С полем Options (Параметры) ситуация другая. Это поле переменной длины было убрано из IP-заголовка, чтобы его длина оказалась зафиксированной, но это не означает, что удалены также и параметры. Они могут быть заданы в поле Next Header (Следующий протокол), которое обычно обозначает другой протокол, такой как TCP или UDP. В этом случае параметры помещаются в область данных пакета, а в поле Next Header содержится указатель их положения. Благодаря отсутствию параметров в заголовке пакета (и тем самым сохранению длины заголовка постоянным) IP-пакеты обрабатываются намного быстрее.
В новом заголовок IPv6 могут содержаться следующие поля:
· Version (Версия) - 4-битное поле, обозначающее, как и в IPv4, версию протокола IP. В IPv6 всегда имеет значение 6;
· Traffic Class (Класс трафика) - 8-битное поле, предназначенное для тех же целей, что и поле Type of Service (Тип службы) в заголовке IPv4, хотя его спецификации еще не устоялись;
· Flow Label (Метка потока) - используется для обозначения различных потоков (flows) трафика. Позволяет задавать приоритеты обработки потоков. Окончательного определения потока еще нет. Это может быть более дорогостоящий трафик, либо трафик с аудио- или видеоданными;
· Payload Length (Длина данных) - 16-битное поле, указывающее число байт в блоке данных, который идет после заголовка;
· Next Header (Следующий заголовок) - служит для определения протокола более высокого уровня, которому IP передаст пакет для дальнейшей обработки. В данном поле применяются те же номера протоколов, что и в IPv4;
· Hop Limit (Счетчик сегментов) - максимально допустимое число сегментов. Каждый маршрутизатор, через который проходит пакет, уменьшает значение этого поля на единицу. Когда значение счетчика становится равным нулю, пакет отбрасывается;
· Source Address (Адрес отправителя) -- 128-битное поле с адресом отправителя пакета;
· Destination Address (Адрес получателя) - 128-битное поле с адресом получателя пакета.
Расширенные заголовки
Поле Next Header в 40-байтном заголовке фиксированной длины служит для обозначения типа заголовка, который будет расположен в начале области данных IP-пакета. Вспомним, что внутри пакета IP обычно находится пакет протокола более высокого уровня, такого как TCP или UDP, который имеет собственный заголовок. За счет применения IP-заголовка фиксированной длины обработка пакетов на маршрутизаторах и других сетевых устройствах намного ускоряется. Но поскольку некоторые поля были исключены из заголовка, для выполнения их функций должны быть предусмотрены другие методы.
Поэтому было разработано несколько типов так называемых расширенных заголовков (extension headers), которые также могут находиться в начале области данных IP-пакета. При этом поле Next Header указывает на расширенный заголовок. В качестве подобных заголовков допускается указывать следующие:
· Hop-by-Hop Options (Параметры, проверяемые на каждом узле);
· Fragmentation (Фрагментация);
· Routing (Маршрутизация);
· Authentication (Аутентификация);
· Security Encapsulation (Защита содержания);
· Encapsulation Security Payload (Безопасное закрытие содержания);
· Destination Options (Параметры получателя).
Первый тип расширенного заголовка (проверяемые на каждом узле параметры) обозначается нулевым значением поля Next Header. В этом заголовке находится информация, которую должна контролировать каждая система на пути пакета. На настоящий момент определен лишь один подобный параметр - Jumbo Payload (Большой пакет), то есть IP-пакет размером более 65535 байт. Взглянув на формат расширенного заголовка (рис. 3.3), мы увидим, что он, как и заголовок IPv6, содержит поле Next Header. Это позволяет вводить несколько расширенных заголовков, каждый из которых указывает на следующий.
Расширенному заголовку Fragmentation соответствует значение поля Next Header, равное 44, и этот заголовок вводится в том случае, если отправитель пакета понимает, что для передачи по сети сообщение должно быть фрагментировано. IPv6 пакеты не фрагментируются - эта возможность была удалена для ускорения обработки IP-пакетов. Любая фрагментация сообщения выполняется отправителем пакета, и данный расширенный заголовок предназначен для хранения информации об этом процессе, чтобы принимающий узел был способен корректно собрать сообщение.
94
Рис. 3.3. Формат расширенного заголовка
Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4. Здесь в заголовке задается один или несколько узлов, через которые должен пройти пакет на своем пути к месту назначения.
Расширенный заголовок Destinations Options (значение поля Next Header для которого равно 60) предназначен для записи информации, которую проверяет только получатель.
Значение 59 в поле Next Header говорит о том, что больше не осталось расширенных заголовков, которые необходимо проверить. Если размер области данных, указанный в поле Payload Length, превышает это значение, байты, оставшиеся после обнаружения заголовка с таким значением, будут игнорироваться.
Адресация IPv6
При переходе от 32 бит к 128 битам адресное пространство IPv6 астрономически увеличится по сравнению с IPv4.
В IPv6 существует три основных типа адресов:
· unicast (индивидуальный) - уникальный идентификатор определенного сетевого интерфейса;
· anycast (любой) - обозначает несколько интерфейсов. Пакет, направленный на адрес типа anycast, будет передан на ближайший интерфейс (определенный используемым протоколом маршрутизации), заданный этим адресом;
· multicast (групповой) - также указывает на несколько интерфейсов. Но в отличие от случая с адресом типа anycast, пакет, отправленный на адрес типа multicast, пересылается всем интерфейсам, обозначенным этим адресом.
Несмотря на то, что адрес типа unicast является уникальным идентификатором сетевого интерфейса, один интерфейс может иметь несколько unicast-адресов. Широковещательных (broadcast) адресов больше нет - их функциональность унаследовал тип адресов multicast.
КСО
Компьютерный сеть организации
ИБ
Информационная безопасность
ОС
Операционная Система
ПО
Программное Обеспечение
НСД
Несанкционированный доступ
СОИБ
Система обеспечения информационной безопасности
СУБД
Система управлением база данных
ЦП
Центральный Процессор
CA
Certification Authority
CGI
Common Gateway Interface
DHCP
Dynamic Host Configuration Protocol
DMZ
Demilitarized Zone
DNS
Domain Name System
DoS
Denial of Service
DSA
Digital Signature Algorithm
FTP
File Transport Protocol
GUI
Graphical User Interface
HTML
Hyper Text Markup Language
HTTP
Hyper Text Transfer Protocol
IDS
Intrusion Detection System
IIS
Internet Information Services
KSK
Key Signing Key
MAC
Media Access Control
Message Authentication Code
MD5
Message Digest v5
NAT
Network Address Translation
NTP
Network Time Protocol
OSI
Open System Interconnection
PKI
Public Key Infrastructure
RSA
Rivest, Shamir, Adleman
SEP
Secure Entry Point
SHA
Secure Hash Algorithm
SMTP
Simple Mail Transfer Protocol
SSH
Secure Shell
SSL
Secure Socket Layer
TOS
Trusted ОС
VPN
Virtual Private Network
URL
Uniform Resource Locator
REP
Robots Exclusion Standard
IE
Internet Explorer
SSI
Server Side Includes
ASP
Active Server Pages
ISP
Internet Service Provider
1. О.Р. Лапонина. Межсетевое экранирование. «ИНТУИТ», М., 2009;
2. Т.В. Оглтри. Firewalls. Практические применение межсетевых экранов. «ДМК», М., 2008;
3. Девид Чемпен, Энди Фокс. Брандмауэры Cisco Secure PIX. «Вильямс», М., 2009;
4. Т.А. Биячуев. Безопасность корпоративных сетей. Спб., 2008;
5. А.Ю. Щеглов. Защита компьютерной сети от несанкционированного доступа. «НиТ», Спб., 2009;
6. Р. Зиглер. Брандмауэры в Linux. «Вильямс», М., 2009;
7. Журнал «Chip», июль 2007;
8. Журнал «Проблемы информационной безопасности», апрель 2008;
9. Яковлев. Лекция «Межсетевой экраны» 2009;
Интернет ресурсы
1. http://securitylab.ru
2. http://cisco.com
3. http://zonealarm.com
4. http://hub.ru
5. http://opennet.ru
6. http://infosecurity.ru
7. http://osp.ru
8. http://www.security-teams.net
9. http://www.oszone.ru
10. http://www.secure.com.ru
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
