Управління доступом до інформації про IP-адреси

Хоча технологія NAT і подібні засоби підстановки та імітації адреси необхідні при використанні приватних IP-адрес, деякі організації приймають рішення застосовувати ці засоби в своїх внутрішніх мережах стосовно дійсних загальнодоступних IP-адрес. Справа в тому, що взаємодія клієнтов з мережею в межах цієї мережі без застосування якої-небудь форми "приховування" адрес може призвести до того, що адрес­на структура такої внутрішньої мережі стане відома стороннім людям, що мають достаточню кваліфікацію. Вони можуть спробувати використати цю інформацію для того, щоб проникнути всередину організації — із загальнодоступної мережі Internet у внутрішнє корпоративне мережеве середовище, — і атакувати (attack) мережу. Ось чому для забезпечення безпеки IP вважається прийнятним застосовувати проксі-сервер або подібну службу, яка позиціонує себе на межі між внутрішнім і зовнішнім трафіком. Коли вихідний трафик проходить через проксі із зовнішньої мережі, проксі-служба замінює внут­рішні мережеві адреса одним або декількома різними адресами, щоб трафік, який переміщується по загальнодоступній мережі Internet, не зміг стати джерелом інформації про адресну структуру внутрішньої мережі. Так же, проксі-сервери можуть забезпечити так зване зворотнє посередництво (reverse proxying). При цьому проксі-сервер отримує можливість звертатись до серверів у внутрішній мережі, демонструючи навколишньому світу тільки свою власну адресу, а потім пересилаючи внутрішнім серверам для подальшої обробки тільки припустимі запити. Ще раз повторимо, що сторонні люди при цьому можуть дізнатися тільки адресу проксі-сервера, який діє від імени внутрішнього сервера.

Таким чином, одна з найважливіших функцій проксі-сервера складається в забезпеченні перетворення адрес джерела в проходящих через нього вихідних пакетах. Це допомогає уникнути втрати інформації про фактичні адреси внутрішньої мережі; в протилежному випадку сторонні люди можуть скористатися засобами зчитування адрес і вияснити, які саме адреси використовуються в будь-якому даному діапазоні.

Мережевий простір

Є декілька стримуючих факторів, які звичайно регламентують схеми IP-адресації, і ми розділимо їх на дві групи. В першую групу в­містимо фактори, які визначають кількість і розмір мереж. Серед них:

1. кількість фізичних місцерозташувань мереж;

2. кількість мережевих пристроїв в кожному місцерозташуванні;

3. обсяг широкомовленевого трафіка в кожному місцерозташуванні; доступність IP-адрес;

4. затримка, викликана маршрутизацією з однієї мережі в іншу.

Хоча є можливість провести міст між двома фізичними місцерозташуваннями мереж по з’єднанню WAN (Wide-Area Network, глобальна мережа), на практиці це робиться лише стосовно протоколів, які взагалі не допускають маршрутизації (наприклад, SNA та NetBEUI). Мар­шрутизація (замість створення моста) здійсниться в першу чергу для того, щоб запобігти непотрібним пересилкам із заповнених дорого­стоящих схем глобальної мережі (WAN). Отже, мінімально необхідна кількість IP-мереж — по одній для кожного місцярозташування в компанії та кожного канала WAN.

Далі. Оскільки IP-адрес недостатньо, розумно зменшувати мережі; але в будь-якому випадку в них повинна бути достатня кількість використовуваних адрес

2) щоб кожному пристрою припало по одній адресі, та крім того залишався достатній простір для зростання. IP-мережа — це широкомовленевий домен (broad­cast domain). Це значить, що коли один хост мережі відсилає широкомовленеве повідомлення, всі інші хости цієї мережі повинні його прийняти і обробити. Відповідно, швидкість мережевих з’єднань і процесорів хостов, а також кількість і характер застосовуваних протоколів, обмежують фактичний розмір мережі.

Інакше кажучи, чим більше широкомовлення і протоколів в мережі, тем менше повинно бути хостів.

В більшості маршрутизаторів рішення про маршрутизацію на мережевому рівні звичайно приймаються програмним забезпеченням, тому виконуються вони достатньо повільно, якщо порівнювати із аналогічними ріше­ннями, які приймаються на Канальному рівні комутаторами. Справа в тому, що комутатори приймають рішення, використовуючи таке обладнання, як спеціалізовані інтегральні схеми (Application Specific Integrated Circuits, ASIC). Відносно новий пристрій під назвою комутатора Мережевого рівня (lауег-3 switch) просто реалізує логічну схему цього рівня, прийняту в програмному забезпеченні, у власній спеціалізованій інтегральній схемі. В результаті швидкість маршрутизації значно збільшується. На практиці комутація Мережевого рівня дозволяє розділяти велику мережу на множину дрібних підмереж, при цьому майже не погіршуючи продуктивність.

Інша група, що допомагає визначитись з тим, як обирати IP-адреса, зв’язана із наступними проектними вимогами:

1. мінімізація розміру таблиць маршрутизації;

2. мінімізація часу, потрібного на "складання" мережі;

3. збільшення гнучкості, спрощення управління та пошуку несправностей.
Час, необхідний для здійснення маршрутизації з однієї мережі в іншу, залежить від розміру таблиці маршрутизації, — чим більше таблиця, тим довше по ній проводиться пошук. Однак ми вже визначили кількість необхідних мереж; як же зменшити кількість маршрутів в таблиці? Відповідь — концентрація маршрутів (route aggregation), або сумовані адреси (summary addresses).

В даному випадку важливо зрозуміти, що не існує однозначного відношення між мережами і маршрутами до них. Якщо маршрутизатор отримує шлях до 10.1.1.0/25 і 10.1.128/25, він може направити його до 10.1.1.0/24 до ви­шестоящих сусідів, і замість цих двох шляхів /25.

Ось ще одна перевага сумування. Якщо мережа 10.1.1.128/25 буде відключено, то маршрутизатори, які містять шлях до 10.1.1.128/25, повинні будуть його видалити, но маршрутизатори, які зберігають лише сумовані шляхи, навіть не дізнаються що відбулося.

Сенс всього цього полягає в тому, щоб пронумерувати мережі, в результаті чого вони зможуть бути сумовані, а це мінімізує кількість шляхів в таблиці маршрутизації і забезпечить їм більшу стабільность. В кінцевому підсумку, процесор зможе пропускати пакети, не витрачаючи час на таблицю маршрутизації.

Простір хостів

Розглянемо присвоєння IP-адрес хостам. Перевагами стратегії продуманого іменування хостів є бі­льш гнучке оточення та легкість підтримки. Припустимо, ком­панія має 500 філіалів по всьому світу, в кожному з яких є мережа /24, і всі ці мережі застосовують наступну угоду з нумерації:

IP-адресі Опис

10.х.х.0 Мережеві адреси

10.х.х.1— 10.х.х.14 Комутатори та регульовані концентратори

10.х.х.17 DHCP- та DNS-сервер

10.Х.Х.18 Файловий сервер та сервер друку

10.х.х.19— 10.х.х.30 Сервер додатків

10.х.х.33—10.х.х.6 Принтери

10.Х.Х.65-10.Х.Х.246 DHCP-клієнти

10.Х.Х.247—10.х.х.253 Різнорідні і статичні клієнти

10.х.х.254 Шлюзова адреса

10.Х.Х.255 Широкомовленева адреса

Ви можете легко визначити пристрій за його IP-адресою, де б він не знаходився. Ще більш важливо, хоча менш очевидно, що ці групи адрес повинні бути сформовані в двійковому, а не десятковому представленні. Це значить, що слід тримати групи всередині двійкових границь. В цьому прикладі сервери идентифікуються за адресами 10.х.х.16/28, навіть якщо для них настроені маски підмереж 255.255.255.0. Двійкова система зручна ще з однієї причини: коли-нибудь вам може знадобитися класифікувати трафк, щоб застосувати спеціальний уровень Quality of Service (QoS) або якусь політику. Можливо, ви встановите низький пріоритет для трафіка до 10.х.х.32/27 (принтери) і від цієї адреси. Якщо адреси принтеров не містяться в двійковому представле­нні, деякі з них можуть бути виключені із цього правила, а інші пристрої помилково включені в нього. Інше разповсюджене застосування двійкового представлення адрес — правила брандмауерів. Можна заборонити весь трафік від 10.х.х.0/26 (мережеве обладнання, сервери, принте­ри), який виходить мережу Internet. В результаті запобігають можливості застосування серверів хакерами в якості вихідних пунктів для атак інших мереж, але при цьому DHCP-клієнти зберігають можливість отримання дос­тупу через брандмауер.

q Основні терміни.

ASIC(Application Specific Integrated Circuit, спеціалізрована інтеграль­на схема) — спеціальний різновид інтегральної схеми. ASIC забезпечує спосіб реалізації визначеної програмної логіки безпосередньо в мікросхемі, в результаті чого ця логіка при обробці даних виконується настільки швидко, наскілько це можливо. Саме ASIC надають високошвидкісним та високооб’ємним маршру­тизаторам можливість виконання складних функцій визначення та управління адресами, які відповідають об’ємам даних та потребами в швидкій обробці.

CIDR(Classless Inter-Domain Routing, безкласова междоменна маршрути­зація) — різновид маскування підмереж, при якій зникає чітка диференціація між мережевою і хостовою частиною адреси по границях октета; замість цего використовуєся префіксна нотація /n, де n позначає кількість разрядів в мережевій частині даної адреси.

IANA (Internet Assigned Numbers Authority, Агенція по виділенню імен і унікальних параметрів протоколів Internet) — підрозділ Спілки Internet (ISOC), що раніше відповідав за реєстрацію доменних імен і розподіл загальнодоступних IP-адрес. Тепер ця функція викону­ється агенцією ICANN.

IPSec,або IP Sec(IP Security, IP-захист) — специфікація безпеки, що забезпечує я підтримку різних форм шифрування і аутентифі­кації, розподілення ключів та супутніх функцій. Факультатив­ний компонент IPv4,та обов’язковий — в IPv6.

IP-перенумерація(IP renumdering) — процес заміни одного набору число­вих IP-адрес на інший набір таких адрес із-за зміни постачальника послуг або перерозподілення адрес.

IP-шлюз(IP gateway) — в терминології TCP/IP так називається маршрути­затор, який забезпечує доступ до ресурсів за межами локальної мережевої адреси підмережі. (Шлюзом по замовчуванням називається клиентський конфігураційний запис TCP/IP, що визначає маршрутизатор, кото­рий клієнт повинен використовути для відправки даних за межі ло­кальної підмережі.)

ISP(Internet Service Provider, постачальник доступа в мережу Internet) — компа­нія, чиєю основною спеціалізацією є надання доступу в Internet приватним особам і організаціям. В теперешній час саме постачальники доступу в Internet, в основному, здійснюють виділення загально­доступних IP-адрес.

loopback(петля) — адреса, що на відправника. В IPv4 домен класу А 127.0.0.0 (або 127.0.0.1 для конкретної машинної адреси) зарезервований для виконання зворотніх петель. В протоколі IPv6 існує єдина возвратна адреса, яка позначається як "::1" (всі нулі, крім останнього розряда, в якому ставиться одиниця). Пропускаючи трафік че­рез стек TCP/IP в обох напрямках, зворотня адреса використовується для тестування програмного забезпечення TCP/IP.

МАС-адреса(адреса управління доступом до середовища) — спеціальний тип мережевої адреси, що управляється подрівнем Канального рівня, в звичайній си­туації зараніу встанавлений для всіх інтерфейсів для їх уникаль­ної ідентифікації в будь-якому сегменті мережевого кабеля (або віртуальному факсе). Организация ICANN контролює присвоення виробниками ідентификаторів, забезпечуючи унікальность таких адрес. Коли IP-фрейми передаються від одного інтерфейса другому, адреса МАС-рівня відправникаі отримувача застосовується для впливу на передачу.

МАС-рівень(Media Access Control layer, MAC layer) — підрівень Канального рівня. Є частиною визначення управління доступом до середовища, в якому діють методи мережевого доступа, такі як Ethernet і Token Ring.

ОUI(Organizationally Unique Identifier, організаційно унікальний іден­тифікатор) — унікальний ідентифікатор, який присвоюється організація­ми IANA або ICANN, який займає перші три байта МАС-адреси мережевої інтерфейсної плати та ідентифікуючий її виробника.

QoS(Quality of Service,якість обслуговування) — спеціальний рівень га­рантії роботи служб, зв’язаний з протоколами Прикладного рівня, при якому тимчасові вимоги для даних (наприклад, голосу або відео) передбачають спеціальні норми контролю затримки при достав­ці видимих або слишимих потоків даних.

Альтернативна адреса(anycast address) — новий тип адрес, реалізований в протоколі IPv6; альтернативною називається звичайна адреса, яка може присвоюваться декільком хостам або інтерфейсам. Пакети, на­правлені на альтернативнуй адресу, доставляються найближчому (в по­казниках відстані маршрутизації) до відправника власнику цієї адреси. В протоколі IPv4 альтернативні адреса відсутні.

Атака(attack) — спроба проникнення в систему або мережу, підриву її захисту або блокування доступу у неї.

Безпечне наскрізне з’єднання(cecure end-to-end connection) — мережеве з’єднання, при якрму вихідні відправляюча та приймаюча IP-адреси незмінні, а зв’язок між відправником та отримувачем зберігається весь час, доки з’єднання залишається активним.

Брандмауер(firewall) — сетевое пограничное пристрій, размещаемое між загальнодоступной и частной сторонами мережі; обеспечивает множество служб фильтрації и проверки, гарантуючи наявність тільки санкціонованого вхідного та вихідного трафіка.

Групова адреса(multicast address) — одна з групи адрес, зарезерво­ваних для відсилки одного повідомлення багатьом інтерфейсам або вуз­лам. Члени підписуються на групові адреси, щоб отримувати оновлення маршрутів, потокові дані (відео-, ау­діо-, телеконференції) та іншу інформацію. В протоколе IPv4 для широкомовлення зарезервована група адрес класу D. В протоколі IPv6 всі групові адресі починаються з 0xFF. Контролює ці адреси Організація з присвоення імен і номерів в мережі Internet (ICANN) при підтримці Агенції з виділення імен і унікальних параметрів протоколов Internet (IANA).

Доменне ім’я(domain name) — символічне ім’я мережевого ресурса TCP/IP; Служба доменних імен (Domain Name System, DNS) перетворює такі імена в числові IP-адреса, забезпечуючи коректну адресацію вихідного трафіка. Управління доменними іменами здійснюється декількома приватними та державними організаціями по всьому світу.

Комутатор Мережевого рівня(layer-3 switch) — специальний мережевий пристрій, що сполучає функції управління мережею, концентратора та маршру­тизатора. Дозволяє створювати і управляти множиною віртуальних під­мереж в межах одного пристрою, забезпечуючи надзвичайно високу пропускну здатність при окремих з’єднаннях між парами пристроїв, під’єдинаних до нього.

Концентрація (групуовання) маршрутов(route aggregation) — різновид аналізу IP-адрес, який дозволяює маршрутизаторам демонстру­вати спільним зацікавленість визначеним мережевим префіксом, який представляє "спільну частину" ряда мережевих IP-адресов. В результаті зменшується загальн е число позицій в окремих таблицях маршрутиза­ції.

Маска підмережі(subnet mask) — специальная бітовая комбинация, яка маскує мережеву частину IP-адрес одиницями.

Маскування підмереж маскою постійної довжини(Constant-length subnet masking, CLSM) —- схема организації підмереж IP, при якій всі підмережі використовують одну і ту ж маску, яка, таким чином, розділяє фрагментований адресний простір на визначену кількість рівновеликих підмереж.

Маскування підмережі маскою змінної довжини(Variable-Length Subnet Masking, VLSM) — схема організації підмережі для IP-адрес, яка робить можливим визначення для мережевого префікса контейнерів різних роз­мерів. Найбольша підмережа визначає максимальний розмір контейне­ра, і кожний окремий контейнер в даному адресному просторі може бути підрозділено на ще більш дрібні підконтейнери (іноді називаємі під-підмережами).

Зворотнє посередництво(reverse proxying) — методика, з допомогою якої проксі-сервер представляє внутрішній мережевий ресурс (наприклад, Web-, FTP- або поштовий сервер) таким чином наче він розміщу­ється на цьому проксі-сервере; в результате зовнішні клієнти отримують доступ до зовнішніх мережевих ресурсів, не маючи можливості дізнатись структуру IP-адрес внутрішньої мережі.

Загальнодоступні IP-адреси(public IP address) – будь-яка адреса TCP/IP, виді­лена організаціями IANA, ICANN або постачальником доступу до мережі Internet для ексклюзивного використання визначеної організацією.

Октет(octet) — позначення 8-бітного числа в терминології TCP/IP; чи­слові адреси протоколу IPv4 складаютьсяз чотирьох октетів.

Організації підмереж(subnetting) — застосування розрядів, захоплених з хостової частини IP-адреси, для розширення і підрозділення адресного простору мережевої частини діапазона IP-адрес.

Організація супермереж(supernetting) — методика захоплення розрядів з мережевої частини IP-адреси та їх передачі хостовій частині; в результаті складається більш широкий адресний простір для провідних адрес.

Перетворення мережевих адрес(Network Address Translation, NAT) — спе­ціальне мережеве програмне забезпечення, яке керує мережевими з’єднаннями від імені множини клієнтів у внутрішній мережі і заміе­нює вихідні адреси у всьому вихідному трафіку на адресу зовнішнього мережевого інтерфейса. Програмне забезпечення NAT також завідує пе­ресилкою відповіді на вихідний трафик відправникам. Часто застосовується для забезпечення клієнтів, які користуються приватними IP-адресами, доступу до мережі Internet.

Проксі-сервер(proxy server) — специальний тип мережевої пограничной служ­би, яка вміщується між зовнішніми та внутрішніми мережевими адресами. Від імени внутрішніх клієнтів проксі-сервер встановлює з’єднання із зовнішними ресурсами і виконує імітацію адрес. Для зовнішних клієнтів із загальнодоступної мережі Internet проксі-сервер представляє внутрішні ресурси таким чином, наче вони разміщуються на ньому самому.

Розширений мережевий префікс(extended network prefix)— частина IP-адреси, яка виражає суму мережевої частини адреси і кількості розрядів, які застосовуються для відправника та отримувача. Число транзитів з мережі джерела в мережу призначення визначається кількістю маршрутизаторів, через які повинен пройти (або проходить) пакет.

Фізична числова адрес(physical numeric address) — синонім адреси управління доступом до середовища (МАС-адреси).

Хостова частина(host portion) — крайні праві розряди IP-адреси, при­значені для ідентифікації хостів в супермережі, мережі або підмережі.

Приватна IP-адреса(private IP address) — будь-яка IP-адреса класу А, В або С, зарезервована агенцією IANA для приватного застосування, докумен­тована в RFC 1918 і призначена для неконтрольованого використання в організаціях. Оскільки немає гарантії, що такі адреса є унікальними, їх маршрутизація в мережі Internet неможлива.

Числова IP-адреса— IP-адреса, виражена в точечному десятковому або двійковому представленні.

Широкомовленева адреса(brodcast address) — адреса мережі або підмережі,яка складається із самих одиниць; дозволяє відправити одну і ту ж інформа­цію всім інтерфейсам даної мережі.

Поиск по сайту: