Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
| ← Декабрь 2000 → | ||||||
|
1
|
2
|
3
|
||||
|---|---|---|---|---|---|---|
|
5
|
6
|
7
|
8
|
10
|
||
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
|
19
|
20
|
21
|
23
|
24
|
||
|
25
|
26
|
27
|
28
|
30
|
31
|
|
Статистика
+263 за неделю
Защита информации, виртуальные сети VPN. Технология ViPNet.
|
Защита
информации, виртуальные частные сети (VPN). |
  |
| Здравствуйте, уважаемые подписчики! С наступающим Вас Новым Годом! Желаем Вам в новом столетии успехов и процветания. Надеемся на продолжение плодотворного сотрудничества! В заключительном выпуске уходящего столетия я опубликую статью о технологии Интернета нового поколения - протоколе IP версии 6. |
| Содержание выпуска: |
| Готовы ли мы к Интернет нового поколения? |
|
"IPv6
уже здесь и пусть Интернет достигнет Интенсивное развитие сетевой инфраструктуры и сервисов постоянно увеличивает нагрузку на технологию, которая, оставаясь незаметной для конечного пользователя, обеспечивает все многообразие услуг Интернет. Одновременно с развитием и усложнением сервисов сети видоизменяется и несущая технология - набор протоколов TCP/IP. Со временем Интернет протокол претерпевал множество модификаций, которые существенно улучшили многие его параметры. Однако быстрота и перспективы дальнейшего роста сети поставили перед Интернет протоколом, который используется в настоящее время ряд неразрешимых проблем. Два основных недостатка протокола IP версии 4 являются неотъемлемой частью самого протокола и принятых методик его реализации: Недостаток адресного пространства В 70-е годы двадцатого века, когда внедрение Интернет протокола еще только начиналось, и сеть была не более чем средством общения нескольких немногочисленных групп ученых, адресное пространство в 32 бита, считалось излишеством. Никто и предположить не мог, что такое количество адресов (примерно 2 в 32-й степени) может когда либо быть использовано. В середине 90-х появились реальная угроза того, что IP адреса попросту закончатся и тем самым прекратится рост Интернет. Только технология Classless Interdomain Routing в сочетании с ограничением количества выдаваемых адресов позволили избежать этой угрозы. Однако продолжающийся стремительный рост количества узлов в Интернет позволяет предсказать, что подобный кризис повторится уже в первой декаде 21-го века. Таким образом, необходим новый протокол, позволяющий адресовать существенно большее число узлов. В данном вопросе существует и иная точка зрения, но она не выдерживает конструктивной критики. А именно, относительно широкое распространение получили технологии маскирования адресов, когда в пределах корпоративной сети используются либо специальные не маршрутизируемые адреса, либо любой блок адресов не являющихся уникальными в пределах глобального Интернет. На границе такой сети применяются механизмы трансляции сетевых адресов или один из нескольких видов фильтрации поля адреса пакетов. Для этого достаточно иметь хотя бы один реально уникальный адрес в Интернет, который и присваивается граничной системе. Налицо экономия адресного пространства. Однако следует взглянуть на такую систему с более общей точки зрения. В основе архитектуры Интернет всегда лежал принцип надежности, который для сетевого уровня выражается в принципе прозрачности. Прозрачность сетевого уровня заключается в том, что любой узел Интернет может связаться с любым другим. С внедрением механизмов трансляции сетевых адресов и не маршрутизируемых адресов этот принцип был нарушен. Нарушение прозрачности сетевого уровня привело к нескольким проблемам: во-первых, и наиболее важно то, что надежность работы многих участков сети существенно снизилась, во-вторых, не всегда стало возможно осуществление безопасного обмена данными между двумя узлами, в-третьих, разработчики новых приложений все больше тяготеют к использованию некоего протокола обмена, который обладал бы тем свойством, которого начал лишаться IP, а именно - прозрачности от исходной точки соединения до конечной. Примером последнего фактора служит появление концепции в разработке "все поверх HTTP". Понятно, что такой подход ведет к чрезмерному усложнению элементов обеспечивающих работу приложений в сети, а также нарушению самой философии Интернет. Введение IPv6 помимо прочих положительных сторон позволит устранить одну из главных причин использования не уникальных адресов в Интернет - а именно их недостаточность. Рост нагрузки на маршрутизаторы Дробление адресного пространства на небольшие блоки ведет к тому, что узловые маршрутизаторы Интернет должны содержать в своей памяти слишком большие таблицы маршрутизации. Помимо существенных требований к объему памяти это сильно замедляет поиск в таблицах и, соответственно, быстродействие маршрутизаторов вплоть до полного нарушения работы. Для избежания этого требуется полностью пересмотреть систему распределения адресного пространства, которая жестко привязана к используемой версии протокола. Сообщество Интернет осознало потребность в замене традиционному IP протоколу еще в 1990 году. С того момента работа по модернизации нового протокола велась параллельно по нескольким направлениям. Часть результатов этих исследований вылилась в совместимые модификации IPv4, но, в общем, новый сетевой протокол получился несовместимым с IP версии 4. Таким образом в эволюции IP произошел качественный скачок. С одной стороны отсутствие требования совместимости для нового протокола позволило полностью избавиться от всех известных недостатков IPv4, с другой же создало проблему организации безболезненного перехода со старой версии на новую. Избавляя новый протокол от старых недостатков и добавляя ему новую уникальную функциональность, разработчики IPv6 остались верны основной концепции сетей с коммутацией пакетов. Рассмотрим основные преимущества IPv6. Достаточное количество адресов Адресное пространство IPv6 было расширено с 32 бит до 128, что теоретически позволяет адресовать 2 в 128 степени узла - это больше, чем количество протонов в веществе планеты Земля. Реальная схема распределения адресов дает несколько меньшее количество адресуемых узлов, ввиду некоторой неэффективности любой системы адресации, но и этого адресного пространства человечеству должно хватить на несколько веков. Многоуровневая система адресации Помимо большей длины, IPv6 адреса отличаются более сложной структурой. Основной тип IPv6 адреса состоит из 3-4 иерархических уровней, каждый из которых отображает топологическую структуру IPv6 соединений. Способ выделения IPv6 адресов также следует топологическому принципу: провайдер самого верхнего уровня получает большой блок адресов, часть из которого он использует для своей сети, а часть распределяет между своими клиентами. Клиенты могут в свою очередь являться поставщиками услуг Интернет среднего уровня и дальше распределять блоки адресов между своими клиентами или сетями. Такой подход к распределению адресного пространства позволяет максимально агрегировать маршруты и снизить количество маршрутов в таблицах сетевых устройств. Однако это также означает, что при изменении топологии сети, например, при смене поставщика услуг Интернет, должны измениться и все адреса в сети, в которой переменилась точка подключения. Поскольку архитектура IPv6 подразумевает возможность глобального изменения адресов в сетях, то многое сделано для максимальной автоматизации этого процесса. IPv6 вообще требует не конфигурации сетевых параметров. Сетевое устройство - клиент работающее по протоколу IPv6 имеет возможность автоматически настроиться на новые параметры сети по нескольким сценариям: либо совсем без участия администратора в режиме, не сохраняющем состояния, либо с использованием механизмов, позволяющих администратору заранее задать некоторые параметры конфигурации. И, наконец, IPv6 устройство может быть настроено для работы в сети в ручном режиме. При использовании первого варианта - без сохранения состояния, изменения адреса затрагивает лишь маршрутизаторы. Кроме того, IPv6 адрес может находиться в одном из трех состояний: рабочем, устаревшем или нерабочем. Наличие этих режимов позволяет сделать процесс глобальной смены сетевых адресов максимально безболезненным, не разрушающим установленные соединения, т.е. не прерывающим работу приложений. Анализ работы старой версии протокола IP позволил определить редко используемые свойства и наоборот, идентифицировать в протоколе то, что использовалось часто, и максимально оптимизировать новый протокол. Так, заголовок IPv6 сделан фиксированной длины, а все специальные поля вынесены в дополнительные подзаголовки. Маршрутизатор может, особенно в случае аппаратной оптимизации, обрабатывать поля фиксированной длины существенно быстрее переменных, при этом дополнительные заголовки обрабатываются только в случае необходимости, если их обработка может повлиять на процесс передачи пакета по сети. Многие свойства IP, которые раньше были реализованы отдельными механизмами в IPv6 являются частью стандарта, например, механизм IPSEC стал частью самого протокола. Дополнительные заголовки образуют упорядоченную связанную структуру, следующую после IPv6 заголовка. Порядок дополнительных подзаголовков стандартизирован в протоколе таким образом, чтобы свести к минимуму затраты на их обработку. Стандарт IPv6 обеспечивает следующие важнейшие характеристики для обменов информацией в Интернет: Безопасность. Важным свойством современных сетей является возможность обеспечить не только быструю и надежную передачу информации, но и предоставить пользователю гарантии относительно безопасности информационного обмена. У этого аспекта есть множество граней: авторизация и аутентикация участников обмена, шифрование информации. Все эти компоненты обеспечиваются механизмом безопасности на сетевом уровне, являющимся частью стандарта IPv6. Мобильность. Все больше участникам информационного обмена требуется не только работать с сетью из одного установленного места, но и свободно перемещаться, оставаясь в сети. IPv6 используя наработки созданные для предыдущей версии, имеет механизмы, которые дают возможность пользоваться сетью в движении. Гибкость маршрутизации. С развитием инфраструктуры сети, с появлением нового разряда приложений, которые требуют для своего исполнения гарантированного качества обслуживания от сети, администраторы сетей все чаще сталкиваются с необходимостью использования различных маршрутов для разных типов трафика. Дополнительный подзаголовок маршрутизации в IPv6 позволяет полностью контролировать маршрут пакетов, отправляя каждый пакет по наиболее оптимальному пути. Разработчики IPv6 предпочли отказаться от груза недостатков IPv4, но при этом им пришлось очень тщательно продумать процедуру перехода пользователей к новой версии. Переход должен осуществляться постепенно, проходя стадии от нескольких узлов IPv6 соединенных туннелями, через целые островки IPv6 коннективности к глобальному Интернету работающему по протоколу IPv6. Многие программно-аппаратные платформы уже сейчас имеют экспериментальные реализации стека IPv6. Создание экспериментальных сетей, тестирование различных аспектов конфигурации и отработка сценариев полного перехода на новый протокол является важнейшей задачей для всех, кто занимается коммуникационными технологиями. Ведь новый протокол должен быть протестирован на несколько порядков более тщательно, чем тестируются новые приложения, поскольку весь Интернет будет работать с новым протоколом. Распределение адресного пространства Помимо тестирования протокола IPv6 в чисто исследовательской среде, сегодня уже можно полноценно работать в Интернет нового поколения. Региональные центры управления сетью уже начали распределение блоков адресного пространства и все крупные поставщики Интернет услуг уже могут получить такой блок с тем, чтобы производить распределение адресного пространства уже для своих клиентов - поставщиков услуг Интернет среднего звена. Важнейшую роль в разработке и внедрении протокола IPv6 сыграли и продолжают играть несколько международных организаций: 6BONE. Экспериментальный Интернет нового поколения, служит для обкатки протоколов маршрутизации и взаимодействия сетей на уровне опорной структуры Интернет нового поколения. Появившись как экспериментальная площадка рабочей группы IETF, 6Bone превратилась в добровольное объединение сетей Северной Америки, Европы и Японии, которое накапливает опыт работы с IPv6 и координирует свою активность с соответствующими комитетами IETF. Российскую часть 6Bone представляют: Институт ядерных исследований РАН (Москва), Институт системного программирования РАН (Москва), Ярославский государственный университет (Ярославль), Уральская государственная академия железнодорожного транспорта (Екатеринбург), Научно-технический центр "Атлас" (Рязань). 6REN. Координационная инициатива исследовательских и академических сетей, которые предоставляют высококачественный транзитный сервис IPv6 в рабочем порядке. Мировой консорциум ведущих поставщиков сетевого оборудования, академических и исследовательских сетей и есть международная организация IPv6 Forum. Цель форума состоит в том, чтобы осуществлять продвижение протокола IPv6, путем создания и информирования рынка, доведения IPv6 до конечного пользователя и в конечном итоге создания высококачественного и безопасного Интернет нового поколения. IPv6 форум предоставляет всем заинтересованным людям и организациям доступ к знаниям и технологии глобальных сетей нового поколения. Для достижения этих целей IPv6 форум будет заниматься:
Членами IPv6 форума уже являются известнейшие компании разработчики сетевого оборудования и поставщики услуг связи. Российский национальный IPv6 Форум является официальным российским представительством международного IPv6 Форума. Российский IPv6 форум создается и поддерживается специалистами Центра Интернет Ярославского государственного Университета им. П.Г. Демидова и представителями центра управления Российской академической сети FREEnet. В дополнение к общим задачам, решаемым международным IPv6 форумом, Российский IPv6 форум решает задачу создания русскоязычного сообщества пользователей и поставщиков решений и сервиса IPv6. На сервере форума можно найти большое количество информации по IPv6, а также множество полезных ссылок на ресурсы по данной тематике. Динамика развития Интернет сама по себе дает возможность предсказать экспоненциальное увеличение количества пользователей и узлов в Интернет, а также содержащейся и обрабатываемой в нем информации. IPv6 устранило с пути развития сети основную проблему, которая угрожала это развитие замедлить - нехватку адресов. Таким образом, тенденция роста, наблюдаемая сейчас, скорее всего сохранится. Есть и другой фактор, который следует принимать во внимание: развитие совершенно новых и неизвестных до сих пор типов сервисов и способов использования сети. Уже очевидно, что Интернет, как сеть с коммутацией пакетов способна стать эффективной заменой традиционным коммуникационным сетям: телефонии, телевидению и радиовещанию. Трудно даже представить, насколько возрастет скорость развития сети, когда новые приложения станут также распространены как, например WWW. Помимо приложений, имитирующих стандартный сервис других сетей, будут появляться программные продукты совершенно новых типов, использующие все преимущества Интернет и пользовательских систем. Многие западные компании уже давно занимаются исследованиями интеллектуальных бытовых приборов - от холодильников до простых радиаторов отопления, и все эти устройства будут связаны между собой посредством Интернет. Весь этот дальнейший рост Интернет и прикладных технологий невозможен без Интернет с новым сетевым протоколом IPv6. Россия, как важная мировая держава не может себе позволить остаться в стороне от этого процесса. Научные кадры и опыт наших исследователей может и должен быть направлен на работу в том числе и в области сетевых технологий. Тем более что прецеденты уже есть. Российские исследователи принимают активное участие в работе IPv6 форума и 6Bone. Есть и планы вхождения в мировой Интернет нового поколения уже не в качестве экспериментаторов, а для предоставления полноценного сервиса Алексеев И. В. УЦИ ЯрГУ |
| Новости и события в области защиты информации |
Защита авторских прав в отношении информации на электронных носителях станет вскоре аппаратной. Есть очень большая вероятность того, что защита авторских прав в отношении информации на электронных носителях станет вскоре аппаратной. Первые кандидаты на воплощение такого подхода - кабельные сети передачи данных и... жесткие диски. Содружество кабельных вещателей США представило на рассмотрение Федеральной Торговой Комиссии (FCC) заявку на внедрение в транслируемый сигнал своего рода "водяных знаков": при наличии определенного кода в сигнале цифровые (рассчитанные на работу именно с кабельными линиями) видеомагнитофоны пользователей должны будут отказываться производить запись соответствующих программ. Теоретически возможно применять контроль содержимого передачи не только для видеоматериалов, но и для коммутируемого по кабельным линиям Интернет-трафика. Более того, если FCC либо Интернет-общественность не предпримут активных мер, то в следующем году мы можем стать свидетелями выпуска жестких дисков с аналогичными аппаратными фильтрами записи, причем в обязательном порядке. Производители дисков желают таким образом задобрить могущественные медиакорпорации, чрезвычайно озабоченные ростом компьютерного пиратства. Хакерам действительно придется потрудиться, чтобы обойти встроенные во внутреннюю, не зависящую от операционной системы электронику винчестера, защиту от копирования материалов с "водяными знаками". Однако... Кто поручится за то, что защита эта никогда не будет обойдена? И кто в таком случае объяснит потребителю, почему за его же средства (и с причинением ему же дополнительных неудобств) корпорации в очередной раз попытались решить проблему пиратства, пойдя по пути наименьшего сопротивления? (источник - http://www.submarine.ru, опубликовано 27.12.2000) |
|
|
Леспром.ру взломали конкуренты или "зеленые". В субботу вечером подвергся хакерской атаке один из серверов интернет-холдинга Three A Group, на котором расположена торговая система Леспром.Ру, открытая 7 декабря нынешнего года. Работа сервера была нарушена, а на месте первой страницы сайта www.lesprom.ru хакеры поместили сообщение "Seasons greetings from chc. Happy new year". По сообщению Three A Group, для предотвращения несанкционированного доступа к базам данных и нарушения целостности системы сервер был отключен. Работа торговой площадки была прекращена на период с субботы (23 декабря) по понедельник (25 декабря). Сейчас технические специалисты компании Three A Group проводят дополнительные работы для обеспечения защиты от подобных атак в будущем. В связи с этим Three A Group сообщает, что до вторника не будут доступны сайты Леспром.ру, Дети.ру и 3ag.ru. Представители компании считают, что взлом Леспром.ру был совершен конкурентами. Журналисты сайта "Интернет и инвестиции" высказывают догадки о том, что здесь мог иметь место протест экологических организаций против предновогодней торговли елками. Пока ни одна из организаций "зеленых" не взяла на себя ответственность за случившееся. Как сообщается в пресс-релизе компании, для защиты интересов своих клиентов, а также в целях предотвращения подобных атак в будущем, компания Three A Group намерена обратиться в Управление "Р" Московского ГУВД с целью проведения расследования по факту атаки, выявления и наказания виновных. (источник - http://www.netoscope.ru, опубликовано 26.12.2000) |
Хакер "убил" барабанщика Metallica. Неизвестный хакер поместил на сайте CNN.com "новость", в которой сообщалось о покушении на жизнь барабанщика Metallica Ларса Ульриха (Lars Ulrich), сообщает Wired News. Напомним, что Ульрих был первым музыкантом, предъявившим претензии к системе обмена музыкальными файлами. Музыкант, якобы, еле остался в живых после того, как в него выпустил две пули один из фанатов Napster. Преступник, подойдя к жертве, произнес: "Ты убил Napster". Преступление произошло в городе Остин, штат Техас. На самом деле все эти события не имели места в реальной жизни. Боевые действия, развернутые группой Metallica против Napster, вызвали неодобрение многих людей. А Ульрих даже удостоился неодобрительных криков публики, когда появился на церемонии MTV Video Music Awards 2000. (источник - http://www.cnews.ru, опубликовано 25.12.2000) |
|
|
Linux в черном. NSA (да-да, то самое NSA, National Security Agency - Агентство национальной безопасности; американская секретная служба, само существование которой признано официально совсем недавно) заинтересовано в построении новейшей операционной системы с повышенным уровнем безопасности - на основе Linux. С информацией об этом выступил Тед Т'со, один из ведущих разработчиков ядра ОС Linux. По заявлениям сотрудников спецслужб, с которыми он общался, NSA нуждается в достаточно безопасной операционной системе с открытым кодом. Почему безопасной - понятно: никто, тем более секретный агент, не хочет в одно прекрасное утро обнаружить свой сервер взломанным. Но почему именно с открытым кодом? Дело здесь в святости права частной собственности для демократического государства: будь спецслужба трижды секретной, она не имеет права заставить, скажем, Microsoft открыть код своей ОС хотя бы исключительно для своего, сверхсекретного, пользования. По крайней мере, официально. А зачем спецслужбе открытость кода операционной системы, которую она применяет в повседневной работе? Да затем, чтобы быть уверенной в отстутствии всевозможных жучков, "задних дверей" и просто грубых недоработок, случайно оставшихся в коде перед превращением его в бинарный файл и до поры не обнаруженных хакерами. Ведь главное преимущество Linux и UNIX с точки зрения устойчивости - именно доступность кода для тестирования любым заинтересованным лицом. Так что использование свободно распространяемого и бесплатного (а вовсе не чрезвычайно дорогостоящего) ПО для нужд национальной безопасности - начинание вовсе не столь безнадежное, как кому-то может показаться на первый взгляд. К тому же, разработка seclinux, ОС с повышенными надежностью и контролем доступа, будет вестись в полном соответствии с идеологией сообщества Linux, открыто и общедоступно: ее инструментарий и надежность будут постоянно проверяться на практике сотнями и тысячами энтузиастов. (источник - http://www.submarine.ru, опубликовано 25.12.2000) |
Медицинские данные в США под защитой. Новые положения Департамента Здравоохранения США предписывают медицинским службам усилить контроль за неразглашением медицинских данных граждан и ограничением стороннего доступа к соответствующим базам данных. В 1996 году Конгресс США озаботился выработкой основных положений об упорядочивании использования медицинских баз данных. Предполагалось, что в 1999-м году положения будут переработаны в закон, но этого не случилось. В результате Департамент Здравоохранения взялся за дело сам и выработал свои рекомендации (носящие для государственных учреждений обязательный характер) по данному вопросу. Медицинская информация, являющаяся несомненно частной и чувствительной, должна быть защищена от несанкционированного распространения. Понятно, например, что нанимаясь на работу шофером автобуса или пилотом гражданской авиации, человек обязан предоставить подробную справку о состоянии своего здоровья - ведь от него в этом случае будут зависеть десятки чужих жизней. А в Америке последних десятилетий (особенно в свете панической боязни СПИДа) среди работодателей распространилась практика повсеместно требовать от кандидатов на вакантное место многостраничного медицинского заключения. В связи же с развитием компьютерных баз данных, работодатели считали для себя возможным обращаться за такой информацией непосредственно в медицинские учреждения - и очень часто с легкостью получали подробный ответ. Теперь есть надежда, что компьютерные базы медицинских данных перестанут быть легкой добычей для всех интересующихся ими - в том числе и не с самыми чистоплотными целями. (источник - http://www.submarine.ru, опубликовано 25.12.2000) |
Правительство Канады будет защищать частную информацию в Сети. С первого января в Канаде начнет действовать Акт о Защите Персональной Информации и Электронных Документов, сообщает New York Times. Закон касается деятельности канадских компаний, а также американских фирм, имеющих свои подразделения в Канаде. В ближайшее время действие закона будет распространяться только на учреждения, связанные с федеральным правительством, но к 2004 году действие закона затронет все существующие в Канаде коммерческие фирмы. Согласно закону, каждый гражданин Канады получит право доступа к любым сведениям, собранным о нем то или иной компанией. Кроме того, по закону, необходимо спрашивать согласия человека каждый раз, когда его персональную информацию планируется использовать в коммерческих целях. Для нарушителей закона предусмотрены штрафы. (источник - http://www.cnews.ru, опубликовано 25.12.2000) |
| Новости компании |
|
Пусть
радость в двери к Вам стучится, До
встречи в Новом году! |
| Познакомиться
с нашими решениями можно на web-сервере - http://www.infotecs.ru
Полнофункциональные
демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся
по адресу |
| С уважением, ведущий рассылки Олег Карпинский. |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
|
| В избранное | ||
