- •Билет 11
- •Классы защиты от несанкционированного доступа
- •Билет 12
- •Дайте определение синхронного и асинхронного протокола передачи данных. Что такое бит и байт-ориентированные протоколы передачи?
- •Зачем нужен протокол arp? Где он запускается? Дайте кратко формат его дейтаграммы. Proxy arp и особенности его применения.
- •Билет 13.
- •1. Протоколы управления ieee ос коммутаторов.
- •2. Протоколы канального уровня. Его реализация и назначение.
- •Билет 14.
- •1. Понятие job, task и process ос. Каковы способы взаимодействия процессов распределенной ос.
- •2. Что делает Proxy arp? Шлюз arp позволяет скрыть подсети или сети? Он отвечает или нет, если получатель доступен через тот же интерфейс? Он отвечает или нет для широковещательного адреса?
- •Билет 15
- •15.2 Зачем применяется протокол icmp? Он поддерживается каждой станцией? Что такое icmp-переадресация?
- •Билет 16
- •Билет 17
- •2. Понятие мультимедиа. Понятие потока. Особенности и требования к ос сетевых устройств
- •Билет 18
- •1. Таблица маршрутизации. Методы маршрутизации ос
- •2. Что такое порт и сокет tcp? Какие номера портов зарегистрированы и для чего.
- •Билет №19.
- •1. Протоколы управления. Протокол cmip и snmp
- •2. Каковы задачи протоколов канального уровня? Каково семейство протоколов hdlc? Кто их авторы?
- •1 Понятие директории. Протокол ds. Распределённая директория
- •2 Утилиты Ping и traceroute
- •1 Опишите метод доступа ethernet. Опишите формат фрейма Ethernet.
- •2 Передача данных тср. Генерация последовательного номера, подтверждений и дубликатов. Динамическое окно. Рукопожатие и завершение соединения.
- •1 В чем суть модели коммуникации ieee? Как реализованы подуровни phy в технологии Ethemet? Каким образом реализован мас-подуровень в технологии Ethemet?
- •2 В чем суть модели rpc? Что выполняет ядро сетевой ос? Какие функции выполняет shell/redirector? Где и какие части сетевой ос запускаются?
- •2 Способы защиты от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
- •Аутентификация
- •Авторизация
- •2 Средства ааа ос. Протоколы 802.1х.
- •1 Понятие модульного программирования. Цель и принципы.
- •2 Коротко дайте формат сегмента протокола tcp. Что содержится в поле ack? Коротко дайте суть процедуры трехстороннего рукопожатия. Seq выбирается ос случайно? Применяется адаптивный timeout или нет?
- •1 Понятие потока, как метода написания драйверов
- •2 В чем суть модели коммуникации ieee? Каковы подуровни phy? Работает ли на этом уровне ос?
- •Понятие файла. Открытие и закрытие файлов. Понятие партиции и тома. Понятие подсистемы ввода/вывода
- •Средства vlan ос. Типы vlan. Протокол 802.1x ieee
- •Файловые системы. Директории, монтирование файловой системы и тома. Протоколы прикладного уровня модели osi
2 Способы защиты от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
Способы защиты от НСД в ОС:
Что делать с protection? Любая ОС занимается защитой файловых систем. Я разграничиваю доступ к файловой системе. Это софт.
Для зашиты от несанкционированного доступа нужно использовать организационные методы защиты. Консоль (клавиатура + терминал) должны быть локированы (доступ к ним по паролю). Любая ОС позволяет делать lock.
ААА (Authentication, Authorization, Audit)
Аутентификация
Пользователь доказывает, что он действительно тот, за кого себя выдает. Например, помимо логина он вводит пароль.
Авторизация
Предоставление пользователю определенных прав (authorities) согласно его роли в системе.
Аудит
Фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам.
На всех коммутаторах и роутерах должен быть класс защиты B3:
Все команды разделены на классы. Например, если я класс user, то могу выполнять только команды этого класса. Должны быть ACL (Access Control List). Это фильтр. Например, тебе можно иметь доступ к порту коммутатора, а тебе нельзя.
(Эта защита стоит тут, так как роутеры и коммутаторы являются «центральными» устройствами по отношению к серверам (много серверов подключены к одному коммутатору))
На всех серверах должен быть класс защиты C2:
Все пользователи имеют какие-то права. (Например, read, write для файлов и т.д.) (Есть право, а есть привилегия – это право дать право.)
Необходимо кодировать пароли при помощи AES / DES / Triple DES. (Потому что любая ИС ведет log (журнал), куда попадают все действия с системой, в том числе и пароли. Если этот файл найдут «хакеры», то пароли в нем должны быть закодированы).
Устройства, работающие с критической информацией по возможности не должны иметь доступа к сети
Классификация ОС согласно требованиям защиты от НСД.
Существуют классы ОС. Эти классы описаны в orange book department of health, это министерство безопасности штатов.
Класс D
Самый низкий класс (dos), умеет делать только ААА (авторизация, аутентификация, аудит). Авторизация – я вхожу в ОС и говорю «давай ресурсы, я Петя, приготовь мне буфера». Аутентификация – Вася не прикидывается Петей, он не входит, требуя ресурсов Пети, он входит как Вася по паролю. Аудит – кто какие ресурсы использует: кто полез в шесть вечера, а ему было нельзя, кто полез в подсистему, кто сделал логин ненужный.
Разница между login и attach. Login – вход в сессию и говорю давай мне ресурсы, я тебе объявился, я делаю это под твоим контролем. Attach – я просто приаттэчиваюсь к дисковому пространству, я не требую ресурсов на сессию, я диском на файл-сервере буду пользоваться с сервера СУБД.
Класс С (сервера)
Класс C1
Novell NetWare сказали давайте разделим всех пользователей, которые имеют логины, на группы, а каждой группе дадим свои права доступа к файловой системе.
Класс С2
У каждого пользователя, входящего в группу всё равно есть свои отличные права. Когда делается логин и вы входите в ОС файл-сервера, то в этом логине я могу сделать специальную команду, которая называются map (maping). Там я скажу, что для тебя сетевой диск F, а для тебя С, и ты будешь иметь такие-то права, ты такие. Будет системный и свой логин. Синхронные протоколы, но не синхронные процессы.
Класс В (Роутеры и коммутаторы)
Для ОС коммутаторов вышеописанного недостаточно. Все они класс B. Тут у нас есть деление команд на уровни.
Класс В1
Эти уровни не поименованные, просто 1,2,3,4,5
Класс В2
Уровни имеют имена (system-view, …)
Класс В3
Если у ОС есть такая функция как ACL (Access Control List) – это фильтры, по которым ты, например можешь ограничить ip. (VRP принадлежит этому классу). Читаем сначала installation guide, потом operation guide.
Класс А
ОС класса А – это В3 с точки зрения функций, но написать мы ее не можем, так как для этого класса необходима сертификация от National Computer Security Center. Без сертификата продавать ОС такого класса нельзя.
Способы защиты ОС коммутаторов и ОС маршрутизаторов.
После локирования защищается весь доступ к управлению (VLAN 100). С его помощью ставятся пароли на терминалы внешнего управления. Можно поставить пароли на telnet/ssh (5 уровень модели OSI). Таким же образом защищается доступ к TFTP-серверу, где хранятся копии всего, чем управляем.
Во всех ОС коммутаторов поддерживается протокол IEE 802.1x – это контроль доступа по MAC-адресам. Это маска доступа (вайтлист физических адресов). Это делается софтом (локи на клавиатуру, пароли, фильтр MAC-адресов). Если у устройств нету MAC-адресов, то применяется программа Radius (используется для VPN). Например, кто-то подключается без адреса, используя PPP (point-to-point protocol). В таком случае устройство обратится к коммутатору по протоколу EOP, а тот к серверу Radius по EAPOL (англ. extensible authentication protocol). И в базе данных Радиуса будет проверка, есть ли такой пользователь или нет. Так и устроен VPN, пользователь обращается к оператору связи, у того стоят серверы, которые на Радиусе ищут пользователя. Радиус надо использовать, когда есть устройства без физ. адресов (модемы, например), когда не получается применять 802.1х.
Любая ОС должна иметь протоколы 802.1p 802.1Q (это VLAN). Это организация пользователей в виртуальные сети с целью ограничения доступа (порты назначаются на VLAN). Можно разделить доступ по портам, по протоколам и по MAC-адресам, по IP адресам. По умолчанию VLAN 1 уже у операционной системы включен и туда занесены все порты. И у VLAN 1 разрешено управление. Поэтому и переименовывали в лабораторных управляющий vlan в 100. Стандарт 802.1p, 802.1Q – это VLAN в рамках одного или нескольких коммутаторов. VLAN делить по протоколам не следует – почти все сидят на IP, по MAC-адресам тоже, так как они могут поменяться (старые устройства поменяли на новые). VLAN по портам тоже плохо, так как пользователи могут переехать.
У ОС маршрутизаторов есть еще один способ защиты от НСД – NAT (Network Address Translation). У всех пользователей для выхода во внешний мир есть один белый IP и адреса как бы мультиплексируются. Адреса у пользователей статические. И ОС рутера переводит локальные IP в внешний. У части рутеров это реализовано хардвеерно.
Еще есть прокси – программы (дополнительные, не встроенные в ОС рутера), запущенные на рутере, будут отвечать на запросы вместо рабочей станции, подключенной к рутеру.
Firewall – это решение двадцатилетней давности. Firewall представляет из себя программу для рутера, которая работает как фильтр доступа. Он всегда ставится на границе между тем, кому доверяем и тем, кому не доверяем. Современные средства защиты доступа (вместо Firewall) называются DPI – Deep Packet Inspection, железо. Распознать, что приходит на рутер с помощью DPI можно, он позволяет читать все налету все вплоть до 7 уровня OSI. Для пропускной способности 10 Гбит/сек средствам DPI нужно читать 3 миллиона пакетов в секунду.
Немного про средства, входящие в состав ОС. Протокол syslog. Этот протокол позволяет собирать все события в единый лог, чтобы потом отправлять на сервер. Это аудит, то есть контроль потребления ресурсов пользователем. IEEE не требует наличия syslog в ОС, поэтому так себе средство – всех не опросишь.
Билет 24
1 Понятие файловой системы ОС. Состав и функции. Структура mass storage.
Понятие файловой системы ОС.
Файловая система (File System Interface) - метод доступа к файлу. Также это совокупность блоков, причём эти блоки – это блоки операционной системы, которые расположены на треках, причём размер трека и размер блока мы с вами определяем, когда делаем Open (мы говорим какой у неё блок, размер записи в этом блоке).
Состав и функции
возможность делить файлы (file sharing) это protection
реализация (File System Implementation) - это структура файловой системы - методы алокации файлов, работа со свободным дисковым пространством, все проблемы производительности
Mass Storage Structure - это структура дисковых подсистем, возможность attachment дисков. Формирование расписания работы с дисковыми системами
Подсистема ввода/вывода операционной системы. Это и Hardware, и реализация интерфейсов в операционных системах, и реализация ядра операционной системы, и обработка запросов операционной системы ввода/вывода. Это все вопросы производительности
Структура mass storage
Значит, сама дисковая структура, это вещь достаточно сложная. Это то, что я назвала на самом деле Mass Storage Structure. Значит, вот здесь у меня дисковая кастрюля. На этой дисковой кастрюле может работать не одна операционная система, а несколько. Может работать и Юникс и Windows. Они имеют разные методы доступа, они друг друга не понимают совсем и по-разному они работают с различными вызовами и имеют разыне директории. Вот это кастрюля делится на partition. Это значит, что они по-разному размечены. У них разный размер трека, блоков. Они по-разному ведут всякие области переполнения. Но разные методы доступа могут быть.
Это собственно место на дисковом пространстве вот этой кастрюле, где работают различные операционные системы. Вот эта партиция из-под которой все не запускается, называется primary. Потому что это первая партиция, из-под которой грузится операционная система при помощи BIOS Loader. У него ссылки на то, где хранится операционная система первой партиции.
Значит, у любой такой партиции есть на самом деле partitionTable. Это на самом деле на нулевом блоке. Там, собственно говоря, табличка, в которой говорится, что партиции начинают отсюда, заканчиваются вот здесь. У партиции есть, например, такие-то блоки, которые являются блоками для back-блок. Его форматировали и партиции идут для контроллера. Это low-level format. Это на самом деле мы разбиваем вот эти партиции для контроллеров.
А дальше у нас, в самом деле, будет производиться high-level format. Это на самом деле форматирование для операционных систем. Я размечу вот эту (partition) уже для операционной системы. У контроллеров 16 треков операционной системы 17. У контроллеров размел в блок 1024, я фантазирую, да? У операционной системы 1046. Обычно совпадает. После этого я разбиваю на тома Volume это просто логическая часть partition. Вначале каждого тома у нас тоже что? Табличка, Volume Table, и когда я начинаю работать, то всегда идет процесс монтирования тома (эти вещи делаются где-то автоматически).
Я буду считывать таблички в оперативную память и знать, где что начинается, какой размер блока, какое количество траков. Тогда я монтирую диск, я монтирую том. Я монтирую это в оперативную память. Это обязательная операция до начала работ.