Как работает NAT

Модуль NAT содержит таблицу, в которую записывается информация о каждом соединении. Это информация об: IP-адресе и номере порта источника, IP-адресе и номере порта применика, IP-адрес и номере порта, используемых для модификации пакетов.

Мы можем продемонстрировать работу NAT следующим примером:

Компьютер в ЛВС с адресом 192.168.1.22 устанавливает соединение через порт 7658 с WWW-сервером по адресу 194.196.16.43 порт 80. Связь проходит через WinRoute, который использует для внешнего интерфейса адрес 195.75.16.75.

Итак, компьютер 192.168.1.22 отсылает пакет с порта 7358 на компьютер 194.196.16.43, порт 80. Пакет проходит через WinRoute, который сравнивает данные пакета со своей таблицей. Если в таблице есть запись для пакетов с этой машины и порта, следуем дальше, если нет, - такая запись создается. Затем, WinRoute модифицирует пакет, заменяя адрес источника на свой собственный, а также изменяя номер порта. Теперь адрес источника стал 195.75.16.75, и порт, скажем, 61001. После внесения изменений пакет отсылается. Когда приходит ответный пакет, он содержит 195.75.16.75 как адрес приемника, и 61001 как порт приемника. WinRoute просматривает свою таблицу для порта 61001 и находит запись для этого соединения. В соответствии с записью, он изменяет адрес и порт цели назад на 192.168.1.22 и 7658.

9 Архитектура «Клиент-сервер» в локальных сетях.

Существуют два вида архитектуры сети: одноранговая (Peer-to-peer) и клиент/ сервер (Client/Server), На данный момент архитектура клиент/сервер практически вытеснила одноранговую.

В сети, построенной на архитектуре клиент/сервер, существует несколько основных компьютеров - серверов. Остальные компьютеры, которые входят в сеть, носят название клиентов, или рабочих станций.

Сервер - это компьютер, который обслуживает другие компьютеры в сети. Существуют разнообразные виды серверов, отличающиеся друг от друга услугами, которые они предоставляют: серверы баз данных, файловые серверы, принт-серверы, почтовые серверы, веб-серверы и т. д.

В случае использования архитектуры сети клиент/сервер управление доступом осуществляется на уровне пользователей. У администратора появляется возможность разрешить доступ к ресурсу только некоторым пользователям. Предположим, что вы делаете свой принтер доступным для пользователей сети. Если вы не хотите, чтобы кто угодно печатал на вашем принтере, то следует установить пароль для работы с этим ресурсом. В сети клиент/ сервер вы можете ограничить использование принтера для некоторых пользователей вне зависимости от того, знают они пароль или нет.

Чтобы получить доступ к ресурсу в локальной сети, построенной на архитектуре клиент/сервер, пользователь обязан ввести имя пользователя (Login - логин) и пароль (Password). Следует отметить, что имя пользователя является открытой информацией, а пароль - конфиденциальной.

Процесс проверки имени пользователя называется идентификацией. Процесс проверки соответствия введенного пароля имени пользователя - аутентификацией. Вместе идентификация и аутентификация составляют процесс авторизации. Часто термин «аутентификация» - используется в широком смысле: для обозначения проверки подлинности.

Сети клиент/сервер обеспечивают более высокий уровень быстродействия и защиты.

Достаточно часто один и тот же сервер может выполнять функции нескольких серверов, например файлового и веб-сервера. Естественно, общее количество функций, которые будет выполнять сервер, зависит от нагрузки и его возможностей. Чем выше мощность сервера, тем больше клиентов он сможет обслужить и тем большее количество услуг предоставить. Поэтому в качестве сервера практически всегда назначают мощный компьютер с большим объемом памяти и быстрым процессором (как правило, для решения серьезных задач используются многопроцессорные системы).

Безопасность и управление доступом в информационных системах

1 Основные понятия обеспечения безопасности информации: конфиденциальность, целостность, доступность.

Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы.

2 Виды мер обеспечения информационной безопасности: законодательные, морально-этические, организационные, технические, программно-математические.

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

Организационные меры зашиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Программно-математические меры защиты использует: аппаратные, программные, криптографические и иные логические и технические средства и методы защиты.

3 Основные защитные механизмы построения систем защиты информации: идентификация и аутентификация. Разграничение доступа. Контроль целостности.

Идентификация – это процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации; каждый субъект или объект системы должен быть однозначно идентифицируем.

· Системы, основанные на знании некоторой секретной информации (парольная защиты).

· Системы, основанные на владении некоторым специальным предметом или устройством (магнитные карточки).

· Системы, основанные на биометрических характеристиках.

Аутентификация – это проверка подлинности идентификации пользователя, процесса, устройства или др. компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности и авторства данных при их хранении или передаче для предотвращения несанкционированной модификации.

Аутентификация пользователя обычно реализуется по одной из двух схем: простая PIN-аутентификация или защищенная PIN-аутентификация. Обе схемы основаны на установлении подлинности пользователя посредством сравнения PIN-кода пользователя (PIN - Personal identification number, персональный идентификационный номер) с эталоном.

При простой PIN-аутентификации PIN-код просто посылается в ключ (смарт-карту); ключ (смарт-карта) сравнивает его с эталоном, который хранится в его (ее) памяти, и принимает решение о дальнейшей работе.

Процесс защищенной PIN-аутентификации реализуется по следующей схеме:

· защищенное приложение посылает запрос ключу (смарт-карте) на PIN-аутентификацию;

· ключ (смарт-карта) возвращает случайное 64-разрядное число;

· приложение складывает это число по модулю 2 с PIN-кодом, который ввел владелец ключа (смарт-карты), зашифровывает его DES-алгоритмом на специальном ключе аутентификации и посылает результат ключу (смарт-карте);

· ключ (смарт-карта) осуществляет обратные преобразования и сравнивает результат с тем, что хранится в его (ее) памяти.

В случае совпадения считается, что аутентификация прошла успешно и пользователь (приложение) может продолжать работу.

Авторизация – это предоставление субъекту прав на доступ к объекту.

Контроль доступа – ограничение возможностей использования ресурсов системы программами, процессами или другими системами (для сети) в соответствии с правилами разграничения доступа.

Существует 4-ре основных способа разделения доступа субъектов к совместно используемым объектам:

· Физическое – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

· Временное – субъекты с различными правами доступа к объекту получают его в различные промежутки времени.

· Логическое – субъекты получают доступ к совместно используемому объекту в рамках единой ОС, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект – все объекты"; в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т.д.

· Криптографическое – все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.

Основную роль в обеспечении внутренней безопасности компьютерных систем выполняют системы управления доступом (разграничения доступа) субъектов к объектам доступа, реализующие концепцию единого диспетчера доступа. Сущность концепции диспетчера доступа состоит в том, что некоторый абстрактный механизм является посредником при всех обращениях субъектов к объекта.

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы.