, що Ts = 0.6 с, одержуємо утилізацію сервера = 0.008, тобто 8 %. Отже, можна сказати, що при зміні завантаженості сервера в діапазоні від 8 % до 20 % час відповіді сервера буде менш 1.5 с у 90 % випадків.
Визначимо залежність між зростанням навантаження і збільшенням
часу відповіді. Час відповіді буде збільшуватися трохи повільніше, ніж
утилізація. Дійсно, у нашому випадку, якщо утилізація сервера зросла з 20%
до 40%, то значення Tq зміниться від 0.75 с до 1.0 с (як неважко підрахувати),
що означає збільшення на 33.3 %.
3 МЕТОДИ ЗАХИСТУ ЛОКАЛЬНИХ КОМП'ЮТЕРНИХ МЕРЕЖ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ ЗОВНІ
3.1 Програмно-апаратні методи захисту по мережі INTERNET
До програмно-апаратних засобів забезпечення інформаційної безпеки засобів зв'язку в обчислювальних мережах відносяться:
апаратні шифратори мережного графіка;
методика Firewall, реалізована на базі програмно-апаратних засобів;
захищені мережні криптопротоколи;
програмно-апаратні аналізатори мережного графіка;
захищені мережні системи.
Опишемо дані засоби захисту, що застосовуються в мережі Internet. По-перше, звернемо увагу на помилкову точку зору стосовно думки про "абсолютний захист", що нібито забезпечують системи Firewall, по-друге, порівняємо існуючі версії криптопротоколів, застосовуваних у Internet, і дамо оцінку, критичному положенню в цій області; і, по-третє, ознайомимося з можливістю захисту за допомогою мережного монітора безпеки, призначеного для здійснення динамічного контролю за виникаючими ситуаціями в сегменті ІР-мережі, який захищається, що свідчать про здійснення на даний сегмент однієї з вилучених атак.
3.2 Основна методика програмно-апаратного засобу безпеки у виділеному сегменті мережі-INTERNET
У загальному випадку методика Firewall реалізує наступні основні три функції:
1 Багаторівнева фільтрація мережного трафіка.
Фільтрація звичайно здійснюється на трьох рівнях OSI:*
мережному (IP); *
транспортному (TCP, UDP); *
прикладному (FTP, TELNET, HTTP, SMTP і т.д.).
Фільтрація мережного трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до відповідного службам хостів чи до хостів, що знаходяться в сегменті, що захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсам зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, що для здійснення політики безпеки в системі призначає необхідним образом відповідні відносини між суб'єктами (користувачами) і об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданого адміністратором правами доступу. Ті ж міркування застосовні до Firewall-фільтрації: як суб'єктів взаємодії будуть виступати IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - ІР-адреск хостів, використовувані транспортні протоколи і служби надання вилученого доступу.
2 Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.
Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію вилученого користувача і, по-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Зміст proxy-схеми складається в створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.
3. Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).
У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне сховати щиру топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації), тільки через який і можлива зовнішня адресація. Це відбувається через те, що використовувана у внутрішній PVN-мережі віртуальна IP-адреса, мабуть, не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому чи proxy-сервер засіб роутінгу повинний здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення ІР-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це случається суцільно і поруч, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера).
Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайної ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Інша справа, пропоновані на ринку могутні Firewall-комплекси, зроблені на базі ЕОМ чи мічі -ЕОМ, звичайно реалізують усі функції Firewall-методики і є повно функціональними системами Firewall. На наступному малюнку зображений сегмент мережі, відділений від зовнішньої мережі повно функціональним Firewall - хостом.
Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися на той рахунок, що Firewall це гарантія абсолютного захисту від вилучених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування вилученого доступу до доступних ресурсів вашої мережі Так, у тому випадку, якщо, наприклад, до даного хосту заборонений вилучений TELNET-доступ, то Firewall однозначно запобіжить можливість даного доступу. Але справа в тім, що більшість вилучених атак мають зовсім інші мети (безглуздо намагатися одержати визначений вид доступу, якщо він заборонений системою Firewall). Дійсно, задамо собі питання, а які з вилучених атак може запобігти Firewall? Аналіз мережного трафіка ? Помилковий ARP-сервер? Помилковий