TCP/IP-protokoll on Interneti alus, mille kaudu arvutid saadavad ja võtavad vastu teavet kõikjal maailmas, olenemata geograafilisest asukohast. Juurdepääs mõnes teises riigis asuvale TCP/IP-arvutile on sama lihtne kui kõrvalruumis asuvale arvutile. Juurdepääsuprotseduur on mõlemal juhul identne, kuigi teises riigis asuva masinaga ühenduse loomine võib võtta mõne millisekundi kauem aega. Selle tulemusel saavad mis tahes riigi kodanikud hõlpsalt Amazon.com-is sisseoste teha; loogilise läheduse tõttu muutub aga infoturbe ülesanne keerulisemaks: iga internetiga ühendatud arvuti omanik kõikjal maailmas võib proovida luua volitamata ühendust mis tahes teise masinaga.

Tulemüüride ja süsteemide paigaldamine kahtlase liikluse tuvastamiseks on IT-spetsialistide kohustus. Paketianalüüs hangib teavet allika ja sihtkoha IP-aadresside ning kaasatud võrguportide kohta. Võrguportide väärtus ei jää alla IP-aadressidele; need on kõige olulisemad kriteeriumid kasuliku liikluse eraldamiseks võrku sisenevatest ja sealt väljuvatest võlts- ja kahjulikest sõnumitest. Enamik Interneti-võrgu liiklust koosneb TCP- ja UDP-pakettidest, mis sisaldavad teavet võrguportide kohta, mida arvutid kasutavad liikluse ühest rakendusest teise suunamiseks. Tulemüüri ja võrgu turvalisuse eelduseks on, et administraatoril oleks põhjalik arusaam sellest, kuidas arvutid ja võrguseadmed neid porte kasutavad.

Sadamate õppimine

Võrguportide tööpõhimõtete tundmine on kasulik igale süsteemiadministraatorile. TCP- ja UDP-portide põhiteadmistega saab administraator iseseisvalt diagnoosida ebaõnnestunud võrgurakenduse või kaitsta arvutit, mis pääseb Internetti ilma võrguinsenerile või tulemüürikonsultandile helistamata.

Selle artikli esimene osa (koosneb kahest osast) kirjeldab põhimõisteid, mis on vajalikud võrguportide arutamiseks. Näidatakse võrguportide kohta üldises võrgumudelis ning võrguportide ja NAT (Network Address Translation) tulemüüri rolli ettevõtte arvutite ühendustes Internetiga. Lõpuks näidatakse võrgupunktid, kus on mugav võrguliiklust vastavates võrguportides tuvastada ja filtreerida. 2. osas vaadeldakse mõningaid tavaliste rakenduste ja operatsioonisüsteemide kasutatavaid porte ning tutvustatakse mõningaid tööriistu avatud võrguportide leidmiseks.

Võrguprotokollide lühiülevaade

TCP/IP on võrguprotokollide kogum, mille kaudu arvutid omavahel suhtlevad. TCP/IP komplekt pole midagi muud kui operatsioonisüsteemi installitud tarkvarakoodi tükid, mis võimaldavad juurdepääsu nendele protokollidele. TCP/IP on standard, seega peaksid Windowsi masinas olevad TCP/IP-rakendused edukalt suhtlema sama rakendusega UNIX-seadmes. Võrgu loomise algusaegadel, 1983. aastal, töötasid insenerid välja seitsmekihilise OSI-ühenduse mudeli, et kirjeldada arvutivõrgu protsesse alates kaablist kuni rakenduseni. OSI mudel koosneb füüsilistest, andmeside-, võrgu-, transpordi-, seansi- ja rakenduskihtidest. Pidevalt Interneti ja TCP/IP-ga töötavad administraatorid tegelevad eelkõige võrgu-, transpordi- ja rakenduskihtidega, kuid edukaks diagnostikaks on vaja teada teisi kihte. Vaatamata OSI mudeli kõrgele vanusele kasutavad seda endiselt paljud spetsialistid. Näiteks kui võrguinsener räägib 1. või 2. kihi lülititest või tulemüüri müüja 7. kihi juhtimisest, siis räägivad nad OSI mudelis määratletud kihtidest.

See artikkel räägib võrguportidest, mis asuvad kihis 4 - transport. TCP/IP komplektis kasutavad neid porte TCP- ja UDP-protokollid. Kuid enne ühe kihi üksikasjadesse laskumist on oluline heita kiire pilk seitsmele OSI-kihile ja nende rollidele tänapäevastes TCP/IP-võrkudes.

Kihid 1 ja 2: füüsilised kaablid ja MAC-aadressid

Kiht 1, füüsiline, tähistab tegelikku keskkonda, mille kaudu signaal liigub, näiteks vaskkaabel, fiiberoptiline kaabel või raadiosignaalid (Wi-Fi puhul). 2. kiht, andmeside, kirjeldab füüsilisel andmekandjal edastamise andmevormingut. 2. kihis jagatakse paketid kaadritesse ning saab rakendada põhilisi voo juhtimise ja veakäsitluse funktsioone. IEEE 802.3 standard, paremini tuntud kui Ethernet, on tänapäevaste kohtvõrkude kõige levinum Layer 2 standard. Tüüpiline võrgulüliti on 2. kihi seade, mille kaudu mitu arvutit füüsiliselt ühenduvad ja omavahel andmeid vahetavad. Mõnikord ei saa kaks arvutit üksteisega ühendust luua, kuigi IP-aadressid tunduvad olevat õiged, võib probleemi põhjuseks olla tõrked Address Resolution Protocol (ARP) vahemälus, mis viitab 2. kihi probleemile. Point, AP) pakuvad MAC-aadresside filtreerimist, võimaldades traadita pääsupunktiga ühenduse luua ainult kindla MAC-aadressiga võrguadapteritel.

3. ja 4. kihid: IP-aadressid ja võrgupordid

3. kiht, võrgundus, toetab marsruutimist. TCP/IP puhul rakendatakse marsruutimist IP-s. Paketi IP-aadress kuulub 3. kihile. Võrguruuterid on 3. kihi seadmed, mis analüüsivad pakettide IP-aadresse ja edastavad paketid teisele ruuterile või edastavad paketid kohalikesse arvutitesse. Kui võrgus tuvastatakse kahtlane pakett, tuleb kõigepealt kontrollida paketi IP-aadressi, et teha kindlaks paketi päritolu.

Koos võrgukihiga on kiht 4 (transport) hea lähtepunkt võrguprobleemide diagnoosimisel. Internetis sisaldab kiht 4 TCP- ja UDP-protokolle ning teavet võrgupordi kohta, mis seob paketi konkreetse rakendusega. Arvuti võrgupinn kasutab TCP- või UDP-võrgupordi seost rakendusega võrguliikluse suunamiseks sellele rakendusele. Näiteks TCP-port 80 on seotud veebiserveri rakendusega. Seda portide vastendamist rakendustega tuntakse teenusena.

TCP ja UDP on erinevad. Põhimõtteliselt pakub TCP usaldusväärset ühendust kahe rakenduse vaheliseks suhtluseks. Enne suhtluse alustamist peavad kaks rakendust looma ühenduse, viies lõpule kolmeastmelise TCP-käepigistusprotsessi. UDP on pigem tule ja unusta lähenemine. Ühenduse töökindluse TCP rakenduste jaoks tagab protokoll, kuid UDP rakendus peab ühenduse töökindlust iseseisvalt kontrollima.

Võrguport on number vahemikus 1 kuni 65535, mis on määratud ja teada mõlemale rakendusele, mille vahel side luuakse. Näiteks saadab klient tavaliselt krüptimata päringu serverile TCP-pordi sihtaadressil 80. Tavaliselt saadab arvuti DNS-i päringu DNS-serverile UDP-pordi 53 sihtaadressil. Kliendil ja serveril on allikas. ja sihtkoha IP-aadress ning lähte- ja sihtvõrgu port, mis võivad erineda. Ajalooliselt on kõiki alla 1024 olevaid pordinumbreid kutsutud "teadaolevateks pordinumbriteks" ja need on registreeritud IANA-s (Internet Assigned Numbers Authority). Mõnes operatsioonisüsteemis saavad selle vahemiku porte kasutada ainult süsteemiprotsessid. Lisaks saavad organisatsioonid IANA-s registreerida pordid 1024 kuni 49151, et siduda port oma rakendusega. See registreerimine pakub struktuuri, mis aitab vältida konflikte sama pordinumbrit kasutada püüdvate rakenduste vahel. Kuid üldiselt ei takista miski rakendusel konkreetset porti taotlemast seni, kuni see ei ole hõivatud mõne muu aktiivse programmiga.

Ajalooliselt võis server kuulata madala numbriga porte ja klient võis luua ühenduse suure numbriga pordiga (üle 1024). Näiteks võib veebiklient avada ühenduse veebiserveriga sihtpordis 80, kuid seostada juhuslikult valitud lähteporti, näiteks TCP-porti 1025. Kliendile vastates adresseerib veebiserver paketi allikaga kliendile. port 80 ja sihtport 1025. IP-aadressi ja pordi kombinatsiooni nimetatakse pesaks ja see peab olema arvutis ainulaadne. Sel põhjusel peate kahe eraldi veebisaidiga veebiserveri seadistamisel samas arvutis kasutama mitut IP-aadressi, näiteks aadress1:80 ja aadress2:80, või konfigureerima veebiserveri kuulama mitut võrguporti, näiteks aadressina 1:80 ja aadressina 1:81. Mõned veebiserverid lubavad mitmel veebisaidil töötada ühes pordis, nõudes hosti päist, kuid tegelikult täidab seda funktsiooni veebiserveri rakendus kõrgemal 7. kihil.

Kui võrguvõimalused said operatsioonisüsteemides ja rakendustes kättesaadavaks, hakkasid programmeerijad kasutama 1024-st suuremaid pordinumbreid ilma kõiki rakendusi IANA-s registreerimata. Internetist mis tahes võrguporti otsides leiate tavaliselt kiiresti teavet seda porti kasutavate rakenduste kohta. Või võite otsida hästi tuntud porte ja leida palju saite, mis loetlevad kõige levinumad pordid.

Arvuti võrgurakenduste blokeerimisel või tulemüüri vigade otsimisel tuleb suurema osa tööst 3. kihi IP-aadresside ja 4. kihi protokollide ja võrguportide klassifitseerimine ja filtreerimine laialdaselt kasutatavad ettevõtte TCP- ja UDP-portides.

Võrguportide äratundmise ja nendega tutvumise õppimine ületab tulemüürireeglite määramise. Näiteks mõned Microsofti turvapaigad kirjeldavad NetBIOS-i portide sulgemist. See meede aitab piirata operatsioonisüsteemi haavatavuste kaudu tungivate usside levikut. Teades, kuidas ja kus neid porte sulgeda, võib kriitilise paiga juurutamiseks valmistumisel vähendada võrgu turvariske.

Ja otse 7. tasemele

Layer 5 (seanss) ja Layer 6 (esitlus) kohta on tänapäeval harva kuulda, kuid kiht 7 (rakendus) on tulemüürimüüjate seas kuum teema. Võrgutulemüüride uusim suundumus on 7. kihi kontroll, mis kirjeldab tehnikaid, mida kasutatakse rakenduse ja võrguprotokollidega suhtlemise analüüsimiseks. Võrgupaketi kasulikku koormust analüüsides saab tulemüür kindlaks teha, kas seda läbiv liiklus on seaduslik. Näiteks sisaldab veebipäring 4. kihi paketis (TCP-port 80) GET-lauset. Kui teie tulemüüril on 7. kihi funktsionaalsus, saate kontrollida, kas GET-lause on õige. Teine näide on see, et paljud peer-to-peer (P2P) failijagamisprogrammid võivad kaaperdada pordi 80. Selle tulemusel saab kõrvalseisja konfigureerida programmi kasutama enda valitud porti – tõenäoliselt porti, mis tuleks avatuks jätta. antud tulemüür. Kui ettevõtte töötajad vajavad juurdepääsu Internetile, tuleb avada port 80, kuid selleks, et eristada legitiimset veebiliiklust P2P-liiklusest, mis on kellegi poolt porti 80 suunatud, peab tulemüür pakkuma 7. kihi juhtimist.

Tulemüüri roll

Olles kirjeldanud võrgukihte, saame jätkata tulemüüride kaudu võrgurakenduste vahelise suhtluse mehhanismi kirjeldamisega, pöörates erilist tähelepanu kasutatavatele võrguportidele. Järgmises näites suhtleb kliendibrauser teisel pool tulemüüri asuva veebiserveriga, nii nagu suhtleks ettevõtte töötaja Internetis oleva veebiserveriga.

Enamik Interneti-tulemüüre töötab kihtidel 3 ja 4, et uurida ja seejärel lubada või blokeerida sissetulevat ja väljaminevat võrguliiklust. Üldiselt kirjutab administraator juurdepääsukontrolli loendeid (ACL), mis määravad blokeeritud või lubatud liikluse IP-aadressid ja võrgupordid. Näiteks veebi pääsemiseks peate käivitama brauseri ja suunama selle veebisaidile. Arvuti algatab väljuva ühenduse, saates IP-pakettide jada, mis koosneb päisest ja kasulikust koormuse teabest. Päis sisaldab marsruudi teavet ja muid paketi atribuute. Tulemüürireeglid on sageli koostatud marsruutimisteavet silmas pidades ning sisaldavad tavaliselt lähte- ja sihtkoha IP-aadresse (kiht 3) ning pakettprotokolli (4. kiht). Veebi sirvimisel kuulub sihtkoha IP-aadress veebiserverile ning protokoll ja sihtport (vaikimisi) on TCP 80. Lähte-IP-aadress on selle arvuti aadress, kust kasutaja veebi pääseb, ja allikas. port on tavaliselt dünaamiliselt määratud number , mis on suurem kui 1024. Kasulik teave ei sõltu päisest ja selle genereerib kasutajarakendus; sel juhul on see veebiserveri taotlus veebilehe loomiseks.

Tulemüür analüüsib väljuvat liiklust ja lubab seda tulemüürireeglite kohaselt. Paljud ettevõtted lubavad kogu oma võrgust väljamineva liikluse. See lähenemisviis lihtsustab konfigureerimist ja juurutamist, kuid vähendab turvalisust, kuna puudub kontroll võrgust väljuvate andmete üle. Näiteks võib Trooja hobune nakatada ärivõrgus oleva arvuti ja saata sellest arvutist teavet teise Interneti-arvutisse. Sellise väljamineva teabe blokeerimiseks on mõttekas luua juurdepääsukontrolli loendid.

Erinevalt paljude tulemüüride väljaminevast lähenemisest on enamik konfigureeritud sissetulevat liiklust blokeerima. Tavaliselt lubavad tulemüürid sissetulevat liiklust ainult kahes olukorras. Esimene on liiklus, mis saabub vastusena kasutaja varem saadetud väljuvale päringule. Näiteks kui suunate oma brauseri veebilehe aadressile, lubab tulemüür HTML-koodil ja muudel veebilehe komponentidel võrku siseneda. Teine juhtum on Interneti-sisese teenuse, näiteks meiliserveri, veebi- või FTP-saidi, hostimine. Sellise teenuse hostimist nimetatakse tavaliselt porditõlkeks või serveris avaldamiseks. Pordi tõlke rakendamine on tulemüüri tarnijate lõikes erinev, kuid selle aluspõhimõte on sama. Administraator määrab teenuse, näiteks TCP-porti 80 veebiserveri jaoks ja tagaserveri teenuse majutamiseks. Kui paketid sisenevad tulemüüri sellele teenusele vastava välise liidese kaudu, siis pordi tõlkemehhanism edastab need tulemüüri taha peidetud konkreetsele võrguarvutile. Pordi tõlget kasutatakse koos allpool kirjeldatud NAT-teenusega.

NAT-i põhitõed

NAT-i abil saavad ettevõtte mitu arvutit jagada väikest avalikku IP-aadressi ruumi. Ettevõtte DHCP-server võib eraldada IP-aadressi ühest privaatsest Interneti-marsruutimatust IP-aadressiplokist, mis on määratletud kommentaaride päringus (RFC) nr 1918. Sama privaatset IP-aadressi ruumi võivad jagada ka mitu ettevõtet. Privaatsete IP-alamvõrkude näited on 10.0.0.0/8, 172.16.0.0/12 ja 192.168.0.0/16. Interneti-ruuterid blokeerivad kõik paketid, mis on suunatud ühele privaatsetest aadressidest. NAT on tulemüüri funktsioon, mis võimaldab privaatseid IP-aadresse kasutavatel ettevõtetel Internetis teiste arvutitega suhelda. Tulemüür teab, kuidas tõlkida sissetulev ja väljaminev liiklus privaatseks sisemiseks IP-aadressiks, et iga arvuti pääseks Internetti.

Arvutitevahelist andmevahetust on kahte tüüpi - datathunders Ja istungid. Datagramm on teade, mille kättesaamise kinnitust vastuvõtvalt poolelt ei nõuta ja kui selline kinnitus on vajalik, peab adressaat ise saatma eriteate. Sellisel viisil andmete vahetamiseks peavad vastuvõtvad ja edastavad pooled teabe kadumise vältimiseks rangelt järgima teatud protokolli. Iga datagramm on iseseisev sõnum ja kui LAN-is on mitu datagrammi, ei ole nende edastamine adressaadile üldiselt garanteeritud. Sellisel juhul on datagramm tavaliselt osa sõnumist ja enamikus kohtvõrkudes on datagrammide edastuskiirus palju suurem kui seanssidel olevatel sõnumitel.

IN istungil eeldatakse, et arvutitevaheliseks teadete vahetamiseks luuakse loogiline ühendus ja sõnumite vastuvõtmine on garanteeritud. Kui datagramme saab edastada juhuslikel aegadel, siis seansi puhul lõpetatakse seanss enne sõnumi edastamist ja seanss tuleb sulgeda, kui andmevahetus on lõppenud.

Enamiku arvutite operatsioonisüsteemid toetavad multiprogrammeerimisrežiimi, s.t. mitu programmi töötab samaaegselt (mitu protsessi paralleelselt). Teatud täpsusega võime öelda, et protsess on sõnumi lõppsihtkoht. Kuna aga protsessid luuakse ja lõpetatakse dünaamiliselt, on saatjal harva piisavalt teavet protsessi tuvastamiseks teises arvutis. Seetõttu on vaja määrata andmete sihtkoht protsesside poolt täidetavate funktsioonide põhjal, teadmata midagi nende funktsioonide poolt rakendatavatest protsessidest.

Praktikas arvatakse, et igal arvutil on selle asemel, et mõelda protsessile kui lõppsihtkohale, hulk sihtkohti, mida nimetatakse protokolliportideks. Iga porti identifitseerib positiivne täisarv (0 kuni 65535). Sel juhul pakub operatsioonisüsteem sidemehhanismi, mida protsessid kasutavad, et näidata porti, millel nad töötavad, või porti, millele nad juurdepääsu vajavad. Tavaliselt on pordid puhverdatud ja andmed, mis saabuvad konkreetsesse porti enne, kui protsess on nende vastuvõtmiseks valmis, ei lähe kaotsi: need pannakse järjekorda, kuni protsess selle alla laadib.

Sadamatehnoloogia paremaks mõistmiseks kujutage ette, et lähete panka sissemakset tegema. Selleks peate minema teatud aknasse, kus operaator täidab dokumendid ja teie avate konto. Selles näites kujutab pank arvutit ja pangaoperaatorid on programmid, mis teevad konkreetset tööd. Kuid aknad on pordid ja iga aken pangas on sageli nummerdatud (1, 2, 3 ...).

Sama kehtib ka portide kohta, mistõttu peab saatja teise arvuti pordiga suhtlemiseks teadma nii vastuvõtjaarvuti IP-aadressi kui ka arvuti pordi numbrit. Iga teade sisaldab nii selle arvuti pordi numbrit, millele sõnum on adresseeritud, kui ka selle arvuti lähtepordi numbrit, kuhu vastus tuleb saata. See võimaldab iga protsessi puhul saatjale vastata.

TCP/IP-pordid numbritega 0 kuni 1023 on privilegeeritud ja neid kasutavad võrguteenused, mis omakorda töötavad administraatori (ülikasutaja) õigustega. Näiteks Windowsi failide ja kaustade ühiskasutuse teenus kasutab porti 139, kuid kui see arvutis ei tööta, siis kui proovite sellele teenusele (st sellele pordile) juurde pääseda, kuvatakse tõrketeade.

TCP/IP-pordid 1023 kuni 65535 on privilegeerimata ja neid kasutavad kliendiprogrammid serveritelt vastuste saamiseks. Näiteks kasutab kasutaja veebibrauser veebiserverile juurdepääsul tema arvuti porti 44587, kuid pääseb juurde veebiserveri pordile 80. Pärast päringu saamist saadab veebiserver vastuse pordile 44587, mida veebibrauser kasutab.

TCP/IP-protokoll on Interneti alus, mille kaudu arvutid saadavad ja võtavad vastu teavet kõikjal maailmas, olenemata geograafilisest asukohast. Juurdepääs mõnes teises riigis asuvale TCP/IP-arvutile on sama lihtne kui kõrvalruumis asuvale arvutile. Juurdepääsuprotseduur on mõlemal juhul identne, kuigi teises riigis asuva masinaga ühenduse loomine võib võtta mõne millisekundi kauem aega. Selle tulemusel saavad mis tahes riigi kodanikud hõlpsalt Amazon.com-is sisseoste teha; loogilise läheduse tõttu muutub aga infoturbe ülesanne keerulisemaks: iga internetiga ühendatud arvuti omanik kõikjal maailmas võib proovida luua volitamata ühendust mis tahes teise masinaga.

Tulemüüride ja süsteemide paigaldamine kahtlase liikluse tuvastamiseks on IT-spetsialistide kohustus. Paketianalüüs hangib teavet allika ja sihtkoha IP-aadresside ning kaasatud võrguportide kohta. Võrguportide väärtus ei jää alla IP-aadressidele; need on kõige olulisemad kriteeriumid kasuliku liikluse eraldamiseks võrku sisenevatest ja sealt väljuvatest võlts- ja kahjulikest sõnumitest. Enamik Interneti-võrgu liiklust koosneb TCP- ja UDP-pakettidest, mis sisaldavad teavet võrguportide kohta, mida arvutid kasutavad liikluse ühest rakendusest teise suunamiseks. Tulemüüri ja võrgu turvalisuse eelduseks on, et administraatoril oleks põhjalik arusaam sellest, kuidas arvutid ja võrguseadmed neid porte kasutavad.

Sadamate õppimine

Võrguportide tööpõhimõtete tundmine on kasulik igale süsteemiadministraatorile. TCP- ja UDP-portide põhiteadmistega saab administraator iseseisvalt diagnoosida ebaõnnestunud võrgurakenduse või kaitsta arvutit, mis pääseb Internetti ilma võrguinsenerile või tulemüürikonsultandile helistamata.

Selle artikli esimene osa (koosneb kahest osast) kirjeldab põhimõisteid, mis on vajalikud võrguportide arutamiseks. Näidatakse võrguportide kohta üldises võrgumudelis ning võrguportide ja NAT (Network Address Translation) tulemüüri rolli ettevõtte arvutite ühendustes Internetiga. Lõpuks näidatakse võrgupunktid, kus on mugav võrguliiklust vastavates võrguportides tuvastada ja filtreerida. 2. osas vaadeldakse mõningaid tavaliste rakenduste ja operatsioonisüsteemide kasutatavaid porte ning tutvustatakse mõningaid tööriistu avatud võrguportide leidmiseks.

Võrguprotokollide lühiülevaade

TCP/IP on võrguprotokollide kogum, mille kaudu arvutid omavahel suhtlevad. TCP/IP komplekt pole midagi muud kui operatsioonisüsteemi installitud tarkvarakoodi tükid, mis võimaldavad juurdepääsu nendele protokollidele. TCP/IP on standard, seega peaksid Windowsi masinas olevad TCP/IP-rakendused edukalt suhtlema sama rakendusega UNIX-seadmes. Võrgu loomise algusaegadel, 1983. aastal, töötasid insenerid välja seitsmekihilise OSI-ühenduse mudeli, et kirjeldada arvutivõrgu protsesse alates kaablist kuni rakenduseni. OSI mudel koosneb füüsilistest, andmeside-, võrgu-, transpordi-, seansi- ja rakenduskihtidest. Pidevalt Interneti ja TCP/IP-ga töötavad administraatorid tegelevad eelkõige võrgu-, transpordi- ja rakenduskihtidega, kuid edukaks diagnostikaks on vaja teada teisi kihte. Vaatamata OSI mudeli kõrgele vanusele kasutavad seda endiselt paljud spetsialistid. Näiteks kui võrguinsener räägib 1. või 2. kihi lülititest või tulemüüri müüja 7. kihi juhtimisest, siis räägivad nad OSI mudelis määratletud kihtidest.

See artikkel räägib võrguportidest, mis asuvad kihis 4 - transport. TCP/IP komplektis kasutavad neid porte TCP- ja UDP-protokollid. Kuid enne ühe kihi üksikasjadesse laskumist on oluline heita kiire pilk seitsmele OSI-kihile ja nende rollidele tänapäevastes TCP/IP-võrkudes.

Kihid 1 ja 2: füüsilised kaablid ja MAC-aadressid

Kiht 1, füüsiline, tähistab tegelikku keskkonda, mille kaudu signaal liigub, näiteks vaskkaabel, fiiberoptiline kaabel või raadiosignaalid (Wi-Fi puhul). 2. kiht, andmeside, kirjeldab füüsilisel andmekandjal edastamise andmevormingut. 2. kihis jagatakse paketid kaadritesse ning saab rakendada põhilisi voo juhtimise ja veakäsitluse funktsioone. IEEE 802.3 standard, paremini tuntud kui Ethernet, on tänapäevaste kohtvõrkude kõige levinum Layer 2 standard. Tüüpiline võrgulüliti on 2. kihi seade, mille kaudu mitu arvutit füüsiliselt ühenduvad ja omavahel andmeid vahetavad. Mõnikord ei saa kaks arvutit üksteisega ühendust luua, kuigi IP-aadressid tunduvad olevat õiged, võib probleemi põhjuseks olla tõrked Address Resolution Protocol (ARP) vahemälus, mis viitab 2. kihi probleemile. Point, AP) pakuvad MAC-aadresside filtreerimist, võimaldades traadita pääsupunktiga ühenduse luua ainult kindla MAC-aadressiga võrguadapteritel.

3. ja 4. kihid: IP-aadressid ja võrgupordid

3. kiht, võrgundus, toetab marsruutimist. TCP/IP puhul rakendatakse marsruutimist IP-s. Paketi IP-aadress kuulub 3. kihile. Võrguruuterid on 3. kihi seadmed, mis analüüsivad pakettide IP-aadresse ja edastavad paketid teisele ruuterile või edastavad paketid kohalikesse arvutitesse. Kui võrgus tuvastatakse kahtlane pakett, tuleb kõigepealt kontrollida paketi IP-aadressi, et teha kindlaks paketi päritolu.

Koos võrgukihiga on kiht 4 (transport) hea lähtepunkt võrguprobleemide diagnoosimisel. Internetis sisaldab kiht 4 TCP- ja UDP-protokolle ning teavet võrgupordi kohta, mis seob paketi konkreetse rakendusega. Arvuti võrgupinn kasutab TCP- või UDP-võrgupordi seost rakendusega võrguliikluse suunamiseks sellele rakendusele. Näiteks TCP-port 80 on seotud veebiserveri rakendusega. Seda portide vastendamist rakendustega tuntakse teenusena.

TCP ja UDP on erinevad. Põhimõtteliselt pakub TCP usaldusväärset ühendust kahe rakenduse vaheliseks suhtluseks. Enne suhtluse alustamist peavad kaks rakendust looma ühenduse, viies lõpule kolmeastmelise TCP-käepigistusprotsessi. UDP on pigem tule ja unusta lähenemine. Ühenduse töökindluse TCP rakenduste jaoks tagab protokoll, kuid UDP rakendus peab ühenduse töökindlust iseseisvalt kontrollima.

Võrguport on number vahemikus 1 kuni 65535, mis on määratud ja teada mõlemale rakendusele, mille vahel side luuakse. Näiteks saadab klient tavaliselt krüptimata päringu serverile TCP-pordi sihtaadressil 80. Tavaliselt saadab arvuti DNS-i päringu DNS-serverile UDP-pordi 53 sihtaadressil. Kliendil ja serveril on allikas. ja sihtkoha IP-aadress ning lähte- ja sihtvõrgu port, mis võivad erineda. Ajalooliselt on kõiki alla 1024 olevaid pordinumbreid kutsutud "teadaolevateks pordinumbriteks" ja need on registreeritud IANA-s (Internet Assigned Numbers Authority). Mõnes operatsioonisüsteemis saavad selle vahemiku porte kasutada ainult süsteemiprotsessid. Lisaks saavad organisatsioonid IANA-s registreerida pordid 1024 kuni 49151, et siduda port oma rakendusega. See registreerimine pakub struktuuri, mis aitab vältida konflikte sama pordinumbrit kasutada püüdvate rakenduste vahel. Kuid üldiselt ei takista miski rakendusel konkreetset porti taotlemast seni, kuni see ei ole hõivatud mõne muu aktiivse programmiga.

Ajalooliselt võis server kuulata madala numbriga porte ja klient võis luua ühenduse suure numbriga pordiga (üle 1024). Näiteks võib veebiklient avada ühenduse veebiserveriga sihtpordis 80, kuid seostada juhuslikult valitud lähteporti, näiteks TCP-porti 1025. Kliendile vastates adresseerib veebiserver paketi allikaga kliendile. port 80 ja sihtport 1025. IP-aadressi ja pordi kombinatsiooni nimetatakse pesaks ja see peab olema arvutis ainulaadne. Sel põhjusel peate kahe eraldi veebisaidiga veebiserveri seadistamisel samas arvutis kasutama mitut IP-aadressi, näiteks aadress1:80 ja aadress2:80, või konfigureerima veebiserveri kuulama mitut võrguporti, näiteks aadressina 1:80 ja aadressina 1:81. Mõned veebiserverid lubavad mitmel veebisaidil töötada ühes pordis, nõudes hosti päist, kuid tegelikult täidab seda funktsiooni veebiserveri rakendus kõrgemal 7. kihil.

Kui võrguvõimalused said operatsioonisüsteemides ja rakendustes kättesaadavaks, hakkasid programmeerijad kasutama 1024-st suuremaid pordinumbreid ilma kõiki rakendusi IANA-s registreerimata. Internetist mis tahes võrguporti otsides leiate tavaliselt kiiresti teavet seda porti kasutavate rakenduste kohta. Või võite otsida hästi tuntud porte ja leida palju saite, mis loetlevad kõige levinumad pordid.

Arvuti võrgurakenduste blokeerimisel või tulemüüri vigade otsimisel tuleb suurema osa tööst 3. kihi IP-aadresside ja 4. kihi protokollide ja võrguportide klassifitseerimine ja filtreerimine laialdaselt kasutatavad ettevõtte TCP- ja UDP-portides.

Võrguportide äratundmise ja nendega tutvumise õppimine ületab tulemüürireeglite määramise. Näiteks mõned Microsofti turvapaigad kirjeldavad NetBIOS-i portide sulgemist. See meede aitab piirata operatsioonisüsteemi haavatavuste kaudu tungivate usside levikut. Teades, kuidas ja kus neid porte sulgeda, võib kriitilise paiga juurutamiseks valmistumisel vähendada võrgu turvariske.

Ja otse 7. tasemele

Layer 5 (seanss) ja Layer 6 (esitlus) kohta on tänapäeval harva kuulda, kuid kiht 7 (rakendus) on tulemüürimüüjate seas kuum teema. Võrgutulemüüride uusim suundumus on 7. kihi kontroll, mis kirjeldab tehnikaid, mida kasutatakse rakenduse ja võrguprotokollidega suhtlemise analüüsimiseks. Võrgupaketi kasulikku koormust analüüsides saab tulemüür kindlaks teha, kas seda läbiv liiklus on seaduslik. Näiteks sisaldab veebipäring 4. kihi paketis (TCP-port 80) GET-lauset. Kui teie tulemüüril on 7. kihi funktsionaalsus, saate kontrollida, kas GET-lause on õige. Teine näide on see, et paljud peer-to-peer (P2P) failijagamisprogrammid võivad kaaperdada pordi 80. Selle tulemusel saab kõrvalseisja konfigureerida programmi kasutama enda valitud porti – tõenäoliselt porti, mis tuleks avatuks jätta. antud tulemüür. Kui ettevõtte töötajad vajavad juurdepääsu Internetile, tuleb avada port 80, kuid selleks, et eristada legitiimset veebiliiklust P2P-liiklusest, mis on kellegi poolt porti 80 suunatud, peab tulemüür pakkuma 7. kihi juhtimist.

Tulemüüri roll

Olles kirjeldanud võrgukihte, saame jätkata tulemüüride kaudu võrgurakenduste vahelise suhtluse mehhanismi kirjeldamisega, pöörates erilist tähelepanu kasutatavatele võrguportidele. Järgmises näites suhtleb kliendibrauser teisel pool tulemüüri asuva veebiserveriga, nii nagu suhtleks ettevõtte töötaja Internetis oleva veebiserveriga.

Enamik Interneti-tulemüüre töötab kihtidel 3 ja 4, et uurida ja seejärel lubada või blokeerida sissetulevat ja väljaminevat võrguliiklust. Üldiselt kirjutab administraator juurdepääsukontrolli loendeid (ACL), mis määravad blokeeritud või lubatud liikluse IP-aadressid ja võrgupordid. Näiteks veebi pääsemiseks peate käivitama brauseri ja suunama selle veebisaidile. Arvuti algatab väljuva ühenduse, saates IP-pakettide jada, mis koosneb päisest ja kasulikust koormuse teabest. Päis sisaldab marsruudi teavet ja muid paketi atribuute. Tulemüürireeglid on sageli koostatud marsruutimisteavet silmas pidades ning sisaldavad tavaliselt lähte- ja sihtkoha IP-aadresse (kiht 3) ning pakettprotokolli (4. kiht). Veebi sirvimisel kuulub sihtkoha IP-aadress veebiserverile ning protokoll ja sihtport (vaikimisi) on TCP 80. Lähte-IP-aadress on selle arvuti aadress, kust kasutaja veebi pääseb, ja allikas. port on tavaliselt dünaamiliselt määratud number , mis on suurem kui 1024. Kasulik teave ei sõltu päisest ja selle genereerib kasutajarakendus; sel juhul on see veebiserveri taotlus veebilehe loomiseks.

Tulemüür analüüsib väljuvat liiklust ja lubab seda tulemüürireeglite kohaselt. Paljud ettevõtted lubavad kogu oma võrgust väljamineva liikluse. See lähenemisviis lihtsustab konfigureerimist ja juurutamist, kuid vähendab turvalisust, kuna puudub kontroll võrgust väljuvate andmete üle. Näiteks võib Trooja hobune nakatada ärivõrgus oleva arvuti ja saata sellest arvutist teavet teise Interneti-arvutisse. Sellise väljamineva teabe blokeerimiseks on mõttekas luua juurdepääsukontrolli loendid.

Erinevalt paljude tulemüüride väljaminevast lähenemisest on enamik konfigureeritud sissetulevat liiklust blokeerima. Tavaliselt lubavad tulemüürid sissetulevat liiklust ainult kahes olukorras. Esimene on liiklus, mis saabub vastusena kasutaja varem saadetud väljuvale päringule. Näiteks kui suunate oma brauseri veebilehe aadressile, lubab tulemüür HTML-koodil ja muudel veebilehe komponentidel võrku siseneda. Teine juhtum on Interneti-sisese teenuse, näiteks meiliserveri, veebi- või FTP-saidi, hostimine. Sellise teenuse hostimist nimetatakse tavaliselt porditõlkeks või serveris avaldamiseks. Pordi tõlke rakendamine on tulemüüri tarnijate lõikes erinev, kuid selle aluspõhimõte on sama. Administraator määrab teenuse, näiteks TCP-porti 80 veebiserveri jaoks ja tagaserveri teenuse majutamiseks. Kui paketid sisenevad tulemüüri sellele teenusele vastava välise liidese kaudu, siis pordi tõlkemehhanism edastab need tulemüüri taha peidetud konkreetsele võrguarvutile. Pordi tõlget kasutatakse koos allpool kirjeldatud NAT-teenusega.

NAT-i põhitõed

NAT-i abil saavad ettevõtte mitu arvutit jagada väikest avalikku IP-aadressi ruumi. Ettevõtte DHCP-server võib eraldada IP-aadressi ühest privaatsest Interneti-marsruutimatust IP-aadressiplokist, mis on määratletud kommentaaride päringus (RFC) nr 1918. Sama privaatset IP-aadressi ruumi võivad jagada ka mitu ettevõtet. Privaatsete IP-alamvõrkude näited on 10.0.0.0/8, 172.16.0.0/12 ja 192.168.0.0/16. Interneti-ruuterid blokeerivad kõik paketid, mis on suunatud ühele privaatsetest aadressidest. NAT on tulemüüri funktsioon, mis võimaldab privaatseid IP-aadresse kasutavatel ettevõtetel Internetis teiste arvutitega suhelda. Tulemüür teab, kuidas tõlkida sissetulev ja väljaminev liiklus privaatseks sisemiseks IP-aadressiks, et iga arvuti pääseks Internetti.

Joonisel fig. Joonis 1 näitab põhilist NAT-ühendust kliendi ja veebiserveri vahel. 1. etapis siseneb ettevõtte võrgu arvutist Internetti suunatud liiklus tulemüüri sisemisse liidesesse. Tulemüür võtab paketi vastu ja teeb sissekande ühenduse jälgimise tabelisse, mis kontrollib aadressi tõlkimist. Seejärel asendab tulemüür paketi privaatse lähteaadressi oma välise avaliku IP-aadressiga ja saadab paketi Internetis sihtkohta (samm 2). Sihtarvuti võtab paketi vastu ja edastab vastuse tulemüürile (samm 3). Kui tulemüür selle paketi vastu võtab, otsib ta ühenduse jälgimise tabelist algse paketi allika, asendab sihtkoha IP-aadressi vastava privaatse IP-aadressiga ja edastab paketi lähtearvutile (4. samm). Kuna tulemüür saadab pakette kõigi sisemiste arvutite nimel, muudab see lähtevõrgu porti ja see teave salvestatakse tulemüüri ühenduse jälgimise tabelisse. See on vajalik tagamaks, et väljuvad pistikupesad jäävad ainulaadseks.

Oluline on mõista, kuidas NAT töötab, sest NAT muudab liikluspakettide IP-aadressi ja võrguporte. See arusaam aitab rikkeid diagnoosida. Näiteks saab selgeks, miks ühel ja samal liiklusel võivad tulemüüri välis- ja siseliidestes olla erinevad IP-aadressid ja võrgupordid.

Kõigepealt vundament, siis konstruktsioon

Võrgustiku põhiprintsiipide mõistmine rakenduse, tulemüüri ja pordi poolelt ei ole ainult võrguinseneridele mõeldud. Tänapäeval leidub harva arvutisüsteemi, mis pole võrku ühendatud, ja isegi süsteemiadministraatorid saavad oma probleeme palju lihtsamini lahendada, kui mõistavad vähemalt võrguportide kasutamise põhitõdesid rakenduste Interneti kaudu suhtlemisel.

Artikli teises osas käsitletakse tööriistu võrgus olevate rakenduste tuvastamiseks, analüüsides kaasatud võrguporte. Kuulamisportide avamiseks ja võrgu kaudu juurdepääsetavate rakenduste leidmiseks küsitakse arvutit võrgu kaudu (pordi skaneerimine) ja lokaalselt (hosti skannimine). Lisaks saate tulemüüri logisid vaadates uurida võrgupiire ületavat võrguliiklust ja uurida erinevaid Windowsi ja UNIX-i rakenduste kasutatavaid võrguporte.

UDP RAKENDUSED

UDP toetab paljude muude rakenduste hulgas ka triviaalset failiedastusprotokolli (TFTP), lihtsat võrguhaldusprotokolli (SNMP) ja marsruutimisteabe protokolli (RIP).
TFTP (tüüpiline failiedastusprotokoll). Seda kasutatakse peamiselt operatsioonisüsteemi kopeerimiseks ja arvutisse installimiseks failiserverist,

TFTP. TFTP on väiksem rakendus kui failiedastusprotokoll (FTP). Üldiselt kasutatakse TFTP-d võrkudes lihtsaks failiedastuseks. TFTP sisaldab oma veakontrolli ja järjestuste nummerdamismehhanismi ning seetõttu ei vaja see protokoll transpordikihis lisateenuseid.

SNMP (Simple Network Management Protocol) jälgib ja haldab võrke ja nendega ühendatud seadmeid ning kogub teavet võrgu jõudluse kohta. SNMP saadab PDU sõnumeid, mis võimaldavad võrguhaldustarkvara jälgida võrgus olevaid seadmeid.

RIP (Routing Information Protocol) on sisemine marsruutimisprotokoll, mis tähendab, et seda kasutatakse organisatsiooni sees, kuid mitte Internetis.

TCP RAKENDUSED

TCP toetab paljude muude rakenduste hulgas ka FTP-d, Telneti ja lihtsat postiedastusprotokolli (SMTP).

FTP (failiedastusprotokoll) on täisfunktsionaalne rakendus, mida kasutatakse failide kopeerimiseks ühes arvutis töötava klientrakendusega, mis on lingitud teise kaugarvuti FTP-serverirakendusega. Selle rakenduse abil saab faile vastu võtta ja saata.

Telnet võimaldab teil luua terminaliseansse kaugseadmega, tavaliselt UNIX-i hosti, ruuteri või lülitiga. See annab võrguadministraatorile võimaluse hallata võrguseadet nii, nagu see oleks vahetus läheduses, kasutades juhtimiseks arvuti jadaporti. Telneti kasulikkus on piiratud süsteemidega, mis kasutavad märgipõhist käsusüntaksit. Telnet ei toeta kasutaja graafilise keskkonna juhtimist.

SMTP (Simple Mail Transfer Protocol) on Interneti-posti edastamise protokoll. See toetab meilisõnumite edastamist meiliklientide ja meiliserverite vahel.

HÄSTI TUNTUD SADAMAD
Tuntud pordid on määranud IANA ja need on vahemikus 1023 ja alla selle. Need on määratud rakendustele, mis on Interneti tuumaks.

REGISTREERITUD SADAMAD
Registreeritud pordid kataloogib IANA ja need on vahemikus 1024 kuni 49151. Neid porte kasutavad litsentsitud rakendused, nagu Lotus Mail.

DÜNAAMILISELT MÄÄRATUD PADAD
Dünaamiliselt määratud pordid on nummerdatud vahemikus 49152 kuni 65535. Nende pordide numbrid määratakse dünaamiliselt konkreetse seansi ajaks.