информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / безопасные web-приложения / основные определения
БЕЗОПАСНЫЕ WEB-ПРИЛОЖЕНИЯ
содержание
основные определения
типовые ошибки




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Основные определения

Internet - это всемирное объединение сетей, шлюзов, серверов и клиентских компьютеров, использующее для связи единый набор протоколов TCP/IP. Основная черта Internet - предоставление глобального доступа к информации и ресурсам. Информация, размещенная на Internet-сервере, становится доступной из любой точки земного шара, подключенной к Internet. Использование общих протоколов семейства TCP/IP и единого адресного пространства позволяет говорить об Internet как о единой глобальной "метасети". Наряду с Internet часто выделяют понятие intranet. Intranet - это локальная сеть предприятия, основанная на тех же протоколах, что и Internet. Эта технология позволяет широко использовать в рамках сети предприятия все возможности и наработки глобальной сети, эффективно решая при этом задачу ограничения доступа к информации. В то же время часть intranet может быть открыта для внешнего доступа, становясь таким образом частью Internet.

Протоколы и адресация

Под протоколами в данном контексте понимаются правила, определяющие последовательность действий, необходимых для обмена данными. Для доставки информации на какой-либо компьютер он должен иметь уникальный идентификатор, или адрес. Роль такого идентификатора в tcp/ip играет ip-адрес узла, представляющий собой 32-разрядное число, записываемое тетрадой вида 216.122.167.55 (четыре десятичных числа от 0 до 255, разделенные точками). С каждым ip-адресом связана 32-разрядная маска подсети, разбивающая адрес на две части - на уникальный идентификатор сети, к которой принадлежит компьютер, и на уникальный идентификатор узла в пределах этой сети. Маска эта имеет вид 255.255.255.0, и при побитном умножении нашего ip-адреса из примера мы получим сеть 216.122.167 и узел 55. Разбиение адреса на две части обеспечивает большую управляемость сети. Компании, имеющей парк из нескольких сотен машин, нет необходимости регистрировать адрес для каждой из них - достаточно зарегистрировать на себя отдельную подсеть и раздавать адреса внутри нее уже самостоятельно.

При простом подключении узла к сети, он получает уникальный адрес в пределах всей Internet, что дает возможность обмениваться информацией с другими узлами. Знание адреса компьютера, подключенного к сети, дает возможность воспользоваться сервисами, на нем запущенными - с любого другого компьютера, подключенного к сети.


Рис. 1. Схемы подключения к Internet

Достаточно часто используется схема отсечения локальной сети от "большой Internet", когда компьютеры локальной сети не получают прямого доступа к внешнему миру. В этом случае между локальной сетью и Internet ставится отдельный сервер, доступный как из внешней, так и из внутренней сети. Такой сервер носит название proxy-сервера (proxy-посредник). Возможны различные способы реализации этой схемы - на уровне отдельных служб, как это происходит в случае традиционных proxy, либо на уровне пакетов tcp/ip, в случае использования NAT (Network Address Translator), но идея в обоих случаях одна и та же: компьютер из локальной сети обращается к proxy-серверу для передачи запроса некоторому внешнему серверу. Получив ответ от внешнего сервера, proxy переправляет ее локальному компьютеру.

Подобная схема имеет несколько преимуществ перед прямым подключением к сети. Во-первых, экономятся "настоящие" ip-адреса, которых через некоторое время просто перестанет хватать (как выяснилось, 32 разряда, выбранные для представления ip-адреса - это вовсе не так уж и много, и в настоящее время готовится к внедрению новая версия ip-адресации, ipv6). Во-вторых, из внешней сети можно получить доступ только к промежуточному серверу, что повышает защищенность всей сети. Далее, если несколько компьютеров по очереди обращаются к одному и тому же ресурсу, proxy может сохранить результат первого обращения на своем жестком диске и выдавать его в ответ на повторные запросы. Наконец, при передаче информации из внешней сети может осуществляться фильтрация нежелательной информации.

Доменная система имен

IP-адресация позволяет точно идентифицировать компьютеры, подключенные к сети. Однако, запоминать адреса вида 216.122.167.55 не слишком удобно. Поэтому с самого начала развития сети каждый узел помимо цифрового ip имел еще и символьное имя. Вначале все узлы были перечислены в одном текстовом файле, но по мере роста сети возникла необходимость в механизме, обеспечивающем, во-первых, уникальность имен, во-вторых, средства извещения всех подключенных узлов об изменениях.

В настоящее время соответствие между цифровыми и символьными адресами обеспечивается серверами имен (Domain Name Servers, DNS). Под доменом понимается множество машин, которые администрируются и поддерживаются как единое целое. Вся сеть представляет собой одну большую иерархию доменов, позволяющую разграничить полномочия между администраторами разных сетей.

Иерархия доменов Internet растет от корневого (root) домена, не имеющего имени. Далее идет ограниченное количество доменов верхнего уровня, в которых может быть зарегистрировано практически неограниченное количество доменов второго уровня и т.д.

К доменам верхнего уровня относятся домены:

В настоящее время продолжается работа по введению дополнительных доменов верхнего уровня (.info и т.п.). Кроме того, к доменам верхнего уровня относятся национальные домены с двухбуквенными именами (например, .ru, .de), администрированием которых занимаются национальные институты.

Порты и службы

Ip-адрес позволяет точно идентифицировать компьютер, но этого недостаточно. Дело в том, что на каждом узле могут быть запущены самые разные службы Internet, обеспечивающие передачу информации: электронной почты, файлов, гипертекстовой информации и т.п. Каждая служба использует в своей работе тот или иной протокол прикладного уровня:

Для каждой службы отведен отдельный порт, представляющий собой число от 0 до 65534. Для наиболее популярных служб зарезервированы стандартные номера портов. Так, для FTP это 21, для HTTP - 80, SMTP - 25, POP3 - 110. Впрочем, это лишь значения по умолчанию, никто не мешает владельцу узла настроить эти службы на работу с другими портами. Иногда это просто необходимо - как, например, в случае с поддержкой различных кодировок кириллицы в WWW. Как известно, одни и те же символы кириллицы в различных операционных системах обозначаются разными кодами, и существует по крайней мере четыре популярные кодировки: Windows-1251, KOI8, Mac, DOS. Поскольку одна и та же страница может быть загружена пользователями различных систем, перед ее разработчиком встает непростая задача - как сделать ее читаемой для всех. Существует три подхода к решению этой задачи. Во-первых, можно просто проигнорировать существование нескольких кодировок и готовить страницу в самой популярной, какой сегодня является Win1251. Во-вторых, готовить несколько копий страниц - во всех кодировках. Недостатки этих подходов очевидны. В настоящее время наиболее популярным является решение, предусматривающее автоматическую перекодировку документа на сервере - в зависимости от того, с каким портом общается клиентское приложение: например, на 8080 - Win1251, 8083 - Koi8 и т.п.

URL

Унифицированные указатели ресурсов (URL - Uniform Resource Locator,) предназначены для адресации сетевых ресурсов - документов, файлов и т.п. В самом общем виде URL записывается следующим образом:

[протокол]://[имя][:пароль]@[адрес][:порт][/путь/][документ][?дополнительная информация]

Содержимое квадратных скобок является необязательным, любая часть URL может быть опущена. Здесь





Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach