- •Билет 3
- •1. Протоколы Интернет. Протокол ip, icmp. Формат дейтаграммы. Алгоритм работы.
- •Ip (сетевой уровень)
- •Icmp (сетевой уровень)
- •2. Понятие файловой подсистемы файл-сервера. Подсистема ввода/вывода файл-сервера
- •Билет 4
- •Ip (сетевой уровень)
- •2. Перечислите основные протоколы уровня приложения модели osi и укажите их назначение и способы реализации в ос
- •Билет 5
- •Билет 6
- •Билет №7
- •Билет №8
- •Интерфейс файловой системы. Операции над ней. Монтирование диска, монтирование файловой системы.
- •Как распределяется память роутера ос? При загрузке производится post? При загрузке запускается rom Monitoring? Какие интерфейсы поддерживают ос роутера. Как осуществляется управления ос роутера
- •Что такое dte и dce? Каковы функции модема и кодера/декодера?
- •Протоколы tcp, udp. Формат пакета и алгоритм работы.
- •1. Протоколы управления ieee ос коммутаторов.
- •2. Протоколы канального уровня. Его реализация и назначение.
- •1. Понятие job, task и process ос. Каковы способы взаимодействия процессов распределенной ос.
- •2. Что делает Proxy arp? Шлюз arp позволяет скрыть подсети или сети? Он отвечает или нет, если получатель доступен через тот же интерфейс? Он отвечает или нет для широковещательного адреса?
- •Понятие мультимедиа. Понятие потока. Особенности и требования к ос сетевых устройств
- •Билет 18
- •Что такое порт и сокет tcp? Какие номера портов зарегистрированы и для чего.
- •Протоколы управления. Протокол cmip и snmp
- •Каковы задачи протоколов канального уровня? Каково семейство протоколов hdlc? Кто их авторы?
- •Понятие директории. Протокол ds. Распределённая директория
- •Утилиты Ping и traceroute
- •Опишите метод доступа ethernet. Опишите формат фрейма Ethernet.
- •Передача данных тср. Генерация последовательного номера, подтверждений и дубликатов. Динамическое окно. Рукопожатие и завершение соединения.
- •Билет 22
- •В чем суть модели коммуникации ieee? Как реализованы подуровни phy в технологии Ethemet? Каким образом реализован мас-подуровень в технологии Ethemet?
- •В чем суть модели rpc? Что выполняет ядро сетевой ос? Какие функции выполняет shell/redirector? Где и какие части сетевой ос запускаются?
- •Билет 23
- •2 Способы защиты от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
- •Аутентификация
- •Авторизация
- •Билет 24
- •1 Понятие файловой системы ос. Состав и функции. Структура mass storage.
- •Состав и функции
- •2 Средства 3а ос. Протоколы 802.1х.
- •Билет 25
- •Понятие модульного программирования. Цель и принципы.
- •Билет 26
- •Понятие потока, как метода написания драйверов
- •В чем суть модели коммуникации ieee? Каковы подуровни phy? Работает ли на этом уровне ос?
- •Билет 27
- •Понятие файла. Открытие и закрытие файлов. Понятие партиции и тома. Понятие подсистемы ввода/вывода
- •Средства vlan ос. Типы vlan. Протокол 802.1x ieee
- •Билет 28
- •Файловые системы. Директории, монтирование файловой системы и тома. Протоколы прикладного уровня модели osi
- •Что такое nrm, arm и abm моды работы hdlc
2 Способы защиты от нсд в ос. Классификация ос согласно требованиям защиты от нсд. Способы защиты ос коммутаторов и ос маршрутизаторов.
Способы защиты от НСД в ОС:
Что делать с protection? Любая ОС занимается защитой файловых систем. Это её функция, потому что подсистема ввода-вывода – это 2/3 кода ОС. Я разграничиваю доступ к файловой системе. Это софт.
(ДАЛЕЕ ВСТАВИЛ ОТВЕТ ИЗ ПРОШЛОГО СЕМА)
Для зашиты от несанкционированного доступа нужно использовать организационные методы защиты. Консоль (клавиатура + терминал) должны быть локированы (доступ к ним по паролю). Любая ОС позволяет делать lock.
3А (Authentication, Authorization, Audit)
Аутентификация
Пользователь доказывает, что он действительно тот, за кого себя выдает. Например, помимо логина он вводит пароль.
Авторизация
Предоставление пользователю определенных прав (authorities) согласно его роли в системе.
Аудит
Фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам.
На всех коммутаторах и роутерах должен быть класс защиты B3:
Все команды разделены на классы. Например, если я класс user, то могу выполнять только команды этого класса. Должны быть ACL (Access Control List). Это фильтр. Например, тебе можно иметь доступ к порту коммутатора, а тебе нельзя.
(Эта защита стоит тут, так как роутеры и коммутаторы являются «центральными» устройствами по отношению к серверам (много серверов подключены к одному коммутатору))
На всех серверах должен быть класс защиты C2:
Все пользователи имеют какие-то права. (Например, read, write для файлов и т.д.) (Есть право, а есть привилегия – это право дать право.)
Необходимо кодировать пароли при помощи AES / DES / Triple DES. (Потому что любая ИС ведет log (журнал), куда попадают все действия с системой, в том числе и пароли. Если этот файл найдут «хакеры», то пароли в нем должны быть закодированы).
Устройства, работающие с критической информацией по возможности не должны иметь доступа к сети
Классификация ОС согласно требованиям защиты от НСД.
Существуют классы ОС. Эти классы описаны в orange book department of health, это министерство безопасности штатов. Опередили нас, потому что у них драйвером всего была военная промышленность. Они описали все стандарты и создали много книжек: green book, brown book, orange book. И в этих книжках они описали, в частности, как должны защищать файловые системы ОС, потому что поняли, что на этом будет строится безопасность страны.
Класс безопасности (protection) всей нашей системы определяется по наиболее слабому классу безопасности ее частей (если у кого-то B1, а у кого-то В3, то итоговый класс В1).
Класс D
Самый низкий класс (dos), умеет делать только ААА (авторизация, аутентификация, аудит). Авторизация – я вхожу в ОС и говорю «давай ресурсы, я Петя, приготовь мне буфера». Аутентификация – Вася не прикидывается Петей, он не входит, требуя ресурсов Пети, он входит как Вася по паролю. Аудит – кто какие ресурсы использует: кто полез в шесть вечера, а ему было нельзя, кто полез в подсистему, кто сделал логин ненужный.
Разница между login и attach. Login – вход в сессию и говорю давай мне ресурсы, я тебе объявился, я делаю это под твоим контролем. Attach – я просто приаттэчиваюсь к дисковому пространству, я не требую ресурсов на сессию, я диском на файл-сервере буду пользоваться с сервера СУБД.
Класс С (сервера)
Класс C1
Novell NetWare сказали давайте разделим всех пользователей, которые имеют логины, на группы, а каждой группе дадим свои права доступа к файловой системе.
Класс С2
У каждого пользователя, входящего в группу всё равно есть свои отличные права. Когда делается логин и вы входите в ОС файл-сервера, то в этом логине я могу сделать специальную команду, которая называются map (maping). Там я скажу, что для тебя сетевой диск F, а для тебя С, и ты будешь иметь такие-то права, ты такие. Будет системный и свой логин. Синхронные протоколы, но не синхронные процессы.
Класс В (Роутеры и коммутаторы)
Для ОС коммутаторов вышеописанного недостаточно. Все они класс B. Тут у нас есть деление команд на уровни.
Класс В1
Эти уровни не поименованные, просто 1,2,3,4,5
Класс В2
Уровни имеют имена (system-view, …)
Класс В3
Если у ОС есть такая функция как ACL (Access Control List) – это фильтры, по которым ты, например можешь ограничить ip. (VRP принадлежит этому классу). Читаем сначала installation guide, потом operation guide.
Класс А
ОС класса А – это В3 с точки зрения функций, но написать мы ее не можем, так как для этого класса необходима сертификация от National Computer Security Center. Без сертификата продавать ОС такого класса нельзя.
(НЕМНОГО ПРО ШИФРОВАНИЕ, ЕСЛИ СПРОСИТ)
Любая операционная система имеет аутентификацию, следовательно, поддерживает пароли. Пароли хранятся в зашифрованном виде, не могут быть simple (как мы делали в работах, пароль виден в логах). Вся информация системная кодируется по стандарту IBM (DES - Data Encryption Standard). У этого стандарта есть ответвления Advanced Encryption Standard (AES) и TripleDES. Это симметричный ключ для кодирования и раскодирования. В алгоритме DES вся информация разбивается на блоки по 64 байта и кодируется ключом длиной 64 байта. AES – это уже блоки по 128 байт, а кодируется ключом 256 байт. TripleDES – это просто троекратное повторение алгоритма DES.
(НЕМНОГО ПРО ЛОКИРОВАНИЕ, ЕСЛИ СПРОСИТ)
У всех ОС есть функция локирования клавиатуры. Операционная система настраивается в такой последовательности: базовые параметры, потом пользователи, прежде всего супервизоры, потом лок на клавиатуру и таким образом защитили доступ к консоли.
Способы защиты ОС коммутаторов и ОС маршрутизаторов.
После локирования защищается весь доступ к управлению (VLAN 100). С его помощью ставятся пароли на терминалы внешнего управления. Можно поставить пароли на telnet/ssh (5 уровень модели OSI). Таким же образом защищается доступ к TFTP-серверу, где хранятся копии всего, чем управляем.
Во всех ОС коммутаторов поддерживается протокол IEE 802.1x – это контроль доступа по MAC-адресам. Это маска доступа (вайтлист физических адресов). Это делается софтом (локи на клавиатуру, пароли, фильтр MAC-адресов). Если у устройств нету MAC-адресов, то применяется программа Radius (используется для VPN). Например, кто-то подключается без адреса, используя PPP (point-to-point protocol). В таком случае устройство обратится к коммутатору по протоколу EOP, а тот к серверу Radius по EAPOL (англ. extensible authentication protocol). И в базе данных Радиуса будет проверка, есть ли такой пользователь или нет. Так и устроен VPN, пользователь обращается к оператору связи, у того стоят серверы, которые на Радиусе ищут пользователя. Радиус надо использовать, когда есть устройства без физ. адресов (модемы, например), когда не получается применять 802.1х.
Любая ОС должна иметь протоколы 802.1p 802.1Q (это VLAN). Это организация пользователей в виртуальные сети с целью ограничения доступа (порты назначаются на VLAN). Можно разделить доступ по портам, по протоколам и по MAC-адресам, по IP адресам. По умолчанию VLAN 1 уже у операционной системы включен и туда занесены все порты. И у VLAN 1 разрешено управление. Поэтому и переименовывали в лабораторных управляющий vlan в 100. Стандарт 802.1p, 802.1Q – это VLAN в рамках одного или нескольких коммутаторов. VLAN делить по протоколам не следует – почти все сидят на IP, по MAC-адресам тоже, так как они могут поменяться (старые устройства поменяли на новые). VLAN по портам тоже плохо, так как пользователи могут переехать.
У ОС маршрутизаторов есть еще один способ защиты от НСД – NAT (Network Address Translation). У всех пользователей для выхода во внешний мир есть один белый IP и адреса как бы мультиплексируются. Адреса у пользователей статические. И ОС рутера переводит локальные IP в внешний. У части рутеров это реализовано хардвеерно.
Еще есть прокси – программы (дополнительные, не встроенные в ОС рутера). Эти программы, запущенные на рутере, будут отвечать на запросы вместо рабочей станции, подключенной к рутеру.
Firewall – это решение двадцатилетней давности. Firewall представляет из себя программу для рутера, которая работает как фильтр доступа. Он всегда ставится на границе между тем, кому доверяем и тем, кому не доверяем. Современные средства защиты доступа (вместо Firewall) называются DPI – Deep Packet Inspection, железо. Распознать, что приходит на рутер с помощью DPI можно, он позволяет читать все налету все вплоть до 7 уровня OSI. Для пропускной способности 10 Гбит/сек средствам DPI нужно читать 3 миллиона пакетов в секунду.
Немного про средства, входящие в состав ОС. Протокол syslog. Этот протокол позволяет собирать все события в единый лог, чтобы потом отправлять на сервер. Это аудит, то есть контроль потребления ресурсов пользователем. IEEE не требует наличия syslog в ОС, поэтому так себе средство – всех не опросишь.