- •38. Репликация в Active Directory.
- •39. Реплики. Сравнение репликации в аd c Novell.
- •40. Безопасность ad. Механизм делегирования.
- •41. Наследование прав в Novell Netware. Сравнение с Windows, Unix. Эквивалентность прав.
- •42. Защита входа в Novell Netware. Подпись пакетов. Sas, pki, nsso, nmas, nici
- •43. Система безопасности eDirectory и файловой системы
- •44.Атрибуты файлов и каталогов.
- •45. Основные компоненты Novell
- •46. Данные, хранимые в учетной карточке. Месторасположение базы данных учетных записей в Unix-системах. Шифрование
- •47. Виды пользователей в unix-системах. Группы. Основные …. Пароль групп.
- •48. Флаги в unix. Команды просмотра и изменения. Аналоги флагов в других операционных системах.
- •49. Файлы и права доступа к ним в unix. Классификация пользователей по отношению прав доступа к файлам?, ее недостаток и достоинства.
- •50. Виды доступа к файлам в unix. Синтаксис изменения команд прав доступа. Используемые в Unix сочетания битов прав доступа к файлам и директориям.
- •51. Владелец файла, права доступа вновь создаваемого файла. Изменение прав досупа при копировании и перемещении файла. Права доступа, при создании файла
- •52. Понятие межсетевых экранов. Причины их использования. Возникающие проблемы. Соответствие категорий мэ уровням модели osi. Nat.
- •53. Межсетевые экраны канального уровня. Мэ с фильтрацией пакетов. Анализируемая информация. Достоинства и недостатки.
- •54. Мэ сеансового уровня. Nat.
- •56. Мэ прикладного уровня. Особенности. Достоинства и недостатки.
- •57 Межсетевые экраны экспертного уровня.
53. Межсетевые экраны канального уровня. Мэ с фильтрацией пакетов. Анализируемая информация. Достоинства и недостатки.
Позволяет привязать mac адреса сетевых карт компьютера к определенным портам коммутатора. При этом создаются виртуальные локальные сети VLAN.
Коммутаторы могут позволять реализовывать VLAN на уровне портов своего.
Коммутатор может выступать в качестве межсетевого экрана канального уровня.
Недостатки:
Область действия коммутатора простирается до маршрутизатора- не годится для регулировки доступа из интернета;
MAC адрес сетевой карты можно подделать.
Организация VLAN на уровне портов коммутатора более надежна, но не устраняет первый недостаток.
Межсетевые экраны с фильтрацией пакетов
Работают на сетевом уровне и являются наиболее распространенным простым средством для реализации небольших сетей с простой структурой. Они представляют собой либо маршрутизатор, либо программный модуль, сконфигурированный для фильтрации входящих и исходящих пакетов на основе информации из ip заголовков пакетов. В первую очередь анализируется информация сетевого уровня, а именно айпишник отправителя или айпишник получателя.
Анализируется протокол сеансового уровня, информация о котором так же имеется в айпи-заголовках пакетов. В более развитых межсетевых экранах анализируется информация о TCP/UDP портах отправителя или получателя, которые относятся к сеансовому или транспортному уровню. Это позволяет реализовать доступ к компьютеру только определенным службам, запрещая доступ остальным.
Политика безопасности в виде следующей таблицы.
|
Тип пакета |
Адрес отправителя |
Порт отправителя |
Адрес получателя |
Порт получателя |
Действие |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Адрес: TCP, адрес ист-ка *, порт ист-ка 192.168.0.50, адрес назначения *, порт назначения IO. Действия: разрешить - accept, запретить -reject или отбросить - drop. В последнем случае пакет отбрасывается или удаляется, а при запрещении отправителю возвращается icmp пакет с сообщением об отказе.
Последнее правило обычно - правило, запрещающее весь остальной трафик. В целом, межсетевые экраны продолжают проверку пока не найдут правило, которому соответствует обрабатываемый пакет. Если обрабатывается пакет, не соответствующий ни одному из правил таблицы, используется правило по умолчанию, в котором должно быть явно прописано, которое отбрасывает все пакеты, неудовлетворяющие низлежащим правилам.
Положительные достоинства данных межсетевых экранов - низкая стоимость, гибкие правила фильтрации, минимальная задержка при прохождении экрана, обеспечивается некоторый уровень безопасности при минимальной цене.
Недостатки - локальная сеть видна или маршрутизируется из интернета, при большом числе правил их труднее тестировать, адреса и порты отправителя и получателя являются единственной анализируемой информацией, айпишник отправителя можно подделать и обмануть систему аутентификации пакетов; за доверенный компьютер может сесть человек, не имеющий прав доступа и получить доступ к конфиденциальной информации; данные межсетевые экраны не анализируют работу сетевых приложений; у данных межсетевых экранов зачастую отсутствуют развитые средства протоколирования сети.