Принципы информационного обмена между компьютерами в сети

Чтобы компьютер мог обмениваться информацией, необходимо определить способ этого общения – протокол. В настоящее время в сети интернет принят TCP/IP версии 4, на подходе версия 6. В версии 4 адрес компьютера задаётся двенадцатью цифрами, которые обычно располагаются группами по три (10.8.3.21 = 010.008.003.021). Каждому сетевому интерфейсу соответствует один сетевой адрес (и неограниченное количество псевдонимов/алиасов). На одном физическом устройстве можно организовать более одного сетевого интерфейса.

Использовать сеть пытаются многие программы и службы, причем одновременно. Чтобы уменьшить количество конфликтов и коллизий, на сетевом интерфейсе для каждой из них организуется виртуальное устройство – порт, через который и происходит общение данной программы с другими сетевыми партнёрами. Порты бывают известные, зарегистрированные и динамические. Известные – первая тысяча (1023) – стандартные, каждый из них по международному соглашению закреплен за определенной службой. Следующие 48 тысяч (до 49151) также регулируются международными соглашениями, но назначаются для частных целей. Все порты с большими номерами могут быть использованы любыми программами и службами. Вообще, все порты с номером большим 1024 можно считать динамическими, так как особо никто не следит за их использованием.

Также существует два подвида IP протоколов – UDP и TCP. По протоколу UDP не производится контроль корректности передачи данных, используется чаще в работе служб.

Что происходит, когда пользователь пытается посетить страничку google.com.ua? Web-браузер открывает динамический порт и с него отправляет сетевой пакет с запросом на установку соединения. В заголовке пакета находятся сетевой адрес Google и стандартный порт веб-сервера - 209.85.229.104:80 (443). Веб-сервер Google держит открытым порт 80 (443) и прослушивает его. Ваш браузер подключается, и дальнейший обмен сетевыми пакетами будет происходить между пользовательским динамическим и google-овским 80 (443) портами.

Все очень просто и надежно. В этом примере видно, что сервис (веб-сервер) может открывать и прослушивать порты. При получении пакета он начинает действовать. Если это сервис злоумышленника (например, бэкдор/backdoor), некто может получить доступ к Вашему компьютеру. Если это нормальный, штатный сервис, имеющий уязвимости, то с помощью специально сконфигурированного запроса можно нарушить его работу или даже получить контроль над компьютером пользователя. Также очевидно, что программа может открыть динамический порт (или много динамических портов) и установить соединение с каким-то сервером/компьютером, что тоже может быть спровоцировано неизвестным злоумышленником. Налицо необходимость контролировать порты и обращение программ к сетевым интерфейсам. Для этого и служат сетевые экраны.

Сетевой экран — это программа, установленная на компьютере пользователя и предназначенная для защиты от несанкционированного доступа к компьютеру. Другое распространенное название сетевого экрана — файрвол. Иногда сетевой экран называют еще брандмауэром (нем. brandmauer) — это немецкий эквивалент слова firewall. Основная задача сетевого экрана — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации сетевого экрана.

Сетевой экран осуществляет контроль соединений на сетевом и транспортном уровнях. Базовыми инструментами контроля являются пакетные правила. Сетевой экран анализирует водящие и исходящие пакеты, сравнивает их с имеющимися правилами и выполняет одно из двух действий: разрешить или блокировать [101].

С точки зрения безопасности cетевой экран выполняет две функции:

• Блокирует несанкционированные сетевые подключения к компьютеру, тем самым снижая вероятность его заражения и утечки информации;
• Блокирует несанкционированную сетевую активность программ на клиентском компьютере. Это снижает риск возникновения эпидемий, а также ограничивает действия пользователей сознательно или неосознанно нарушающие заданную политику безопасности.