перейти к полному списку дипломных проектов
Ссылка на скачивания файла в формате .doc находится в конце странички
Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet)
Важно быть консервативным в использовании этих возможностей до тех пор, пока не будет стабильной инсталляции IDS и некоторого понимания поведения IDS в данном окружении. Иногда рекомендуется не активизировать оповещения о тревогах IDS в течение нескольких месяцев после инсталляции.
3.3 IPv6 как сильное влияние на конструкцию межсетевого экрана
Из всех новшеств, которые появились в ближайшие несколько лет, самое сильное влияние на конструкцию межсетевых экранов окажет одно - новое поколение протокола IP.
Текущей, четвертой версии протокола IP (или IPv4) уже почти 20 лет, и ее возраст начинает сказываться. Адресное пространство IPv4 быстро исчерпывается. Хакеры постоянно находят новые способы эксплуатации слабостей протокола и основанных на нем служб. Новые службы могли бы быть более надежными, если бы таким был сам протокол, лежащий в основе Интернет. Очевидно, что по всем этим и другим причинам в ближайшем будущем произойдет переход на новую, шестую версию протокола IP (IPv6). Работа над IPv6 началась в начале 90-х, а первый предложенный стандарт был одобрен в ноябре 1994 года в документе RFC 1752 «The Recommendation for the IP Next Generation Protocol».
IPv6 сможет взаимодействовать с IPv4, и скорее всего развертывание IPv6 произойдет путем плавной замены, в процессе которой оба протокола будут мирно сосуществовать.
Совместная работа IPv4 и IPv6
Как будет обеспечиваться возможность совместной работы IPv4 и IPv6 в одной сети? В настоящий момент для этого предлагается два метода. Первый из них состоит в использовании в системах с IPv6 двух различных стеков протоколов, одного для IPv4, а другого для IPv6. Их выбор будет определяться типом протокола, применяемого на узле, с которым устанавливается соединение. Второй метод заключается в туннелировании пакетов IPv6 внутри пакетов IPv4 при обмене данными между компьютерами с IPv6 по маршруту, содержащему компьютеры с IPv4.
Заголовок IPv6
Длина нового заголовка IP-пакета равна 40 байтам. Благодаря тому, что эта величина фиксирована, сетевые устройства смогут обрабатывать пакеты намного быстрее. На рис. 3.2 видно, что новый заголовок содержит меньше полей, чем заголовок IPv4.
Кроме уменьшения количества полей, самым заметным отличием заголовка IPv6 является больший размер полей адреса. Поля отправителя и получателя имеют 128 бит, что позволит создать достаточное количество адресов для уникальной идентификации каждой песчинки на планете. Этого должно хватить, по крайней мере, еще на несколько лет.
Рис. 3.2. Длина заголовка IPv6 фиксирована и равна 40 байтам
Следующие поля заголовка IPv4 были исключены из заголовка IPv6:
поля, относящиеся к фрагментации, такие как Fragment Offset (Смещение фрагмента) и Identification (Идентификатор), а также флаги Don't Fragment (Запрет фрагментации) и More Fragments (Флаг фрагментации);
поле контрольной суммы;
поле параметров.
Для увеличения скорости обработки пакетов в IPv6 было решено отказаться от их фрагментации. Очередной маршрутизатор, не способный передать дальше слишком большой пакет, не станет разбивать его на фрагменты, которые придется собирать на принимающем конце. Вместо этого пакет будет отброшен, а маршрутизатор вернет новое сообщение ICMP (Packet Too Big - слишком большой размер пакета) отправителю, который сможет самостоятельно разбить сообщение на более мелкие пакеты.
Дальнейшей попыткой увеличить скорость обработки пакетов в IPv6 является отказ от поля контрольной суммы пакета. Каждый маршрутизатор на пути пакета должен заново определять значение данного поля, так как счетчик сегментов в поле TTL уменьшается на каждом новом узле. Поскольку контрольная сумма вычисляется в лежащем в основе IP канальном уровне, а также в протоколах TCP и UDP, удаление этого поля из IP-заголовка не вызовет никаких проблем.
Новые сообщения ICMP
Протокол IP с помощью сообщений ICMP выполняет множество функций, наиболее известной из которых является проверка доступности узла удаленной сети утилитой PING, которая посылает для этого эхо сообщения ICMP. Как и протокол IP, ICMP будет расширен, чтобы идти в ногу со временем. Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet).
скачать бесплатно «Анализ проблем информационной безопасности в компьютерной сети, организации подключенной к сети Интернтет»
Содержание дипломной работы
И достаточно долгое время специалисты в области компьютерных технологий не уделяли внимания безопасности компьютерных сетей
Многочисленные уязвимости в программных и сетевых платформах;
Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз
Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;
нарушение (частичное или полное) работоспособности КСО (нарушение доступности)
Так, например, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия
Основные проблемы, связанные с электронной почтой:
подделка электронной почты
DNS - доменная система имен
DNS - доменная система имен - производит преобразование имен в адреса и наоборот
Например, если запрашивается MX (mail exchanger) для некоторого домена, отвечающий сервер помимо собственно MX записи передает также A-записи для всех mail exchanger'ов домена
Как правило, требованиям к функциональности системы отдается предпочтение в ущерб требования защиты
В случае, если использование для доступа к Интернет физически отделенной от основной сети системы неприемлемо, наиболее эффективным решением является использование технологии межсетевых экранов
Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину
Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном
Возможность анализировать более высокие уровни позволяет межсетевого экрана предоставлять сервисы, которые ориентированы на пользователя, например, аутентификация пользователя
Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам
Экстранет
Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN
Идентификация и аутентификация
Нет требований к четвертому и пятому классу
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса
Для этих функций характерна взаимосвязь друг с другом
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных
Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана
В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet
Низкий уровень безопасности
Как отмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности
SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций
В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама
Использование IDS помогает достичь нескольких целей:
Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность
В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания
Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection)
Стратегии оповещения о тревогах
Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае
Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet)
Формат расширенного заголовка
Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4
, 2009;
Журнал «Chip», июль 2007;
Журнал «Проблемы информационной безопасности», апрель 2008;
Яковлев
, нами было разработано и проведено 6 занятий по 3D моделированию, позволяющих изучить основы 3D моделирования
