Модуль 2 • Урок 4

Основы сетей: От кабеля до облака

Разберитесь, как информация путешествует по миру. Мы изучим модель OSI, ключевые протоколы, маршрутизацию и основы сетевой безопасности.

1. Основы модели OSI/ISO: Семь уровней абстракции

Представьте процесс отправки письма. Вы пишете текст (Прикладной), кладете в конверт (Представления), подписываете адрес (Сеансовый), несете на почту (Транспортный), где его сортируют по городам (Сетевой), кладут в мешок с другими письмами (Канальный) и везут на грузовике (Физический). Модель OSI (Open Systems Interconnection) работает точно так же, разбивая сложный процесс сетевого взаимодействия на 7 управляемых уровней.

Запомнить уровни OSI: Используйте мнемонику "Пожалуйста, Не Бросайте Сырые Тефтели Детям Программистов" (Прикладной, Представления, Сеансовый, Транспортный, Сетевой, Канальный, Физический — заменив буквы для лучшего соответствия).

УровеньНазваниеPDU (Единица данных)НазначениеПример
7Прикладной (Application)ДанныеИнтерфейс для приложенийHTTP, FTP, DNS
6Представления (Presentation)ДанныеШифрование, сжатие, форматированиеSSL/TLS
5Сеансовый (Session)ДанныеУправление сеансами связиNetBIOS
4Транспортный (Transport)Сегмент/ДейтаграммаНадежная доставка, портыTCP, UDP
3Сетевой (Network)ПакетМаршрутизация, IP-адресацияIP, ICMP
2Канальный (Data Link)Кадр (Frame)MAC-адресация, коммутацияEthernet
1Физический (Physical)БитыПередача битов по средеКабель, Wi-Fi

На практике чаще используется упрощенная 4-уровневая модель TCP/IP, но OSI — это фундаментальная теория, которую должен знать каждый.

2. Сетевые протоколы в модели OSI

Протокол — это язык, на котором говорят компьютеры. Давайте разберем самые важные из них по уровням.

Транспортный уровень (L4): TCP vs UDP

Это два фундаментальных способа доставки данных.

  • TCP (Transmission Control Protocol): Надежный, с установлением соединения. Гарантирует, что все данные дойдут в правильном порядке и без потерь. Перед отправкой данных происходит "тройное рукопожатие" (SYN, SYN-ACK, ACK). Используется для веб-страниц (HTTP), почты (SMTP), файлов (FTP).
  • UDP (User Datagram Protocol): Быстрый, без установления соединения. Просто "стреляет" данными в нужную сторону, не заботясь о том, дошли ли они. Используется для потокового видео, онлайн-игр, DNS-запросов, где скорость важнее 100% надежности.

Сетевой уровень (L3): IP и ICMP

  • IP (Internet Protocol): Протокол, отвечающий за адресацию и доставку пакетов от одного хоста к другому. IP-адрес — это уникальный "почтовый адрес" компьютера в сети.
  • ICMP (Internet Control Message Protocol): Служебный протокол для диагностики сети. Самая известная утилита, использующая ICMP — это ping, которая проверяет доступность хоста.

Прикладной уровень (L7): Мозг сети

  • DNS (Domain Name System): "Телефонная книга" интернета. Преобразует человекопонятные имена (cortex-academy.com) в IP-адреса (93.184.216.34) и наоборот.
  • HTTP/HTTPS (HyperText Transfer Protocol/Secure): Протокол для загрузки веб-страниц. HTTPS — его защищенная версия, использующая шифрование TLS.
  • DHCP (Dynamic Host Configuration Protocol): Автоматически выдает IP-адреса и другие сетевые настройки устройствам в локальной сети.
# Проверить доступность google.com ping google.com # Узнать IP-адрес для домена nslookup cortex-academy.com # Посмотреть текущие TCP-соединения netstat -tn

3. Статическая и динамическая маршрутизация

Маршрутизация — это процесс выбора наилучшего пути для пакета данных от источника к получателю. Этим занимаются специальные устройства — маршрутизаторы (роутеры).

Статическая маршрутизация

Администратор вручную прописывает все маршруты в таблице маршрутизации.
Плюсы: Полный контроль, предсказуемость, минимальная нагрузка на CPU роутера, повышенная безопасность (нет обмена маршрутной информацией).
Минусы: Не масштабируется. Вручную управлять сетью из 100 роутеров невозможно. Не адаптируется к изменениям в сети (например, если один из каналов "упал").

Статические маршруты часто используют для "маршрута по умолчанию" (default route, 0.0.0.0/0), который говорит роутеру: "Все, что ты не знаешь, куда отправить, отправляй вот сюда (обычно в сторону интернет-провайдера)".

Динамическая маршрутизация

Маршрутизаторы общаются друг с другом с помощью специальных протоколов и автоматически строят и обновляют свои таблицы маршрутизации.

  • Протоколы внутреннего шлюза (IGP): Используются внутри одной автономной системы (например, в корпоративной сети). Примеры: OSPF, EIGRP.
  • Протокол внешнего шлюза (EGP): Используется для обмена маршрутами между автономными системами в глобальном интернете. Единственный используемый протокол — BGP (Border Gateway Protocol). Именно BGP "держит" весь интернет вместе.

4. Виртуальные частные сети (VPN)

VPN (Virtual Private Network) — это технология, которая создает безопасный, зашифрованный "туннель" поверх небезопасной публичной сети (например, интернета). Весь трафик внутри этого туннеля защищен от перехвата и модификации.

Основные сценарии использования:

  • Удаленный доступ (Remote Access VPN): Сотрудник из дома подключается к корпоративной сети, как будто он сидит в офисе.
  • Сайт-к-сайту (Site-to-Site VPN): Объединение двух офисных сетей (например, в Москве и Владивостоке) в одну защищенную сеть.

Ключевые протоколы VPN:

  • IPsec (Internet Protocol Security): Очень надежный и безопасный набор протоколов. Часто используется для Site-to-Site VPN. Может быть сложен в настройке.
  • SSL/TLS (OpenVPN, WireGuard): Более современные и гибкие протоколы. OpenVPN — промышленный стандарт, WireGuard — новый, очень быстрый и простой протокол. Идеально подходят для удаленного доступа.

5. Безопасность сетей: Концепции

Сетевая безопасность — это многоуровневая защита, построенная по принципу "эшелонированной обороны" (Defense in Depth). Нельзя полагаться только на один рубеж.

  • Сегментация сети: Разделение сети на изолированные сегменты (VLAN). Например, сеть для серверов, сеть для пользователей, гостевая Wi-Fi сеть. Если злоумышленник попадет в гостевую сеть, он не сможет добраться до критически важных серверов.
  • Контроль доступа к сети (NAC - Network Access Control): Системы, которые не пускают в сеть "чужие" устройства. Перед подключением устройство проверяется на соответствие политикам безопасности (например, наличие антивируса и обновлений).
  • Защита от атак: Противодействие таким угрозам, как сканирование портов, DoS/DDoS-атаки, ARP-спуфинг, MITM (Man-in-the-Middle).

6. Технические средства защиты информации в сети

Это инструменты, которые реализуют концепции безопасности на практике.

Firewall (Межсетевой экран)

Главный страж на границе сети. Он анализирует проходящий трафик и решает, пропустить его или заблокировать, на основе набора правил. Современные файрволы (NGFW - Next-Generation Firewall) могут анализировать не только IP-адреса и порты, но и содержимое трафика на прикладном уровне.

DMZ (Демилитаризованная зона)

Это специальный сегмент сети, расположенный между вашей внутренней (доверенной) сетью и внешней (недоверенной) сетью, такой как интернет. В DMZ размещают серверы, которые должны быть доступны извне (веб-сервер, почтовый сервер). Даже если взломают веб-сервер в DMZ, злоумышленник не получит прямого доступа к внутренней сети, так как ее защищает второй, внутренний файрвол.

Интернет <--> Firewall 1 <--> DMZ (Веб-сервер) <--> Firewall 2 <--> Внутренняя сеть

AAA-серверы

AAA — это фреймворк для интеллектуального контроля доступа, состоящий из трех компонентов:

  • Authentication (Аутентификация): Кто ты? (Проверка логина и пароля).
  • Authorization (Авторизация): Что тебе можно делать? (Определение прав и привилегий).
  • Accounting (Аудит/Учет): Что ты сделал? (Запись всех действий в логи).

Протоколы, реализующие AAA — это RADIUS и TACACS+. Они используются для централизованного управления доступом к сетевым устройствам (роутерам, коммутаторам, VPN-шлюзам).

7. Практическое задание: Проектирование сети

Вы — сетевой инженер в компании "Cortex". Вам нужно спроектировать базовую, но безопасную сетевую топологию для нового офиса. Вам не нужно настраивать устройства, только описать логику.

  1. Нарисуйте (на бумаге или в любом редакторе) схему сети, включающую интернет, пограничный маршрутизатор, файрвол, DMZ и внутреннюю сеть.
  2. В DMZ разместите веб-сервер. Во внутренней сети — сервер баз данных и рабочие станции пользователей.
  3. Опишите, какие правила вы создадите на файрволе. Например:
    • "Разрешить трафик из интернета на веб-сервер в DMZ только по портам 80 (HTTP) и 443 (HTTPS)".
    • "Разрешить трафик с веб-сервера в DMZ на сервер баз данных во внутренней сети только по порту 3306 (MySQL)".
    • "Запретить ВЕСЬ остальной трафик из интернета во внутреннюю сеть".
  4. Какой протокол вы бы выбрали для организации удаленного доступа для сотрудников, работающих из дома? Обоснуйте свой выбор.
  5. В вашей сети 50 пользователей. Какой метод выдачи IP-адресов вы будете использовать: статический или динамический (DHCP)? Почему?

Это задание нацелено на развитие "сетевого мышления". Способность грамотно спроектировать и сегментировать сеть — один из самых важных навыков в кибербезопасности.