Защита от несанкционированного доступа
Разделяемая среда предоставляет очень удобную возможность для несанкционированного прослушивания сети и получения доступа к передаваемым данным. Для этого достаточно подключить компьютер с программным анализатором протоколов к свободному разъему концентратора, записать на диск весь проходящий по сети трафик, а затем выделить из него нужную информацию.
Разработчики концентраторов предоставляют некоторый способ защиты данных в разделяемых средах.
Наиболее простой способ - назначение разрешенных МАС-адресов портам концентратора. В стандартном концентраторе Ethernet порты МАС-адресов не имеют. Защита заключается в том, что администратор вручную связывает с каждым портом концентратора некоторый МАС-адрес. Этот МАС-адрес является адресом станции, которой разрешается подключаться к данному порту. Например, на рис. 9.8 первому порту концентратора назначен МАС-адрес 123 (условная запись). Компьютер с МАС-адресом 123 нормально работает с сетью через данный порт. Если злоумышленик отсоединяет этот компьютер и присоединяет вместо него свой, концентратор заметит, что при старте нового комльютера в сеть начали поступать кадры с адресом источника %89. Так как этот адрес является недопустимым для первого порта, то эти кадры фильтруются, порт отключается, а факт нарушения прав доступа может быть зафиксирован.
Заметим, что для реализации описанного метода защиты данных концентратор нужно предварительно сконфигурировать. Для этого концентратор должен иметь блок управления. Такие концентраторы обычно называют интеллектуальными. Блок управления представляет собой компактный вычистительный блок со встроенным программным обеспечением. Для взаимодействия администратора с блоком управления концентратор имеет консольный порт (чаще всего RS-232), к которому подключается терминал или персональный компьютер с программой эмуляции терминала. При присоединении терминала блок управлепия организует на его экране диалог, с помощью которого администратор вводит значения МАС-адресов. Блок управления может поддерживать и другие операции конфигурирования, например ручное отключение или вкцючение портов и т.д. Для этого при подключении терминала блок управления выдает на экран некоторое меню, с помощью которого администратор выбирает нужное действие.
Другим способом защиты данных от несанкционированного доступа является их шифрация. Однако процесс истинной шифрации требует большой вычислительной мощности, и для повторителя, не буферизующего кадр, выполнить шифрацию на лету весьма сложно. Вмесго этого в концентраторах применяется метод случайного искажения поля данных в пакетах, передаваемых портам с адресом, отличным от адреса назначения пакета. Этот метод сохраняет логику случайного доступа к среде, так как все станции видят занятость среды кадром информации, но только станция, которой послан этот кадр, может понять содержание поля данных кадра (рис. 9.9). Для реализации этого метода концентратор также нужно снабдить ипформацней о том, какие МАC-адреса имеют станции, подкчюченные к его портам. Обычно поле данных в кадрах, направляемых станциям, отличным от адресата, заполняются нулями.
- Функции и характеристики сетевых адаптеров
- Классификация сетевых адаптеров.
- Основные и дополнительные функции концентраторов
- Отключение портов
- Поддержка резервных связей
- Защита от несанкционированного доступа
- Многосегментные концентраторы
- Управление концентратором по протоколу snmp
- Конструктивное исполнение концентраторов
- Заключение
- Логическая структуризация сети с помощью мостов и коммутаторов