- •Содержание
- •Билет 1
- •1. Понятие сетевого протокола. Понятие стандарта. Связь с моделью osi. Протоколы Internet. Протоколы osi
- •Билет 2
- •1. Понятие распределенной и сетевой ос. Функции. Архитектура.
- •Билет 3
- •1. Протоколы Интернет. Протокол ip, icmp. Формат дейтаграммы. Алгоритм работы.
- •Ip (сетевой уровень)
- •Icmp (сетевой уровень)
- •2. Понятие файловой подсистемы файл-сервера. Подсистема ввода/вывода файл-сервера
- •Билет 4
- •Ip (сетевой уровень)
- •2. Перечислите основные протоколы уровня приложения модели osi и укажите их назначение и способы реализации в ос
- •Билет 5
- •Особенности субд. Отличия от ос.
- •Зачем нужен протокол воотр и dhcр? Форматы пакетов. Алгоритмы работы.
- •Билет 6
- •1.Что такое сетевые стандарты? Какие вы знаете? Какие стандартизирующие организации разрабатывают сетевые стандарты? Дайте примеры стандартов ими разработанные
- •Билет 7
- •1.Осуществление синхронизации процессов. Синхронный и асинхронный протокол передачи.
- •2. Протокол arp. Формат пакета. Алгоритм работы. Протоколы бездисковых станций. Dhcp и BootP.
- •Билет 8
- •1. Определение и функции исходного кода, объектного кода и выполняемых модулей. Системное обеспечение и его состав.
- •Билет 9
- •1. Интерфейс файловой системы. Операции над ней. Монтирование диска, монтирование файловой системы
- •2. Как распределяется память роутера ос? При загрузке производится post? При загрузке запускается rom Monitoring? Какие интерфейсы поддерживают ос роутера. Как осуществляется управления ос роутера
- •Билет 10
- •1. Что такое dte и dce? Каковы функции модема и кодера/декодера?
- •2. Протоколы tcp, udp. Формат пакета и алгоритм работы.
- •Билет 11
- •1. Классы защиты от несанкционированного доступа
- •Билет 12
- •1. Дайте определение синхронного и асинхронного протокола передачи данных. Что такое бит и байт-ориентированные протоколы передачи?
- •2. Зачем нужен протокол arp? Где он запускается? Дайте кратко формат его дейтаграммы. Proxy arp и особенности его применения.
- •Билет 13
- •1. Протоколы управления ieee ос коммутаторов
- •2. Протоколы канального уровня. Его реализации и назначение.
- •Билет 14
- •1. Понятие job, task и process оc. Каковы способы взаимодействия процессов распределенной ос.
- •2. Что делает Proxy arp? Шлюз arp позволяет скрыть подсети или сети? Он отвечает или нет, если получатель доступен через тот же интерфейс? Он отвечает или нет для широковещательного адреса?
- •Билет 15
- •2. Зачем применяется протокол icmp? Он поддерживается каждой станцией? Что такое icmp- переадресация?
- •Билет 16
- •1. Что такое "последняя миля"? в чем суть технологии isdn? Какова архитектура технологии xDsl? Какими ос поддерживаются средства последней мили?
- •2. Базовые принципы работы с ос коммутаторов. Управление ос коммутатора. Протоколы ieee. Типы коммутации и управление скоростью.
- •Билет 17
- •2. Понятие мультимедиа. Понятие потока. Особенности и требования к ос сетевых устройств.
- •Билет 18
- •1. Таблица маршрутизации. Методы маршрутизации ос.
- •2. Что такое порт и сокет tcp? Какие номера портов зарегистрированы и для чего.
- •Билет 19
- •1. Протоколы управления. Протокол cmip и snmp.
- •2. Каковы задачи протоколов канального уровня? Каково семейство протоколов hdlc? Кто их авторы?
- •Билет 20
- •1. Понятие директории. Протокол ds. Распределенная директория.
- •2. Утилиты Ping и traceroute.
- •Билет 21
- •1. Опишите метод доступа ethernet. Опишите формат фрейма Ethernet.
- •2. Передача данных тср. Генерация последовательного номера, подтверждений и дубликатов. Динамическое окно. Рукопожатие и завершение соединения.
- •Билет 22
- •1. В чем суть модели коммуникации ieee? Как реализованы подуровни phy в технологии Ethernet? Каким образом реализован мас-подуровень в технологии Ethernet?
- •2. В чем суть модели rpc? Что выполняет ядро сетевой ос? Какие функции выполняет shell/redirector? Где и какие части сетевой ос запускаются?
- •Билет 23
- •2. Способы защибы от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
- •Билет 24
- •1. Понятие файловой системы ос. Состав и функции. Структура mass storage.
- •2. Средства 3а ос . Протоколы 802.1x.
- •Билет 25
- •1. Понятие модульного программирования. Цель и принципы.
- •2. Коротко дайте формат сегмента протокола tcp. Что содержится в поле ack? Коротко дайте суть процедуры трехстороннего рукопожатия. Seq выбирается ос случайно? Применяется адаптивный timeout или нет?
- •Билет 26
- •1. Понятие потока, как метода написания драйверов
- •2. В чем суть модели коммуникации ieee? Каковы подуровни phy? Работает ли на этом уровне ос?
- •Билет 27
- •1. Понятие файла. Открытие и закрытие файлов. Понятие партиции и тома. Понятие подсистемы ввода/вывода
- •2. Средства vlan oc. Типы vlan. Протокол 802.1x ieee.
- •Билет 28
- •1. Файловые системы. Директории, монтирование файловой системы и тома. Протоколы прикладного уровня модели osi
- •2. Что такое nrm,arm и abm моды работы hdlc?
- •Билет 29
- •1. Понятие protection и понятие security. Опишите суть
- •2.Коротко дайте формат фрейма дейтаграммы ip. Что означает адрес 127.0.0.0? Адрес 0.0.0.0? Адрес 255.255.255.255?
- •Билет 32
- •1. Протоколы прикладного уровня модели osi. Протоколы Интернет. Реализация в ос сетевых устройств
- •2. Понятие приложений реального времени. Приложении мультимедиа. Требования к сетевым протоколам.
- •Билет 33
- •1. Понятие san. Топологии. Протоколы
- •2. Протокол Fibre channel, протокол fcb.
2. Способы защибы от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
Для зашиты от несанкционированного доступа нужно использовать организационные методы защиты.
1) Консоль (клавиатура + терминал) должны быть локированы (доступ к ним по паролю). Любая ОС позволяет делать lock.
2) 3А (Authentication, Authorization, Audit)
1. Аутентификация – Пользователь доказывает, что он действительно тот, за кого себя выдает. Например, помимо логина он вводит пароль.
2. Авторизация – Предоставление пользователю определенных прав (authorities) согласно его роли в системе.
3. Аудит – Фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам.
Буквально в следующем билете про него побольше, можно там глянуть.
3) На всех коммутаторах и роутерах должен быть класс защиты B3:
Все команды разделены на классы. Например, если я класс user, то могу выполнять только команды этого класса. Должны быть ACL (Access Control List). Это фильтр. Например, тебе можно иметь доступ к порту коммутатора, а тебе нельзя.
4) На всех серверах должен быть класс защиты C2:
4.1) Все пользователи имеют какие-то права. (Например, read, write для файлов и т.д.) (Есть право, а есть привилегия – это право дать право.)
4.2) Необходимо кодировать пароли при помощи AES / DES / Triple DES. (Потому что любая ИС ведет log (журнал), куда попадают все действия с системой, в том числе и пароли. Если этот файл найдут «хакеры», то пароли в нем должны быть закодированы).
5) Устройства, работающие с критической информацией по возможности не должны иметь доступа к сети.
Классификация ОС согласно требованиям защиты от НСД.
Эти классы описаны в orange book department of health, это министерство безопасности сша. Опередили нас, потому что у них драйвером всего была военная промышленность. Они описали все стандарты и создали много книжек: green book, brown book, orange book. И в этих книжках они описали, в частности, как должны защищать файловые системы ОС, потому что поняли, что на этом будет строится безопасность страны.
Класс безопасности (protection) всей нашей системы определяется по наиболее слабому классу безопасности ее частей (если у кого-то B1, а у кого-то В3, то итоговый класс В1).
Класс D
Самый низкий класс (dos), умеет делать только ААА (авторизация, аутентификация, аудит). Авторизация – я вхожу в ОС и говорю «давай ресурсы, я Петя, приготовь мне буфера». Аутентификация – Вася не прикидывается Петей, он не входит, требуя ресурсов Пети, он входит как Вася по паролю. Аудит – кто какие ресурсы использует: кто полез в шесть вечера, а ему было нельзя, кто полез в подсистему, кто сделал логин ненужный.
Разница между login и attach. Login – вход в сессию и говорю давай мне ресурсы, я тебе объявился, я делаю это под твоим контролем. Attach – я просто приаттэчиваюсь к дисковому пространству, я не требую ресурсов на сессию, я диском на файл-сервере буду пользоваться с сервера СУБД.
Класс С (сервера)
Класс C1
Novell NetWare сказали давайте разделим всех пользователей, которые имеют логины, на группы, а каждой группе дадим свои права доступа к файловой системе.
Класс С2
У каждого пользователя, входящего в группу всё равно есть свои отличные права. Когда делается логин и вы входите в ОС файл-сервера, то в этом логине я могу сделать специальную команду, которая называются map (maping). Там я скажу, что для тебя сетевой диск F, а для тебя С, и ты будешь иметь такие-то права, ты такие. Будет системный и свой логин. Синхронные протоколы, но не синхронные процессы.
Класс В (Роутеры и коммутаторы)
Для ОС коммутаторов вышеописанного недостаточно. Все они класс B. Тут у нас есть деление команд на уровни.
Класс В1
Эти уровни не поименованные, просто 1,2,3,4,5
Класс В2
Уровни имеют имена (system-view, …)
Класс В3
Если у ОС есть такая функция как ACL (Access Control List) – это фильтры, по которым ты, например можешь ограничить ip. (VRP принадлежит этому классу). Читаем сначала installation guide, потом operation guide.
Класс А
ОС класса А – это В3 с точки зрения функций, но написать мы ее не можем, так как для этого класса необходима сертификация от National Computer Security Center. Без сертификата продавать ОС такого класса нельзя.
(НЕМНОГО ПРО ШИФРОВАНИЕ, ЕСЛИ СПРОСИТ)
Любая операционная система имеет аутентификацию, следовательно, поддерживает пароли. Пароли хранятся в зашифрованном виде, не могут быть simple (как мы делали в работах, пароль виден в логах). Вся информация системная кодируется по стандарту IBM (DES - Data Encryption Standard). У этого стандарта есть ответвления Advanced Encryption Standard (AES) и TripleDES. Это симметричный ключ для кодирования и раскодирования. В алгоритме DES вся информация разбивается на блоки по 64 байта и кодируется ключом длиной 64 байта. AES – это уже блоки по 128 байт, а кодируется ключом 256 байт. TripleDES – это просто троекратное повторение алгоритма DES.
(НЕМНОГО ПРО ЛОКИРОВАНИЕ, ЕСЛИ СПРОСИТ)
У всех ОС есть функция локирования клавиатуры. Операционная система настраивается в такой последовательности: базовые параметры, потом пользователи, прежде всего супервизоры, потом лок на клавиатуру и таким образом защитили доступ к консоли.
Способы защиты ОС коммутаторов и ОС маршрутизаторов.
После локирования защищается весь доступ к управлению (VLAN 100). С его помощью ставятся пароли на терминалы внешнего управления. Можно поставить пароли на telnet/ssh (5 уровень модели OSI). Таким же образом защищается доступ к TFTP-серверу, где хранятся копии всего, чем управляем.
Во всех ОС коммутаторов поддерживается протокол IEE 802.1x – это контроль доступа по MAC-адресам. Это маска доступа (вайтлист физических адресов). Это делается софтом (локи на клавиатуру, пароли, фильтр MAC-адресов). Если у устройств нету MAC-адресов, то применяется программа Radius (используется для VPN). Например, кто-то подключается без адреса, используя PPP (point-to-point protocol). В таком случае устройство обратится к коммутатору по протоколу EOP, а тот к серверу Radius по EAPOL (англ. extensible authentication protocol). И в базе данных Радиуса будет проверка, есть ли такой пользователь или нет. Так и устроен VPN, пользователь обращается к оператору связи, у того стоят серверы, которые на Радиусе ищут пользователя. Радиус надо использовать, когда есть устройства без физ. адресов (модемы, например), когда не получается применять 802.1х.
Любая ОС должна иметь протоколы 802.1p 802.1Q (это VLAN). Это организация пользователей в виртуальные сети с целью ограничения доступа (порты назначаются на VLAN). Можно разделить доступ по портам, по протоколам и по MAC-адресам, по IP адресам. По умолчанию VLAN 1 уже у операционной системы включен и туда занесены все порты. И у VLAN 1 разрешено управление. Поэтому и переименовывали в лабораторных управляющий vlan в 100. Стандарт 802.1p, 802.1Q – это VLAN в рамках одного или нескольких коммутаторов. VLAN делить по протоколам не следует – почти все сидят на IP, по MAC-адресам тоже, так как они могут поменяться (старые устройства поменяли на новые). VLAN по портам тоже плохо, так как пользователи могут переехать.
У ОС маршрутизаторов есть еще один способ защиты от НСД – NAT (Network Address Translation). У всех пользователей для выхода во внешний мир есть один белый IP и адреса как бы мультиплексируются. Адреса у пользователей статические. И ОС рутера переводит локальные IP в внешний. У части рутеров это реализовано хардвеерно.
Еще есть прокси – программы (дополнительные, не встроенные в ОС рутера). Эти программы, запущенные на рутере, будут отвечать на запросы вместо рабочей станции, подключенной к рутеру.
Firewall – это решение двадцатилетней давности. Firewall представляет из себя программу для рутера, которая работает как фильтр доступа. Он всегда ставится на границе между тем, кому доверяем и тем, кому не доверяем. Современные средства защиты доступа (вместо Firewall) называются DPI – Deep Packet Inspection, железо. Распознать, что приходит на рутер с помощью DPI можно, он позволяет читать все налету все вплоть до 7 уровня OSI. Для пропускной способности 10 Гбит/сек средствам DPI нужно читать 3 миллиона пакетов в секунду.
Немного про средства, входящие в состав ОС. Протокол syslog. Этот протокол позволяет собирать все события в единый лог, чтобы потом отправлять на сервер. Это аудит, то есть контроль потребления ресурсов пользователем. IEEE не требует наличия syslog в ОС, поэтому так себе средство – всех не опросишь.