Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
1. Суть информатизации общества:
Информатизация общества – это процесс исследования, разработки, создания и внедрения компьютерно - сетевых технологий и средств, предоставляющих пользователям возможность взаимодействия с необходимыми и доступными информационными ресурсами во времени и в пространстве.
2. Три компоненты КИС
3. Основные показатели корпоративных сетей компьютеров
Производственные информационные ресурсы, обеспечивающие деятельность крупных организаций и предприятий, имеющих развитые инфраструктуры организационного управления, являются, как правило, корпоративными. Компьютерные сети, построенные для информатизации деятельности подобных организаций, называются корпоративными сетями (Enterprise Networks) и характеризируется следующими особенностями:
4. Механизмы маршрутизации: прямое соединение
Прямое соединение - это маршрут, который является локальным по отношению к маршрутизатору. Если один из интерфейсов маршрутизатора соединен, с какой либо сетью напрямую, то при получении пакета, адресованного такой подсети, маршрутизатор сразу отправляет пакет на интерфейс к которому она подключена, не используя протоколы маршрутизации (Рисунок 2.4).
Прямые соединения всегда являются наилучшим способом маршрутизации. Поскольку маршрутизатору всегда известна непосредственно присоединенная к нему сеть, пакеты, предназначенные для нее, направляются из первых рук, и маршрутизатор не полагается на другие средства определения маршрутов, например на статические или динамические механизмы маршрутизации.
5. Механизмы маршрутизации: статическая маршрутизация
Вариант А:
Статична маршрутизація (static routing) називається маршрутизація при якій маршрути встановлюються адміністратором мережі й не міняються доти, поки адміністратор мережі не поміняє їх. Таблиця маршрутизації IP складається з пар "адреса призначення/маршрутизатор для наступного пересилання".
Вариант Б:
Статические маршруты – это такие маршруты к сетям получателям, которые администратор сети вручную вносит в таблицу маршрутизации. Статический маршрут определяет IP адрес следующего соседнего маршрутизатора или локальный выходной интерфейс, который используется для направления трафика к определенной сети получателю. Как следует из самого названия, статический маршрут не может быть автоматически адаптирован к изменениям в топологии сети. Если определенный в маршруте маршрутизатор или интерфейс становятся недоступными, то маршрут к сети получателю становиться недоступным. Преимуществом этого способа маршрутизации является то, что он исключает весь служебный трафик, связанный с поддержкой и корректировкой маршрутов.
Статическая маршрутизация может быть использована в следующих си-
туациях:
Наиболее предпочтительной топологией для использования статической маршрутизации является топология «звезда». При данной топологии маршрутизаторы, подключенные к центральной точки сети, имеют только один маршрут для всего трафика, который будет проходить через центральный узел сети. И один или два маршрутизатора в центральной части сети имеют статические маршруты до всех удаленных узлов.
Однако со временем такая сеть может вырасти до десятков и сотен
маршрутизаторов с произвольным количеством подключенных к ним подсетей. Количество статических маршрутов в таблицах маршрутизации будет увеличиваться пропорционально увеличению количества маршрутизаторов в сети. Каждый раз при добавлении новой подсети или маршрутизатора, администратор должен будет добавлять новые маршруты в таблицы маршрутизации на всех необходимых маршрутизаторах. При таком подходе может наступить момент, когда большую часть своего рабочего времени администратор будет заниматься поддержкой таблиц маршрутизации в сети. В этом случае необходимо сделать выбор в сторону использования динамических протоколов маршрутизации.
Другой недостаток статической маршрутизации проявляется при изменении топологии корпоративной сети. При этом администратор должен вручную вносить все изменения в таблицы маршрутизации маршрутизаторов, на которые повлияли изменения в топологии сети.
6. Механизмы маршрутизации: динамическая маршрутизация
Вариант А:
Динамічною маршрутизацією називається маршрутизація при якій маршрути встановлюються автоматично з використанням різних протоколів маршрутизації. Наприклад RIP, OSPF, IGRP, EIGRP, IS-IS, BGP, та ін. Використовуючи обраний протокол маршрутизації, маршрутизатор будує таблицю оптимальних шляхів до мереж призначення на основі різних критеріїв — кількості проміжних вузлів, пропускної здатності каналів, затримки передачі даних і т.п.
Критерії обчислення оптимальних (метрики) маршрутів найчастіше залежать від протоколу маршрутизації, а також задаються конфігурацією маршрутизатора. Такий спосіб побудови таблиці дозволяє автоматично тримати таблицю маршрутизації в актуальному стані й обчислювати оптимальні маршрути на основі поточної топології мережі. Однак динамічна маршрутизація робить додаткове навантаження на пристрої, а висока нестабільність мережі може приводити до ситуацій, коли маршрутизатори не встигають синхронізувати свої таблиці, що приводить до суперечливих відомостей про топологію мережі в різних її частинах і втраті переданих даних.
Вариант Б:
Протоколы динамической маршрутизации могут автоматически отслеживать изменения в топологии сети. При использовании протоколов динамической маршрутизации, администратор сети конфигурирует выбранный протокол на каждом маршрутизаторе в сети. После этого маршрутизаторы начинают обмен информацией об известных им сетях и их состояний. Причем маршрутизаторы обмениваются информацией только с теми маршрутизаторами, где запущен тот же протокол динамической маршрутизации. Когда происходит изменение топологии сети, информация об этих изменениях автоматически распространяется по всем маршрутизаторам, и каждый маршрутизатор вносит необходимые изменения в свою таблицу маршрутизации.
7. Механизмы маршрутизации: маршрутизация по умолчанию
Бывают ситуации, когда маршрутизатору не нужно знать обо всех сетях в топологии (Рисунок 2.7). Такой маршрутизатор может быть сконфигурирован так, что бы посылать весь трафик или часть трафика, не описанного в таблице маршрутизации, по специальному маршруту, так называемому маршруту по умолчанию. Маршруты по умолчанию могут поступать на маршрутизатор с помощью протоколов динамической маршрутизации или быть настроены на нем вручную.
Маршрут по умолчанию возможен для любого адреса сети получателя.
Так как маршрутизатор пытается найти в таблице маршрутизации наибольшее соответствие между записями в таблице и адресом получателя, сети присутствующие в таблице маршрутизации будут просмотрены раньше, чем маршрутизатор обратиться к маршруту по умолчанию. Если альтернативного пути в таблице маршрутизации найдено не будет, то будет использован маршрут по умолчанию.
При большом количестве роутеров на предприятии или нескольких провайдеров применение статических маршрутов становится достаточно трудоёмким. В этом случае более практично использовать динамические протоколы маршрутизации. Они автоматически обмениваются информацией о известных им сетях тем самым выбирая наилучшие маршруты для своих таблиц маршрутизации и поддерживая их актуальными.
Протоколы маршрутизации можно разделить на две основные группы:
Внутренние (Interior Gateway Protocol)
Внешние (Exterior Gateway Protocol)
свою очередь внутренние протоколы делятся еще на две группы:
Дистанционно-векторные (Distance Vector Protocols) RIPv1,RIPv2, IGRP, EIGRP
По состоянию канала (Link State Protocols) OSPF IS-IS
Основной внешний протокол всего один — BGP. Так же его называют path vector протокол.
Внутренние протоколы маршрутизации, называются так, потому что используются внутри одной автономной системы. Между автономными системами используется BGP, внешний протокол маршрутизации.
Протоколы маршрутизации внутри автономных систем называются протоколами внутренних шлюзов (interior gateway protocol, IGP), а протоколы, определяющие обмен маршрутной информацией между внешними шлюзами и шлюзами магистральной сети — протоколами внешних шлюзов (exterior gateway protocol, EGP). Внутри магистральной сети также допустим любой собственный внутренний протокол IGP.
Стати́ческая маршрутиза́ция — вид маршрутизации, при котором маршруты указываются в явном виде при конфигурациимаршрутизатора (задаються вручную). Вся маршрутизация при этом происходит без участия каких-либо протоколов маршрутизации.
При задании статического маршрута указывается:
В некоторых маршрутизаторах возможно указывать интерфейс, на который следует направить трафик сети и указать дополнительные условия, согласно которым выбирается маршрут.
Преимущества:
Недостатки:
Таблица маршрутизации — электронная таблица (файл) или база данных, которая хранится на маршрутизаторе или сетевом компьютере, которая описывает соответствие между адресами назначения и интерфейсами, через которые следует отправить пакет данных до следующего маршрутизатора. Является простейшей формой правил маршрутизации.
Таблица маршрутизации обычно содержит:
В таблице может быть один, а в некоторых операционных системах и несколько шлюзов по умолчанию. Такой шлюз используется для сетей для которых нет более конкретных маршрутов в таблице маршрутизации.
В исходном состоянии в каждом маршрутизаторе программным обеспечением стека TCP/IP автоматически создается минимальная таблица маршрутизации, в которой учитываются только непосредственно подсоединенные сети.
В алгоритмах статической маршрутизации таблица составляется администратором “вручную” с помощью специальных утилит и настраивается маршрутизатором во время его загрузки. При изменении топологии сети таблица не изменяется операционной системой автоматически, требуются дополнительные действия администратора для модификации таблицы.
Операционные системы автоматически создают минимальную таблицу маршрутизации, которая содержит строки, вычисляемые ОС автоматически на основе конфигурации сетевых интерфейсов (IP-адресов, масок) и адреса маршрутизатора по умолчанию. В большинстве ОС минимальная таблица маршрутизации содержит запись для маршрутизатора по умолчанию, записи для непосредственно подключенных к узлу сетей и записи для организации широковещательных рассылок.
В технологии маршрутизации существует два понятия автономная система и домен маршрутизации
Маршрутизация в Internet происходит раздельно для различных уровней группирования в Сети. Каждая локальная сеть использует свои методы маршрутизации. Определённые группы локальных сетей объединяются в RD — Routing Domains — домены (области) маршрутизации, в которых маршрутизация производится согласно единым принципам, алгоритмам и протоколам. Элементарным объектом маршрутизации в RD являются уже не отдельные компьютеры, а сети Internet.
Домен маршрутизации — это совокупность сетей и маршрутизаторов, использующих один и тот же протокол маршрутизации.
Сами RD полностью находятся внутри какого-либо одного AD — Administration Domain — административного домена (автономной системы). AD — это сеть или группа сетей, работающих под единым управляющим началом. В одном административном домене может быть много разных маршрутных доменов. ADобычно соответствует какой-либо организации или ассоциации. Сами AD могут объединяться в AD более высокого уровня и т.д. То есть,административный домен является основным иерархическим элементом в структуре Сети.
Маршрутизация сообщений между конечными системами (хостами) различных доменов маршрутизации происходит на уровне адресации такихдоменов, т.е. в RD имеется особый внешний маршрутизатор, знающий куда следует переправлять сообщения, адресованные в разные RD, он направляет пакеты по соответствующим путям в нужные RD, а доставка пакета внутри RD-получателя производится силами самого этого RD. При этом, если домены маршрутизации находятся в разных административных доменах, начинает работать аналогичная схема с делегацией полномочий маршрутизации вверх.
В технологии маршрутизации существует два понятия автономная система и домен маршрутизации. Автономная система (autonomous system, AS) - это набор сетей, которые находятся под единым административным управлением и в которых используются единая стратегия и правила маршрутизации. Автономная система для внешних сетей представляется как некий единый объект.
В сети Интернет термин автономная система используется для описания крупных логически объединенных сетей, например сетей Internet провайдеров. Каждая такая AS имеет в качестве своего идентификатора шестнадцати-битовое число.
В одном административном домене может быть много разных маршрутных доменов. ADобычно соответствует какой-либо организации или ассоциации. Сами AD могут объединяться в AD более высокого уровня и т.д. То есть, административный домен является основным иерархическим элементом в структуре Сети.
При перераспределении одного протокола в другой следует помнить, что метрики каждого протокола играют важную роль в перераспределении. Каждый протокол использует разные метрики. Например, метрика протокола RIP основана на количестве переходов, однако протоколы IGRP и EIGRP используют составную метрику в зависимости от пропускной способности, задержки, надежности, загрузки и максимального размера передаваемого блока данных (MTU), где пропускная способность и задержка являются единственными параметрами, используемыми по умолчанию. В процессе перераспределения маршрутов необходимо определить метрику, понятную принимающему протоколу. Есть два метода определения метрик при перераспределении маршрутов.
Основные соображения, которые учитываются при построении маршрутной таблицы:
Административное расстояние — это мера надежности источника маршрута. Если маршрутизатор получает данные о назначении из нескольких протоколов маршрутизации, их административные расстояния сравниваются и преимущество
получают маршруты с меньшим административным расстоянием. Другими словами, это степень доверия источнику маршрута.
Метрики — это мера, которую протокол маршрутизации использует для расчета лучшего пути к заданному месту назначения,
если известно о нескольких путях к этому месту назначения. Каждый протокол маршрутизации использует свою метрику.
Длина префикса сети
Маршруты выбираются и встраиваются в таблицу маршрутизации на основе административного расстояния протокола маршрутизации. Маршруты с наименьшим административным расстоянием, полученные от протокола маршрутизации, устанавливаются в таблицу маршрутизации. Если к одному месту назначения существует несколько путей, основанных на одном протоколе маршрутизации, эти будут иметь одинаковые административные расстояния. В этом случае оптимальный путь будет выбираться на основе метрики. Метрики — это значения, привязанные к определенным маршрутам, и классифицирующие их от наиболее предпочтительных до наименее предпочтительных. Параметры, используемые для расчета метрик, зависят от протокола маршрутизации. Путь с самой низкой метрикой выбирается в качестве оптимального пути и устанавливается в таблицу маршрутизации. Если к одному месту назначения существует несколько путей с одинаковыми метриками, нагрузка распределяется по этим путям.
В алгоритмах маршрутизации используется много различных показателей. Сложные алгоритмы маршрутизации при выборе маршрута могут базироваться на множестве показателей, комбинируя их таким образом, что в результате получается один отдельный (гибридный) показатель. Ниже перечислены показатели, которые используются в алгоритмах маршрутизации:
Длина маршрута
Длина маршрута является наиболее общим показателем маршрутизации. Некоторые протоколы маршрутизации позволяют администраторам сети назначать произвольные цены на каждый канал сети. В этом случае длиной тракта является сумма расходов, связанных с каждым каналом, который был траверсирован. Другие протоколы маршрутизации определяют "количество пересылок", т.е. показатель, характеризующий число проходов, которые пакет должен совершить на пути от источника до пункта назначения через изделия об'единения сетей (такие как роутеры).
Надежность
Надежность, в контексте алгоритмов маршрутизации, относится к надежности каждого канала сети (обычно описываемой в терминах соотношения бит/ошибка). Некоторые каналы сети могут отказывать чаще, чем другие. Отказы одних каналов сети могут быть устранены легче или быстрее, чем отказы других каналов. При назначении оценок надежности могут быть приняты в расчет любые факторы надежности. Оценки надежности обычно назначаются каналам сети администраторами сети. Как правило, это произвольные цифровые величины.
Задержка
Под задержкой маршрутизации обычно понимают отрезок времени, необходимый для передвижения пакета от источника до пункта назначения через об'единенную сеть. Задержка зависит от многих факторов, включая полосу пропускания промежуточных каналов сети, очереди в порт каждого роутера на пути передвижения пакета, перегруженность сети на всех промежуточных каналах сети и физическое расстояние, на которое необходимо переместить пакет. Т.к. здесь имеет место конгломерация нескольких важных переменных, задержка является наиболее общим и полезным показателем.
Полоса пропускания
Полоса пропускания относится к имеющейся мощности трафика какого-либо канала. При прочих равных показателях, канал Ethernet 10 Mbps предпочтителен любой арендованной линии с полосой пропускания 64 Кбайт/сек. Хотя полоса пропускания является оценкой максимально достижимой пропускной способности канала, маршруты, проходящие через каналы с большей полосой пропускания, не обязательно будут лучше маршрутов, проходящих через менее быстродействующие каналы.
RIP(англ. Routing Information Protocol) — протокол, предназначен для сравнительно небольших и относительно однородных сетей (алгоритм Белмана-Форда). Протокол разработан в университете Калифорнии (Беркли), базируется на разработках фирмы Ксерокс и реализует те же принципы, что и программа маршрутизации routed, используемая в ОC Unix (4BSD). Маршрут здесь характеризуется вектором расстояния до места назначения. Предполагается, что каждый маршрутизатор является отправной точкой нескольких маршрутов до сетей, с которыми он связан. Описания этих маршрутов хранится в специальной таблице, называемой маршрутной. Таблица маршрутизации RIP содержит по записи на каждую обслуживаемую машину (на каждый маршрут). Запись должна включать в себя:
IP-адрес места назначения.
Метрика маршрута (от 1 до 15; число шагов до места назначения).
IP-адрес ближайшего маршрутизатора (gateway) по пути к месту назначения.
Таймеры маршрута.
Первым двум полям записи мы обязаны появлению термина вектор расстояния (место назначение - направление; метрика - модуль вектора). Периодически (раз в 30 сек) каждый маршрутизатор посылает широковещательно копию своей маршрутной таблицы всем соседям-маршрутизаторам, с которыми связан непосредственно. Маршрутизатор-получатель просматривает таблицу. Если в таблице присутствует новый путь или сообщение о более коротком маршруте, или произошли изменения длин пути, эти изменения фиксируются получателем в своей маршрутной таблице. Протокол RIP должен быть способен обрабатывать три типа ошибок:
Поле версия для RIP равно 1 (для RIP-2 двум). Поле набор протоколов сети i определяет набор протоколов, которые используются в соответствующей сети (для Интернет это поле имеет значение 2). Поле расстояние до сети i содержит целое число шагов (от 1 до 15) до данной сети. В одном сообщении может присутствовать информация о 25 маршрутах. При реализации RIP можно выделить следующие режимы:
Инициализация, определение всех "живых" интерфейсов путем посылки запросов, получение таблиц маршрутизации от других маршрутизаторов. Часто используются широковещательные запросы.
Получен запрос. В зависимости от типа запроса высылается адресату полная таблица маршрутизации, или проводится индивидуальная обработка.
Получен отклик. Проводится коррекция таблицы маршрутизации (удаление, исправление, добавление).
Регулярные коррекции. Каждые 30 секунд вся или часть таблицы маршрутизации посылается всем соседним маршрутизаторам. Могут посылаться и специальные запросы при локальном изменении таблицы. RIP достаточно простой протокол, но, к сожалению не лишенный недостатков:
Протокол RIP-2 (RFC-1388, 1993 год) является новой версией RIP, которая в дополнение к широковещательному режиму поддерживает мультикастинг; позволяет работать с масками субсетей. Поле маршрутный демон является идентификатором резидентной программы-маршрутизатора. Поле метка маршрута используется для поддержки внешних протоколов маршрутизации, сюда записываются коды автономных систем. При необходимости управления доступом можно использовать первые 20 байт с кодом набора протоколов сети 0xFFFF и меткой маршрута =2. Тогда в остальные 16 байт можно записать пароль.
Достоинство RIP–протокола – простота реализации, недостатки – большой поток служебных данных при обмене таблицами маршрутизации и не всегда корректное решение задачи с созданием ложных маршрутов. Недостатки RIP–протокола связаны с применяемым алгоритмом формирования таблиц маршрутизации. В алгоритмах состояния связей создание таблиц маршрутизации сложнее, однако в процессе работы маршрутизаторов существенно сокращается обмен служебными данными и отсутствуют ложные маршруты в форме петель и контуров.
OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm).
Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol — IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.
Преимущества OSPF:
Недостатки:
Автономные системы OSPF разбиваются на области. Области – это небольшие сети внутри АС, имеющие одну топологическую базу данных. Протокольные адреса этих областей не зависят от АС, к которой они принадлежат, и от других областей. В автономной системе OSPF когут быть образованы области трех типов:
• Стандартная область
• Тупиковая область
• Не совсем тупиковая область
Примечание
Существует и четвертый тип области – магистральная. Но магистраль автономной системы OSPF на самом деле не является областью в том же смысле, как три основных типа. Магистраль просто создается из всех маршрутизаторов, не вошедших ни в одну из областей. Назначение магистрали состоит в соединении областей АС друг с другом и с любыми внешними сетями. Прежде чем перейти к рассмотрению того, что делает область каждого типа и как они влияют на общую производительность сети OSPF, следует хорошо представлять себе смысл образования областей. Область диктует правила, полностью определяющие работу содержащихся в ней маршрутизаторов. Маршрутизаторы области имеют достоверную информацию (полученную из первоисточника) только друг о друге. Хотя бы один маршрутизатор области должен заниматься обеспечением связи области с другими областями или с магистралью (магистраль – это множество маршрутизаторов, оставшихся вне основных областей).
Такой маршрутизатор называется пограничным маршрутизатором области (ABR). Маршрутизаторы области имеют прямой доступ к сведениям только друг о друге. При необходимости отправить информацию в другую область они могут переслать пакеты на ABR, который доставит их за пределы области, при этом пакеты будут снабжены косвенными данными о среде маршрутизации. Используя эти данные, маршрутизаторы области могут правильно адресовать пакеты, направляемые в другие области той же АС.
Если области необходима связь с магистралью автономной системы, но она находится за другой областью, можно сконфигурировать виртуальный канал. Виртуальный канал – это канал, идущий от ABR к промежуточному ABR и завершающийся в магистральной области. (При создании виртуальных каналов необходимо придерживаться нескольких важных правил, о которых будет рассказано в разделе «Конфигурирование OSPF».)
Примечание
При конфигурировании виртуального канала транзитная область не может быть
тупиковой.
Маршрутизаторы области получают информацию о внешних маршрутах посредством такого процесса, как объявление маршрутов. Шлюз автономной области, используя EGP, собирает LSA_информацию от внешних автономных систем. Затем шлюз пересылает эту информацию через магистраль на пограничные маршрутизаторы области. ABR ретранслируют информацию о маршрутах всем маршрутизаторам области, которые используют ее для отправки данных за пределы автономной системы.
Рассылка маршрутов может быть обременительной для области из_за дополнительного трафика и множества сообщений LSA. Поэтому, если область непосредственно связана с магистралью АС, вы можете уберечь ее от лишнего трафика, связанного с объявлениями маршрутов, сделав область тупиковой.
Тупиковые области
Тупиковая область – это область, которая специально предназначена для того, чтобы не принимать информацию о маршрутах от областей, находящихся вне АС. Создание тупиковых областей может уменьшить трафик и освободить ресурсы, занятые под обработку дополнительных обновлений. Основным критерием при формировании тупиковой области является то, что она должна быть напрямую связана с магистралью автономной системы. Маршрутизаторы магистрали имеют неявные сведения о внешних для автономной системы маршрутах. Поэтому маршрутизаторы тупиковой области, которым нужно отправить информацию по внешнему маршруту, могут пересылать такие пакеты в магистральную область, что может привести к дополнительной нагрузке на некоторые из наиболее занятых маршрутизаторов АС.
Не совсем тупиковые области (NSSA)
NSSA – это тупиковая область, в которой запрограммированы пряме пути к внешним автономным системам. Как и в тупиковых областях, маршрутизаторы внутри NSSA освобождены от дополнительного трафика по распространению информации о маршрутах. Однако они могут достичь некоторых внешних маршрутов, используя предопределенные маршруты. При конфигурировании маршрутизатора задается информация, необходимая для достижения некоторых внешних по отношению к АС маршрутов.
NSSA не должны быть прямо связаны с магистралью автономной системы. Так как маршрутизаторы обладают информацией, необходимой для правильной адресации пакетов, эти пакеты могут пересылаться через другие области. Но недостаток NSSA в том, что входящие в такую область маршрутизаторы могут достичь не любого внешнего маршрута, а только того, о котором у них имеются заранее введенные сведения.
Примечание
Несмотря на то что область, не соединенная непосредственно с магистралью, может функционировать, не рекомендуется создавать такие области. Многие документы Cisco настойчиво советуют не делать этого.
Чертой, отличающей тупиковые и не совсем тупиковые области от остальных, является их неспособность получать и обрабатывать информацию о маршрутах. Автономные системы передают сведения о своїй внутренней структуре другим областям посредством процесса, носящего название «перераспределение маршрутов». Это процесс делает возможной связь между АС.
В link-state протоколах маршрутизации, все маршрутизаторы должны иметь копии LSDB. Чем больше маршрутизаторов (и больше каналов между ними), тем больше база LSDB. С одной стороны знание обо всех маршрутах можно отнести к преимуществу, но такой подход не применим к масштабированию в больших сетях. Подход с использованием зон - это компромис. Маршрутизаторы внутри зоны содержат детальную информацию обо всех каналах и маршрутизаторах этой зоны. OSPF можно настроить так, чтобы только общая или суммированная информация о маршрутизаторах и каналах других областей была в БД на маршрутизаторах этой области.
Если OSPF настроен правильно и отказывает канал и маршрутизатор, информация распространяется соседям в пределах этой зоны. Маршрутизаторы за зоной не получают эту информацию. Придерживаясь иерархической структуры и ограничивая число маршрутизаторов в зоне, можно масштабировать OSPF AS до очень больших размеров.
Транзитная область (Backbone area). Промежуточный тип OSPF-области внутри одного домена, главной функцией которого является быстра и эффективная пересылка пакетов. В транзитной области нет конечных пользователей. Она связана с другими типами зон. Область 0 является транзитной областью или ядром.
OSPF усиливает эту жесткую двухуровневую иерархию. Структура физических соединение должна быть отображена на двухуровневую иерархию областей, где все немагистральные области должны подключаться непосредственно к области 0.
Type 1 LSA — Router LSA — объявление о состоянии каналов маршрутизатора. Эти LSA распространяются всеми маршрутизаторами. В LSA содержится описание всех каналов маршрутизатора и стоимость (cost) каждого канала. Распространяются только в пределах одной зоны.
Type 2 LSA — Network LSA — объявление о состоянии каналов сети. Распространяется DR в сетях со множественным доступом. В LSA содержится описание всех маршрутизаторов присоединенных к сети, включая DR. Распространяются только в пределах одной зоны.
Type 3 LSA — Network Summary LSA — суммарное объявление о состоянии каналов сети. Объявление распространяется пограничными маршрутизаторами. Объявление описывает только маршруты к сетям вне зоны и не описывает маршруты внутри автономной системы. Пограничный маршрутизатор отправляет отдельное объявление для каждой известной ему сети.
Когда маршрутизатор получает Network Summary LSA от пограничного маршрутизатора он не запускает алгоритм вычисления кратчайшего пути. Маршрутизатор просто добавляет к стоимости маршрута указанного в LSA стоимость маршрута к пограничному маршрутизатору. Затем маршрут к сети через пограничный маршрутизатор помещается в таблицу маршрутизации.
Type 4 LSA — ASBR Summary LSA — суммарное объявление о состоянии каналов пограничного маршрутизатора автономной системы. Объявление распространяется пограничными маршрутизаторами. ASBR Summary LSA отличается от Network Summary LSA тем, что распространяется информация не о сети, а о пограничном маршрутизаторе автономной системы.
Type 5 LSA — AS External LSA — объявления о состоянии внешних каналов автономной системы. Объявление распространяется пограничным маршрутизатором автономной системы в пределах всей автономной системы. Объявление описывает маршруты внешние для автономной системы OSPF или маршруты по умолчанию (default route) внешние для автономной системы OSPF.
Type 6 LSA — Multicast OSPF LSA — специализированный LSA, который используют мультикаст OSPF приложения (Not implemented by CISCO).
Type 7 LSA — AS External LSA for NSSA — объявления о состоянии внешних каналов автономной системы в NSSA зоне. Это объявление может передаваться только в NSSA зоне. На границе зоны пограничный маршрутизатор преобразует type 7 LSA в type 5 LSA.
Type 8 LSA — Link LSA — анонсирует link-local адрес и префикс(ы) маршрутизатора всем маршрутизаторам разделяющим канал (link). Отправляется только если на канале присутствует более чем один маршрутизатор. Распространяются только в пределах канала (link).
МаршрутизаторR1:
R1(config)#routerospf 1
R1(config-router)#network 192.168.1. 2 0.0. 0.255 area 0
R1(config-router)#network 10.1. 1.1 0.0. 0.255 area 0
R1(config-router)#network 10.20. 1.2 0.0. 0.255 area 0
R1(config-router)#end
Маршрутизатор R2:
R2(config)#routerospf 1
R2(config-router)#network 192.168.3. 2 0.0. 0.255 area 0
R2(config-router)#network 10.10. 1.2 0.0. 0.255 area 0
R2(config-router)#network 10.20. 1.1 0.0. 0.255 area 0
R2(config-router)#end
Маршрутизатор R3:
R3(config)#routerospf 1
R1(config-router)#network 192.168.2. 2 0.0. 0.255 area 0
R1(config-router)#network 10.1. 1.2 0.0. 0.255 area 0
R1(config-router)#network 10.10. 1.1 0.0. 0.255 area 0
R1(config-router)#end
2.3.3. Перевірити конфігурацію OSPF
R1#showipprotocols (мал. 2.5.)
РИС. 2.5. Настроювання протоколу для маршрутизатора R1.
R2#showipprotocols (мал. 2.6.)
РИС. 2.6. Настроювання протоколу для маршрутизатора R2.
R3#showipprotocols (мал. 2.7.)
РИС. 2.7. Настроювання протоколу для маршрутизатора R3.
В числе дополнительных характеристик OSRF - равные затраты, многотрактовая маршрутизация (multipath routing) и маршрутизация, базирующаяся на запросах типа услуг высшего уровня (type of service - TOS). Базирующаяся на TOS маршрутизация поддерживает те протоколы высшего уровня, которые могут назначать конкретные типы услуг. Например, какая-нибудь прикладная программа может включить требование о том, что определенная информация является срочной. Если OSPF имеет в своем распоряжении каналы с высоким приоритетом, то они могут быть использованы для транспортировки срочных дейтаграмм.
OSPF обеспечивает один или более показателей. Если используется только один показатель, то он считается произвольным, и TOS не обеспечивается. Если используется более одного показателя, то TOS обеспечивается факультативно путем использования отдельного показателя (и следовательно, отдельной маршрутной таблицы) для каждой из 8 комбинаций, образованной тремя битами IP TOS: битом задержки (delay), производительности (throughput) и надежности (reliability). Например, если биты IP TOS задают небольшую задержку, низкую производительность и высокую надежность, то OSPF вычисляет маршруты во все пункты назначения, базируясь на этом обозначении TOS.
Маски подсети IP включаются в каждый об'явленный пункт назначения, что позволяет использовать маски подсети переменной длины (variable-length subnet masks). С помощью масок подсети переменной длины сеть IP может быть разбита на несколько подсетей разной величины. Это обеспечивает администраторам сетей дополнительную гибкость при выборе конфигурации сети.
Таблица маршрутизации
База данных соседей (neighbours database) — список всех соседей.
База данных состояния каналов (link state database, LSDB) — список всех записей о состоянии каналов. Встречается также
Type 1 LSA — Router LSA — объявление о состоянии каналов маршрутизатора. Эти LSA распространяются всеми маршрутизаторами. В LSA содержится описание всех каналов маршрутизатора и стоимость (cost) каждого канала. Распространяются только в пределах одной зоны.
Type 2 LSA — Network LSA — объявление о состоянии каналов сети. Распространяется DR в сетях со множественным доступом. В LSA содержится описание всех маршрутизаторов присоединенных к сети, включая DR. Распространяются только в пределах одной зоны.
Type 3 LSA — Network Summary LSA — суммарное объявление о состоянии каналов сети. Объявление распространяется пограничными маршрутизаторами. Объявление описывает только маршруты к сетям вне зоны и не описывает маршруты внутри автономной системы. Пограничный маршрутизатор отправляет отдельное объявление для каждой известной ему сети.
Когда маршрутизатор получает Network Summary LSA от пограничного маршрутизатора он не запускает алгоритм вычисления кратчайшего пути. Маршрутизатор просто добавляет к стоимости маршрута указанного в LSA стоимость маршрута к пограничному маршрутизатору. Затем маршрут к сети через пограничный маршрутизатор помещается в таблицу маршрутизации.
Type 4 LSA — ASBR Summary LSA — суммарное объявление о состоянии каналов пограничного маршрутизатора автономной системы. Объявление распространяется пограничными маршрутизаторами. ASBR Summary LSA отличается от Network Summary LSA тем, что распространяется информация не о сети, а о пограничном маршрутизаторе автономной системы.
Type 5 LSA — AS External LSA — объявления о состоянии внешних каналов автономной системы. Объявление распространяется пограничным маршрутизатором автономной системы в пределах всей автономной системы. Объявление описывает маршруты внешние для автономной системы OSPF или маршруты по умолчанию (default route) внешние для автономной системы OSPF.
Type 6 LSA — Multicast OSPF LSA — специализированный LSA, который используют мультикаст OSPF приложения (Not implemented by CISCO).
Type 7 LSA — AS External LSA for NSSA — объявления о состоянии внешних каналов автономной системы в NSSA зоне. Это объявление может передаваться только в NSSA зоне. На границе зоны пограничный маршрутизатор преобразует type 7 LSA в type 5 LSA.
Type 8 LSA — Link LSA — анонсирует link-local адрес и префикс(ы) маршрутизатора всем маршрутизаторам разделяющим канал (link). Отправляется только если на канале присутствует более чем один маршрутизатор. Распространяются только в пределах канала (link).
Заголовок пакета OSPF
Существует 5 типов пакета OSPF:
1. Hello.
Отправляется через регулярные интервалы времени для установления и поддержания соседских взаимоотношений.
2. Database Description.
Описание базы данных. Описывает содержимое базы данных; обмен этими пакетами производится при инициализации смежности.
3. Link-State Request
Запрос о состоянии канала. Запрашивает части топологической базы данных соседа. Обмен этими пакетами производится после того, как какой-нибудь роутер обнаруживает, (путем проверки пакетов описания базы данных), что часть его топологической базы данных устарела.
4. Link-State Update
Корректировка состояния канала. Отвечает на пакеты запроса о состоянии канала. Эти пакеты также используются для регулярного распределения LSA. В одном пакете могут быть включены несколько LSA.
5. Link-State Acknowledgement
Подтверждение состояния канала. Подтверждает пакеты корректировки состояния канала. Пакеты корректировки состояния канала должны быть четко подтверждены, что является гарантией надежности процесса лавинной адресации пакетов корректировки состояния канала через какую-нибудь область.
Hello-пакет предназначен для установления и поддержания отношений с соседями. Пакет периодически посылается на все интерфейсы маршрутизатора.
Пакет Database Description описывает содержание базы данных состояния канала. Обмен пакетами производится при установлении состояния смежности.
Пакет Link State Request предназначен для запроса части базы данных соседнего маршрутизатора.
Link State Update
Пакет Link State Update предназначен для рассылки объявлений о состоянии канала. Пакет посылается по групповому адресу на один транзитный участок.
Подтверждает получение пакета Link State Update.
Або див. 28. Типы зон OSPF протокола и их назначение
Маршрутизаторы, использующие протоколы состояния канала, периодически отправляют друг другу обновления. Эти обновления, называемые LSA (link state advertisements – объявления состояния канала), сообщают каждому маршрутизатору статус (состояние) каждого маршрутизатора (канала) среды.
New - состояние когда процесс установления соседства только начинается. Маршрутизатор переходит в это состояние в момент загрузки или при настройке начальной конфигурации протокола.
One-Way - маршрутизатор переходит в это состояние после Hello. Машрутизатор находится в этом состоянии пока не будет получен Hello пакет содержащий адрес локального маршрутизатора в качестве соседа.
Initializing - состояние в которое переходит маршрутизатор при получении Hello пакета в котром указан его собственный локальный адрес в качестве соседа. Это состояние означает, что была установлена двунаправленная связь.
Up - состояние полного функционирования отношений. Это состояние означает, что были сформированы отношения соседства и произошла синхронизация баз данных маршрутизаторов.
Down - состояние утерянного соседства. Маршрутизатор переходит в это состояние по одной из нескольких причин: несоответствие зоны (area), окончание таймаута удержания или ошибка аутентификации.
Reject - состояние маршрутизатора после сбоя проверки подлинности. Маршрутизатор будет постоянно менять свое состояние между этим и состоянием Down.
Внутренний маршрутизатор (internal router) — маршрутизатор, все интерфейсы которого принадлежат одной зоне. У таких маршрутизаторов только одна база данных состояния каналов.
Пограничный маршрутизатор (area border router, ABR) — соединяет одну или больше зон с магистральной зоной и выполняет функции шлюза для межзонального трафика. У пограничного маршрутизатора всегда хотя бы один интерфейс принадлежит магистральной зоне. Для каждой присоединенной зоны маршрутизатор поддерживает отдельную базу данных состояния каналов.
Магистральный маршрутизатор (backbone router) — маршрутизатор у которого всегда хотя бы один интерфейс принадлежит магистральной зоне. Определение похоже на пограничный маршрутизатор, однако магистральный маршрутизатор не всегда является пограничным. Внутренний маршрутизатор, интерфейсы которого принадлежат нулевой зоне, также является магистральным.
Пограничный маршрутизатор автономной системы (AS boundary router, ASBR) — обменивается информацией с маршрутизаторами принадлежащими другим автономным системам. Пограничный маршрутизатор автономной системы может находиться в любом месте автономной системы и быть внутренним, пограничным или магистральным маршрутизатором.
Выделенный маршрутизатор (designated router, DR) — управляет процессом рассылки LSA в сети. Каждый маршрутизатор сети устанавливает отношения смежности с DR. Информация об изменениях в сети отправляется DR маршрутизатором, обнаружившим это изменение, а DR отвечает за то, чтобы эта информация была отправлена остальным маршрутизаторам сети.
Недостатком в схеме работы с DR маршрутизатором является то, что при выходе его из строя должен быть выбран новый DR. Новые отношения соседства должны быть сформированы и, пока базы данных маршрутизаторов не синхронизируются с базой данных нового DR, сеть будет недоступна для пересылки пакетов. Для устранения этого недостатка выбирается BDR.
Резервный выделенный маршрутизатор (backup designated router, BDR). Каждый маршрутизатор сети устанавливает отношения соседства не только с DR, но и BDR. DR и BDR также устанавливают отношения соседства и между собой. При выходе из строя DR, BDR становится DR и выполняет все его функции. Так как маршрутизаторы сети установили отношения соседства с BDR, время недоступности сети минимизируется.
Маршрутизатор, выбранный DR или BDR в одной присоединённой к нему сети со множественным доступом, может не быть DR (BDR) в другой присоединённой сети. Роль DR (BDR) является свойством интерфейса, а не свойством всего маршрутизатора.
Как уже было сказано, OSPF требует иерархической структуры, т.е. требуя чтобы все зоны подключались напрямую к нулевой зоне. На рисунке справа показаны типы маршрутизаторов OSPF.
Рекомендации позволяющие не перегружать маршрутизаторы расчётами OSPF:
Конечно, не последюю роль играет стабильность каналов и дизайн сети.
При разделении автономной системы на зоны, маршрутизаторам принадлежащим к одной зоне не известна информация о детальной топологии других зон.
Разделение на зоны позволяет:
Каждой зоне присваивается идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Однако идентификаторы зон не являются IP-адресами и могут совпадать с любым назначенным IP-адресом.
Существует несколько типов зон:
Магистральная зона (известная также как нулевая зона или зона 0.0.0.0) формирует ядро сети OSPF. Все остальные зоны соединены с ней, и межзональная маршрутизация происходит через маршрутизатор соединенный с магистральной зоной. Магистральная зона ответственна за распространение маршрутизирующей информации между немагистральными зонами. Магистральная зона должна быть смежной с другими зонами, но она не обязательно должна быть физически смежной; соединение с магистральной зоной может быть установлено и с помощью виртуальных каналов.
Обычная зона, которая создается по умолчанию. Эта зона принимает обновления каналов, суммарные маршруты и внешние маршруты.
Тупиковая зона не принимает информацию о внешних маршрутах для автономной системы, но принимает маршруты из других зон. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию. В тупиковой зоне не может находиться ASBR. Исключение из этого правила — ABR может быть и ASBR.
Virtual link — специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной, через другую зону. Настраивается между двумя Area Border Router.
Для того, чтобы маршрутизаторы могли передать пакеты OSPF через virtual link, они инкапсулируют их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений.
Некоторые характеристики virtual link:
Параметры команды virtual link:
Двухуровнеувая иерархия протокола OSPF требует, чтобы все области соединялись с магистралью (area 0) напрямую. Все немагистральные зоны должны передают маршруты в магистральную зон затем, чтобы они были переданы в другие зоны. Виртуальный канал — это связь, которая позволяет соединить несмежные части магистрали между собой, либо присоединить к магистрали какую-либо область через промежуточную область.
Рекомендуется использовать данную возможность OSPF в достаточно специфических случаях, например при временном соединении областей или на время восстановления сети в случае сбоев. Не следует использовать виртуальные каналы как средство соединения областей при дизайне сети , рекомендуется избегать их по возможности.
Виртуальные каналы - это часть стандарта OSPF. Поддерживаются маршрутизаторами Cisco с IOS 10.0
Ниже перечислены некоторые характеристики и приведены рекомендации по использованию виртуальных каналов.
29. Технология обработки корпоративных данных
Поддержка принятия решения
У Вас в транзакционной (OLTP)
информационной системе
есть данные:
1 миллион записей о банковских транзакциях
или 2 миллиона записей о посещении Web-сайтов
или 5 миллионов записей о телефонных звонках
или …
Это ДАННЫЕ, но это не ИНФОРМАЦИЯ
Данные против Информации
|
Данные |
Информация |
|
Данные о телефонных звонках |
Каковы доходы от услуги роуминга за последний месяц по всем тарифным планам? |
|
Данные о посещении Web-сайтов |
Какие разделы сайтов наиболее популярны? |
|
Данные о банковских транзакциях |
На сколько больше денег клиенты перевели в Швейцарию за последний квартал? |
30. Иерархия обработки корпоративных данных
31. Сравнительные характеристики OLTP и OLAP технологий
Сравнение OLTP и OLAP
|
OLTP |
OLAP |
|
|
users |
clerk, IT professional |
knowledge worker |
|
function |
day to day operations |
decision support |
|
DB design |
application-oriented |
subject-oriented |
|
data |
current, up-to-date detailed, flat relational isolated |
historical, summarized, multidimensional integrated, consolidated |
|
usage |
repetitive |
ad-hoc |
|
access |
read/write index/hash on prim. key |
lots of scans |
|
unit of work |
short, simple transaction |
complex query |
|
# records accessed |
tens |
millions |
|
#users |
thousands |
hundreds |
|
DB size |
100MB-GB |
100GB-TB |
|
metric |
transaction throughput |
query throughput, response |
32. Концепция «от данных к знаниям»
От данных к знаниям
33. Сравнительные характеристики экспертных систем и Data Manıng
40. Концепция доступа к данным в хранилище данных
обрав в одном месте всю информацию об истории развития организации, ее успехах и неудачах, о взаимоотношениях с поставщиками и заказчиками, об истории развития и состоянии рынка, менеджеры получают уникальную возможность для анализа прошлой деятельности, сегодняшнего дня и построения обоснованных прогнозов на будущее. Однако не следует забывать и о том, что если не обеспечены надлежащие средства защиты и ограничения прав доступа, вы можете снабдить этой информацией и ваших конкурентов.
Одним из первых же вопросов, встающих при обсуждении проекта Хранилища Данных, является вопрос защиты данных. Чисто психологически, многих пугают не столько затраты на реализацию системы Хранилищ Данных (чаще всего есть понимание, что эффект от ее использования будет больше), а то, что доступ к критически значимой информации может получить кто либо, не имеющий на это права.
В таких системах, часто оказывается недостаточно защиты обеспечиваемой в стандартных конфигурациях коммерческих СУБД (обычно уровень защиты по классу “C2 OrangeBook”.) Региональный менеджер должен видеть только те данные, которые относятся к его региону, а менеджер подразделения не должен видеть данные, относящиеся ко всей фирме. Но, для повышения эффективности доступа к данным, в целевой БД Хранилища Данных, все эти данные, как правило, хранятся в виде единой фактологической таблицы. Следствием этого, является то, что средства реализации должны поддерживать ограничения доступа не только на уровне отдельных таблиц и их колонок, но и отдельных строк в таблице (класс “B1 OrangeBook”).
41. Многомерная модель данных
Реляционные СУБД предназначались для информационных систем оперативной обработки информации и в этой области весьма эффективны. В системах аналитической обработки они показали себя несколько неповоротливыми и недостаточно гибкими. Более эффективными здесь оказываются многомерные СУБД. Многомерные СУБД являются узкоспециализированными СУБД, предназначенными для интерактивной аналитической обработки информации.
Основные понятия, используемые в этих СУБД: агрегируемость , историчность и прогнозируемость. Агрегируемость данных означает рассмотрение информации на различных уровнях ее обобщения. В информационных системах степень детальности представления информации для пользователя зависит от его уровня: аналитик, пользователь, управляющий, руководитель. Историчность данных предполагает обеспечение высокого уровня статичности собственно данных и их взаимосвязей, а также обязательность привязки данных ко времени. Прогнозируемость данных подразумевает задание функций прогнозирования и применение их к различным временным интервалам .Многомерность модели данных означает не многомерность визуализации цифровых данных, а многомерное логическое представление структуры информации при описании и в операциях манипулирования данными. По сравнению с реляционной моделью многомерная организация данных обладает более высокой наглядностью и информативностью. Измерение – это множество однотипных данных, образующих одну из граней гиперкуба. В многомерной модели измерения играют роль индексов, служащих для идентификации конкретных значений в ячейках гиперкуба. Ячейка – это поле, значение которого однозначно определяется фиксированным набором измерений. Тип поля чаще всего определен как цифровой. В зависимости от того, как формируются значения некоторой ячейки, она может быть переменной (значения изменяются и могут быть загружены из внешнего источника данных или сформированы программно) либо формулой (значения, подобно формульным ячейкам электронных таблиц, вычисляются по заранее заданным формулам). Основным достоинством многомерной модели данных является удобство и эффективность аналитической обработки больших объемов данных, связанных со временем. Недостатком многомерной модели данных является ее громоздкость для простейших задач обычной оперативной обработки информации. Примерами систем, поддерживающими многомерные модели данных, является Essbase , MediaMulti — matrix , OracleExpressServer , Cache . Существуют программные продукты, например Media / MR , позволяющие одновременно работать с многомерными и с реляционными БД.
42. Концепция представление данных конечному пользователю из хранилище даннях
Взглядсостороны конечного пользователя (выраженный Э.Коддом), которыйглавным образом сосредоточен на концептуальномуровнепредставленияданных и на выработкеметодологиианализаданных. При этом он естественноговорит о том, чтоисходныеданныемогутхраниться в различныхисточниках и должныбытьобеспеченыэффективныесредства для ихвыборки и транспортировки. Но для него, этипроцессывторичны, а главноесостоит в том, что конечному пользователюдолженбытьпредоставлен максимально комфортный и эффективныйинструментарийвизуализации и манипулированияданными - OLAP Tools.
OLAP (англ. onlineanalyticalprocessing, аналитическаяобработка в реальномвремени) — технологияобработкиданных, заключающаяся в подготовкесуммарной (агрегированной) информации на основебольшихмассивовданных, структурированных по многомерному принципу. Реализациитехнологии OLAP являются компонентами программныхрешенийклассаBusinessIntelligence.
Причина использования OLAP для обработки запросов — это скорость. Реляционные БД хранят сущности в отдельных таблицах, которые обычно хорошо нормализованы. Эта структура удобна для операционных БД (системы OLTP), но сложные многотабличные запросы в ней выполняются относительно медленно.OLAP-структура, созданная из рабочих данных, называется OLAP-куб. Куб создаётся из соединения таблиц с применением схемы звезды или схемы снежинки. В центре схемы звезды находится таблица фактов, которая содержит ключевые факты, по которым делаются запросы. Множественные таблицы с измерениями присоединены к таблице фактов. Эти таблицы показывают, как могут анализироваться агрегированные реляционные данные. Количество возможных агрегирований определяется количеством способов, которыми первоначальные данные могут быть иерархически отображены.
43. Компонентысистемыподдержкипринятиярешений и ихназначение
В состав системы поддержки принятия решений входят три главных компонента: база данных, база моделей и программная подсистема, которая состоит из системы управления базой данных (СУБД), системы управления базой моделей (СУБМ) и системы управления интерфейсом между пользователем и компьютером.База данных играет в информационной технологии поддержки принятия решений (СППР) важную роль. Данные могут использоваться непосредственно пользователем для расчетов при помощи математических моделей. Рассмотрим источники данных и их особенности:
1. Часть данных поступает от информационной системы операционного уровня. Чтобы использовать их эффективно, эти данные должны быть предварительно обработаны.
Для этого существуют две возможности:
– использовать для обработки данных об операциях фирмы систему управления базой данных, входящую в состав системы поддержки принятия решений;
– сделать обработку за пределами системы поддержки принятия решений, создав для этого специальную базу данных. Этот вариант более предпочтителен для фирм, производящих большое количество коммерческих операций. Обработанные данные об операциях фирмы образуют файлы, которые для повышения надежности и быстроты доступа хранятся за пределами системы поддержки принятия решений.
2. Помимо данных об операциях фирмы для функционирования системы поддержки принятия решений требуются и другие внутренние данные, например данные о движении персонала, инженерные данные и т.п., которые должны быть своевременно собраны, введены и поддержаны.
3. Важное значение, особенно для поддержки принятия решений на верхних уровнях управления, имеют данные из внешних источников. В числе необходимых внешних данных следует указать данные о конкурентах, национальной и мировой экономике. В отличие oт внутренних внешние данные обычно приобретаются у специализирующихся на их сборе организаций.
4. В настоящее время широко исследуется вопрос о включении в базу данных еще одного источника данных – документов, содержащих записи, письма, контракты, приказы и т.п. Если содержание этих документов будет записано в памяти и затем обработано по некоторым ключевым характеристикам (поставщикам, потребителям, датам, видам услуг и др.), то система получит новый мощный источник информации.
Система управления данными (СУБД) должна обладать следующими возможностями:
составление комбинаций данных, получаемых из различных источников посредством использования процедур агрегирования и фильтрации;
быстрое прибавление или исключение того или иного источника данных;
построение логической структуры данных в терминах пользователя;
использование и манипулирование неофициальными данными для экспериментальной проверки рабочих альтернатив пользователя;
обеспечение полной логической независимости этой базы данных от других операционных баз данных, функционирующих в рамках фирмы.
База моделей. Целью создания моделей являются описание и оптимизация некоторого объекта или процесса. Использование моделей обеспечивает проведение анализа в системах поддержки принятия решений. Модели, базируясь на математической интерпретации проблемы, при помощи определенных алгоритмов способствуют нахождению информации, полезной для принятия правильных решений.
44. MOLAP технология
MOLAP (Multidimensional OLAP) — многомерноеконцептуальноепредставление. Являетсобоймножественную систему, состоящуюизнесколькихнезависимыхизмерений, вдолькоторыхмогутбытьпроанализированыопределенныесовокупностиданных. Одновременныйанализ по несколькимизмерениямопределяетсякакмногомерныйанализ.
MOLAP — это классическая форма OLAP, так что её часто называют просто OLAP. Она использует суммирующую БД, специальный вариант процессора пространственных БД и создаёт требуемую пространственную схему данных с сохранением как базовых данных, так и агрегатов.
Преимущества MOLAP:
-высокая производительность. Поиск и выборка данных производятся намного быстрее, чем в реляционных базах данных
-структура и интерфейсы наилучшим образом соответствуют структуре аналитических запросов
-многомерные СУБД легко справляются с интеграцией в информационную модель разнообразных дополнительных функций
Недостатки MOLAP:
-MOLAP могут работать только со своими собственными многомерными БД и основываются на патентованных лицензионных решениях для многомерных СУБД, что отражается на цене. Такие технологии обеспечивают полный цикл OLAP-обработки и либо включают в себя, помимо серверного модуля, собственный интегрированный клиентский интерфейс, либо используют для связи с пользователем внешние программы работы с электронными таблицами
-низкие показатели эффективности использования внешней памяти, худшие, по сравнению с реляционными, БД механизмы транзакций
-Отсутствуют единые стандарты на интерфейс, языки описания и управления данными
-Не поддерживают репликацию данных, часто используемую в качестве механизма загрузки
45. ROLAP технология
ROLAP (реляционная OLAP) — OLAP-системы, которыеимеютпрямой доступ к существующим базам данныхилииспользуютданные, выгруженные в собственныелокальныетаблицы.
ROLAP работает напрямую с реляционным хранилищем, факты и таблицы с измерениями хранятся в реляционных таблицах, и для хранения агрегатов создаются дополнительные реляционные таблицы.
ROLAP-системы имеют свои преимущества и недостатки в сравнении с многомерными системами.
Достоинства
Недостатки
46. HOLAP технология
HOLAP (Hybrid OLAP) используетреляционныетаблицы для хранениябазовыхданных и многомерныетаблицы для агрегатов
HOLAP использует реляционные таблицы для хранения базовых данных и многомерные таблицы для агрегатов.
Особым случаем ROLAP является ROLAP реального времени (Real-time ROLAP — R-ROLAP). В отличие от ROLAP в R-ROLAP для хранения агрегатов не создаются дополнительные реляционные таблицы, а агрегаты рассчитываются в момент запроса. При этом многомерный запрос к OLAP-системе автоматически преобразуется в SQL-запрос к реляционным данным.Разработаны с целью совмещения достоинств и минимизации недостатков, присущих MOLAP и ROLAP. В отличие от MOLAP, которая работает лучше, когда данные более плотные, серверы ROLAP лучше в тех случаях, когда данные довольно разрежены. Серверы HOLAP применяют подход ROLAP для разреженных областей многомерного пространства и подход MOLAP – для плотных областей. Серверы HOLAP разделяют запрос на несколько подзапросов, направляют их к соответствующим фрагментам данных, комбинируют результаты, а затем предоставляют результат пользователю. Материализация выборочных представлений в HOLAP, выборочное построение индексов, а также планирование запросов и ресурсов аналогично тому, как это реализовано в серверах MOLAP иROLAP.
47. Современныйподход к построению ИАС
Задачами любойинформационно-аналитическойсистемыявляютсяэффективноехранение, обработка и анализданных. В настоящеевремянакоплензначительныйопыт в этойобласти.
Эффективноехранениеинформациидостигаетсяналичием в составеинформационно-аналитическойсистемыцелогорядаисточниковданных. Обработка и объединениеинформациидостигаетсяприменениеминструментовизвлечения, преобразования и загрузки данных. Анализданныхосуществляется при помощисовременныхинструментовделовогоанализаданных.
Информационно-аналитическая система среднего и крупного предприятия или организации должна обеспечивать пользователям доступ к аналитической информации, защищенной от несанкционированного использования и открытой как через внутреннюю сеть организации, так и пользователям сети интранет и Интернет. Таким образом, архитектура современной информационно-аналитической системы насчитывает следующие уровни:
1) сбор и первичная обработка данных;
2) извлечение, преобразование и загрузка данных;
3) складирование данных;
4) представление данных в витринах данных;
5) анализ данных;
6) Web-портал.
48. Уровнипринятиярешений
49. Развитиеархитектуркорпоративныхсетейкомпьютеров
Корпоративные сети интересны для специалистов, занимающихся системами управления базами данных и по другой причине. В широком смысле вычислительная сеть тождественна вычислительной системе - к ней относятся компьютеры, коммуникационное оборудование, операционные системы, системы управления базами данных и приложения. Сеть в узком смысле - это программно-аппаратный комплекс, организующий надежную и быструю доставку сообщений между взаимодействующими приложениями. Для базы данных сеть является универсальной транспортной платформой, которая берет на себя выполнение рутинных коммуникационных задач, подобно тому, как файловая система освобождает СУБД от необходимости заниматься низкоуровневыми вопросами форматирования диска, физическими и логическими аспектами организации файлов и т.п.
Многие СУБД для достижения высоких эксплуатационных показателей могут подменять и "исправлять" существующие операционные системы. Например, создавать на свободном разделе диска файловую систему такой структуры, при которой достигается высокая скорость специфических для базы данных операций поиска и сортировки записей небольших размеров. Ускорение достигается за счет специализации функций файловой или операционной систем на операциях определенного вида.
Аналогичным образом некоторые СУБД поступают и с коммуникационными функциями операционных систем. Примерами здесь могут служить такие компоненты баз данных как Oracle SQL*Net или IngresNet, в которых реализованы популярные транспортные протоколы. Понятно, что дублирование транспортных функций ОС дополнительными компонентами СУБД происходит не от хорошей жизни, а от ограниченности сетевых возможностей универсальных операционных систем: отсутствия тех или иных протоколов или низкоскоростной их реализации.
Однако, использование специализированных реализаций транспортных средств влечет за собой не только положительные, но и отрицательные последствия. СУБД - отнюдь не единственное приложение в сети, способное поддерживать собственные средства транспортировки, такие средства могут быть встроены и в другие приложения - почту, системы коллективной работы, графические системы автоматизированного проектирования и т.д. и т.п. У администратора в этом случае прибавляется забот по поддержанию разнородных продуктов, выполняющих одну и ту же функцию, но по-своему.
Очевидно, что использование единой транспортной системы для всех приложений вычислительной системы облегчило бы жизнь и пользователям, и администраторам. И в этом направлении корпоративные сети быстро развиваются, позволяя своим пользователям отказаться от транспортных услуг отдельных, хотя и очень важных приложений и использовать общие средства.
Итак, что же такое корпоративные сети? В англоязычной литературе этот вид сетей чаще называется "enterprise-widenetworks" (дословно - сеть масштаба предприятия), а в нашей стране прижился другой термин иностранного происхождения - корпоративные сети, что, на наш взгляд, больше соответствует самой сути таких сетей. Термин "корпоративная" отражает с одной стороны величину сети, так как корпорация - это крупное, большое предприятие. С другой стороны, этот термин несет в себе смысл объединения, то есть корпоративная сеть - это сеть, получившаяся в результате объединения нескольких, как правило, разнородных сетей. Кроме того, дух корпоративности - это дух некоего единства, общности, и в этом смысле корпоративные сети - это сети, в которых неоднородные компоненты живут в счастливом согласии.
Появление корпоративных сетей - это хорошая иллюстрация известного философского постулата о переходе количества в качество. При объединении отдельных сетей крупного предприятия, имеющего подразделения в различных городах и странах, в единую сеть, многие количественные характеристики объединенной сети часто превосходят некоторый критический порог, за которым начинается новое качество. При этом число пользователей и компьютеров может измеряться тысячами, число серверов - превышать несколько сотен, число записей в базе данных - несколько миллионов, а расстояния между сетями могут оказаться такими, что использование глобальных связей становится необходимостью.
Кроме того, непременным атрибутом такой сложной и крупномасштабной сети является гетерогенность - нельзя удовлетворить потребности тысяч пользователей с помощью однотипных элементов и однородных структур. В корпоративной сети обязательно будут использоваться различные типы компьютеров - от мейнфреймов до персоналок, 3-5 типов операционных систем, с десяток различных коммуникационных протоколов, несколько СУБД и множество других приложений.
50. EAI, B2B, BPA
EnterpriseApplicationIntegration (EAI) — это технологии и приложения, задача которых вовлечь несколько приложений, используемых в одной организации, в единый процесс и осуществлять преобразование форматов данных между ними.
Необходимость в интеграции приложений обычно возникает, если информационные системы разработаны различными производителями. А также если количество информационных систем достаточно велико, так что осуществлять интеграцию между каждой парой из них ресурсозатратно.
B2B-системы обычнобываютдвухтипов - открытые (public) и закрытые, иликорпоративные (private).
51. Этапы интеграции
Интеграция данных включает объединение данных, находящихся в различных источниках и предоставление данных пользователям в унифицированном виде. Этот процесс становится существенным как в коммерческих задачах (когда двум похожим компаниям необходимо объединить их базы данных), так и в научных (комбинирование результатов исследования из различных биоинформационных репозиториев, для примера). Роль интеграции данных возрастает, когда увеличивается объём и необходимость совместного использования данных
Информационные системы многих компаний представляют собой набор приложений, автоматизирующих отдельные бизнес-задачи. Эти системы, как правило, почти не связаны друг с другом на технологическом уровне, а данные в них часто не согласованы между собой. Автоматизация и управление бизнес процессами (Business Process Automation (BPA) состоит из EAI (Интеграция приложений внутри предприятия) и B2B (Взаимодействие с партнерами по бизнесу).
Enterprice Application Integration (EAI) Интеграция приложений внутри предприятия
Этапы EAI :
Взаимодействие с партнерами по бизнесу (Business To Business (B2B))
52. Походы к организации взаимодействия приложений
Точка-Точка (Point to Point)
Простейший вид компьютерной сети, при котором два компьютера соединяются между собой напрямую через коммуникационное оборудование.
Здезда
базовая топология компьютерной сети, в которой все компьютеры сети присоединены к центральному узлу (обычно коммутатор), образуя физический сегмент сети. Подобный сегмент сети может функционировать как отдельно, так и в составе сложной сетевой топологии (как правило, «дерево»). Весь обмен информацией идет исключительно через центральный компьютер, на который таким способом возлагается очень большая нагрузка, поэтому ничем другим, кроме сети, он заниматься не может. Как правило, именно центральный компьютер является самым мощным, и именно на него возлагаются все функции по управлению обменом. Никакие конфликты в сети с топологией звезда в принципе невозможны, потому что управление полностью централизовано.
Издатель/подписчик
Интеграция через интерфейс пользователя
Интеграция через хранилище данных
Технология интеграции данных является ключевым фактором для объединения этих данных и создания информационной инфраструктуры, удовлетворяющей стратегическим проектам Business Intelligence (BI). Такая информационная инфраструктура включает Хранилища данных, витрины данных и операционные склады данных. Создание Хранилища данных (или, в более ограниченном масштабе, витрины данных, содержащей данные только об одном предмете) существенно упрощает доступ к необходимым данным. Сбор и консолидация данных, необходимых для Хранилища или витрины данных, и периодическое пополнение их содержимого новыми значениями при сохранении более ранних величин является практическим приложением технологии интеграции данных.
Интеграция через API (application programming interface)
Интерфейс программирования приложений
API - набор готовых классов, процедур, функций, структур и констант, предоставляемых приложением (библиотекой, сервисом) для использования во внешних программных продуктах. Используется программистами для написания всевозможных приложений.Для увеличения функциональных возможностей и полной автоматизации бизнес-процессов может быть интегрирован с другими системами, используемыми для ведения бизнеса. Взаимосвязь систем обеспечивается с помощью импорта и экспорта данных, а также путем полной интеграции с использованием API.
Автоматизировать создание и редактирование задач, проектов, дел, карточек сотрудников и другие процессы можно с помощью API – языка запросов, которые понимает Мегаплан. Сторонняя система, например, сайт компании или программа, используемая для решения отдельных задач, может обращаться напрямую к базе данных Мегаплана, получая данные и выполняя определенные действия в Мегаплане. С помощью API можно:
— создавать и редактировать задачи и проекты;
— добавлять и редактировать сотрудников;
— создавать списки дел и события в ежедневнике;
— получать комментарии к задачам и отвечать на них;
— получать уведомления о событиях (постановке задачи, появлении комментариев и т.д.);
— работать со списком избранного;
— автоматизировать создание сделок.
53. Недостатки традиционной архитектуры создания КИС
Традиционная архитектура информационно-аналитических систем (ROLAP) - работает напрямую с реляционным хранилищем, факты и таблицы с измерениями хранятся в реляционных таблицах, и для хранения агрегатов создаются дополнительные реляционные таблицы. Благодаря реляционным таблицам, архитектура ROLAP позволяет хранить большие объемы данных. Поскольку в архитектуре ROLAP листовые значения берутся непосредственно из витрины данных, то возвращаемые ROLAP-системой листовые значения всегда будут соответствовать актуальному на данный момент положению дел. Другими словами, ROLAP-системы лишены запаздывания в части листовых данных.
НЕДОСТАТКИ:
Создание распределенной информационно-аналитической системы на основе традиционной архитектуры – нетривиальная задача
54. Использование веб-технологий при создании КИС
Позволяет:
55. Пример структуры информационно-аналитической системы: общая схема
56. Пример структуры информационно-аналитической системы: подсистема мониторинга
Пример. Подсистема учета производства инженерных изысканий
Подсистема учета производства инженерных изысканий предназначена для автоматизации функций регистрации разрешений на производство инженерных изысканий, выдачи исходных данных (картматериалов) для производства инженерных изысканий, приема отчетов по инженерных изысканиям.
Подсистема выполняет следующие функции:
Подсистема позволяет вести следующие реестры:
Пример. Информационно-аналитическая подсистема АСУ Чеченской Республики (ИАП АСУ ЧР)
58. Пример структуры информационно-аналитической системы: подсистема прогнозирования
Пример.
Структура подсистемы прогнозирования, состоит из двух блоков. Моделирующий блок предназначен для расчетов концентраций загрязняющих веществ в различных условиях прогнозирования (типы источников, метеоусловия, расстояния, время) – структурный анализ. Блок анализа результатов используется для сравнения результатов прогнозирования с ПДК загрязняющих веществ и выработки стратегии действий, направленных на управление качеством атмосферы. Информация, получаемая в результате работы подсистемы прогнозирования, передается с использованием локальных вычислительных сетей в информационно-модели-рующую подсистему или блок идентификации источников загрязнения.
Концептуальная модель хранилища данных представляет собой описание главных (основных) сущностей и отношений между ними. Концептуальная модель является отражением предметных областей, в рамках которых планируется построение хранилища данных.
Концептуальная модель создается специалистом по модели данных (Data Modeler) на основе предъявленных бизнес-требований с учетом наличия информации в системах-источниках и служит базой для построения логической модели.
Процесс формирования концептуальной модели включает в себя следующие работы:
Описание данных
Для прикладу можна використати свої моделі БД з курсу Мякшило.
Периметр – это укрепленная граница вашей сети, которая может включать:
63. Сетевой периметр и его назначение
Периметр – это укрепленная граница вашей сети, которая может включать:
64 Пограничный маршрутизатор
Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети.
Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
Автономная система может содержать множество маршрутизаторов, но взаимодействие с другими AS она осуществляет только через один маршрутизатор, называемый пограничным (border gateway, именно он дал название протоколу BGP).
Пограничный маршрутизатор нужен лишь тогда, когда автономная система имеет более одного внешнего канала, в противном случае его функции выполняет порт внешнего подключения (gateway; поддержка внешнего протокола маршрутизации в этом случае не требуется).
Пограничный маршрутизатор сообщает связанным с ним другим пограничным маршрутизаторам, какие сети каких автономных систем достижимы через него. Обмен подобной информацией позволяет пограничным маршрутизаторам занести в таблицу маршрутов записи о сетях, находящихся в других АС. При необходимости эта информация потом распространяется внутри своей автономной системы с помощью протоколов внутренней маршрутизации с тем, чтобы обеспечить внешнюю коннективность своей АС.
65. Брандмауэр, или межсетевой экран
(firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры (static packet filters), брандмауэры экспертного уровня (stateful-брандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing's Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.
66. IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.
67. VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?
Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:
69. Демилитаризованные зоны Обычно мы используем термины "демилитаризованная зона" и "экранированные подсети", подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ (DeMilitarized Zone – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.
70. экранированные подсети (screened subnet) представляет собой изолированную сеть, соединенную с определенным интерфейсом брандмауэра или другого фильтрующего трафик устройства. Экранированная подсеть часто используется для изоляции серверов, к которым необходимо обеспечить доступ из Интернета, использующимися исключительно внутренними пользователями данной организации. Экранированная подсеть обычно содержит сервисы "общего использования" (public services), включая DNS, почту и web. Нам хотелось бы рассматривать подобные серверы в качестве бастионных хостов. Здесь под бастионом (bastion) мы подразумеваем хорошо укрепленную (fortified -фортификацированную) позицию. В применении к хостам в сети фортификацирование включает укрепление операционной системы и приложений наилучшим для этого способом. Как показывает опыт зарегистрированных атак, эти серверы не всегда в достаточной мере фортификацированы; на самом деле они бывают уязвимыми, вопреки их защищенности брандмауэрами. Как профессионалы в области безопасности, мы вынуждены укреплять защиту этих хостов, поскольку они являются мишенью для большинства атак и буквально весь мир через них видит вашу организацию.
71.Эшелонированная защита (DefenseinDepth)
Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке.
Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.
Должным образом защитить сеть могут многие компоненты, работающие совместно. Эшелонированная (многослойная, многоуровневая) защита (defenseindepth), представляет собой совокупность уровней таких компонентов, в которой возможности каждого компонента выполняют свои функции должным образом. Эта технология является гибкой в том смысле, что позволяет выбирать компоненты, соблюдая при этом технические ограничения, ограничения бюджета и ограничения в политике, и комбинируя их таким способом, который бы не подверг риску общую безопасность или степень использования сети.
72.Внутренняя сеть
Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес.
Как часто говорят администраторы: "Мы можем доверять нашим людям". Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети!
Во внутренней сети мы можем иметь следующие устройства "периметра", которые способны остановить атаку взломщика:
- входящая и исходящая фильтрация на каждом маршрутизаторе;
- внутренние брандмауэры для разделения ресурсов;
- прокси для повышения производительности и безопасности;
- детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью;
Внутри мы можем использовать следующее:
- персональные брандмауэры;
- антивирусное ПО;
- укрепление операционной системы;
- управление конфигурацией;
- аудиты
Внутренняя сеть - это сеть предприятия, которая не подключена кИКС напрямую и компьютеры которой выходят в интернет через ИКС.
74. Концепция пакетной фильтрации. Примеры
Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.
Маршрутизатор Cisco в качестве пакетного фильтра
На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.
Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе.
76. Компоненты безопасности клиентских компьютеров и их назначения
Компоненты безопасности клиентских компьютеров
77. Политикапаролей. Примеры
Политика паролей
Примеры:
Политика паролей SqlServer:
Сложность пароля.
Политикасложностипаролейпозволяетотражать атаки, использующиепростойперебор, путемувеличения числа возможныхпаролей. Еслиприменяетсяполитикасложностипаролей, новыепаролидолжныудовлетворятьследующимтребованиям.
-прописныелатинскиебуквы (А-Z)
-строчныелатинскиебуквы (a-z)
-цифры (0-9)
-следующиесимволы: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).
Паролимогутиметьдлину до 128 символов. Рекомендуетсяиспользовать максимально длинные и сложныепароли.
Надежность пароля
При выборе пароля всегдаследует проявлять особуювнимательность. Надежный пароль имеетследующие характеристики:
Истечениесрокадействия пароля.
Политикаистечениясрокадействияпаролейиспользуется для управленияпродолжительностьюдействия пароля. Когда SQL Server применяетполитикуистечениясрокадействияпаролей, пользователиполучаютуведомления о необходимостиизменениястарыхпаролей, а учетные записи с истекшимсрокомдействия пароля отключаются.
78.Защита данных в рабочих местах. Примеры
Защита данных
Примеры:
BitLocker Drive Encryption —технология, являющаясячастьюоперационныхсистем Microsoft Windows Vista Ultimate/Enterprise, Windows 7Ultimate/Enterprise, Windows Server 2008 R2 и Windows 8.BitLocker позволяет защищать данные путём полного шифрования диска(ов) (логических, с Windows 7 - и карт SD и USB-флешек) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:
Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных. Цифровая подпись используется для аутентификации цифровой информации — например, документов, сообщений электронной почты и макросов — с помощью методов компьютерной криптографии. Цифровые подписи помогают удостоверить следующее:
Как цифровые подписи используются в документах Office?
Цифровыми подписями можно воспользоваться для подписи документов Office двумя различными способами:
Добавление одной или более строк подписи в документ
Строка подписи выглядит как обычное место для подписи в печатном документе, но действует по-другому. Когда строка подписи вставлена в документ Office, автор документа может предоставить сведения о предполагаемом лице, которое будет подписывать документ, а также поместить инструкции для этого лица. Когда электронная копия документа отправлена лицу, которое будет его подписывать, последний видит строку подписи и уведомление о том, что требуется его подпись. Можно щелкнуть строку подписи и поставить цифровую подпись в документе. Затем можно впечатать подпись, выбрать цифровое изображение своей подписи или подписать документ вручную, используя графические возможности планшетного компьютера. Одновременно с появлением в документе видимого представления подписи добавляется цифровая подпись для удостоверения личности подписавшего. После того как в документе появилась цифровая подпись, он становится доступен только для чтения, чтобы не допустить внесение изменений.
Добавление невидимой цифровой подписи в документ
Если нет необходимости вставлять видимые строки подписи в документ, но требуется гарантировать подлинность, целостность и происхождение документа, добавьте невидимую цифровую подпись в документ. Такие подписи можно добавить в документы Word, книги Excel и презентации PowerPoint.
В отличие от строки подписи невидимая цифровая подпись не видна в содержимом документа, но позволяет получателю документа определить, что документ имеет цифровую подпись, отобразив ее или отыскав кнопку подписи в строке состояния внизу экрана.
Служба управления правами ActiveDirectory (ADRMS; ее роль появилась в WindowsServer 2008, ранее RightsManagementServices были доступны как отдельный компонент) – одно из самых доступных IRM-решений, так как идет в составе довольно популярной в компаниях ОС и замечательно интегрируется с остальными компонентами. То есть для внедрения ADRMS не требуются дополнительные финансовые вливания и работа с напильником для интеграции в существующую инфраструктуру. Например, при работе с SharePoint нет необходимости вручную назначать разрешения на каждый документ, так как разрешения применяются на уровне библиотеки. Кроме того, WindowsServer 2008 R2 включает в себя FileClassificationInfrastructure, что позволяет автоматизировать классификацию файлов на основании местоположения, владельца или создателя файла, содержимого, размера и других параметров.
AD RMS позволяетзадаватьследующиеразрешениянаработу с файлами: Full Control, View, Edit, Save, Extract, Export, Print, Allow Macros, Forward, Reply, Reply All, View Rights. ADRMS по умолчанию может работать со следующими типами документов:
79.Концепция защиты мобильных компьютеров в корпоративных сетях. Примеры
Мобильные компьютеры
Примеры:
Карантин службы удаленного доступа:
Компонент NetworkAccessQuarantineControl
Компонент NetworkAccessQuarantineControl (NAQC) на сервере политики сети обеспечивает поэтапный доступ к сети для удаленных клиентских компьютеров, ограничивая их работу режимом карантина. После того как конфигурация клиентского компьютера станет считаться соответствующей политики сети организации, ограничения карантина (IP-фильтры карантина и таймеры сеанса карантина) снимается, и в отношении подключения начинает действовать стандартная политика сети.Компонент NAQC обеспечивает защиту сети в том случае, если пользователь в организации случайно изменил ключевые параметры и не восстановил их перед подключением к сети. Например, пользователь мог отключить антивирусное программное обеспечение, которое обязательно должно быть подключено при работе в сети. Хотя компонент NAQC не предоставляет защиту от атак, конфигурации компьютера для авторизованных пользователей могут быть проверены и при необходимости исправлены перед предоставлением им доступа к сети. Также доступен параметр таймера, позволяющий указать промежуток времени, по истечении которого подключение разрывается, если конфигурация клиентского компьютера не соответствует предъявляемым требованиям. Для обработки параметров RADIUS, отправленных сервером политики сети, выполнения работы по изменению конфигурации клиента и снятию ограничений карантина (либо разрыва подключения) в зависимости от результатов проверки конфигурации можно использовать службу маршрутизации и удаленного доступа.
Аутентификация в беспроводных соединениях
Opensystemauthentication
В случае если используется аутентификация типа OpenSystem, то клиент отсылает точке доступа запрос с её идентификатором (MAC-адресом). Точка доступа проверяет, проходит ли клиент по списку MAC-адресов (если он включен), затем соответствие WEP-ключей (если включено WEP-шифрование). Поддерживается роуминг между точками доступа.
Используемые шифры: без шифрования, статическийWEP, CKIP.
Sharedsystemauthentication
В этом случае клиент отсылает запрос на соединение к точке доступа. Затем точка доступа отсылает клиенту последовательность, которую он шифрует и отсылает обратно. Если последовательность зашифрована верно, то аутентификация проходит успешно. Внимание! В этом варианте защита слабее, чем в случае OpenSystem!
Используемые шифры: без шифрования, динамическийWEP, CKIP.
Cisco centralized key management (cckm)
Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа.
Используемые шифры: WEP, CKIP, TKIP, AES-CCMP
80.Иерархия организационных подразделений
Организационные подразделения (organizationalunits — OU) являются логическими контейнерами, обычно используемыми для определения департаментов или других отделений.Если необходимо определить административную структуру департамента или отдела компании, вместо доменов можно воспользоваться подразделениями.Использование организационных подразделений позволяет быстро группировать пользователей и компьютеры для упрощения процесса администрирования. Некоторым пользователям даже можно предоставить возможность управления объектами, входящими в подразделение.Например, в подразделении “SupportManager” можно предоставить право создания и удаления учетных записей и сброса паролей пользователей. Это делается с помощью Мастера делегирования управления (DelegationofControlWizard). Предоставление пользователю необходимых прав администратора позволяет упростить администрирование в пределах предприятия, не снижая общий уровень безопасности.Как и в случае доменов, подразделения могут иметь дочерние подразделения. Но подразделения отличаются от доменов отсутствием общего пространства имен.Кроме делегирования административных привилегий и логической организации объектов по департаментам и отделениям, настройка подразделений позволяет связать развертывание объектов групповых политик с определенными департаментами и группами пользователей.
81.Административные шаблоны и шаблоны безопасности
Административные шаблоны -готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик.
Шаблоны безопасности-Готовые наборы параметров безопасности для импорта
в объекты Групповых политик.
Каждый шаблон представлен в 2 версиях:
При помощи оснастки «Шаблоны безопасности» можно создать политику безопасности для компьютера или сети. Используя эту единственную оснастку, можно управлять всей безопасностью системы. Оснастка «Шаблон безопасности» не предоставляет новых параметров безопасности, а упорядочивает и создает удобный доступ ко всем имеющимся атрибутам безопасности, упрощая администрирования. При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена, так как безопасность настраивается для домена или подразделения только один раз.
Шаблоны безопасности можно использовать, чтобы определить представленные далее элементы.
Примерыстандартных шаблонов вWindows:
82.Иерархия подразделений и применение шаблонов
Смотри вопрос 80 и 81
83.Параметры безопасности
Параметры безопасности
Политика паролей-правила и ограничения для создания и смены паролей.
Политика блокировки учетной записи-критерии для отключения учетной записи при многократных неуспешных попытках регистрации
Политика аудита-параметры, определяющие ведение аудита для различных типов событий
Журнал регистрации-растройки журнала регистрации: максимальный размер журнала, права доступа к журналам
Файловая система-разрешения и аудит доступа к файловым объектам
Политики IPSec-настройки фильтров IPSecurity
Настройки реестра-разрешения и аудит доступа к ключам реестра
Ограниченные группы-указания, какие учетные записи могут являться членами групп
Параметры безопасности-Набор настроек, определяющих безопасность компьютеров
Политика ограничений на исполнение программ-правила, разрешающие или запрещающие исполнение определенных программ
Системные службы-режим запуска и права доступа для сервисов
Права пользователей -указания, каким учетным записям разрешены определенные операции
84.Локальные политики безопасности рабочих станций
Для рабочих станций, которые не включены в домен ActiveDirectory,управлениенастройками безопасности происходит через Локальную политику.
Примеры
Доступ к данному компьютеру из сети-определяет пользователей и группы, которым разрешено подключаться к компьютеру через сеть. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются следующие: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.
Резервные файлы и каталоги-определяет пользователей, которые могут игнорировать разрешения файлов и каталогов в целях резервного копирования данных системы. Действие этой привилегии аналогично предоставлению пользователю или группе следующих разрешений для всех файлов и папок системы: проход по папкам/выполнение файла; просмотр папки/чтение данных; чтение атрибутов; чтение расширенных атрибутов; чтение разрешений. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена.
Создание файла подкачки-определяет пользователей и группы, которые могут создавать и изменять размер файла подкачки. Размер файла подкачки для данного диска указывается в параметрах производительности в окне свойств системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию возможность создания файлов подкачки имеется у администраторов.
Принудительное отключение с удаленной системы-определяет пользователям, которым разрешено отключать удаленный компьютер сети. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена; операторы сервера.
85.Лучшие практики защиты приложений. Примеры
86.Ограничения на исполнение программ
Ограничения на исполнение программ-политика, определяющая, какие программы можно запускать на компьютере.
Базовый уровень
Дополнительные правила
Хеш
Сертификат
Путь
Зона Интернет
87.Лучшие практики политики ограничения программ
88. Использование межсетевых экранов для защиты рабочих станций
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
89.Лучшие практики использования брандмауэров. Примеры
Internet Connection Firewall
Примеры политик:
90. Общая концепция анализа информационной безопасности сети предприятия
Рассмотрим, как в настоящее время обстоит вопрос обеспечения ИБ на предприятии связи. Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):
0 уровень:
ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
Финансирование отсутствует;
ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
Наиболее типичным примером здесь является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым часто является студент. Здесь главное, что бы все работало.
1 уровень:
ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
Финансирование ведется в рамках общего ИТ - бюджета;
ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
2 и 3 уровни:
ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
Финансирование ведется в рамках отдельного бюджета;
ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3 уровень отличается от 2-го следующим:
ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
Финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ бюджета;
ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).
Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-ми 3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы ит.п.
91. Планирование анализа сетевой безопасности
|
Фаза проекта |
Планируемые этапы |
|
Подготовка к анализу |
|
|
Анализ |
|
|
Обработка результатов |
|
|
Отчет об исследовании |
|
Отчет об анализе информации:
92. Сбор информации об организации для анализа безопасности
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:
Этапность работ по проведению аудита безопасности информационных систем
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:
Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.
Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.
Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:
Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:
Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:
Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):
Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
На этом этапе аудитору необходимо запастись следующей документацией:
93. Тест на проникновение
Задачи теста на проникновение
Сегодня, когда защита информационных ресурсов компании является необходимым требованием бизнеса, появившаяся несколько лет назад на российском рынке услуга «тест на проникновение» позволяет получить объективную оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта вашей компании, каким способом и через какие уязвимости. Тест на проникновение представляет собой частичное моделирование действий злоумышленника по проникновению в вашу информационную систему. Таким образом, проводимые работы позволяют обнаружить уязвимости в сети и, если это возможно, осуществить показательное проникновение, реализовав найденные уязвимости.
Как проводится тест на проникновение
Этап 1. Утверждение с заказчиком режима тестирования
Режим тестирования – уровень информированности исполнителя о тестируемой системе и уровень информированности Заказчика о проведении теста на проникновение. В случае если о факте проведения теста на проникновения не знает никто кроме руководителей службы информационной безопасности, при этом стоит задача полностью имитировать действия злоумышленника, действуя максимально незаметно, не оставляя следов, удается проверить не только защищенность информационной системы, но и уровень оперативной готовности специалистов служб ИБ и ИТ. В случае если специалисты служб ИБ и ИТ проинформированы о проведении теста на проникновение, основная задача – обнаружить возможные уязвимости и оценить возможность проникновения в систему.
Этап 2. Подписание договора
В договоре отражаются все утвержденные условия работ, условия конфиденциальности информации, полученной в ходе тестирования, и ответственность сторон.
Этап 3. Выполнение теста на проникновение
Тест на проникновение в информационную систему Заказчика занимает не менее месяца работы команды аудиторов в области информационной безопасности. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в тривиальных случаях, когда уязвимости очевидны. В рамках теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему.
Объектами тестирования, как правило, являются корпоративная сеть по внешнему периметру IP-адресов и/или сайт. Помимо технологических проверок в процессе внешнего теста на проникновение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной инженерии путем почтовой рассылки на адреса электронной почты пользователей специализированно сформированного сообщения. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика.
94. Что такое многоуровневая защита?
Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором – о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но не единственной) линией обороны. Первой – если смотреть на мир глазами внешнего злоумышленника. Последней – если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.
Межсетевой экран – идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой.
На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).
В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование(рис.3). Первичная фильтрация (например, блокирование пакетов управляющего протокола SNMP, или пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором, за которым располагается так называемая демилитаризованная зона(сеть с умеренным доверием безопасности – Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.
Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным. Однако на практике при доминирование семейства протоколов TCP/IP поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).
И внешний, и внутренний межсетевой экран может стать узким местом по объему сетевого трафика. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированныхсерверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, при анализе HTTP-трафика. Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов (Proxy), что снижает нагрузку на сеть вообще и основной МЭ в частности).
Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.
Противоположностью составным корпоративным МЭ являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на ПЭВМ и защищают только их, вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.
95. Для чего выполнять анализ безопасности?
Актуальность и важность проблемы обеспечения информационной
Безопасности обусловлены следующими факторами:
• Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.
• Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров. А следующий миллиард будет достигнут уже в 2009 году.
• Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем. По неофициальным данным до 70% всех противо нарушений, совершаемых так называемыми хакерами, приходится на долю script-kiddies, в дословном переводе - дети, играющиеся со скриптами. Детьми их называют, потому что они не являются специалистами в компьютерных технологиях, но умеют пользоваться готовыми программными средствами, которые достают на хакерских сайтах в Интернете, для осуществления деструктивных действий.
• Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средства автоматизации;
По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде - текстовых файлах, таблицах, базах данных.
• Многочисленные уязвимости в программных и сетевых платформах;
96. Планирование анализа безопасности
смотрите 92 билет.. одно и то же!
97. Определение диапазона анализа безопасности.
Определение целей сканирования. Определение целей сканирования на наличие уязвимостей включает в себя предварительное понимание того, что установлено у Вас в сети.Понимание этого дает типы уязвимостей, которые можно искать и соответствующие им типы сканеров уязвимостей, кторые будут использоваться в проекте.Чтобы было проще определить цели, разделите вашу сеть на компоненты, такие как: сетевые сегменты; сетевые устройства; операционные системы; приложения.
Диапазоны целей сканирования. The target area can include the following types of scans including components such as the timeline for the assessment:
Определение временных рамок анализа.
Определение типов уязвимостей, на наличие которых будем сканировать. After you determine the target of your project, including which devices, operating systems, and applications will be scanned and the size and shape of the scanning, you should define the types of vulnerabilities for which you will scan. For example, if you decide to scan all servers for Windows 2000 and Windows Server 2003 on three specific subnets, you might decide to search only for susceptibility to exploits of known product vulnerabilities.
В конце фазы планирования, Вы получите набор условий, которые определят рамки проекта, обеспечат его цели, и определят набор используемых технологий
98. Типы анализа безопасности
Каждый тип анализа безопасности требует определенных знаний от людей, проводящих тестирование.
Наиболее популярные типы анализа безопасности:
Сканирование уязвимостей. Это базовый уровень анализа безопасности, требующий минимального привлечения экспертов. Этот способ дает возможность определить хорошо известные и понятные уязвимости. Обычно выполняется с помощью специальных программ, однако могут быть автоматизированы и с использованием пользовательских сценариев. Результат сканирования зависит от качества используемых программ.
Тестовое проникновение (penetrationtesting=pentesting). Этот способ тестирования наиболее сложен, и требует привлечения высококвалифицированных и заслуживающих доверия экспертов. Здесь акцент делается на поиске известных и неизвестных уязвимостей сети в целом, также включая уязвимости, вносимы сотрудниками и организационными процессами. Тестирование вторжением может сообщить сетевым администраторам, ИТ-менеджерам, и руководству о возможных последствиях взлома сети. Из-за того, что единственное отличие между реальным взломщиком и тестером состоит только в намерениях, к таким тестам нужно относиться с повышенным вниманием. Тестовый взлом, выполненный непрофессионально, может привести к сбоям сетевых сервисов и приостановке нормальной работы предприятия..
Аудит безопасности IT. Здесь фокус находится на сотрудниках и бизнес-процессах. Хорошо выполненный аудит безопасности IT может сообщить, есть ли в организации все компоненты, необходимые для построения безопасной компьютерной среды. Это важный элемент анализа безопасности, позволяющий установить соответствие организации государственным законодательным документам.
99. Использование сканирования уязвимостей для анализа сетевой безопасности
100. Использование тестового проникновения для анализа сетевой защищенности
Грамотные взломщики-тестеры редко пытаются провести тестовую атаку в произвольном направлении. Такие действия можно признать неэффективными, пожирающими время, и результаты такого исследования высокой вероятностью могут ввести в заблуждение. Кроме того, непродуманный заранее тестовый взлом может привести к сбоям в работе сети. Следуя следующей методологии Вы повышаете шансы найти максимальное число уязвимостей и уложиться в отведенное для тестирования время. Кроме того, эта методология по сути это является основой для отчета, написание которого становится несравненно проще.
Дайте рекомендации (Makerecommendations). Чем понятнее вы объясните администраторам, как вы смогли скомпрометировать сеть- тем лучше они смогут сделать необходимые улучшения в защите. Подробное документирование методов, использованных в процессе тестирования (вне зависимости от их успешности при взломе сети) может быть использовано для определения областей, в которых Вашей организации стоит повысить уровень безопасности.
101. Что такое неагрессивная атака?
102. Техника информационной разведки
Информационная разведка это процесс сбора информации о целевой системе без фактического взлома. Эта информация полезна взломщику, так как дает ему представление о вашей компании и на что направить его усилия.
Основные типы разыскиваемой взломщиком информации:
Конфигурация системы. Знание системной конфигурации поможет взломщику спланировать метод атаки, который он будет применять.
Действующие учетные записи пользователей. Может пригодится для атак на пароили методом грубой силы (перебора).
Контактная информация. Рабочие телефоны и имена сотрудников будут полезны для атак методом социальной инженерии.
Ресурсы экстранет и сервера удаленного доступа. Экстранет и сервера удаленного доступа дуют сотрудникам и деловым партнерам доступ к внутренним сетевым ресурсам во время работы вне офиса. Известно о дурной славе слабых паролей учетных записей, принадлежащих деловым партнерам. Взломщики знают об этом и пытаются использовать в своих интересах.
Деловые партнеры, слияния и поглощения.Когда объединяется бизнес, компьютерные сети также объединяются. Это сложная задача, и если выполнить ее без должной аккуратности, можно создать уязвимости в итоговой объединенной сети, которые затем станут легкими точками доступа для взломщиков.
Информация о Вашей сети может быть получена из:
Запросов в каталоги. Хорошим началом для взломщика, желающего узнать основную информацию о Вашей компании: место расположения, контактную информацию- связаться с регистратором домена. www.internic.com/whois.html, www.ripn.ru
Выяснения выделенныхIP-адресов. http://www.arin.net.
Корпоративного веб-сайта. На Вашем сайте должна быть только та информация, которая без всякого риска может быть предоставлена для открытого просмотра.
Поисковых машин. Поисковые машины- отличный инструмент для поиска информации о предмете пристального изучения. Простой поиск по имени Вашей компании даст груду полезной для взломщика информации о деловых партнерах, слияниях, информации о сетевых узлах, списках рассылки. Поисковые машины также могут оповестить об ошибках в настройке веб-сервера.
Открытых форумов. Такие форумы, как группы новостей NNTP, Usenet, IRC- отличный способ поделиться информацией. Сотрудники, отсылающие вопросы с просьбой совета в устранении неполадок создают реальный риск для компании, так как могут выдать секретную информацию о применяемых системах и сетевой конфигурации.
103. Какая информация может быть получена из сканирования портов?
104. Защита информации о конфигурации сетевого узла
Подсистема мониторинга
Аналитическая подсистема
Подсистема прогнозирования
Хранилище данных Проект модели данных
Сканирование уязвимостей:
Типы анализа безопасности
Тестовое проникновение:
Аудит IT- безопасности:
Определение диапазона анализа безопасности