- •Операционные системы (учебное пособие)
- •Введение
- •1. Операционная система: основные понятия
- •1.1. Понятие операционной системы, её роль и функции
- •1.2. Операционная и программная среды
- •1.3. Очередь и стек
- •1.4. Машинная команда, способы адресации, привилегированные команды
- •1.5.Система прерываний
- •1.6. Задачи, вычислительные процессы и ресурсы
- •Ресурс – это абстрактная структура, имеющая множество атрибутов, характеризующих способы доступа к ресурсу и его физическое представление в системе
- •1.7. Мультипрограммный, мультизадачный и многопользовательский режимы работы операционной системы. Режим разделения времени
- •2. Управление памятью в операционных системах
- •2.1. Память и отображения, виртуальное адресное пространство
- •2.2. Простое непрерывное распределение и распределение с перекрытием
- •2.3. Распределение памяти статическими разделами
- •2.4. Распределение памяти с динамическими разделами
- •2.5. Распределение памяти с фрагментацией задач
- •3. Управление процессами
- •3.1. Реализация последовательного процесса в операционной системе
- •3.2. Планирование и диспетчеризация процессов и задач
- •3.3. Управление параллельными процессами
- •3.3.1. Понятие параллельных процессов
- •3.3.2. Методы реализации взаимных исключений
- •3.3.3. Блокировка памяти
- •3.3.4. Применение специальных операций типа "проверка–установка"
- •3.3.5.Семафоры и их применение
- •3.3.6. Мониторы
- •3.3.7. Почтовые ящики, конвейеры и очереди сообщений
- •4. Проблема тупиков и её решение
- •4.1. Проблема тупиков, разделяемые ресурсы и модели параллельных процессов
- •4.2. Модель повторно используемых ресурсов Холта1
- •4.3. Сети Петри
- •4.4. Модель пространства состояний системы
- •4.5. Борьба с тупиками
- •4.5.1. Предотвращение тупиков
- •4.5.2. Обход тупиков
- •4.5.3. Обнаружение тупика
- •5. Жёсткий диск
- •5.1. Устройство накопителя жесткого диска (hdd) и адресация элементов дискового пространства
- •5.2. Логическая структура диска
- •5.3. Создание загрузочных дисков
- •6. Файловые системы
- •6.1. Файлы и каталоги
- •6.2. Понятие и функции файловой системы и системы управления файлами.
- •6.3. Обзор файловых систем
- •6.3.1. Файловая система fat16, fat32 и vfat
- •6.3.2. Файловая система ntfs
- •6.3.3. Файловые системы компакт-дисков
- •7. Средства защиты и восстановления операционных систем
- •7.1. Цифровая подпись драйверов и её верификация
- •7.2. Защита и проверка системных файлов
- •7.3. Откат драйверов
- •7.6. Безопасный режим загрузки
- •7.7. Мастер и точки восстановления системы
- •7.8. Резервное копирование и восстановление
- •7.9. Аварийное восстановление системы. Консоль восстановления.
- •8. Загрузчики операционных систем
- •8.1. Понятие загрузчика и виды его реализации
- •8.2. Решение проблемы четырех разделов в mbr
- •8.3. Установка загрузчиков ос
- •8.4. Настройка загрузчиков ос
- •8.5. Удаление загрузчиков ос
- •9. Системный реестр и системные службы
- •9.1. Назначение и структура реестра
- •9.2. Работа с реестром
- •9.3. Системные службы
- •10. Безопасность операционных систем
- •10.1. Угрозы, уязвимости, атаки
- •10.2. Политика безопасности
- •10.3. Защита от вторжений
- •10.4. Межсетевые экраны
- •10.5. Отключение ненужных служб
- •10.6. Защита от спама
- •10.7. Защита от вредоносных программ и вирусов средствами операционных систем
- •10.8. Защита конфиденциальной информации.
- •Список литературных источников
10.4. Межсетевые экраны
На рис. 10.1 приведена схема взаимодействия локальной сети предприятия с глобальной сетью Интернет при отсутствии аппаратных средств защиты. Одной из важных возможностей осуществления угроз информационной безопасности является наличие ничем не контролируемых трафиков (обмена информацией) с сетью Интернет и внутри локальной сети, которыми может воспользоваться злоумышленник.
Программные и аппаратные средства, позволяющие разделить сеть на две и более частей, осуществлять контроль трафиков и блокировать нежелательные трафики, называются межсетевыми экранами, брандмауэрами или fierwall'ами. Идеальный брандмауэр должен выполнять следующие функции:
блокировка внешних атак, включая сканирование портов, подмену IP-адресов, DoS и DDoS (атак "Отказ в обслуживании"), подбор паролей и пр.
блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть.
контроль приложений запрашивающих разрешение на доступ к открытым портам с проверкой по имени файла и аутентичности приложения;
поддержка зональной защиты с дифференциальным подходом к анализу содержания контента в зависимости от зоны его поступления (Интернет или внутренняя локальная сеть);
протоколирование и предупреждение, т.е. брандмауэр должен собирать строго необходимый объем информации;
максимально прозрачная работа, применение мастеров настройки брандмауэров.
Классификация брандмауэров приведена на рис. 10.3.
Рис. 10.3. Классификация брандмауэров
Аппаратные брандмауэры существуют в виде физических устройств, не являющихся персональными компьютерами и серверами. Примерами брандмауэров, являющихся аппаратными средствами являются межсетевые экраны фирмы D-Link серий DFL и DSR.
Программные брандмауэры ставятся на персональные компьютеры рабочих мест или серверы. Примером такого брандмауэра является брандмауэр Windows, входящий в состав операционной системы Windows 2000/ХР и последующих версий.
Локальные брандмауэры устанавливаются на одно рабочее место или на один сервер, распределённые – на множество компьютеров и серверов.
Брандмауэр, работающий на пакетном уровне, осуществляет фильтрацию входящих и исходящих пакетов. Большинство пакетных брандмауэров проверяют полную ассоциацию пакетов, т.е. связи пакета с конкретным отправителем и конкретным получателем, на основе IP-заголовка пакета. Он включает в себя: адреса отправителя и получателя, информацию о приложении или протоколе, номера портов источника и получателя. Прежде чем отправить пакет по адресу проверяется соответствие пакета одному из правил фильтрации. Если пакет не удовлетворяет правилу фильтрации, то обычно посылка пакета блокируется.
Пакетный брандмауэр не проверяет содержание пакета информации, поэтому его можно обойти, создав IP-заголовок, который удовлетворяет правилам фильтрации. Дополнительную возможность обхода создаёт возможность указания злоумышленником адреса источника, которому получатель пакета доверяет.
Брандмауэр прикладного уровня перехватывает входящие и исходящие пакеты, использует программы-посредники, которые копируют и перенаправляют информацию через брандмауэр, а также выполняет роль сервера посредника, исключая прямые соединения между доверенным сервером или клиентом и внешним хостом. Посредники, используемые брандмауэром прикладного уровня, связаны с приложениями и могут фильтровать информацию на прикладном уровне модели OSI. Примерами программ-посредников являются службы FTP и Telnet. Настройка брандмауэра позволит блокировать пакеты, содержащие нежелательные команды, например команду PUT службы FTP.
Брандмауэр сеансового уровня фильтрует пакеты на основе подтверждения (квитирования) связи. Прежде всего, выполняется проверка осуществления полной ассоциации пакета с отправителем и получателем. Далее брандмауэр связывается с приёмником и осуществляет с ним обмен флагами SYN и ASK пакета. Если числа в этих флагах связаны установленными правилами, то пакет отправляется получателю.
Для осуществления процесса обмена информацией используются программы, которые называются канальными посредниками. Именно они копируют и пересылают информацию посредством создания виртуального канала связи между отправителем и получателем. После квитирования связи никакой фильтрации пакета не происходит до окончания сеанса связи.
Дополнительной функцией брандмауэра сеансового уровня является преобразование IP-адресов внутренних отправителей в один "надёжный" адрес сеансового брандмауэра, т.е. он выполняет функцию proxy-сервера и маскирует внутренние элементы локальной сети от внешних источников.
Экспертные брандмауэры являются брандмауэрами, работающими на всех указанных уровнях.
Применение брандмауэров иллюстрируется рис. 10.4.
Рис. 10.4. Применение брандмауэров
Брандмауэр_1 отделяет сервер от глобальной сети Интернет и контролирует внешний трафик сети предприятия. Брандмауэр_2 разделяет на два сегмента локальную сеть предприятия и контролирует трафик между сегментами локальной сети предприятия.
Недостатками брандмауэров являются:
Разрозненность систем защиты
Отсутствие защиты для нестандартных или новых сетевых сервисов
Снижение производительности
В целях повышения надёжности защиты на брандмауэры устанавливается следующее программное обеспечение:
Intrusion Detection System (IDS – система выявления атак);
система контроля целостности программного обеспечения и конфигурации;
система мониторинга системы и оповещения о неисправностях.