взаимодействие происходит через интерфейс
Он требует прямого физического подключения к
командной строки (CLI) с использованием ПО
консольному порту устройства через
эмуляции терминала.
специализированный кабель.
Меры безопасности
Применение
Используется для первоначальной настройки «из
коробки», восстановления паролей или
критического обслуживания при сбоях сети.
Доступ к консоли должен быть защищен
паролем. Физическая защита устройства —
критический фактор безопасности
локального доступа.
127.
Безопасностьудаленного управления
Мера защиты
Описание
Критическое правило
Никогда не используйте протоколы с открытой
Шифрование
Замена открытых протоколов (Telnet, HTTP)
передачей паролей в производственных сетях.
на защищенные (SSH v2, HTTPS).
Management
Выделение отдельного VLAN или физической
Net
сети для трафика управления.
Удаленный доступ удобен для администратора, но без
должной защиты он становится главным вектором
ACL
Разрешение доступа к управлению только с
(Фильтрация)
доверенных IP-адресов.
VPN
Использование защищенных туннелей при
доступе через публичные сети.
атаки на инфраструктуру.
128.
Административные роли.Принцип наименьших привилегий
Разделение обязанностей
Разграничение прав доступа минимизирует риск случайных или
намеренных ошибок персонала. Разные роли для техников и
администраторов.
Наименьшие привилегии
Предоставление минимально необходимого набора прав для
выполнения конкретной задачи. Никакого избыточного доступа.
129.
ЛЕКЦИЯ 6Назначение
административных ролей
и управление
устройствами
130.
Понятие RBACRole Based Access Control
RBAC — это развитие политики избирательного управления доступом, где
права группируются в роли.
В этой модели доступ субъектов к объектам системы определяется их
текущими ролями, что делает управление гибким и динамичным.
Роли формируют четкие и понятные правила разграничения доступа,
соответствующие должностным обязанностям сотрудников.
131.
Преимущества ролевого подходаЭффективность администрирования
Упрощение: Привилегии не назначаются пользователям напрямую,
а приобретаются через роли.
Масштабируемость: Добавление пользователя или смена
подразделения сводится к назначению ролей.
Четкость: Правила разграничения доступа становятся понятными и
логичными для всех участников.
132.
Ключевые элементы управления ролями01
02
03
Определение роли
Назначение роли
Масштаб задач
Создание набора правил и прав доступа, используя
Процесс предоставления пользователю
Определение границ и объема административных
специфику применения объектов системы.
определенных ролей в зависимости от его
задач, которые может выполнять пользователь.
обязанностей.
133.
Распределение административных ролейКто и что администрирует?
Идентификация
Ограничение прав
Атрибуты доступа
Четкое определение круга лиц, имеющих статус
Администратор может иметь права только на чтение,
Использование атрибутов ресурсов и владельцев для
администратора в системе.
только на правку или на полный цикл управления.
максимально точной настройки полномочий.
134.
Недостатки системы привилегийПочему иерархическая модель считается устаревшей?
01
02
03
Грубый контроль
Наследование
Ключевые слова
Невозможно ограничить доступ к конкретным
Команды, доступные на нижних уровнях, всегда
Разрешение команды с ключевым словом
физическим портам, слотам или логическим
выполняются на более высоких. Нельзя создать
открывает доступ ко всем командам с этим словом
интерфейсам на устройстве.
изолированный набор прав.
(например, доступ к show ip route открывает все
show).
ИТОГ: Традиционная модель не обеспечивает принципа наименьших привилегий и создает избыточные риски безопасности.
135.
Мониторинг иуправление
устройствами
136.
Понятие RMMRMM (Remote Monitoring and Management) — это удаленный мониторинг и
управление ИТ-системами через локально установленных программных
агентов.
Объекты управления: Сетевые устройства, настольные ПК, серверы и
мобильные устройства.
Цель: Позволяет системным администраторам управлять инфраструктурой с
одной централизованной консоли.
Структура удаленного управления
137.
Основные функции систем RMM01
02
03
ПО и патчи
Конфигурация
Автообнаружение
Удаленная установка, обновление и управление
Массовое изменение настроек и управление
Автоматический поиск новых устройств в сети и
программным обеспечением на всех устройствах
параметрами устройств без физического доступа.
установка на них агентов управления.
сети.
RMM автоматизирует рутинные задачи, высвобождая ресурсы администратора.
138.
Мониторинг и диагностика в RMMКонтроль производительности
Измерение нагрузки на процессоры, память и каналы связи в реальном времени для
предотвращения сбоев.
Real-time Monitoring
Связь мониторинга с архитектурой безопасности (AAA)
Мгновенные оповещения
Автоматическое уведомление администратора о критических инцидентах и
отклонениях от нормы.
139.
Централизованное управлениеКонцепция «Единой консоли»
Главное преимущество RMM — возможность управлять всей распределенной сетью из
одного окна (Single Pane of Glass).
Масштабируемость и Прозрачность
Визуализация и Отчетность
Централизованный контроль инфраструктуры
Информационные панели (Dashboards) отображают общее состояние безопасности, а
автоматические отчеты упрощают аудит.
140.
Автоматизированные системы управленияИБ
Единый центр управления
Объединение данных от антивирусов, межсетевых экранов и систем обнаружения
вторжений в одну платформу.
Адаптивность и прозрачность
Автоматическое изменение политик защиты в ответ на новые угрозы и визуализация
состояния ИБ всей организации.
Техническая база управления устройствами
141.
Сбор и обработка данных в системах ИБРабота с событиями и инцидентами в реальном времени
Этап 01
Этап 02
Этап 03
Мониторинг
Анализ
Хранение
Непрерывный сбор данных о событиях
Автоматическое выявление подозрительной
Ведение структурированных баз данных событий
безопасности со всех узлов сети в режиме
активности и классификация инцидентов по
для последующего расследования и аудита.
реального времени.
уровню угрозы.
Автоматизация позволяет обрабатывать тысячи событий в секунду, выделяя критические угрозы без участия человека.
142.
Управление активами и рискамиРеестры активов
Автоматизированное ведение перечней информационных активов, их владельцев и
критичности для бизнеса.
Оценка рисков
Систематический учет и автоматизированная оценка рисков ИБ на основе актуальных
данных об угрозах.
Базы знаний
Хранение регламентов, инструкций и истории обработки инцидентов для повышения
эффективности защиты.
Визуализация инфраструктуры информационных активов
143.
Типы представлений: Корневоепредставление
Особый статус (Root View)
Это единственный режим, в котором администратор может создавать, удалять и
редактировать другие представления (Views).
Привилегии и Безопасность
Права соответствуют уровню 15, но с функциями управления ролями. Доступ к Root
View должен быть максимально ограничен.
Критический уровень доступа к управлению
144.
Представление CLI иСуперпредставление
CLI View
Содержит только явно добавленные команды. Наследование отсутствует, что
обеспечивает максимальную изоляцию прав.
Superview
Позволяет объединить несколько CLI View в один набор прав для удобного
назначения пользователям.
Пример
Superview «Инженер поддержки» может объединять права на просмотр сети и
базовую настройку интерфейсов.
Механизм группировки представлений (Superview)
145.
Автоматизированная настройкабезопасности
Использование шаблонов
Применение проверенных и безопасных конфигураций «из коробки» для исключения
типичных ошибок настройки.
Контроль соответствия
Автоматическая проверка настроек всех устройств сети на соответствие
корпоративным стандартам безопасности.
Быстрое реагирование
Массовое закрытие уязвимостей на всех устройствах сети одним действием через
централизованную систему.
Обеспечение безопасного доступа через автоматизацию
146. Классификации сетевых атак
147. Классификации сетевых атак
Различные сетевые ресурсы могут подвергаться специальныматакам со стороны злоумышленников с целью получения к ним
несанкционированного доступа. Сетевые атаки разделяют на
несколько классов:
Бомбардировка почтовыми сообщениями (Mailbombing) отправка большого количества почтовых сообщений одному и
тому же пользователю, что делает не возможной работу с
почтовым ящиком.
Переполнение буфера (Buffer Overflow) - атака, построенная на
использовании уязвимостей в программах, которые неправильно
работают с памятью и данными, полученными извне.
Переполнение буфера позволяет злоумышленникам выполнить
практически любую команду на компьютере, являющейся целью
атаки.
148. Классификации сетевых атак
•Вредоносные программы. Термин «вредоносные программы»подразумевается три различных типа программ: компьютерный
вирус - вредоносная программа, которая внедряется в другие
программы для выполнения определенных нежелательных
функций на компьютере; троянская программа - это
вредоносная программа, которая выглядят как полезное
приложение, а на самом деле выполняет вредоносные
действия; сетевой червь - это вредоносная программа,
самостоятельно распространяющаяся через информационные
сети.
•Инъекция (Injection) - атака, связанная с внедрением сторонних
команд или данных в работающую систему с целью получения
доступа к закрытой информации или нарушения работы системы
в целом. Например. SQL-инъекция - атака, в ходе которой
изменяются параметры , SQL-запросов к базе данных. В
результате такой атаки злоумышленник способен изменить или
удалить данные.
149. Классификации сетевых атак
Отказ в обслуживании (Denial of Service, DoS) - атака, имеющаясвоей целью заставить сервер не отвечать на запросы, за счет
превышения допустимых пределов его функционирования. Такой
класс атак не подразумевает получение доступа к атакуемому
компьютеру или получения каких-либо данных от него.
Сетевая разведка - это сбор данных о компьютере жертвы с целью обнаружения уязвимости для дальнейших атак. Сетевая разведка проводится с помощью DNS-запросов, эхо-тестирования и
сканирования портов. С помощью DNS-запросов определяются,
какие адреса присвоены тому или иному домену. Эхо тестирование адресов позволяет определить, какие из них работают. Сканирование портов выполняется с целью определить, какие службы и
приложения запущены на атакуемом компьютере.
150. Классификации сетевых атак
Анализ сетевого графика - атака, в которой используются специальныепрограммы
или
устройства,
называемые
сниферами. Снифер (sniffer) перехватывает и анализирует
сетевой трафик, предназначенный для других компьютеров сети.
IP-снуфинг - атака, заключающаяся в использовании чужого IPадреса с целью обмана системы безопасности. Данный класс
атак часто является отправной точкой для прочих атак.
151. Защита сетевого трафика
Для защиты данных, передаваемых по сети, могутприменяться шифрование, межсетевые
экраны и постоянные виртуальные каналы.
Шифрование - это способ преобразования «открытых» данных в
«закрытые» и обратно. Применяется для защиты данных при
передаче по незащищенным каналам. В информационных сетях
широко
применяют
три
протокола
шифрования
графика: SSL (Secure Sockets Layers - уровень защищенных
сокетов), TLS (Transport Layer Security - Безопасность
транспортного уровня) и IPSec (Internet Protocol Security защищенный межсетевой протокол).
152. Шифрование
Значимость SSL/TLS протоколов обусловлена несколькимиключевыми факторами:
• Конфиденциальность данных — шифрование информации
делает её нечитаемой для посторонних.
• Целостность передаваемой информации — гарантия, что
данные не были изменены по пути.
• Аутентификация — подтверждение подлинности сервера, с
которым устанавливается соединение.
• Защита от атак типа "человек посередине" (Man-in-the-Middle),
когда злоумышленник пытается перехватить коммуникацию.
153. Архитектура и принцип работы SSL/TLS защиты
SSL/TLS протоколы работают по принципу "рукопожатия" (handshake) междуклиентом и сервером, устанавливая защищенное соединение перед началом
обмена данными. Этот процесс включает несколько критических этапов:
1. Инициация соединения — клиент (например, браузер) отправляет серверу
"Hello" сообщение с перечнем поддерживаемых им криптографических
алгоритмов и версий протокола.
2. Ответ сервера — сервер выбирает оптимальные параметры из
предложенных, отправляет свой сертификат и "Server Hello" сообщение.
3. Проверка сертификата — клиент верифицирует подлинность полученного
сертификата через цепочку доверия.
4. Обмен ключами — создание и обмен секретными ключами, которые будут
использоваться для шифрования сессии.
5. Установка шифрованного соединения — после успешного "рукопожатия"
начинается защищенный обмен данными.
154. Архитектура и принцип работы SSL/TLS защиты
SSL/TLS протоколы имеют многоуровневую архитектуру:• Record Protocol — нижний уровень, отвечающий за фрагментацию, сжатие и
шифрование данных.
• Handshake Protocol — отвечает за аутентификацию и согласование
параметров шифрования.
• Change Cipher Spec Protocol — сигнализирует о переключении на
согласованный шифр.
• Alert Protocol — передает предупреждения и ошибки между сторонами.
• Эта многослойность обеспечивает гибкость и надежность протоколов,
позволяя им адаптироваться к различным требованиям безопасности. По
данным исследования Mozilla, внедрение TLS 1.3 привело к снижению
времени установления защищенного соединения на 40% по сравнению с
TLS 1.2, что особенно важно для мобильных устройств с ограниченной
пропускной способностью.
155. Криптографические методы в основе SSL/TLS
В основе работы SSL/TLS лежит концепция асимметричного (с открытымключом) и симметричного шифрования. Каждый метод имеет свои
преимущества и недостатки, поэтому протоколы используют гибридный
подход:
• Асимметричное шифрование (RSA, ECC, DH) — используется для
безопасного обмена ключами на начальном этапе установления
соединения. Медленное, но крайне надежное.
• Симметричное шифрование (AES, ChaCha20) — применяется для
шифрования основного потока данных после установления соединения.
Быстрое и эффективное.
• Хеш-функции и MAC (SHA-256, HMAC) — обеспечивают целостность
передаваемых данных, гарантируя отсутствие изменений.
• Цифровые подписи — подтверждают подлинность сертификатов и
ключевой информации.
156. Криптографические методы в основе SSL/TLS
157. Сертификаты SSL/TLS: обеспечение доверия в сети
Сертификаты SSL/TLS — это цифровые документы, которые выступают вкачестве удостоверений личности для веб-сайтов и серверов. Они играют
ключевую роль в экосистеме безопасности интернета, обеспечивая не только
шифрование данных, но и подтверждая подлинность ресурса, с которым
устанавливается соединение.
158. Сертификаты SSL/TLS: обеспечение доверия в сети
Структура SSL/TLS сертификата включает несколько важныхкомпонентов:
• Информация о владельце (Subject) — кому выдан сертификат:
домен, организация, местоположение
• Информация об эмитенте (Issuer) — кто выдал сертификат,
обычно центр сертификации (CA)
• Публичный ключ владельца сертификата, используемый для
шифрования
• Цифровая подпись эмитента, подтверждающая подлинность
сертификата
• Период действия — даты начала и окончания срока действия
• Серийный номер — уникальный идентификатор сертификата
• Расширения — дополнительная информация (альтернативные
имена, параметры использования и т.д.)
159. Сертификаты SSL/TLS: обеспечение доверия в сети
Существует несколько типов SSL/TLS сертификатов, различающихсяпо уровню проверки и функциональности:
• Domain Validation (DV) — базовый уровень проверки,
подтверждающий только владение доменом
• Organization Validation (OV) — средний уровень, включающий
проверку организации-владельца
• Extended Validation (EV) — максимальный уровень проверки с
подтверждением юридического статуса организации
• Wildcard-сертификаты — покрывающие домен и все его
поддомены
• Multi-domain (SAN) — покрывающие несколько разных доменов
160. IPsec (Internet Protocol Security) — это набор протоколов, которые взаимодействуют друг с другом для обеспечения безопасной
передачи IP-пакетов по незащищенным сетям.P-пакет — это блок данных, который передается по компьютерной сети. Он
имеет определенную структуру и состоит из трех основных компонентов:
Заголовок — содержит информацию об адресе отправителя и получателя и типе
данных.
Полезная нагрузка — информация, которую хочет передать пользователь.
Трейлер — дополнительная информация.
161. IPsec (Internet Protocol Security) — это набор протоколов, которые взаимодействуют друг с другом для обеспечения безопасной
передачи IP-пакетов по незащищенным сетям.Протоколы IPsec используют, чтобы передаваемые данные
сохранили:
• Целостность — защита данных от потери, изменения, а
также дублирования при передаче.
• Аутентичность — данные будут переданы от надежного
источника.
• Конфиденциальность — зашифрованные данные
защищены от несанкционированного просмотра.
162. IPsec (Internet Protocol Security) — это набор протоколов, которые взаимодействуют друг с другом для обеспечения безопасной
передачи IP-пакетов по незащищенным сетям.Сетевые соединения по умолчанию не зашифрованы.
Например, протоколы сетевого взаимодействия TCP/IP
предназначены только для подключения и доставки. При
этом передаваемые данные открыты и доступны для
просмотра третьими лицами.
Именно поэтому для обеспечения безопасной передачи
данных необходимо использовать протоколы безопасности
IPsec. Они создают своеобразную оболочку вокруг данных,
которые отправляются по незащищенным сетям, тем самым
обеспечивая безопасность передачи.
163. Архитектура IPsec
164. Архитектура IPsec
Первый уровеньЗдесь расположены AH и ESP протоколы, которые защищают данные на всех этапах
процесса передачи. Именно эти протоколы реализуют основные функции IPsec —
аутентификацию и шифрование данных и являются ключевыми элементами IPsec.
Протокол AH (Authentifitication Header) обеспечивает:
• Аутентификацию — пользователь может убедиться, что действительно
взаимодействует с теми, кого он ожидает.
• Целостность передаваемых данных — пользователь может обнаружить
изменение данных в процессе передачи.
• Защиту данных от воспроизведения — данные не могут быть воспроизведены в
сети злоумышленниками.
Также в протоколе AH не предусмотрены средства защиты конфиденциальности
переданных данных — злоумышленники не смогут изменить данные, но при этом
могут их прочитать.
165. Архитектура IPsec
Протокол ESP (Encapsulating Security Payload)Протокол ESP, так же как и AH, обеспечивает аутентификацию и
целостность IP-пакета. Однако, помимо этого он еще применяется
для сохранения конфиденциальности передаваемых данных с
помощью шифрования. При этом для ESP необязательно
задействование всех этих функций одновременно. Однако,
алгоритмы обеспечения конфиденциальности данных необходимо
использовать в любом случае.
Обычно протоколы ESP и AH применяют независимо, хотя их
совместное применение также возможно.
166. Архитектура IPsec
Второй уровеньФункции IPsec реализуются с помощью конкретных алгоритмов,
расположенных на втором уровне архитектуры.
Аутентификация в IPsec реализуется при помощи специальных алгоритмов в
протоколах AH и ESP. Так, например, стандартные для IPsec алгоритмы
аутентификации HMAC используют общий секретный ключ для участников
соединения. Алгоритмы HMAC являются обязательными для протокола AH и
факультативными — для ESP.
Протокол ESP также поддерживает разные алгоритмы шифрования. Среди них
— DES, 3 DES и AES. Это помогает еще больше защитить IP-пакет — чтобы
получить доступ к информации, необходимо не только расшифровать данные,
но и понять, какие именно алгоритмы применялись для шифрования.
167. Архитектура IPsec
Третий уровеньDOI — домен интерпретации. Это элемент, который хранит
информацию об алгоритмах и протоколах, которые были применены.
Применение DOI обусловлено тем, что протоколы AH и ESP могут
поддерживать разные алгоритмы.
Четвертый уровень — Протокол IKE (Internet Key Exchange)
Протокол IKE — своего рода фундамент IPsec. Он применяется для
создания политики безопасности соединения, благодаря этому
отправитель и получатель могут согласовать, с помощью каких
алгоритмов будет выполнена аутентификация и шифрование. Также
этот протокол обеспечивает генерацию и распределение ключей
между участниками защищенного соединения.
168. Функции IPsec
Аутентификация — это необходимый элемент обеспечения защитыпередаваемого IP-пакета.
Она нужна, чтобы пользователь был уверен в подлинности:
• содержания IP-пакета — исходные данные не изменялись, их целостность
не нарушена, они недоступны для повторной передачи.
• отправителя данных — исходные данные были созданы именно тем, кем
заявлено.
Аутентификация выполняется при помощи ключей, симметричных или
асимметричных. Чтобы обеспечить безопасность данных, эти ключи
необходимо периодически обновлять у обеих сторон одновременно, это
называется распределением ключей.
169. Аутентификация
Важно, что IPsec не определяет жестко, каким именно методом должнабыть выполнена аутентификация. Участники соединения сами выбирают и
согласовывают наиболее удобный для себя вариант. Аутентификация с
помощью цифрового сертификата и предварительным обменом ключами —
два наиболее распространенных способа.
170. Предварительный обмен ключами (Pre-Shared Key, PSK)
Предварительный обмен ключами — это метод аутентификации, которыйоснован на предварительном распределении ключей между участниками
обмена данными. После установления общего ключа, они могут
использовать его как для шифрования, так и для расшифровки данных.
Такой способ аутентификации предполагает использование
алгоритма Диффи-Хеллмана. Он реализует систему открытого
распределения ключей, при котором изначально ключа нет ни у
отправителя, ни у получателя. Общий закрытый ключ они вычисляют с
помощью секретного парамера и обмена сообщениями.
171. Предварительный обмен ключами (Pre-Shared Key, PSK)
Плюсы предварительного обмена ключами:• Простота — предварительный обмен ключами легко настроить, кроме
того, он может использоваться в различных приложениях.
• Безопасность — данные надежно защищены, поскольку ключ знают
только отправитель и получатель.
• Быстрота — предварительный обмен ключами быстро шифрует и
дешифрует данные, что делает его использование удобным при
большом количестве участников связи, а также при необходимости
частой замены ключей.
172. Предварительный обмен ключами (Pre-Shared Key, PSK)
Минусы предварительного обмена ключами:• Ограничения — предварительный обмен ключами предполагает лимиты
на длину ключа и количество участников, которые могут использовать
его.
• Уязвимость — может быть скомпрометирован, если ключ становится
известен третьим лицам.
• Риск утечки — в случае компрометации ключа, под угрозой
расшифровывания окажутся все данные, для которых применялся этот
ключ.
173. Цифровой сертификат
Цифровой сертификат – это специальный электронный документ, который центрсертификации или удостоверяющий центр выдает пользователю. Он содержит
информацию о владельце сертификата, которая нужна для проверки подлинности
его личности — открытый ключ. Когда отправитель отправляет данные через IPSec,
он должен предоставить свой цифровой сертификат, который будет проверен
получателем.
Последовательность выполнения аутентификации с помощью цифрового
сертификата:
• Отправитель создает цифровой сертификат и подписывает его своим закрытым
ключом.
• Отправитель пересылает IP-пакет вместе со своим цифровым сертификатом через
IPSec.
• Получатель проверяет подлинность цифрового сертификата, а также соответствие
открытого ключа из сертификата открытому ключу, которым был подписан IPпакет.
• Если проверка прошла успешно, получатель принимает данные и обрабатывает
их.
174. Цифровой сертификат
Преимущества цифрового сертификата:•Безопасность — цифровые сертификаты защищены криптографией,
благодаря чему они практически неуязвимыми для фальсификации или
взлома.
•Удобство использования — при использовании цифровых сертификатов
для аутентификации в протоколе безопасности IPsec пользователь может
легко и быстро получать доступ к защищенным данным.
175. Цифровой сертификат
Недостатки цифрового сертификата:•Стоимость — иногда использование цифровых сертификатов требует
значительных денежных затрат, что может стать существенным
недостатком для малых и средних предприятий.
•Сложность настройки — настройка цифровых сертификатов может
потребовать определенных знаний и навыков.
176. Защита от атак MITM
Защита от атак типа MITM (Man-in-the-Middle — человек посередине)является одной из главных задач обеспечения безопасности данных. При
такой атаке злоумышленник встает между участниками связи. Благодаря
этому он может перехватить закрытый ключ и получить доступ к
передаваемым IP-пакетам. При этом стороны часто даже не подозревают о
том, что общаются не напрямую, а их данные перехватываются и
изменяются злоумышленниками.
Аутентификация с помощью цифровых сертификатов позволяет избежать
MITM-атак, поскольку обмен закрытыми ключами недоступен третьим
лицам.
177. Защита от атак MITM
Распределение ключей методом Диффи-Хеллмана в его оригинальномвиде может быть уязвимо для MITM-атак. Поэтому метод Диффи-Хеллмана
обычно применяют совместно с дополнительной односторонней или
двусторонней аутентификацией. Это помогает обеспечить безопасность
передаваемых данных.
В итоге методы аутентификации в IPsec могут быть настроены таким
образом, что атаки типа MITM не будут представлять опасности для IPпакета.
178. Шифрование в IPsec
Шифрование — одна из важнейших функций IPsec, защищает IP-пакеты отдоступа третьих лиц.
Оно обеспечивает передаваемым данным:
Конфиденциальность
IPsec использует протокол ESP, чтобы обеспечить конфиденциальность и
целостность передаваемых данных. Он инкапсулирует передаваемый IPпакет с помощью различных алгоритмов шифрования, выбор которых
зависит от требований сторон к безопасности.
Целостность данных
IPsec использует протокол AH, чтобы обеспечить целостность
передаваемых данных. Проверка целостности IP-пакета может быть
проведена различными алгоритмами аутентификации, выбор которых
зависит от требований сторон к безопасности.
179. Симметричное и асимметричное шифрование в IPsec
Симметричное шифрование — это метод шифрования данных, прикотором участники связи используют один и тот же секретный ключ.
Отправитель применяет этот ключ для шифрования IP-пакета, а получатель
— для его расшифровки. К плюсам этого способа шифрования можно
отнести скорость, а также простоту реализации. К минусам — критичность
к надежности канала передачи ключа, а также сложность управления
ключами в большой сети.
180. Симметричное и асимметричное шифрование в IPsec
Асимметричное шифрование — это метод шифрования данных, прикотором участники связи используют разные ключи — открытый и
закрытый. Отправитель использует открытый ключ для шифрования IPпакета. Получатель использует закрытый ключ для его расшифровки.
Такой тип шифрования более безопасный, так как злоумышленник не
сможет расшифровать данные без закрытого ключа. Однако, в этом случае
реализация шифрования сложнее, а скорость — ниже, чем у
симметричного шифрования.
В IPsec используются оба этих типа шифрования, но обычно для разных
целей. Симметричное шифрование обычно применяется для защиты IP
пакетов между устройствами, такими как маршрутизаторы и коммутаторы,
а асимметричное — для защиты пакетов, передаваемых в интернете.
181. Транспортный и туннельный режимы шифрования
Протоколы безопасности IPSec могут работать в одном из следующихрежимов:
Туннельный режим
Туннельный режим IPSec используется для создания безопасного
соединения WAN и VPN, использующих интернет в качестве среды
подключения. В этом режиме протоколы IPSec шифруют заголовок и
полезную нагрузку IP-пакета. Таким образом данные, содержащиеся в
этом пакете, инкапсулируются внутри дополнительного пакета, который и
будет отправлен.
182. Транспортный и туннельный режимы шифрования
183. Транспортный и туннельный режимы шифрования
Как происходит обмен данными, когда туннельный режим определен как режим IPSec:1.Данные передаются с использованием незащищенного IP-пакета с компьютера в
частной сети.
2.Когда пакет поступает на маршрутизатор, он инкапсулирует его, используя протоколы
безопасности IPSec.
3.Маршрутизатор пересылает пакет на другой конец соединения.
4.Маршрутизатор, принимающий IP-пакет проверяет его целостность.
5.Пакет расшифровывается.
6.Данные пакета отправляются на компьютер получателя в частной сети.
Таким образом, туннельный режим применяется, когда две частные сети передают
данные через публичную незащищенную сеть. Например, при передаче IP-пакета:
1. От сервера к серверу;
2. От сервера к шлюзу;
3. От шлюза к шлюзу.
184. Транспортный и туннельный режимы шифрования
Основное отличие транспортного режима от туннельного в том, что втранспортном режиме работы шифруется не весь IP-пакет, а только полезная
нагрузка.
185. Транспортный и туннельный режимы шифрования
Транспортный режим шифрования используется когда между двумяустройствами уже существует IP-связь, но она небезопасна. Например, при
передаче IP-пакета от сервера к клиенту.
Часто сети, не способные поддерживать туннельный режим, успешно работают
в транспортном режиме.
Управление ключами — функция IPsec, без которой реализация
аутентификации и шифрования не имела бы смысла. Рассмотрим ее
подробнее.
186. Протокол установки безопасного соединения
Протокол установки безопасного соединения IKE (Internet KeyExchange)применяется для создания ассоциации безопасности IPsec — IPsec SA
(Security Association). IPsec SA необходим участникам защищенного
соединения для согласования работы.
Таким образом, благодаря этому протоколу пользователи могут договориться
о том, какие алгоритмы шифрования и аутентификации будут использовать.
Существует две версии протокола IKE — IKEv1 и IKEv2
187. IKEv1
IKEv1 — это один из первых стандартов для обмена ключами, разработанный в1998 году. Несмотря на то, что он практически не изменялся с того времени,
его активно используют до сих пор.
IKEv1 определяет две фазы согласования для создания IPSec SA.
Фаза 1
На этом этапе участники обмениваются
предложениями о том, какие алгоритмы шифрования
и аутентификации будут использовать. Создается
защищенный туннель для продолжения согласования в
фазе 2.
Этот процесс может проходить в двух режимах:
основной и агрессивный
188. Основной режим
Основной режим более безопасный и гибкий, но медленнее завершаетсогласование, поскольку в этом режиме отправитель и получатель
обмениваются шестью сообщениями:
1.Инициатор предлагает получателю один или несколько вариантов IKE SA,
включающих следующие элементы:
1. Алгоритм шифрования — DES, 3DES или AES.
2. Метод аутентификации — предварительное распределение ключей
или цифровые сертификаты.
3. Группа Диффи-Хеллмана.
4. Срок службы — время, необходимое туннелю IKE для выполнения
первой фазы. Значение по умолчанию равно 24 часам.
2.Получатель отправляет выбранный вариант SA инициатору.
3.Инициатор выполняет обмен Диффи-Хеллмана.
4.Получатель отправляет инициатору свой ключ. На этом этапе создается
безопасное соединение, которое обеспечивают алгоритмы, принятые ранее.
5.Инициатор начинает аутентификацию, отправляя свой IP-адрес.
6.Получатель передает соответствующий пакет для аутентификации сеанса.
189. Агрессивный режим
Агрессивный режим не обеспечивает такой же уровень безопасности игибкости, как основной режим, из-за того, что стороны обмениваются
информацией до создания защищенного канала. Но при этом он быстрее,
потому что инициатор и получатель обмениваются всего тремя сообщениями:
1.Инициатор предлагает варианты IKE SA и выполняет обмен ДиффиХеллмана и пакет идентификации.
2.Получатель отправляет инициатору выбранный вариант SA, свой ключ и
пакет для аутентификации.
3.Инициатор подтверждает обмен.
190. Фаза 2
На этом этапе используется защищенный канал IKE SA, созданный в фазе 1.Целью фазы 2 являются:
•Согласование параметров IPsec SA для создания защищенного соединения.
•Установление IPsec SA.
•Периодическое обновление IPsec SA для большей безопасности.
•(Необязательно) Дополнительный обмен ключами Диффи-Хеллмана.
Вторая фаза может быть реализована только в быстром режиме.
После завершения этой фазы, участники соединения могут передавать IPпакеты, которые шифруются и расшифровываются с помощью алгоритмов,
выбранных для IPsec SA.
191. IKEv2
IKEv2 был представлен значительно позже, в 2010 году.IKEv2 не содержит 1 и 2 фазу. Согласование IPsec SA
происходит за 4 обмена сообщениями:
1-2: Согласование криптографических алгоритмов, и
выполнение обмена Диффи-Хеллмана.
3-4: Проверка подлинности предыдущих сообщений,
обмен индентификаторами и сертификатами.
Устанавливается двунаправленный IKE SA и
однонаправленный IPsec SA.
192. IKEv1 и IKEv2
193. Управление жизненным циклом ключей
Протокол IKE применяют для контроля использования ключей. Этопомогает избежать ошибок, связанных с их использованием, и тем
самым обеспечить безопасность передаваемых данных.
Основные этапы жизненного цикла ключей:
1.Генерация — создание новых ключей.
2.Распределение — обмен ключами между участниками соединения.
3.Использование — ключи применяют для шифрования IP-пакета
отправителем, аутентификации, проверки целостности, а также
расшифровки — получателем.
4.Списание — после использования ключи удаляются из системы.
5.Повторное использование — необязательный этап, используется при
потере или повреждении ключей.
194. Преимущества IPsec
Сетевой уровень работыБольшинство других протоколов безопасности функционируют на
прикладном уровне сетевого взаимодействия. Основным
преимуществом IPSec является то, что он работает на сетевом, а не
прикладном уровне. По сути, это означает, что данные шифруются на
компьютере-отправителе. Все промежуточные системы, такие как
маршрутизаторы, просто пересылают зашифрованную часть пакетов
конечному адресату, не расшифровывая данные. Зашифрованные
данные расшифровываются только тогда, когда они достигают
адресата.
195. Преимущества IPsec
БезопасностьПротоколы AH и ESP обеспечивают высокий уровень безопасности и
приватности. И в целом, IPsec — очень гибкая система, которая
поддерживает разные алгоритмы шифрования. Это своего рода еще
один уровень защиты — чтобы получить доступ к зашифрованным
данным, злоумышленникам нужно не только расшифровать данные, но
и понять, какими алгоритмы применялись для их шифрования.
Универсальность
Протоколы безопасности IPsec используются для защиты любых типов
данных, включая электронную почту, видеоконференции, VoIP и многое
другое. IPsec поддерживается многими современными операционными
системами, а также рядом роутеров. Также IPsec считается одним из
лучших решений для применения в сетях VPN.
196. Недостатки и ограничения IPsec
Сложность настройки и управленияIPSec сложнее, чем альтернативные протоколы безопасности, и его сложнее
настроить.
Возможность проблем совместимости между различными реализациями
IPsec
Если разработчики ПО не придерживаются стандартов IPSec, это может
привести к проблемам с совместимостью. Аналогично, когда вы уже используете
протоколы IPSec, подключение к другой сети может быть проблемным из-за
ограничений в брандмауэрах.
Влияние на производительность сети
К сожалению, IPSec хорошо известен высокой загрузкой процессора. Для
шифрования и дешифрования всех данных, проходящих через сервер,
требуется довольно много вычислительной мощности. При небольшом размере
пакета данных производительность сети снижается из-за больших накладных
расходов, используемых IPSec. Вот почему рекомендуется не использовать
IPSec для передачи данных небольшого размера.
197. Защита корпоративных сетей и соединений между офисами
IPsec — это мощный инструмент для защиты корпоративных сетей и соединениймежду офисами. Он позволяет создавать защищенные соединения между
компьютерами и серверами, а также защищать соединения между офисами.
Одним из преимуществ IPsec является то, что он может быть настроен на
автоматическое подключение к защищенным соединениям. Это означает, что
пользователи не должны вручную настраивать свои компьютеры для
подключения к защищенным соединениям.
IPsec также может быть использован для защиты соединений между офисами.
Например, если два офиса находятся в разных городах, IPsec может быть
использован для создания защищенного соединения между ними. Это позволит
передавать данные между офисами без риска их перехвата или изменения.
198. SASL
SASL (Simple Authentication and Security Layer) — фреймворк дляаутентификации и обеспечения безопасности, целостности и
конфиденциальности при обмене данными между пользователем и
приложением. SASL — это не единый протокол, а платформа, которая
позволяет сочетать любые поддерживаемые механизмы аутентификации с
любыми поддерживаемыми прикладными протоколами.
Наиболее актуальной является выпущенная в 2015 году спецификация
RFC 7677. Она расширяет популярные механизмы обмена данными и
детальнее описывает атаки, которым может подвергаться сервер.
199. SASL
Принцип работыАутентификация с помощью SASL происходит в несколько этапов, которые
зависят от выбранного механизма и протокола:
1. Сервер передает сообщение со списком поддерживаемых механизмов
аутентификации.
2. В ответном сообщении устройство клиента указывает выбранный
механизм.
3. Происходит обмен зашифрованными с помощью протоколов
сообщениями для аутентификации, которые содержат имя
пользователя и пароль в кодировке UTF-8. Детали обмена зависят от
выбранного механизма.
4. Аутентификация завершается получением от сервера сообщения об
успехе и дополнительных данных, если они требуются.
5. При возникновении проблем процесс может быть завершен на любом
этапе.
200. SASL
201. SASL
Механизм аутентификации представляет собой способ, с помощью которогопроисходит обмен сообщениями между пользователем и сервером. Основные
механизмы аутентификации SASL:
• EXTERNAL — аутентификация работает в контексте протоколов с уже
определенными технологиями защиты, такими как TLS и IPSec.
• ANONYMOUS — для анонимного гостевого доступа.
• SCRAM — стандартный механизм формата «запрос — ответ».
• GSSAPI — механизм на основе протокола Kerberos, основанного на
криптографии симметричных ключей.
• OAUTHBEARER — аутентификация проходит с помощью OAuth-токенов 2.0.
• PLAIN — позволяет передавать логин и пароль в открытом виде.
• DIGEST-MD5 — пользователю присваивается уникальный идентификатор,
основанный на хэше его пароля и других данных.
• CRAM-MD5 — работает по тому же принципу, что и DIGEST-MD5, но помимо
этого предоставляет защиту от атак повторного воспроизведения.
202. SASL
Каждый механизм может работать с различными протоколами передачи данных— интерфейсами, которые обеспечивают их целостность и конфиденциальность.
Механизмы аутентификации SASL поддерживают большинство из популярных
протоколов, например:
• ACAP (Application Configuration Access Protocol) — позволяет клиенту получить
доступ к конфигурационным данным сервера.
• AMQP (Advanced Message Queuing Protocol) — позволяет компонентам системы
обмениваться сообщениями.
• BEEP (Blocks Extensible Exchange Protocol) — фреймворк для создания
многофункциональных протоколов обмена разными типами сообщений.
• IMAP (Internet Message Access Protocol) — используется для работы с почтовыми
серверами.
• IRC (Internet Relay Chat) — позволяет обмениваться сообщениями и файлами в
режиме реального времени.
• LDAP (Lightweight Directory Access Protocol) — легковесный протокол для
совершения простых операций на сервере.
• EMPP (Extensible Messaging and Presence Protocol или Jabber) — используется в
соцсетях для обмена текстом и медиаконтентом.
203. SSL-сертификаты
SSL-сертификат (Secure Socket Layer) — это электронный паспорт веб-ресурса,который содержит информацию о нем и открытый ключ, используемый для
шифрования обмена данными с его посетителем. Соединение по
криптографическому протоколу происходит таким образом, что передаваемые
данные будет невозможно прочитать, даже если их перехватят злоумышленники.
Наличие сертификата видно по адресу ресурса: безопасные сайты имеют
протокол передачи данных HTTPS (HyperText Transfer Protocol Secure), а
небезопасные — HTTP (HyperText Transfer Protocol).
204. SSL
205. SSL
Хотя SSL-сертификаты и не мешают взламывать веб-ресурсы, они не даюткиберпреступникам получить доступ к данным во время сеанса. Выдача сертификата
происходит следующим образом:
1. Генерация ключей
Перед тем как запрашивать SSL-сертификат, владелец сайта должен сгенерировать пару
ключей: открытый и закрытый. Закрытый ключ хранится в безопасности и не передается
никому, тогда как открытый ключ будет включен в SSL-сертификат и доступен всем.
2. Создание запроса на выдачу сертификата
Для получения сертификата владелец сайта создает запрос в центр сертификации (CA,
Certificate Authority) на подпись сертификата. В запросе он указывает открытый ключ и
информацию о сайте, например:
1) Домены и поддомены, на которых он действует.
2) Человек, организация или устройство, владеющее сертификатом.
3) Информация о центре сертификации и его цифровая подпись.
4) Дата получения и окончание срока действия сертификата.
206. SSL
3. АутентификацияCA проверяет предоставленную информацию. От вида сертификата зависят
особенности проверки. Например, для DV-сертификатов необходимо
подтвердить контроль над доменом через электронную почту или DNS-записи.
Для более высокого уровня сертификатов, как OV или EV, центр сертификации
проводит более строгие проверки легитимности и правомерности компании.
4. Выдача сертификата
После успешной проверки центр сертификации создает SSL-сертификат и
подписывает его своим закрытым ключом, подтверждая его подлинность.
После получения SSL-сертификата владелец сайта устанавливает его на свой
сервер. Это позволяет серверу устанавливать защищенные соединения с
клиентами, используя стандартный протокол шифрования HTTPS.
207. SSL
Когда клиент соединяется с сайтом по HTTPS, сервер предоставляет свой SSLсертификат в качестве доказательства своей подлинности. Как правило, вхранилище операционной системы клиента уже установлены корневые
сертификаты от разных доверенных центров сертификации, позволяющие
проверить SSL-сертификат на следующие аспекты:
• Сертификат подписан доверенным CA.
• Сертификат не истек и не отозван.
• Имя домена в сертификате соответствует имени домена сайта.
Если проверка прошла успешно, браузер устанавливает защищенное соединение.
В противоположном случае браузер предупредит пользователя о потенциальной
небезопасности соединения.
208. SSL
Преимущества SSL-сертификатовБез SSL-сертификата невозможно заниматься большинством видов деятельности
в интернете.
• Теряется доверие веб-клиентов и пользователей.
• Все платежные системы и сервисы отказываются сотрудничать с
незащищенными ресурсами.
• Ресурсы без сертификации имеют пониженный рейтинг для поисковых систем.
Среди недостатков можно отметить стоимость, трудности получения и
обновления.
209. SSL
SSL-сертификаты различаются по уровню валидации, стоимости, скоростиполучения и зоне охвата. Оптимальный выбор зависит от специфики сайта:
EV (Extended Validation) — с расширенной проверкой.
Наличие такой лицензии подтверждает, что владелец имеет исключительные
права на ресурс, соблюдает все законы и платит налоги. Обычно такие
сертификаты получают сайты, деятельность которых завязана на онлайнплатежах, например банки. Это самый дорогой тип сертификата, а все проверки
для его получения занимают более недели. Однако, если раньше наличие EVсертификата подтверждалось зеленой адресной строкой, то сегодня
большинство браузеров отказались от такой визуализации, поэтому многие ставят
под сомнение его полезность.
210. SSL
OV (Organization Validation) — подтверждает существование организации.Для получения сертификата организация предоставляет все документы,
доказывающие ее юридическое и физическое существование. OV-сертификаты
приобретает большинство коммерческих организаций, а доверие к ним почти
такое же, как к EV, потому что визуально их не отличить на большинстве
устройств и браузеров. На получение уходит несколько дней.
DV (Domain Validation) — подтверждает владельца домена.
Это самый дешевый, а иногда и бесплатный тип валидации с минимальной
защитой, для которого владельцу сайта достаточно по телефону или с помощью
электронного письма подтвердить, что он принадлежит ему. Для защиты
коммерческих данных такой способ не подходит, но обычным информационным
сайтам и блогам большего не надо. Тем более физическому лицу варианты EV и
OV все равно недоступны.
211. SSL
Wildcard Certificate — действует также на поддомены ресурса.Этот особый вид лицензии используется в том случае, если владельцу нужно
защитить не только основной сайт, но и его поддомены. Например, site.com,
support.site.com, contact.site.com и так далее. Защитить сайт со множеством
поддоменов одним Wildcard-сертификатом намного дешевле и быстрее, чем
покупать отдельный для каждого.
SAN (Subject Alternative Name) — защищают несколько независимых
доменных имен.
Обычно мультидоменная защита выгодна крупным компаниям, которые имеют
несколько продуктов на отдельных сайтах. Например, old-site.net, site.com, newsite.org. По умолчанию такие сертификаты защищают только домены верхнего
уровня, а поддомены приходится указывать отдельно. К ним относятся также
сертификаты унифицированных коммуникаций (UCC), которые разработала
компания Microsoft® для своих серверов, но сегодня они доступны всем
желающим.
212. SSL
Самоподписанные сертификаты — это особый вид сертификатов, которыесоздает и подписывает владелец сайта без участия центра сертификации. Такие
сертификаты имеют серьезный недостаток — браузер сразу сообщает
пользователям о ненадежности сертификата, а может даже заблокировать
доступ к сайту. Однако самоподписанные сертификаты могут быть полезны,
когда требуется лишь внутренняя или ограниченная коммуникация, например:
• Для внутренних тестов и процесса разработки, где не требуется заверение
сертификата публичным центром сертификации.
• Для внутренних сетей и внутрикорпоративных приложений, которые
недоступны извне и используются только сотрудниками компании.
• Для учебных проектов, в которых нужно освоить работу с SSL/TLS, но нет
необходимости в сторонней валидации.
213. WAF
Web application firewall (WAF) —совокупность средств обнаружения и
предотвращения попыток нанести вред
или захватить конфиденциальную
информацию веб-приложений.
Файрвол выступает своего рода
посредником между пользователем и
приложением, проверяя входящий и
исходящий трафик на потенциальный
вред. В случае обнаружения опасности
WAF может попытаться извлечь
вредоносный код или полностью
заблокировать запрос.
214. WAF
215. WAF
Файрвол веб-приложений отличается от обычного тем, что работает на прикладномуровне модели OSI (7-м), в то время как обычный защищает сетевой и транспортный
уровни (3-й и 4-й). Используются три основных подхода к обеспечению
безопасности:
• Белый список — файрвол формирует список безопасных моделей поведения, а
остальные блокирует.
• Черный список — файрвол блокирует трафик на основе актуальных сигнатур
против известных видов атак, а остальной пропускает.
• Гибридный — файрвол ориентируется на список как разрешенных, так и
запрещенных моделей.
Основываться только на сигнатурах в обеспечении безопасности —
малоэффективно, поэтому продвинутые WAF используют правила, позволяющие
распознать атаки, даже если злоумышленник не попал в списки сигнатур. Это
решение пришло на рынок с развитием искусственного интеллекта и машинного
обучения, поскольку вручную писать такие правила — крайне трудоемкая задача.
216. WAF
Можно выделить несколько основных возможностей большинства WAF:• мониторинг трафика на SQL-инъекции, сетевые атаки, выявление ботов,
автоматического сканирования и других вредоносных активностей;
• фильтрация запросов, которые могут содержать вредоносный код;
• распознавание новых, неизвестных типов угроз путем анализа действий
пользователей;
• маршрутизация пользовательского трафика через DNS для уменьшения
задержек;
• визуализация полученных данных с помощью отчетов и логов.
Чтобы повысить уровень безопасности, WAF также можно использовать
вместе с системой обнаружения вторжений (IDS), системой предотвращения
вторжений (IPS) или системой управления информационной безопасностью
(ISMS).
217. WAF
Среди преимуществ использования файрвола веб-приложений можно выделить:• Защита от известных и неизвестных уязвимостей. Сигнатуры сетевых атак
представляют собой фрагменты их кода. Однако злоумышленник может
модернизировать атаку, и простой антивирус ее не распознает. WAF с
помощью машинного обучения может обнаружить и незнакомые виды атак.
• Минимизация рисков. Защита WAF глубже анализирует веб-протоколы, чем
системы предотвращения вторжений, а также ликвидирует угрозы в отличие
от систем обнаружения вторжений. По данным опроса директоров по
информационной безопасности, WAF и NGFW (Next-generation firewall)
оказались наиболее эффективными решениями против DDoS-атак.
• Простая настройка и интеграция. Обычно WAF не требует глубоких знаний в
области веб-безопасности. Многие файрволы имеют простой интерфейс и
справиться с ними не сложнее, чем с антивирусом.
• Централизованное администрирование. Один WAF можно установить на
множество своих продуктов и управлять его политиками из единого центра.
218. WAF
В то же время файрволы веб-приложений не являются панацеей и имеютряд недостатков:
• Ложные срабатывания. Чем больше ответственности возложить на этот
инструмент, тем чаще он будет ошибаться. В некоторых случаях
требуется тонкая настройка, иначе файрвол постоянно будет
блокировать лишние запросы.
• Неэффективность против некоторых видов атак. Файрволы вебприложений ориентированы на аномальное поведение, и опытный
хакер может маскировать атаки так, чтобы нарушать логику работы
приложения и не выдавать себя.
• Постоянное обновление. Технологии атак идут в ногу с рынком
защитных средств, поэтому, несмотря на возможность
самостоятельного обучения, WAF все еще нуждаются в частом
пополнении баз сигнатур и обновлении правил.
219. WAF
WAF могут быть аппаратными, программными и облачными. Каждый вид имеет своиособенности, а выбор зависит от возможностей и стратегии компании:
Программные.
Такие WAF представляют собой дополнительный софт и встраиваются в уже
существующую инфраструктуру, расширяя ее возможности. Программные файрволы
могут оказаться лучшим решением для небольших компаний, но они не обладают
способностями к эффективной масштабируемости и меньше поддерживаются со
стороны поставщика.
220. WAF
Аппаратные.Это специальные физические устройства, которые устанавливаются локально и
выполняют роль сетевого шлюза между интернетом и сервером компании. Они более
надежны, чем программные, но сложнее настраиваются и дороже стоят. Если у
компании нет своих технических специалистов, то платить также придется за
установку и настройку. Также оборудование имеет свойство устаревать и выходить
из строя, что тоже требует средств.
221. WAF
Облачные.Сегодня все больше компаний смотрят в сторону облачного решения, поскольку оно
имеет ряд преимуществ:
• провайдер сам отвечает за настройку и обновление ПО;
• в случае проблемы с одной виртуальной машиной, сервер не будет простаивать,
поскольку трафик перенаправляется на другую;
• файрвол эффективнее использует машинное обучение и работает со всеми типами
уязвимостей за счет данных по всем клиентам провайдера;
• как правило, облачный провайдер предоставляет клиентам широкую техническую
поддержку.
222. JSON Web Token (JWT)
JSON Web Token — интернет-стандарт для безопасной передачи информации в видеключей (токенов) в формате JSON. Благодаря компактности, безопасности и
универсальности токен применяется повсеместно: от корпоративных систем до
небольших сервисов и интернета вещей.
В клиент-серверных приложениях JWT часто представлен в двух видах:
Access-токен — подтверждает, что его владелец может воспользоваться
защищенными ресурсами. Как правило, имеет непродолжительный срок жизни.
Refresh-токен — используется для обмена на новый access-токен. Выдается на более
длительный срок.
Для стандартизации создания токенов доступа в 2011 году была сформирована
специальная группа разработчиков. К 2013 году в открытом доступе появились
наработки группы, среди которых были несколько видов токена, а также алгоритмы
подписи, шифрования и управления ключами. В 2015 году JWT был официально
закреплен в стандарте RFC 7519.
223. JSON Web Token (JWT)
В зависимости от назначения и структуры выделяют три основных типаJWT:
• JWS (JSON Web Signature) — токен с цифровой подписью для
обеспечения целостности и аутентичности данных пользователя.
Если данные не конфиденциальны, то этот токен предпочтительнее,
потому что реализация и проверка подписи проходят быстрее.
• JWE (JSON Web Encryption) — зашифрованный токен для безопасной
передачи данных. Используется в тех случаях, когда передаваемые в
токене данные конфиденциальны, однако сложнее реализуется и
дополнительно нагружает систему.
• Unsecured JWT — токен без подписи и шифрования. Такой токен
легко подделать, поэтому он используется только в закрытых
безопасных средах.
224. JSON Web Token (JWT)
225. JSON Web Token (JWT)
Самый распространенный токен (JWS) состоит из трехкомпонентов:
Заголовок (header) — передает информацию о типе
токена и используемом криптографическом
алгоритме.
Пример:
{
"alg": "HS256",
"typ": "JWT"
}
226. JSON Web Token (JWT)
Полезная нагрузка (payload) — передает содержащиеся в токене данные, называемыеутверждениями. Утверждения делятся на три типа:
Стандартные — данные о токене, такие как предназначение, издатель, срок действия.
Пользовательские — данные пользователя токена, такие как имя, электронный адрес,
номер телефона.
Нестандартные — специфические поля, необходимые для конкретных приложений.
Например, роль пользователя.
Пример:
{
"sub": "user789",
"name": "Ivan Ivanov",
"iat": 1731000000,
"exp": 1731003600,
"email": "ivan-ivanov@example.com",
"role": "developer"
}
227. JSON Web Token (JWT)
Подпись (signature) — подтверждает, что токен подлинный и не был изменен.Создается на основе двух предыдущих зашифрованных компонентов,
скомбинированных с секретным ключом. Для вычислений используется
заданный в заголовке алгоритм. Сервер проверяет подпись, используя
соответствующий ключ, чтобы убедиться, что токен не подделан.
В итоговом виде все компоненты токена кодируются в Base64 и отделяются друг
от друга точками. Пример:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.бeyJzdWIiOiJ1c2VyNzg5IiwibmFtZSI6Ik
saWNlIFNtaXRoIiwicm9sZSI6ImVkaXRvciI
sImlhdCI6MTczMTAwMDAwMCwiZXhwIjoxNzM
xMDAzNjAwLCJlbWFpbCI6ImFsaWNlLnNtaXR
oQGV4YW1wbGU3kLHgqIm.6eE6f5rYvZ3f1Z5
f4q8v7m4k5n6p8r9s2t3u4vk********
228. JSON Web Token (JWT)
JWT — мощный инструмент для аутентификации, но имеет свои уязвимости итребует дополнительных усилий для обеспечения безопасности. Рассмотрим
проблемы безопасности JWT и методы борьбы с ними:
Отзыв токена. Механизм JWT не предполагает возможности быстро и эффективно
отзывать токены — он рассчитан на то, что токен будет действителен до тех пор,
пока не истечет его срок жизни. Поэтому, если у приложения есть необходимость
отзывать токены раньше времени, то приходится использовать дополнительные
меры. Например, хранить список отозванных токенов на сервере (черный список)
и обращаться к нему при каждой попытке использования токена.
Черный список аннулирует одно из основных преимуществ JWT — бессерверную
архитектуру, поэтому для таких приложений практичнее воспользоваться
альтернативными средствами аутентификации.
229. JSON Web Token (JWT)
Некорректная проверка алгоритма шифрования. Отсутствие алгоритма шифрования(alg: "none") часто не делает токен невалидным. Если этим воспользуется
злоумышленник, он сможет подделать токен без знания секретного ключа. Эту
уязвимость пытаются устранить, однако по-прежнему находятся способы ею
воспользоваться; предлагается даже убрать поле alg из заголовка.
Для профилактики используются только актуальные библиотеки.
230. JSON Web Token (JWT)
Подделка токена. Если злоумышленник перехватит идентификационныеданные пользователя, он сможет подделать токен и выдать себя за него.
Для защиты можно нужно усложнять механизм проверки ключей,
выпускаемых на основе токенов. Например, через использовани refreshтокенов.
Сложность настройки. JWT поддерживает небезопасные алгоритмы и
требует дополнительных настроек, поэтому в неопытных руках может
сделать процесс аутентификации уязвимым для атак.
231. JSON Web Token (JWT)
232. JSON Web Token (JWT)
Когда использование учетных данных предпочтительнее:• Для небольших приложений с минимальными требованиями к
масштабированию сессионные cookie проще в реализации, чем JWT.
• Если приложение предполагает краткосрочную сессию, завершающуюся
после выхода пользователя, практичнее будет использовать учетные
данные. По завершении сессии токен сложнее отозвать — придется
добавлять его в черный список.
• Для старых систем, где аутентификация с помощью учетных данных уже
настроена и защищена, переход на JWT обычно неоправдан.
233. JSON Web Token (JWT)
234. JSON Web Token (JWT)
По большинству критериев PASETO совершеннее своего конкурента,однако есть ряд случаев, когда выбор JWT предпочтительнее:
• Если для внедрения нужно переписать логику системы. Иногда это
требуется, потому что PASETO не поддерживается некоторыми
фреймворками, языками программирования и такими механизмами
аутентификации, как OAuth 2.0 и OpenID Connect.
• Если для разработки требуется поддержка сообщества. PASETO не
обладает большой экосистемой, поэтому найти нужные материалы и
поддержку может быть сложно.
• Если в системе уже налажена безопасная аутентификация с
помощью JWT, переход на PASETO может создать неоправданные
трудности.
235. Технология единого входа (SSO)
Технология единого входа (Single Sign-On) — способ аутентификации,при котором пользователь использует одну учетную запись во
множестве сервисов. Например, в банковском приложении, площадке
для инвестиций и сервисах партнеров банка. SSO избавляет
пользователя от необходимости создания множества учетных записей
и ввода учетных данных в каждом новом сервисе. Это упрощает
доступ к приложениям, повышает безопасность и централизует
управление учетными записями.
236. Технология единого входа (SSO)
Технология единого входа состоит из трех основных компонентов:• Пользователь.
• Поставщик удостоверений (IdP, Identity Provider) — центральный сервер, который
проверяет данные пользователей и выдает им токены доступа. Например, Яндекс ID,
Тинькофф ID, VK ID и многие другие.
• Приложение или поставщик услуг (SP, Service Provider) — веб-приложение, у которого
пользователь запрашивает доступ.
237. Технология единого входа (SSO)
Компоненты взаимодействуют друг с другом следующим образом:1. Пользователь запрашивает аутентификацию у приложения.
2. Приложение перенаправляет запрос поставщику удостоверений.
3. Поставщик удостоверений просит пользователя ввести учетные
данные и подтверждает его личность.
238. Технология единого входа (SSO)
4. Поставщик удостоверений генерирует токен (или утверждение в случаеSAML), содержащий учетные данные пользователя, права доступа и
другую информацию. Полученный набор данных работает на всех
приложениях, связанных с поставщиком удостоверений. Это своего
рода билет, дающий право использовать функциональность всех
приложений, связанных с поставщиком удостоверений. Пример токена:
{
"id_token": "ehg39jgh********",
"access_token": "t1.9euelZqV********",
"refresh_token": "1//04T..."
}
5. Пользователь передает токен приложению. При каждом новом входе
сервис обращается к поставщику удостоверений для проверки
валидности токена. Если токен валиден, пользователь получает
доступ. Пользователь может использовать сервис до тех пор, пока не
истечет срок действия токена или он сам не закончит сессию.
239. Технология единого входа (SSO)
Для более подробного описания принципа работы технологии единого входанеобходимо уточнить, по какому протоколу она работает. Рассмотрим основные
из них:
• OpenID Connect — расширенный протокол OAuth 2.0, который подтверждает
личность пользователя, передавая токен с именем, почтой и другими
данными. Так работают всем знакомые кнопки вроде Войти через Яндекс ID.
Используется в большинстве современных приложений, поддерживающих
Single Sign-On.
• SAML (Security Assertion Markup Language) — вместо токена данные
передаются в виде XML-документа, который называется утверждением
(assertion). Используется в основном крупными компаниями для обеспечения
единого доступа к ресурсам. Например, по протоколу SAML работает
федерация удостоверений в Yandex Cloud.
240. Технология единого входа (SSO)
241. Технология единого входа (SSO)
В качестве компонента SSO-системы также может использоваться стандартныйфреймворк OAuth 2.0. Его некорректно называть полноценным протоколом SSO,
как OpenID Connect, поскольку он не аутентифицирует пользователя, а только
предоставляет доступ к ресурсам от имени владельца. Так работает, например,
доступ по ссылке к документам в облачном хранилище. Близкой аналогией
будет ключ от комнаты (OAuth 2.0) и паспорт (OpenID Connect).
242. Технология единого входа (SSO)
243. Технология единого входа (SSO)
Преимущества аутентификации с использованием Single Sign-On дляпользователя очевидны: меньше путаницы с паролями, быстрый доступ к
сервисам, вход через знакомые платформы. Однако серьезную выгоду могут
извлечь и организации:
• Все учетные данные хранятся в одном месте. В случае увольнения сотрудника
можно отключить его учетную запись в поставщике удостоверений, и он
потеряет доступ ко всем системам разом.
• Повышается безопасность. Сотрудники могут использовать более сложные
пароли и многофакторную аутентификацию.
• Снижаются затраты на поддержку. Пользователи реже сталкиваются с
проблемами входа и обращаются за помощью.
• Повышается соответствие стандартам безопасности, таким как GDPR и HIPAA.
SSO предоставляет подробный мониторинг входа и выхода из систем.
• Повышается гибкость интеграции. SSO позволяет быстро подключать новые
приложения и сервисы, что упрощает масштабирование.
244. Технология единого входа (SSO)
Технология единого входа также сопряжена с определенными недостатками ирисками. Подробно разберем проблемы, с которыми вы можете столкнуться при
интеграции SSO:
Проблемы безопасности
Получив доступ к аккаунту пользователя, злоумышленник получает доступ ко всем
сервисам, в которых он был аутентифицирован. Чтобы снизить риски, нужно
использовать надежное шифрование токенов, обучать сотрудников методам
защиты от фишинга и внедрять многофакторную аутентификацию.
Технические сложности
Внедрение SSO требует тщательной настройки IdP и подключенных сервисов, что
невозможно без квалифицированных специалистов.
Также важно учесть, что разные приложения могут быть совместимы с разными
протоколами SSO или даже не поддерживать ни один из них. Это может вылиться в
огромные затраты на доработку этих приложений.
245. Технология единого входа (SSO)
Проблемы с конфиденциальностьюПоставщик удостоверений должен быть хорошо защищен, потому что
содержит учетные и часто личные данные всех пользователей. Также
утечки возможны при передаче данных между компонентами SSO.
Если организация использует стороннего поставщика удостоверений,
стоит понимать, что пользовательские данные и сведения об
активности будут храниться у третьей стороны.
Единая точка отказа
Если IdP выходит из строя, пользователи теряют доступ ко всем
приложениям разом. То же самое происходит с одним пользователем,
если он забудет пароль или столкнется с другими трудностями при
входе. Чтобы не нарушить бизнес-процессы, каждую проблему
необходимо решать максимально быстро.
246. Технология единого входа (SSO)
Single Sign-On иногда путают с Same Sign-On (одинаковый вход),который предполагает использование менеджера паролей. Однако
менеджер паролей только запоминает учетные данные при каждой
регистрации в новом приложении, а вводить их придется каждый
раз заново. То есть это просто удобное хранилище, не связанное с
приложениями напрямую.
Single Sign-On подразумевает доверительные отношения между
поставщиком удостоверений и приложениями. Процедуру
регистрации достаточно пройти только один раз — это обеспечит
доступ ко всем приложениям, зарегистрированным в сервисе
единого входа.
247. SSH
SSH (сокращение от Secure Shell) — это сетевой протокол, посредством которогодва компьютера могут взаимодействовать и обмениваться данными. Важно, что
данные при этом шифруются, поэтому протокол SSH считается безопасным и
подходит для передачи чувствительных данных (персональных и пр.).
С помощью SSH можно подключаться к компьютерам или удаленным серверам,
выполнять на них команды, копировать и редактировать файлы — этих
возможностей достаточно для полноценного администрирования. Благодаря
удобству и безопасности SSH широко применяется в корпоративной
инфраструктуре, в том числе для установки обновлений и управления бизнескритичными системами.
Поддержка SSH встроена в операционные системы Unix и Linux.
248. SSH
В работе по протоколу SSH участвуют две стороны: SSH-сервер — он отвечает зааутентификацию пользователей и обработку передаваемых данных, и SSHклиент — с его помощью можно подключиться к серверу и выполнять на нем
различные команды.
Надежность SSH обеспечивается тем, что в процессе подключения создается
безопасное соединение («туннель»), по которому передаются только
зашифрованные данные — они шифруются на клиенте перед передачей и
расшифровываются на сервере после получения.
249. SSH
На сервере выделяется определенный порт для подключения по SSH (по умолчаниюиспользуется 22 порт, но для повышения безопасности рекомендуется его менять).
Клиент обращается к открытому порту на сервере и передает данные для
аутентификации. Сервер «слушает» (постоянно опрашивает) открытый порт, и при
получении запроса проверяет подлинность клиента — аутентифицирует его. Если
клиент прошел проверку, между клиентом и сервером устанавливается соединение,
по которому пересылаются команды и данные.
SSH-сервер поддерживает три способа аутентификации: по IP-адресу клиента, по
логину/паролю или по ключу.
Аутентификация по IP-адресу предполагает, что все подключения с указанного
адреса автоматически принимаются. Этот способ небезопасен и используется
крайне редко. Аутентификация по логину и паролю наиболее привычна для
пользователей, но имеет ряд недостатков. Самым безопасным способом считается
аутентификация по ключу.
250. Аутентификация с помощью ключей SSH
Ключ — это последовательность символов. Для каждого пользователягенерируется своя уникальная пара ключей: закрытый ключ хранится у
пользователя, а открытый размещается на сервере.
Имея закрытый ключ, можно по специальному алгоритму восстановить открытый
ключ. Но обратное невозможно — по открытому ключу вычислить закрытый ключ
нельзя, можно только проверить соответствие. По открытому ключу сообщения
зашифровываются, а по закрытому – расшифровываются. Таким образом, только
владелец ключа может расшифровать предназначенное ему сообщение.
251. Аутентификация с помощью ключей SSH
Важное правило безопасности: закрытый ключ никогда и никому непересылается (даже администратору) и не выкладывается в открытые
источники, иначе он будет скомпрометирован.
Для доступа к разным сервисам и серверам генерируются свои ключи
(команду генерации мы рассмотрим чуть ниже).
Для дополнительной защиты при генерации пары SSH-ключей можно задать
еще и пароль, который будет запрашиваться каждый раз при обращении к
закрытому ключу (но этот пароль можно оставить пустым и не
использовать). Пароль обеспечивает защиту даже в том случае, если
злоумышленник получил доступ к компьютеру, на котором хранится
закрытый ключ.
252. Преимущества SSH
По правилам безопасности для каждого логина необходим свой уникальный парольопределенной длины и сложности, который нужно периодически менять. В
отличие от логинов/паролей, ключи хранятся в файлах, их не нужно запоминать (а
значит, нет опасности забыть).
Ключи гораздо длиннее паролей, поэтому их практически невозможно подобрать.
Они обеспечивают высокую степень защиты, необходимую бизнесу из-за рисков
хакерских атак. Пользователи сегодня часто подключаются к корпоративной сети
удаленно, с личных компьютеров и по незащищенным Wi-Fi сетям — это
ужесточает требования к защите серверов.
Кроме того, ключи удобно использовать в скриптах, с помощью которых
администраторы автоматизируют различные рутинные операции: установку
обновлений, создание архивных копий, конфигурирование систем и сервисов. Это
особенно востребовано из-за широкого распространения Agile-разработки и
DevOps-практик.
internet