- •1.Понятие администрирования. Элементы ис и функции администрирования сетевых ис.
- •Функции администрирования в сетевых ис.
- •2.Задачи, решаемые при администрировании ис. Используемые процедуры.
- •3. Планирование эффективной рабочей среды.
- •4.Технические и организационные службы администрирования ис.
- •5.Способы построения сетей и управление ими. Администрирование сетевых ос.
- •Администрирование сетевых ос.
- •6. Основы tcp/ip. Ip-адресация. Маска подсети.
- •Маска подсети.
- •7.Назначение dhcp. Компоненты dhcp.
- •Компоненты dhcp.
- •8. Процесс выдачи ip-адреса. Алгоритм выбора адреса.
- •Алгоритм выбора адреса.
- •9. Обнаружение конфликтов ip-адресации.
- •10.Обновление ip-адреса. Отклонение обновления и негативное подтверждение.
- •11.Установка и настройка dhcp-сервера.
- •12.Авторизация серверов dhcp.
- •13.Создание области действий dhcp.
- •14.Настройка конфигурационных параметров службы dhcp.
- •15. Активация и деактивация областей dhcp.
- •16.Документирование информации в журнале службы dhcp. Проверка и обновление конфигурации клиента dhcp.
- •Проверка и обновление конфигурации клиента dhcp.
- •17. Домены и разрешение имён.
- •18. Система доменных имён dns.
- •19. Dns и разрешение имён.
- •20. Зоны dns.
- •21. Серверы dns.
- •22.Отказоустойчивость и распределение нагрузки.
- •23.Установка стандартного первичного сервера dns.
- •24.Установка вторичного сервера dns и сервера кэширования.
- •25. Создание и трансферты зон.
- •26.Записи о ресурсах soa и ns.
- •27. Записи о ресурсах a, cname и ptr.
- •28. Записи о ресурсах mx и srv.
- •29.Динамичесая dns.
- •30. Службы управления безопасностью. Необходимость защиты. Причины существования угроз.
- •31. Каналы утечки информации. Способы защиты информации.
- •Способы защиты информации.
- •32. Kerberos. Проверка подлинности.
- •33. Kerberos. Распределение ключей.
- •34. Kerberos. Доверительные отношения между доменами.
- •35. Служба учета. Аудит. Настройка аудита.
- •Настройка аудита.
- •36. Проверка отчётов, получаемых при аудите. Управление аудитом.
- •Управление аудитом.
- •37. Службы контроля характеристик.
- •38. Счётчики производительности.
- •39. Мониторинг производительности.
- •40. Накладные расходы при мониторинге производительности.
- •41. Архивирование и его виды.
- •42. Способы восстановления данных. Требования к архивированию и восстановлению.
- •Выработка стратегии архивирования и восстановления
- •43.Службы обеспечения доступности. Доступ к хранилищам данных.
- •Управление хранилищами данных. Доступ к хранилищам данных.
- •44. Доступ к данным. Защита данных.
32. Kerberos. Проверка подлинности.
В основе протокола KERBEROS лежит идея «общих секретов». Другими словами, если информация известна только двум людям, то любой из них может подтвердить личность другого, проверив, известна ли ему определенная информация. При использовании протокола KERBEROS секретные сведения известны только центру KERBEROS и клиенту - участнику системы безопасности (человеку или устройству).
Проверка подлинности начинается непосредственно с того момента, когда клиент предпринимает попытку войти в домен. Информация от клиента передается зашифрованной его ключом, за исключением учетной записи, которой они шифруются.
В процессе проверки подлинности клиента центром KERBEROS выполняются следующие действия:
-
по учетной записи пользователя загружается ключ клиента, используемый для расшифровки сообщения проверки подлинности
-
просматривается текст сообщения, проверяется поле времени, которое должно совпадать с временем рабочей станции пользователя, с которой был направлен запрос. Если разница между данным временем и временем центра KERBEROS - более 5 минут, то обработка сообщения прекращается. Если меньше – то KERBEROS продолжает работать
-
KERBEROS определяет, совпадает ли временная метка с временной меткой предыдущих запросов. Если она новая, и не такая, как предыдущие метки, то пользователю разрешается войти в домен после обработки дополнительной информации, характеризующей пользователя. В KERBEROS проверка взаимна, т.е. клиенту весте с билетом TGT назад отправляются избранные сведения, среди которых и временная метка получателя. На основе этих данных пользователь может убедиться в том, что именно KERBEROS , а не кто-либо другой расшифровал его сообщение. Обратное сообщение так же инициируется секретным ключом клиента.
33. Kerberos. Распределение ключей.
Проверка подлинности хорошо работает по отношению к ресурсам домена, управляемого KERBEROS. Но как быть, если клиент вышел из домена и обратился к определенным сетевым ресурсам? Протокол KERBEROS поддерживает распределение ресурсных ключей, которое проследим с помощью следующей структуры:
Центр распределения ключей KDC создает сеансовый ключ после того, как клиент обращается к нему с соответствующим запросом А. В запросе А клиент передает билет TGT. Сервер KDC отправляет клиенту зашифрованный ключом клиента билет ST, в котором находится ключ шифрования к серверу ресурсов и сеансовый билет, зашифрованный ключом сервера ресурса (в нём полномочия клиента относительно ресурса). Данное сообщение обозначено как В. Клиент, получив билет ST, расшифровывает его, извлекает ключ шифрования, а сеансовый билет размещает в закрытой области памяти. Формируемый запрос к серверу ресурса шифруется полученным ключом, в сообщение вкладывается сеансовый билет. Так же сюда входит временная метка клиента. Сеансовый билет и временная метка идентифицируют пользователя аналогично имени пользователя и пароля при входе в систему (при проверке подлинности входа). На рис. обозначается как сообщение С. Определив область, из которой идёт запрос, сервер находит в своей памяти секретный ключ дешифрования и расшифровывает сообщение. Далее с помощью дополнительного секретного ключа расшифровывается информация сеансового билета. После этого в зашифрованном виде пользователю пересылается ресурс (сообщение D) в соответствии с полномочиями, определенными клиенту сервером KDC. Срок действия билета ST – 8 часов, т.е. длительность рабочего дня. Когда пользователь завершит сеанс работы, билет ST теряет свою силу.