1) При появлении постоянного прямого выхода в интернет, имеющего соединение с локальной сетью.
2) При организации взаимодействия со своими удаленными филиалами в режиме on-line с использованием сети широкого доступа (выделенных или коммутируемых телефонных линий, беспроводного или спутникового канала и т.п.).
Основные классы МСЭ.
1) Пакетный фильтр. Анализирует и принимает решения для каждого пакета. В настоящее время в качестве отдельного устройства или программы не применяется, но может быть реализован в качестве дополнительных элементов другого сетевого оборудования.
2) МСЭ с контролем соединения. Основной класс. Анализирует цепочку пакетов и принимает решения, исходя из получаемого на основании сборки фрагментированных пакетов результатов.
3) МСЭ-посредник приложения. Обрабатывает пакет или их цепочку т.о., как их обрабатывало бы приложение-получатель. Если в процессе обработки пакет не пытается «вылезти из песочницы» и не нарушает правила, он принимается корректором, в противном случае – уничтожается.
Недостатки.
1) Значительное время обработки пакета.
2) Необходимость реализации в МСЭ правил для всех приложений.
3) Наличие разночтений и «фирменных» интерпретаций различных стандартов.
Дополнительные функции МСЭ.
1) Создание демилитаризованной зоны (DMZ).
ГВС
WWW
DMZ
МСЭ
2) Трансляция сетевых адресов.
Каждое правило доступа МСЭ включает в себя:
1) Направление входа данного пакета (номер или название сетевого интерфейса, с которого поступил пакет).
2) Направление выхода из шлюза (номер или название сетевого интерфейса, на который направлялся пакет).
3) Адрес или группу принадлежности (группу адресов), куда отнесен источник, породивший пакет.
4) Адрес или группу принадлежности (группу адресов), куда отнесен получатель пакета.
5) Протокол или порт службы, от которой пришел пакет.
6) Протокол или порт службы, которой адресован пакет.
7) Набор действий, которые необходимо предпринять для данного пакета (пропустить, отвергнуть, переслать другой службе, проанализировать дополнительно).
При обнаружении пакета, который требуется отвергнуть, никаких уведомлений отправителю пакета не направляется, а пакет просто уничтожается. Тем самым имитируется отсутствие узла получателя.
У компьютера, не защищенного межсетевым экраном, сетевые порты могут находиться в состоянии Open, когда есть приложения, принимающие данные, поступающие на этот порт и Closed, когда таких приложений нет.
На компьютере, защищенном МСЭ, появляется 3-е состояние – защищенный скрытый (Secure Stealth).
Open – пакет принимается и обрабатывается.
Closed – сообщение, что порт закрыт.
Secure Stealth – ответ не отправляется вовсе.
При настройке МСЭ порядок правил в листе доступа имеет значение. Обычно правила просматриваются сверху-вниз и, как только пакет соответствует правилам, к нему применяются указанные действия. Если пакет не нашел ни одного правила, к нему либо применяются правила по умолчанию, либо это правило в обязательном порядке присутствует в каждом листе доступа.
В настоящее время большинство программных МСЭ, особенно персональные МСЭ, оснащены дополнительными функциями, реализующими защиту ОС, функции систем обнаружения и предотвращения атак, блокировки рекламы, всплывающих окон, функции антивируса. Этот программный комплекс ошибочно называть просто МСЭ, а правильнее многофункциональным комплексом с функциями МСЭ.
Облачные вычисления.
Данная технология предполагает перенос основных вычислений с персонального компьютера на удаленные сервера, оставляя за ПК функции приема и отображения информации и фактически является в эпохе Main Frame’ов и терминальных машин, отличается наличием доступа к серверам из любой (если разрешено цензурой) точки мира. Облачные вычисления могут не только решить сложные задачи, но и выполнять все функции, начиная с загрузки ОС.
Недостатки:
1) Требования к пропускной способности и высокой надежности канала связи.
2) Терминальные станции либо не намного дешевле, либо значительно дороже обычных ПК.
3) Стоимость аренды облачных систем, как правило, не дает существенной прибыли на рекламируемой экономии на ПО, особенно в условиях компьютерного пиратства.
4) Использование облачных вычислений делает компанию полностью зависимой от провайдера и владельца облака (облако – набор серверов и соответствующего ПО, осуществляющее прием запросов от пользователя, их обработку и отправку результатов, вплоть до картинки экрана).
5) За исключением облачных технологий хранения данных шифрования не обеспечивает защиту от владельца облака и его сотрудников, т.к. команды пользователя и ответы для него, как и результаты обработки, им доступны.
6) Сервера облака могут располагаться в нескольких странах одновременно и вам, как пользователю даже в случае известных мест расположения не известно место конкретной обработки конкретных данных.
7) Доступ к серверам посторонних лиц будет регламентирован законодательством конкретных стран, притом, что копии данных могут находиться на нескольких серверах.
8) По российскому законодательству использование несертифицированных средств шифрования запрещено за исключением конкретных разрешений ФСБ, а для государственных учреждений или предприятий, работающих с государством или обрабатывающих персональные данные (все юрлица и некоторые физические) использование несертифицированных средств защиты информации запрещено, а трансграничная передача либо запрещена, либо как с персональными данными требуется письменное согласие.
Поиск неисправностей.
Сбой в сети может быть вызван как аппаратными проблемами, так и сбоями ПО или воздействием вирусов.
1) Набрать команду ipconfig. 3 вида результатов:
a. Сеть не подключена (среда передачи недоступна).
b. Выдает обычные IP-адреса.
c. Адрес либо все нули, либо 169.254..
Если 1.1, проверяем наличие кабеля в разъеме, целостность кабеля, включение и работоспособность сетевых устройств.
В случае 1.3, ошибка связана с тем, что нет доступа к DHCP-серверу, DHCP-сервер не работает или MAC-адрес в нем заблокирован.
Также подобная ошибка может быть вызвана некорректными неполными удалениями вирусов.
Зайти в компьютер\HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\Interfaces\...
Параметр для DHCP-сервера 255.255.255.255.
Если DHCP-сервер находится под вашим контролем (домашний роутер), необходимо проверить его настройки, если нет, то звонок провайдеру с сообщением «нет ответа от DHCP».
Если 1.2, выполнить команду ping, указав в качестве адреса адрес шлюза из ответа команды ipconfig.
2.1 ping доходит
2.2 ping не доходит
В случае 2.2 причины:
1) Сбой на линии связи.
2) Сбой в коммутаторе, сбой в шлюзе.
3) Вирус.
Дешевые домашние коммутаторы из-за перегрева, сбоев электропитания, глюков прошивки могут блокировать поступающий на определенные порты трафик, как и просто выжечь какой-либо порт.
Включение и выключение коммутатора, смена портов позволяют это проверить или устранить.
После совершения данных действий, как и в первых случаях, целесообразны команды:
Ipconfig /release
Ipconfig /renew
Получить новый адрес и повторить команду ping.
Иногда Windows отказывается выполнять команду ipconfig /renew и требует перезагрузку компьютера.
Если ничего не помогло, надо загрузиться со сменного диска LiveCD (ERDCommander 5.0) или воспользоваться встроенными ОС в современных компах или материнских платах Asus Repens Cate.
Если LiveCD или ОС доступ к интернету имеют, то сбой в ОС (драйверы, вирусы, настройки) если не имеют, либо сетевая карта компа, либо сетевая инфраструктура провайдера или ваша.
В случае 2.1 ping ya.ru
2.1.1. ping проходит
2.1.2 не проходит.
Если ping не проходит (2.1.2) выполняем ping 8.8.8.8.
Если ping проходит, сбой вызван DNS-сервером, необходимо указать в качестве основного адреса DNS 8.8.8.8? в качестве дополнительного 8.8.4.4 (адреса публичных DNS-серверов фирмы Google).
Проверить ping ya.ru и в случае успеха обрадовать провайдера или себя, что DNS роутера или провайдера не работает.
Команда nslookup помогает узнать есть ли связь с DNS или нет.
Если пинг на шлюз проходит, а на ya.ru не проходит, необходимо найти сбой на участке сети.
Команда tracertya.ru.
Эта команда, отправляя пакеты с разными TTL собирает и выводит на экран ответы от промежуточных узлов предполагая, что все запросы идут по одному маршруту.
Похожий функционал можно возложить на созданный самостоятельно bat-файл (командный файл), в котором перечислить команды ping узлов от провайдера до яндекса, заготовленный заранее на рабочей сети по команде tracert.
Если на этапе загрузки с LiveCD мы убедились в работоспособности сети, то необходимо искать сбои в программном обеспечении. Если и LiveCD не могут выйти в сеть. Необходимо проверить как ваше оборудование, так и связаться с провайдером.