Стандарты безопасности защищенных сетей

Качественный выбор компонентов компьютерной сети и их правильная настройка очень важны, если мы говорим о сетевой безопасности предприятия. Но задача обеспечения полной безопасности не ограничивается только существующей физической инфраструктурой.

Семиуровневая модель OSI описывает взаимодействие систем объединенных в сеть. Согласно ей, в существующей физической сети можно создавать виртуальную сеть VPN, или даже множество оверлейных сетей (сети поверх сети). Использовать оверлейные сети можно и для сокрытия конфиденциальных данных.

Аналогией из реальной жизни является полицейский и законопослушный гражданин. Если такой гражданин работает домашним мастером, то ему наверняка, приходится ходить с молотком, плоскогубцами, кусачками и прочим оборудованием. Если свои инструменты он будет нести в руках, то полицейскому и окружающим людям это покажется подозрительным. Правда ведь, очень странно видеть улыбчивого парня с молотком, рядом с кассой, в продуктовом магазине? Он может улыбаться, но это не придаст ему доверия, потому что есть общепринятые правила поведения.

безопасность окружающих
Правовой казус

В компьютерной инженерии протокол — это общепринятое правило регулирующее определенную деятельность. В реальной жизни есть правило, согласно которому, молоток кладут в чемодан для инструментов. Также протоколом можно считать слова из известной песни Михаила Шафутинского: «Говорила мама мне: «Не ешь с ножа – будешь злым»». Протоколов много и каждый человек может создать свой, но ваш молоток держите подальше от кассира и полицейского.

В контексте сетевой инженерии, чемоданчиком для инструментов является стек протоколов TCP/IP. Все возможности, стандарты, характеристики, требования, предложения касательно использования общепринятых технологий описаны в RFC (аббревиатура Request for Comments). Всех их не перечислить в данном обозрении, поэтому будут рассмотрены только некоторые RFC относящиеся к выбранной теме.

Коротко о стандартах

Степень зрелости

Прежде чем стандарт станет общепринятым он должен созреть. На первом уровне зрелости стандарт называется — «Предложенным стандартом«. Это значит что он готов к внедрению, но может быть пересмотрен. Поводом к пересмотру может быть выявленный недостаток. Некоторые Интернет протоколы до сих пор имеют данный статус, несмотря на то, что их используют миллионы.

До 2011 года следующим этапом был проект стандарта. Когда стандарт частично созрел и имеет перспективы стать основой для других стандартов, необходимо его более конкретизировать и унифицировать.

И наконец, самая совершенная форма — «Интернет стандарт». После 2011 года в RFC 6410 «Проект стандарта» и «Интернет стандарт» объединили. Этот уровень характеризуется более жесткой унификацией, когда все возможные реализации «Предложенного стандарта» сравнивают и обобщают.

Нестандартные степени зрелости

В RFC 2026 введены нестандартные уровни зрелости: «Экспериментальный«, «Информационный» и «Исторический«. «Экспериментальный» — используется для экспериментов результат которых может привести к созданию стандарта. «Информационный» — определяет спецификации которые не всегда могут быть согласованы с обществом создающим стандарты. «Исторический» — документ, который забыт и не представляет практической пользы.

Исторические документы необходимы для избежания повторения ошибок прошлого опыта. Они имеют познавательный характер и помогают осмыслить и рационализировать путь производства других стандартов.

Уровни модели OSI и безопасность

Открытая модель взаимодействия систем [OSI, RFC 1122], о которой было сказано выше, является устоявшимся «Интернет стандартом». Все производители оборудования берут его содержимое во внимание. Без всего этого, ничего бы не работало должным образом.

  1. Физический
  2. Канальный
  3. Сетевой
  4. Транспортный
  5. Сеансовый
  6. Представления
  7. Прикладной

Для каждого из этих слоев существуют особые требования к безопасности. Они зависят от выбранной среды передачи, возможностей оборудования и специфики его эксплуатации.

Физический слой

На физическом уровне мы рассматриваем среды передачи и сигналы. Через среду передачи идут сигналы. Сигнал — это перемена состояния среды во времени. Сигналы имеют свойство затухать на расстоянии. В некоторые среды легко вмешаться и перехватить или исказить информацию, в другие наоборот очень сложно и проблематично.

С точки зрения безопасности, выбор среды играет главную роль, ведь она составляет большую часть пространства через которое проходит сигнал. Так выбрав в качестве среды радио волны, вы рискуете получить отказ в обслуживании.

Относящиеся стандарты и другая полезная информация:

RFCПолное название
1983Глоссарий
пользователей
Интернета

Стандарты RFC недостаточно информативно описывают первый уровень модели OSI. Более детально он описан стандартами института инженеров электротехники и электроники IEEE 802.

Беспроводная связь

Если вы увлекались радиотехникой, то наверняка знаете что не слишком сложно создать свой собственный электрический контур для передачи сигналов. На сегодняшний день, китайская промышленность выпускает массово множество готовых «глушителей» сигналов, или джеммеров.

С точки зрения законодательства некоторых стран использование подобных вещей может расцениваться как вмешательство в роботу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей. Данная статья только констатирует факт незащищенности подобного рода сетей и не является прямым, или косвенным призывом к действию.

Тем не менее, среди очень богатых людей на западе их использование является весьма распространенной практикой. Почему, спросите вы? Да очень просто, все объясняется стремлением обезопасить себя от беспилотных летающих аппаратов (БПЛА). Все дроны, за исключением автономных и полу-автономных работают только на радиоуправлении. Иногда БПЛА используют для слежения, а иногда как в случае с Венесуэльским президентом Николасом Мадуро. Вспомните, печальное событие в августе 2018 года…

Беспроводная связь
БПЛА

Слава Богу, президент Венесуэлы жив и здравствует. Но неприятности тот случай доставил многим сильным мира сего. В некоторых странах после этого даже запретили продажу беспилотников. Это конечно очень глупый запрет, ведь некоторые люди их используют для красивых фото с высоты птичьего полета.

Джеммеры работают на определенных частотах. Они могут быть универсальными, или для определенного диапазона радиосигналов: WiFi, GPS, 2G, 3G, 4G, 5G. Также различаются они по мощности сигнала. Для того чтоб обезопасить себя от БПЛА, покупают небольшие по мощности мультидиапазонные устройства которые своим сигналом покрывают только территорию владельца участка. Читайте также: Особенности борьбы с беспилотными летающими аппаратами

Основные недостатки:

  1. Сигнал можно заглушить;
  2. Сигнал может получить каждый в радиусе его действия (пусть и в зашифрованном виде, но это не приятно);
  3. Качество сигнала зависит от погоды;
  4. Положение откуда исходит сигнал можно определить.

Основные преимущества:

  1. Обладает высокой мобильностью;
  2. Позволяет сэкономить на кабелях.

Кабели с медными жилами

Наиболее распространенная среда передачи информации — это кабель с витой медной жилой, в простонародье известен как витая пара. Если вы живете в многоквартирном доме провинциального города, то скорее всего к вашему домашнему роутеру подсоединен кабель данного типа.

Кабеля с медными жилами могут быть экранированы и не экранированными. Экран (обертка из фольги) это защита от внешних электромагнитных полей. От физического вмешательства данный тип связи защищен чуть лучше, чем предыдущий. Для дополнительной защиты от физического вмешательства кабели внутри дома лучше укладывать в трубу из гофрированного пластика.

Основные недостатки:

  1. Немного дороже беспроводной связи;
  2. Отсутствие мобильности.

Основные преимущества:

  1. Медный кабель можно сгибать, и укладывать как хотите;
  2. Более защищен, чем беспроводная связь.

Волоконно-оптические линии связи

Самый надежный способ связи — это волоконно-оптические линии связи (ВОЛЗ). В качестве среды используются волокна сделанные из кварца. Оптический сигнал представляет собой луч лазера. Когерентное монохромное излучение расходится меньше чем обычный свет. Кроме того, волокна легируют оксидом германия GeO2 и некоторыми другими добавками. Эти добавки меняют показатель преломления среды. Обращаться с данным типом кабелей следует осторожно. Ограниченная гибкость делает их очень хрупкими.

Работать с медной витой парой, в отличии от оптического волокна, может каждый. Перекусить кабель, зачистить концы от изоляции, всунуть в штекер 8p8c и обжать кримпером. С оптикой все обстоит по-другому, установка, монтаж и ремонт существенно сложнее и дороже.

Основные недостатки:

  1. Самый дорогой способ связи;
  2. Ограниченная гибкость кабеля;
  3. Отсутствие мобильности.

Основные преимущества:

  1. Самый безопасный способ;
  2. Самый быстрый способ связи.

Этот уровень согласно IEEE 802 разделен на два подуровня: 1) MAC — регулирует доступ к разделяемой между взаимодействующими устройствами средой; 2) LLC — обеспечивает обслуживание сетевого уровня. Часть отправляемого сообщения на этом уровне называется кадром. Заголовок кадра содержит MAC-адреса отправителя и получателя.

На MAC-подуровне происходит решение проблем коллизии доступа к среде передачи. Коллизии возникают при попытке нескольких устройств использовать среду одновременно. Подобного рода задачи решаются при помощи следующих схем доступа к среде: CSMA/CD, или CSMA/CA. На данном подуровне действует контроль качества услуг QoS (к заголовку кадра цепляется метка метка класса сервиса COS), технология VLAN, MAC-фильтрация, протоколы маршрутизации STP и SPB.

На LLC-подслое происходит мультиплексирование протоколов. Иначе говоря, на одном физическом канале связи могут быть несколько логических каналов (отсюда и название Logical Link Control). Суммарная пропускная способность физической среды разделяется между всеми логическими каналами в зависимости от QoS-метки приоритета.

ASCII коды символов тестового сообщения

БукваHELLO
Код7269767679

Протоколы канального уровня поддерживают в основном только выявление ошибок и отмену ошибочных кадров. Ошибки проверяются по контрольной сумме путем складывания числовых значений переданных символов и проверочного поля полученного кадра (смотреть стандарт ISO/IEC 3309:1993).

Поле кадра содержащего контрольную сумму называется FCS и имеет размер 2 байта. Повторная доставка кадра осуществляется только для беспроводных протоколов связи. Для протоколов проводной связи, например, Ethernet — повторная передача кадра не производится потому, что ошибок при передаче по проводах существенно меньше.

Существует большое количество протоколов канального уровня: PPP — протокол точка-точка; MLPP — многоканальный коммуникативный протокол; CDC — протокол компании CISCO для обнаружения хостов в сети; LLDP — протокол для обнаружения хостов в сети; NDP — протокол компании Nortel обнаружения хостов в сети, и множество других.

Относящиеся стандарты и другая полезная информация:

RFCПолное название
826Протокол разрешения
адресов Ethernet (ARP)
1661Протокол точка-точка
(PPP)
2641VlanHello спецификация
протокола от Cabletron’а
5517Приватные VLAN в
оборудовании CISCO:
Масштабируемая
безопасность
в мультиклиентской
среде
3069Агрегация VLAN
для эффективного
распределения
IP-адресов
4562Принудительная
MAC-пересылка:
Способ разделения
абонентов в сети
доступа Ethernet
4957Уведомления о событиях
канального уровня для
обнаружения сетевых
вложений
4719Транспортировка фреймов
Ethernet через протокол
туннелирования уровня
2 версии 3 (L2TPv3)

Эти стандарты переведены на множество языков. Будьте внимательны, переводы могут быть не всегда актуальными и содержать опечатки. Вот почему в этой статье не представлены конкретные ссылки. Если вас очень интересует какой-либо аспект, тогда читайте оригинал.

Безопасность на канальном уровне

VLAN

Хорошей практикой для организаций признается vlan-сегментирование сети. VLAN не изменяет заголовок кадра, вместо этого 4 байтовый vlan-тег ставится внутрь фрейма (смотреть стандарт IEEE 802.1Q). Даже если в сети имеется роутер, или свитч который не поддерживает vlan, он просто пропустит через себя этот кадр.

В учебниках CISCO рассказывают о автоматической конфигурации vlan и это очень удобно. Но если у вас есть достаточно времени, лучше настраивать все vlan-ы вручную не используя протоколы VTP и DTP. Протокол DTP имеет несколько режимов работы. Если на интерфейсе вашего свитча установлен режим авто транкинга (dynamic desirable), то злоумышленник может получить доступ ко всем недоступным vlan. Конечно, для этого он должен контролировать хотя-бы одну машину в вашей сети.

VPN (PPTP, L2TP)

На данном уровне OSI работает PPTP протокол реализующий оконечное шифрование. L2TP работает на данном уровне, но шифрование не реализовывает. Для шифрование используется связка L2TP (OSI слой 2) + IPsec (сетевой слой OSI).

Протокол PPTP признан ненадежным и из-за этого не будет подробно рассмотрен. Если ваш VPN провайдер поддерживает более безопасные протоколы используйте их. Например, протокол сетевого уровня модели OSI — IKEv2 (подробно что такое VPN описано ниже).

Протоколы обнаружения

Протоколы обнаружения LLDP и CDP очень полезны для автоматического обнаружения устройств и их возможностей. Если вы хотите ощутить все преимущества автоматической настройки VOIP-телефона и прочих устройств, то держите его включенным. Если злоумышленник получит контроль над одним из устройств в вашей сети, тогда он может быть использован для разведки вашей внутренней сетевой инфраструктуры.

Сетевой слой

Этот слой самый главный и отвечает за адресацию в Интернете. Основные функции: определение пути пакета и его направление. На этом уровне работает IP-адресация, которая разработана американской DARPA.

Помимо основных интернет протоколов (ipv4 и ipv6) на этом уровне работает ICMP-протокол. С ним вы сталкиваетесь когда посылаете пинг-сообщения при помощи команды ping. Эта команда посылает сообщения по указанному IP-адресу получателя. Получатель данного сообщения (IP-датаграммы), отправляет его содержимое назад. Пользовательская программа анализирует сходство и сообщает о качестве связи и процентном значении потерь.

Еще одной важной особенностью является возможность инкапсуляции ip пакетов. Идея инкапсуляции в том, чтоб упаковывать в пакет данных полезную нагрузку (payload, смотреть RFC 4303), или другой пакет (смотреть RFC 2003). RFC 4303 является частью группы протоколов ответственных за безопасность IPsec.

Network layer ip tunnel
Создание ipip туннеля в Linux

IP пакет в другом IP пакете создает IP туннель. На рисунке выше в терминале вы видите справку для команды создания туннелей реализующее предложенный стандарт RFC 2003 в Linux.

При проходе такого хитрого пакета большинство роутеров, кроме роутеров с поддержкой DPI (глубокой инспекцией пакетов), просматривают поле адреса главного пакета и не видят адрес назначения внутреннего пакета. Главный пакет доходит до адресата, распаковывается и содержимое внутреннего пакета идет дальше по своему адресу.

Относящиеся стандарты и другая полезная информация:

RFCПолное название
791Интернет-протокол
792Протокол управляющих
сообщений (ICMP)
2003IP инкапсуляция внутри IP
4303Протокол шифрования
сетевого трафика
(ESP, входит в группу
IPsec протоколов)
7359Утечки трафика из
туннеля виртуальной
частной сети (VPN)
уровня 3 в хостах/сетях
с двумя стеками
7296Протокол обмена
ключами в Интернете,
версия 2 (IKEv2)
6989Дополнительные
проверки Диффи-Хеллмана
для протокола обмена
ключами в Интернете
версии 2 (IKEv2)

Безопасность на сетевом уровне

VPN (IKEv2, L2TP+IPsec)

VPN, или виртуальная частная сеть — это сеть состоящая из территориально-разрозненных сетей объединенных в одну сеть. Данные пересылаемые через неё зашифрованы и проходят по так называемому «туннелю». Данное шифрование называется оконечным.

Туннель включает в себя промежуточные сетевые устройства, которые не могут подсмотреть зашифрованную информацию. На концах туннеля данные находятся в не зашифрованном виде и это значит что весь последующий трафик теоретически может быть просмотрен.

Обычно VPN применяется для обхода блокировок, или улучшения приватности. Но эффект очень часто может быть обратным. Безопасность зависит от выбора поставщика услуг VPN и доступных протоколов, размеров ключа, защищенности оконечных устройств и т.д.

vpn в Windows 10
Создание vpn подключения в Windows 10

С протоколом IKEv2, собственно как и с комбинацией L2TP + IPsec, вообще нет никаких заморочек. Все что вам надо это сделать следующие вещи: выбрать адрес vpn поставщика, назвать ваш интерфейс, выбрать тип соединения в свойствах интерфейса, нажать на значке сети в правом нижнем углу, кликнуть «Подключиться» и ввести имя и пароль пользователя на кого оформлена подписка.

подключения к VPN
Подключение по виртуальному vpn-интерфейсу

Стоит платная подписка около 15$ в квартал. Выгоднее конечно, заказывать на более длительный период, но если вы не уверенны в должном уровне обслуживания покупайте тарифный план на месяц, или на три. Я специально не советую поставщика услуг, потому что у каждого пользователя свои требования к качеству. Стоит заметить, что у некоторых дешевых VPN-сервисов есть одна интересная особенность, подписка для новых клиентов стоит дешевле, чем для постоянного пользователя.

Некоторые поставщики предоставляют готовые приложения-клиенты, которые облегчят переключения между VPN-серверами. Они часто созданы под Win, MacOS и что удивительно даже под Linux. Если всего этого нет, дается инструкция как сделать это вручную.

У истоков протокола обмена ключами IKEv2 [RFC 7296] стоит работник Microsoft Charlie Kaufman, член VPN консорциума Paul Hoffman, Yoav Nir из Check Point, независимый финский исследователь Pasi Eronen и еще один финн Tero Kivinen из INSIDE Secure. Как вы видите, все они представители известных организаций из разных стран мира и это внушает доверие.

Подводные камни VPN на сетевом уровне

Если VPN-приложение не имеет поддержки IPv6, тогда использование нескольких семейств адресации IPv4 и IPv6, может привести к утечкам трафика. Обратитесь к [RFC7359] и [RFC7123] для получения дополнительной информации.

ICMP протокол

ICMP протокол может быть использован для обнаружения устройств подключенных к вашей сети посредством команды ping. Большинство роутеров дают возможность отключить поддержку ICMP трафика внутри сети. Тем не менее лучше этого не делать. По умолчанию, пинги извне внутрь сети не проходят. А внутри сети ICMP-трафик отключать не рекомендуют. Выключение поддержки ICMP-пакетов может усложнить администрацию внутри больших сетей.

Транспортный слой

На транспортном уровне существуют основные протоколы: UDP и TCP. Слово «транспортный» означает главную его особенность доставлять пакеты на указанный порт. Каждая серверная-программа работающая с сетью использует свой порт, или порты (не путать с физическими портами на корпусе вашего ПК).

Если несколько серверных-программ используют один порт это вызывает конфликт. Программы-клиенты могут работать с одинаковым сетевым портом. Для примера, браузер является клиентской программой и работает в основном с портами 80 и 443. Вы можете открыть два и более браузеров и зайти на одинаковую страницу и это не вызовет конфликт.

В большинстве сетевых серверных приложений порт можно переопределить. Для примера, web-сервера apache и nginx могут сосуществовать на одном устройстве и задействовать разные порты, но это не практично. Кроме всего прочего, пользователю для доступа к порту отличному от 80-го придется писать в браузере после названия сайта символ двоеточия и номер порта. Впрочем, 65535 портов вполне достаточно.

UDP — это протокол пользовательских датаграмм. Датаграмма — это блок данных передаваемых между сетевыми устройствами без установления соединения. Этот протокол не гарантирует доставку пакета и правильную очередность, но он достаточно шустрый. На его базе можно создать свой собственный протокол.

TCP — это протокол управления передачей пакетов. В данном протоколе происходит установление соединения между отправителем и получателем. Данные переданные с его помощью, расфасовывается по пакетам, нумеруются и отправляются. Таким образом, использование TCP дает гарантию доставки в правильной очередности.

Соединение происходит после трехэтапного рукопожатия:

  1. Программа-клиент посылает SYN-флаг серверу и устанавливает случайный номер последовательности A;
  2. Серверное-приложение отвечает SYN-ACK. Номер подтверждающий принятие равен A+1. Номер пакета, который сервер пошлет клиенту устанавливается в случайное значение B;
  3. Программа-клиент шлет ACK с порядковым номером равным A+1 и номером пакета B+1.

Относящиеся стандарты и другая полезная информация:

RFCПолное имя
768UDP протокол
793TCP протокол
7323TCP-расширения
для высокой
производительности
8085Использование UDP

Что такое отброшенные пакеты?

Пакеты могут быть отброшены если:

  1. Использован сетевой фильтр и установлено правило отбрасывания определенных пакетов;
  2. Использован брандмауэр запрещающий получение пакетов через требуемый порт;
  3. Пакеты не правильно сформированы;
  4. Очередь пакетов в буфере ОС переполнена;
  5. Пакеты испорчены и контрольная сумма не совпадает.

Брандмауэры и сетевые фильтры борются с опасными пакетами словно иммунная система. Для неправильных пакетов возможны два решения: 1) отбрасывание пакетов (packet dropping); 2) отбрасывание пакета с информированием (packet rejecting).

packet dropping vs. packet rejecting
Работа брандмауэров и пакетных фильтров

Простое отбрасывание не рекомендуют применять, поскольку другая машина может сделать вывод что пакет потерялся и повторно пересылать его n-раз, тем самым создавая нагрузку на сеть. Некоторые говорят, что отбрасывание пакетов не даст враждебному пользователю понять что порт открыт. Это справедливо, но только при SYN-сканировании.

Хотя, более современные сканеры используют не только SYN-сканирование, но посылают ещё и свои фейковые пакеты.Что бы быть по-настоящему невидимым для врага, ответ от хоста должен быть одинаковым, независимо от того работает приложение или нет. Но тогда это усложнит подключение для честных пользователей.

Quick scan mode
Скриншот приложения Zenmap (быстрое сканирование)

Второй метод предпочтительнее, ведь он шлет ответное сообщение с отказом принятия пакета и его повторная передача не производится. Но таким образом, вы очень быстро дадите понять враждебному пользователю, что порт открыт и используется. Конечно, вы можете применять нестандартные порты для своих приложений и немного улучшить вашу безопасность.

команда ip в терминале Linux
Количество отброшенных пакетов и ошибок

В Windows 10 можно узнать количество опущенных пакетов командой netstat с опцией «-s». В терминале Linux для получения статистики введите команду ip —stats link (старого доброго ifconfig в Ubuntu 18.04 Bionic Beaver нет, Arch Linux перешел к управлению посредством Systemd ещё в 2014 году).

Если вам очень хочется посмотреть содержимое пакетов для контроля своей безопасности воспользуйтесь документами rfc и приложением wireshark. Правда для новичков она может показаться немного запутанной, но там довольно продвинутая система фильтрации и маркировки пакетов.

Где хранятся блоки получаемых и отправляемых данных?

Каждая операционная система хранит часть временных данных в буферах. Блоки получаемых и отправляемых данных имеют временную важность. Вот почему буфера для временных данных располагаются в ОЗУ вашего устройства.

размеры буферов
Установка размеров буферов для ОС Windows 10

В Linux задействованные сетевые параметры содержатся в файлах, которые вы можете найти в каталогах:

  • /proc/sys/net/core/
  • /proc/sys/net/ipv4/
  • /proc/sys/net/ipv6/
  • /proc/sys/net/netfilter/
  • /proc/sys/net/unix/

Тем не менее, их не редактируют вручную. Для редактирования параметров ядра, которые содержатся в папке /proc/sys/ применяют утилиту sysctl. Для настройки буфера приема данных введите в терминал:

sysctl -w net.ipv4.tcp_rmem=’4096 87380 8388608′ 

Первое значение, указанное в переменной tcp_mem, сообщает ядру . Ниже этого пункта стек TCP вообще не заботится о том, чтобы оказывать какое-либо давление на использование памяти различными сокетами TCP.

Второе значение указывает ядру, в какой момент начать снижать использование памяти, иначе неограниченный рост размеров динамически расширяемого буфера привел бы к отказу в обслуживании.

Последнее значение сообщает ядру максимальное количество страниц памяти, которые ОС может использовать. Если это значение достигнуто, потоки TCP и пакеты начинают отбрасываться, пока снова не будет достигнуто более низкое потребление памяти.

Как видите в Linux, в отличие от Windows 10 буферы динамические. Такая особенность ОС делает её гибкой и дает лучшие показатели производительности. Тюнинг параметров ядра может быть полезен в случаях:

  • Если вы увлекаетесь майнингом криптовалют;
  • Если вы поднимаете свой веб-сервер;
  • Если вы администратор датацентра.

Безопасность на транспортном уровне

Некоторые ошибочно приписывают к данному уровню модели OSI всем известный протокол безопасности TLS, но это неправильно и об этом поговорим ниже.

Безопасность на данном уровне регулируется правилами брандмауэров и пакетных фильтров. Они контролируют допустимый трафик, направления (внутрь/вне), сетевые сервисы и соответствующие им порты. Поступающие данные, в зависимости от правил, могут быть «разрешены», «отвергнуты», «опущены».

Что такое отброшенные пакеты?

Сессионный слой

Сессионный слой делится на несколько этапов. Перед началом сессии происходит обмен «рукопожатиями». Для каждого протокола он выглядит по разному, поэтому смотрите соответствующие документы RFC. Далее устанавливается сессия, которая может быть нормально остановлена, или экстренно прервана.

Относящиеся стандарты и другая полезная информация:

RFCПолное название
1928SOCKS версии 5
6066Расширения безопасности
транспортного уровня (TLS):
определения расширений
8448Пример трассировки
рукопожатия для TLS 1.3
8449Расширение предела
размера записи для TLS
8446Протокол безопасности
транспортного уровня
(TLS) версии 1.3
5923Повторное использование
соединения в протоколе
инициализации сессий
(SIP)

Безопасность на сессионном уровне

Одним из наиболее известных протоколов является SOCKS. Этот протокол активно используется в луковых TOR-прокси сетях.

Касательно TLS, нельзя точно сказать об уровне OSI. Согласно спецификации TLS [RFC 8446 смотреть пункт 1], существуют два протокола: 1) протокол рукопожатий; 2) протокол записей. На рисунке ниже, открыто приложение анализа сетевых пакетов wireshark и развернуты поля протокола рукопожатий. Образцы сетевых пакетов скачаны с сайта wireshark в виде pcap файла.

протокол рукопожатий TLS
Wireshark

С одной стороны, он находится на сессионном уровне (зеленый эллипс). С другой стороны, сжатие реализуется на уровне представления (синий эллипс). Хотя, во многих источниках, этот протокол приписывают сессионному уровню.

Слой представления

Слой представления ответственен за способы обработки данных. Он имеет дело с кодированием, декодированием, шифрованием, дешифрованием, сжатием, распаковкой и так далее.

Нижние уровни определяют специальные кодовые последовательности (delimeter symbols, separator symbols) для разграничения внутреннего содержимого пакетов. Во время спуска по модели OSI, на уровне представления такие символы экранируются, если они присутствуют, для избежания неправильной интерпретации пакета при проходе между сетевыми устройствами.

Уровень представления, в основном, транслирует данные между обычным представлением верхних уровней и унифицированным сетевым форматом передачи. Данные могут передаваться в разных форматах из разных источников. Таким образом, уровень представления отвечает за интеграцию всех форматов в стандартный формат для эффективной и действенной коммуникации.

Слой приложений

На нем работает dns благодаря которому вам не приходится вводить ip-адреса в адресную строку браузера и достаточно просто указать имя сайта. В случае, если ваш домашний внешний ip меняется, вы можете воспользоватся динамическим dns и иметь постоянный удаленный доступ к вашему домашнему ПК посредством ssh, или любого другого безопасного протокола.

Есть технология WakeOnLan, которая позволяет включить удаленный компьютер на расстоянии. Для этого вам надо включить пробуждение по сети в вашем UEFI, или BIOS. Ну и конечно сетевой кабель и кабель питания также должны быть подключены в соответствующие разъемы. Если у вас есть роутер, потребуется настроить его для пропуска wake-кадров из сети. Можете удивить кого-то из ваших близких внезапно включившимся ПК.

SSH — это протокол уровня приложений, который имеет множество клиентских и серверных реализаций с похожими названиями. Некоторые люди используют ssh для создания ssh туннелей, внутрь которого можно упаковать другой протокол RDP. Использование голого протокола RDP для трансляции картинки с рабочего стола очень опасно, но ssh-туннель делает его безопасным.

Перечислить все протоколы в данной статье невозможно. Достаточно сказать что протокол безопасного обмена данными https работает на данном слое [RFC 2818].

Относящиеся стандарты и другая полезная информация:

RFCПолное имя
2818HTTP через TLS
4253Протокол транспортного
уровня Secure Shell (SSH)
4388Динамический протокол
конфигурации хоста
(DHCP)
7235Протокол передачи
гипертекста (HTTP / 1.1):
аутентификация

Снова про VPN и приватность

Некоторые люди ошибочно полагают что VPN, или TOR сохранит их приватность. Но неграмотная настройка системы и выбор плохого vpn-провайдера может нивелировать уровень вашей приватности из-за утечек.

Основные наиболее распространенные пути утечек данных:

  1. DNS утечки;
  2. WebRTC и IP утечки;
  3. Расширения для браузеров.

Когда вы вводите имя сайта в адресную строку, вы обращаетесь к DNS серверу и он подставляет ip-адрес сайта. Имейте ввиду, что некоторые DNS сервера ведут лог ваших обращений к Интернет ресурсам. Если в настройках сетевых интерфейсов Windows 10 установлено «получить DNS автоматически», то вы пользуетесь dns предоставляемым вашим провайдером.

Для тестирования VPN сервисов на предмет утечек придумано множество онлайн сервисов. Некоторые из них не показывают действительную ситуацию с безопасностью и созданы только для раскрутки этих же сервисов. Для большей уверенности используйте Wireshark и прочие утилиты для анализа пакетов исходящих из вашей сети.

Также следует быть осторожным относительно популярных браузерных расширений. Тот факт, что их использует большинство совсем не значит что они безопасны.

Отцы основатели Интернета

Разработчики стандартов тоже люди. Они также как все люди имеют чувство юмора и тягу к прекрасному. Некоторые из них любят поэзию, так в RFC 1121 содержится ода посвященная очередям написанная Леонардом Кляйнроком в честь 20-ой годовщины ARPANET. Этот автор также написал следующие сочинения: «Прошлое это пролог», «Большой взрыв (рождение ARPANET)».

Но особое внимание, следует уделить отцу Интернета Винтону Грэю Серфу. Он написал стих в стиле Уильяма Шекспира «Розенкранц и Ethernet». Начало стиха звучит так: «Весь мир это сеть! А данные в нем — пакеты…». Перекликается с Шекспиром, не правда ли?

Выводы

Безусловно, цифровая грамотность обычного пользователя очень важна, ведь самая слабая часть любой компьютерной сети это человек. Но построение безопасной сети достаточно сложный вопрос, требующий должного внимания экспертов в области безопасности и аналитиков компьютерных систем.

В этой статье мы рассмотрели: сегментирование сетей на vlan-ы, создание туннелей в Windows 10 и Linux, изменение размеров системных буферов, использование Wireshark для анализа пакетов и многое другое.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *