Воздействия нарушителя на уровне интерфейсов стека протоколов TCP/IP

Физический и канальный уровни технологии TCP/IP (уровень

сетевых интерфейсов)

В отличие от рассмотренных выше технологий глобальных сетей Х.25, Frame Relay и ATM технология TCP/IP не определяет конкретные типы сетевых интерфейсов, предназначенных для передачи IP-пакетов, сформированных на уровне межсетевого взаимодействия. Это делает стек протоколов TCP/IP аппаратно-независимым и позволяет использовать на уровне сетевых интерфейсов различные протоколы канального и физического уровней. Так, например, IP-сети могут быть построены на базе сетей Х.25, Frame Relay и ATM. Таким образом, в качестве информационной единицы уровня сетевых интерфейсов могут выступать кадры данных LAPB, пакеты данных PLP, ATM-ячейки и др., в зависимости от типа протокола, используемого на канальном уровне стека TCP/IP. Общая структура информационной единицы уровня сетевых интерфейсов стека протоколов TCP/IP изображена на рис. 11.3.

Рисунок 11.3 - Структура информационной единицы уровня сетевых интерфейсов стека протоколов TCP/IP

Структура заголовка информационной единицы уровня сетевых интерфейсов зависит от типа протокола, используемого на этом уровне, а поле данных информационной единицы содержит IP-пакет, сформированный на уровне межсетевого взаимодействия.

Рассмотрев функции уровня сетевых интерфейсов и уровня межсетевого взаимодействия, реализуемые IP-сетью, перейдём к описанию системы управления IP-сети.

Система управления IP-сети реализует функции всех четырёх уровней стека протоколов TCP/IP. Кроме рассмотренных выше уровней межсетевого взаимодействия и сетевых интерфейсов система управления IP-сети реализует функции прикладного и транспортного уровней стека TCP/IP. Функции четырёх уровней стека протоколов TCP/IP реализуются системой управления при помощи маршрутизаторов и ЦУС, предназначенного для управления этими маршрутизаторами.

ВН на уровне сетевых интерфейсов направлены на получение НСД к информационной сфере IP-сети на физическом уровне модели ЭМВОС и могут быть реализованы (при отсутствии соответствующих средств защиты от НСД на этом уровне) при помощи установки специализированного оборудования в каналы доступа или в магистральные каналы связи IP-сети.

К ВН, реализуемым на уровне сетевых интерфейсов модели ЭМВОС и направленным на получение НСД к информационной сфере IP-сети, можно отнести воздействия, реализуемые двумя способами:

• путём получения НСД к функциям маршрутизатора, ЦУС или терминального оборудования пользователя посредством ложной аутентификации нарушителя с консоли управления;

• посредством получения НСД к функциям маршрутизатора или ЦУС путём активизации «закладок», внедрённых в ресурсы и инфраструктуры этих объектов IP-сети. Активизация «закладок» может осуществляться при помощи команд, сформированных нарушителем по радиоканалам связи.

Учитывая тот факт, что на уровне сетевых интерфейсов IP-сети могут использоваться протоколы сетей Х.25, Frame Relay и ATM, нарушитель также может получить НСД к информационной сфере IP-сети при помощи способов, применимых к этим технологиям.

На рис. 11.4 схематично показаны возможные источники ВН на уровне сетевых интерфейсов стека протоколов TCP/IP.

Рисунок 11.4 – Источники ВН, направленных на получение НСД к информационной сфере IP-сети на уровне сетевых интерфейсов

В случае, если в качестве нарушителя выступает пользователь IP-сети, он автоматически получает доступ к информационной сфере сети на уровне сетевых интерфейсов посредством своего терминального оборудования. Если в качестве нарушителя выступает оператор IP-сети, то он также имеет доступ к информационной сфере сети посредством ЦУС и маршрутизаторов.

Получение нарушителем НСД к информационной сфере IP-сети на уровне сетевых интерфейсов позволяет ему выполнять следующие несанкционированные действия на вышележащих уровнях стека протоколов TCP/IP:

• осуществлять несанкционированное ознакомление с содержимым передаваемых IP-пакетов, пакетов данных ICMP, RSVP, пакетов данных, сформированных при помощи протоколов маршрутизации OSPF, IS-IS, BGP или EGP, ТСР-сегментов, UDP-дейтаграмм, а также пакетов данных FTP, Telnet и SNMP;

• выполнять несанкционированную модификацию, удаление, задержку или формирование новых информационных единиц уровня межсетевого взаимодействия, а также транспортного или прикладного уровня.