Лекція № 8

Тема лекції:
МОДЕЛЬ OSI
План лекції
1. TCP / IP
2. ІНКАПСУЛЯЦІЯ
3. ГЛИБОКОЕШЕЛОНОВАНИЙ ЗАХИСТ
Література
1. CSX Cybersecurity Fundamentals Study Guide, 2nd Edition**eBook**
(повна назва джерела із зазначенням розділів та сторінок))
2. ________________________________________________________
__________________________________________________________
3. ________________________________________________________
__________________________________________________________

Зміст лекції

1.

Наочні посібники

(Інфокус, полілюкс, слайди, схеми, макети тощо).

Завдання на самостійну роботу

1_________________________________________________________
_________________________________________________________
2. ________________________________________________________
__________________________________________________________
Посада, науковий ступінь, вчене звання,
підпис
__________________
(ініціали, прізвище)
 ТЕМА 2-МОДЕЛЬ OSI
Модель "Open Systems Interconnection" (OSI) використовується для опису мережевих
протоколів. Оскільки він рідко реалізується в реальних мережах, вважається посиланням на
стандартизацію розвитку реальних мереж. OSI було першим неприбутковим відкритим
визначенням для мереж.
Модель OSI визначає групи функцій, необхідних для мережевих комп'ютерів у рівні,
причому кожен рівень реалізує стандартний протокол для його функціональності. Існує сім
рівнів в моделі OSI, вони показані на рисунку 3.2.

Кожен рівень OSI виконує певну функцію для мережі:

• Фізичний шар (рівень 1) - керує сигналами між мережевими системами;
• рівень каналу передачі даних (рівень 2); - розподіляє дані на кадри, які можуть
передаватися фізичним рівнем;
• мережевий рівень (рівень 3) - Транслює мережеві адреси та маршрути даних від
відправника до одержувача
• Транспортний рівень (рівень 4) - Забезпечує надійну передачу даних у правильній
послідовності
• Сесійний рівень (рівень 5) - Координує і керує користувацькими з'єднаннями
• рівень відображення (представницький) (рівень 6 ) - формує, шифрує та стискає дані;
• рівень додатків (рівень 7); здійснює обробку між програмними програмами та іншими
рівнями мережевих послуг;
TCP / IP
Набір протоколів, який використовується як стандарт де-факто для Інтернету, відомий
як Протокол керування передачею/Інтернет-протокол (TCP/IP). Комплект TCP/IP включає в
себе як мережеві протоколи і протоколи підтримки додатків, так і функціонує на 3 і 4 рівнях
моделі OSI.
Версії Інтернет-протоколу
В даний час існує дві версії, які використовується на 3 рівні - IPv4 та IPv6.
IPv4 є четвертим переглядом IP і є найпоширенішим IP, що використовується для
підключення пристроїв до Інтернету. Він використовує 32-розрядну схему адреси, яка
дозволяє створити трохи більше 4 мільярдів адрес. Оскільки існуюча поширеність
підключених до Інтернету пристроїв очікується, IPv4 в кінцевому підсумку закінчиться
невикористаними адресами. Через це IPv6 був розроблений для вирішення цієї проблеми
IPv6, також називається IPng (наступне покоління), є найновішою версією IP і є
еволюційним оновленням IPv4. IPv6 був створений, щоб забезпечити безперервне зростання
Інтернету як для кількості підключених вузлів, так і до кількості переданих даних.
Очікується, що IPv4 та IPv6 будуть співіснувати ще деякий час.
На малюнку 3.3 показані деякі стандарти, пов'язані з пакетом TCP / IP, і де вони
відповідають моделі OSI. Цікаво відзначити, що набір протоколів TCP / IP був розроблений
раніше в рамках OSI; отже, немає прямих відповідей між стандартами TCP / IP та шарами
структури.

ІНКАПСУЛЯЦІЯ
Інкапсуляція - це процес додавання адресної інформації до даних, оскільки вони
передаються в стек OSI. Кожен рівень спирається на послуги, надані рівнем нижче. Кожен
рівень моделі OSI спілкується тільки з цільовим рівнем. Це відбувається з використанням
дейтаграм або блоків даних протоколу (PDU). Див. Попередній малюнок 3.3 для назв PDU.
Модель OSI показана на малюнку 3.4. Дані верхнього рівня передаються в
транспортний рівень як сегменти і «обертаються» з заголовком для ідентифікації. Ці
сегменти передаються до мережевого рівня, як пакети знову з заголовком. Дані поділяються
на кадри на рівні каналу даних, а також додається керуюча інформація. На фізичному рівні
дані приймаються у вигляді бітів (1s та 0s) для доставки до мережі призначення.
Після того, як у пункті призначення, кожен отримуючий рівень в кінці знімає
відповідну адресаційну інформацію та передає його до стеку OSI, доки повідомлення не буде
доставлено. Цей процес називається декапсуляцією.
 Послуги зв'язку в 4 рівні OSI класифікуються як орієнтовані на з’єднання, так і без
з’єднання. TCP забезпечує надійну, послідовну доставку з перевіркою помилок. З'єднання
встановлюються за допомогою тристороннього руху і, таким чином, орієнтовані на зв'язок,
як показано на малюнку 3.5. Протокол датаграми користувачів (UDP) - це протокол без
з'єднання, який використовується там, де швидкість важливіша, ніж перевірка помилок та
гарантована доставка. UDP використовує контрольні суми для цілісності даних.

ТЕМА 3 - ГЛИБОКОЕШЕЛОНОВАНИЙ ЗАХИСТ

Оскільки жоден контроль або контрзаходи не можуть запобігти ризику, часто важливо
використовувати декілька елементів управління для захисту активів. Цей процес нанесення
захисної оболонки називається захистом в глибині або глибокоешелонований захист. Це
змушує противника протистояти або обходити більше одного контролю, щоб отримати
доступ до активу.
Глибокоешелонований захист є важливою концепцією при розробці ефективної
стратегії або архітектури інформаційної безпеки. Коли правильно розроблено та реалізовано,
багаторубіжна система захисту забезпечує численні можливості для моніторингу та
виявлення атаки. Додавання елементів керування для подолання також створює затримку,
що може призвести до переривання та запобігання атаці.
Кількість та типи шарів, необхідних, є функцією вартості активів, критичності,
надійності кожного контролю та ступеня впливу. Надмірна залежність від одного контролю,
ймовірно, створить хибне відчуття захищеності. Наприклад, компанія, яка залежить
виключно від брандмауера, все ще може бути піддана численним методикам атак.
Подальшою обороною може бути використання освіти та обізнаності, щоб створити
"людський брандмауер", який може становити критичний рівень захисту. Сегментація
мережі може стати ще одним захисним шаром.
Використання глибокої стратегії захисту для здійснення контролю має ряд переваг,
зокрема збільшення зусиль, необхідних для успішної атаки, і створення додаткових
можливостей для виявлення або затримки зловмисника. Існує кілька способів захисту
глибини, як це показано на рисунку 3.6.

Інший спосіб думати про глибокоешелонований захист з архітектурної точки зору:

• Горизонтальний глибокоешелонований захист – контролі розміщуються в різних
місцях на шляху доступу до об'єкта, який функціонально еквівалентний концентричній
кільцевій моделі, показаній на рисунку 3.6
• Вертикальний глибокоешелонований захист – елементи керування розміщуються в
різних системних шарах - апаратному, операційному, додатку, базі даних або
користувальницьких рівнях.
Використання глибокоешелонованих методів захисту вимагає ефективного планування
та розуміння сильних і слабких сторін кожного типу, а також взаємодії контролю. Легко
створити надмірно складну систему контролю, і занадто багато шарів може бути настільки ж
поганимо, як занадто мало. Розробляючи глибокоешелоновані засоби захисту, розгляньте
наступні питання:
• Які уразливості вирішуються кожним шаром або контролем?
• Як шар пом'якшує вразливість?
• Як кожен елемент керування взаємодіє або залежить від інших елементів керування?