- •1.Понятие администрирования. Элементы ис и функции администрирования сетевых ис.
- •Функции администрирования в сетевых ис.
- •2.Задачи, решаемые при администрировании ис. Используемые процедуры.
- •3. Планирование эффективной рабочей среды.
- •4.Технические и организационные службы администрирования ис.
- •5.Способы построения сетей и управление ими. Администрирование сетевых ос.
- •Администрирование сетевых ос.
- •6. Основы tcp/ip. Ip-адресация. Маска подсети.
- •Маска подсети.
- •7.Назначение dhcp. Компоненты dhcp.
- •Компоненты dhcp.
- •8. Процесс выдачи ip-адреса. Алгоритм выбора адреса.
- •Алгоритм выбора адреса.
- •9. Обнаружение конфликтов ip-адресации.
- •10.Обновление ip-адреса. Отклонение обновления и негативное подтверждение.
- •11.Установка и настройка dhcp-сервера.
- •12.Авторизация серверов dhcp.
- •13.Создание области действий dhcp.
- •14.Настройка конфигурационных параметров службы dhcp.
- •15. Активация и деактивация областей dhcp.
- •16.Документирование информации в журнале службы dhcp. Проверка и обновление конфигурации клиента dhcp.
- •Проверка и обновление конфигурации клиента dhcp.
- •17. Домены и разрешение имён.
- •18. Система доменных имён dns.
- •19. Dns и разрешение имён.
- •20. Зоны dns.
- •21. Серверы dns.
- •22.Отказоустойчивость и распределение нагрузки.
- •23.Установка стандартного первичного сервера dns.
- •24.Установка вторичного сервера dns и сервера кэширования.
- •25. Создание и трансферты зон.
- •26.Записи о ресурсах soa и ns.
- •27. Записи о ресурсах a, cname и ptr.
- •28. Записи о ресурсах mx и srv.
- •29.Динамичесая dns.
- •30. Службы управления безопасностью. Необходимость защиты. Причины существования угроз.
- •31. Каналы утечки информации. Способы защиты информации.
- •Способы защиты информации.
- •32. Kerberos. Проверка подлинности.
- •33. Kerberos. Распределение ключей.
- •34. Kerberos. Доверительные отношения между доменами.
- •35. Служба учета. Аудит. Настройка аудита.
- •Настройка аудита.
- •36. Проверка отчётов, получаемых при аудите. Управление аудитом.
- •Управление аудитом.
- •37. Службы контроля характеристик.
- •38. Счётчики производительности.
- •39. Мониторинг производительности.
- •40. Накладные расходы при мониторинге производительности.
- •41. Архивирование и его виды.
- •42. Способы восстановления данных. Требования к архивированию и восстановлению.
- •Выработка стратегии архивирования и восстановления
- •43.Службы обеспечения доступности. Доступ к хранилищам данных.
- •Управление хранилищами данных. Доступ к хранилищам данных.
- •44. Доступ к данным. Защита данных.
31. Каналы утечки информации. Способы защиты информации.
Существует 4 основных канала:
-
Ввод данных. Данные становятся уязвимыми для атак и захвата непосредственно с момента, когда вводятся пароль и имя пользователя. Если злоумышленник станет обладателем данных параметров (увидит, как Вы это делаете), то в дальнейшем он может войти в систему под именем паролем данного пользователя. Для повышения скрытности пароля используют т.н. смарт –карты. На ней установлена специальная микросхема, в которой хранятся определенные данные, такие как цифровой сертификат секретных ключей, сведения, необходимые для контроля доступа, защиты данных, обеспечения безопасности и т.д. При использовании смарт-карты не требуется ничего вводит с клавиатуры
-
Передача данных. В процессе работы требуется передавать данные в сеть через сетевой интерфейс контроллера домена. Если данные не зашифрованы или слабо зашифрованы, то имеется возможность (вероятность)перехвата данных. Для того, чтобы этого не произошло, необходимо постоянное использование технологии шифрования.
-
Внешняя среда. В недавнее время единственным способом нанесения вреда ИС был какой-либо физический акт. В настоящее время хакер может достаточно просто произвести атаку через портал удаленного соединения. При этом атакующему не нужно точно определять свои цели. Запустив код «троянского коня», который настроен на сбор информации, он может получить данную информацию для последующего анализа.
-
Внутренняя среда. Источники угроз изнутри часто связаны с сотрудниками, которые м.б. злоумышленниками, либо безответственными работниками. Угроза может исходить как от неправильного использования привилегий, так и необдуманных поступков. Например, злоумышленник, обладая привилегиями администратора, может иметь доступ к важным данным. Иногда пользователи игнорируют использования или обновления антивирусного ПО и загружают в сеть из Интернета всё подряд. Т.е., предоставляют сведения о содержании сети внешнему окружению.
Способы защиты информации.
Для защиты информации в компьютерных сетях широко используются различные методы шифрования.
-
Шифрование с помощью использования ключа. Ключом является специальный алгоритм обработки исходной информации, позволяющий скрыть о посторонних содержание самой информации. Существуют следующие виды ключей:
-
секретные ключи. Шифрование с использованием секретного (симметричного) ключа позволяет одним и тем же ключом выполнят как шифрование, так и дешифрование информации. При развитой системе коммуникаций секретный ключ д.б. известен многим участникам связи. В этом случае вероятность попадания ключа в чужие руки достаточно высока. Кроме того, данным ключом можно не только шифровать, но и выполнять дешифрацию. Исходя из этого, надежность такого шифрования считается низкой.
-
открытые ключи. Шифрование открытым ключом подразумевает применение отдельных ключей для шифрования и дешифрования. Ключ шифрования известен всем участникам соединения, и меры по его закрытости не такие строгие, как для секретного ключа. Ключи шифрования могут зашифровывать сообщение, но расшифровать его в дальнейшем с помощью данного ключа нельзя. Для дешифрации создается специальный ключ, получаемый с помощью сложных математических вычислений на основе ключа шифрования. Данный ключ известен лишь некоторым участникам соединения, которые выполняют дешифровку сообщений. Такое ассиметричное шифрование считается более надёжным, поскольку ключ дешифрования знают немногие
-
сеансовые ключи. Сеансовые ключи, как правило, создаются на одно соединение. Они обладают меньшей криптостойкостью по сравнению с ранее рассмотренными. Сеансовые ключи = симметричные (относятся к разряду секретных). Один и тот же ключ м.б. использован как для шифрования, так и для дешифрования. Шифрование с использованием сеансового ключа выполняется существенно быстрее, чем с помощью секретных ключей и открытых ключей. Алгоритм использования сеансового ключа:
-
инициатор соединения создает сеансовый ключ для шифрования сообщения
-
передаваемые данные шифруются сеансовым ключом
-
сеансовый ключ зашифровывается с помощью открытого ключа отправителя
-
зашифрованные данные и зашифрованный сеансовый ключ отправляются получателю, который сначала расшифровывает сеансовый ключ с помощью закрытой части асинхронного ключа, а после этого расшифровывает данные, полученные сеансовым ключом
-
сертификаты ключей. Это контейнеры открытых ключей, сведения о создании ключей, так же список цифровых подписей.
-
Цифровая подпись. Не всегда требуется зашифровывать сообщения. Иногда данные, содержащиеся в сообщении, большой ценности не имеют. Например, отправка зашифрованного прайс-листа абсурдна. Но если в процессе передачи в него внести дополнения, то последствия такого действия м.б. непредсказуемыми. Цифровая подпись используется для подтверждения уверенности в том, что в процессе передачи модификации документа не было. На передающей стороне производится компьютерная обработка сообщений, на приемной – выполняются аналогичные действия, результатом которых является формирование кодового слова, которое должно содержаться в списке сертификатов ключей. Цифровые подписи используются для проверки подлинности отправителя, связывания двух сторон при обмене данными, проверки подлинности содержания и отсутствия его модификаций.
-
Протокол KERBEROS. Данный протокол был разработан в рамках среды Windows 2000. Однако, благодаря ему проверка подлинности и защиты данных становятся возможными во всех основных ОС. Протокол KERBEROS базируется на системе билетов, выдаваемых центром распределения ключей KDC (Key Distribution Center). Билеты представляют собой пакеты зашифрованных данных. Они выступают в роли «паспорта», вместе с которым передается дополнительная секретная информация. Протокол работает следующим образом:
-
при входе в систему локальные средства защиты проводят проверку подлинности атрибутов клиента предоставляя ему билет TGT (Ticket Grating Ticket), выступающий в качестве пропуска.
-
когда клиенту требуется доступ к определенным ресурсам сети (в т.ч., за пределами действия KDC), он представляет контроллеру домена свой билет TGT и запрашивает билет для получения доступа к ресурсу
-
билет доступа к ресурсу известен как билет ST (Service Ticket). Пользователь, получивший билет ST, предъявляет его ресурсу, и сервер ресурса обеспечивает доступ клиента в соответствии со списком контроля доступа, размещенным в билете ST.