- •38. Репликация в Active Directory.
- •39. Реплики. Сравнение репликации в аd c Novell.
- •40. Безопасность ad. Механизм делегирования.
- •41. Наследование прав в Novell Netware. Сравнение с Windows, Unix. Эквивалентность прав.
- •42. Защита входа в Novell Netware. Подпись пакетов. Sas, pki, nsso, nmas, nici
- •43. Система безопасности eDirectory и файловой системы
- •44.Атрибуты файлов и каталогов.
- •45. Основные компоненты Novell
- •46. Данные, хранимые в учетной карточке. Месторасположение базы данных учетных записей в Unix-системах. Шифрование
- •47. Виды пользователей в unix-системах. Группы. Основные …. Пароль групп.
- •48. Флаги в unix. Команды просмотра и изменения. Аналоги флагов в других операционных системах.
- •49. Файлы и права доступа к ним в unix. Классификация пользователей по отношению прав доступа к файлам?, ее недостаток и достоинства.
- •50. Виды доступа к файлам в unix. Синтаксис изменения команд прав доступа. Используемые в Unix сочетания битов прав доступа к файлам и директориям.
- •51. Владелец файла, права доступа вновь создаваемого файла. Изменение прав досупа при копировании и перемещении файла. Права доступа, при создании файла
- •52. Понятие межсетевых экранов. Причины их использования. Возникающие проблемы. Соответствие категорий мэ уровням модели osi. Nat.
- •53. Межсетевые экраны канального уровня. Мэ с фильтрацией пакетов. Анализируемая информация. Достоинства и недостатки.
- •54. Мэ сеансового уровня. Nat.
- •56. Мэ прикладного уровня. Особенности. Достоинства и недостатки.
- •57 Межсетевые экраны экспертного уровня.
54. Мэ сеансового уровня. Nat.
Они следят за квитированием связи между авторизованным клиентом и внешним хостом или наоборот, определяя, является ли сеанс допустимым. Анализируется информация из заголовков пакетов сеансового уровня. При запросе от клиента, шлюз проверяет, удовлетворяет ли клиент базовым правилам фильтрации, например, может ли DNS сервер определить ip адрес клиента и связанное с ним имя, затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за квитированием связи по протоколу TCP. Данная процедура состоит из обмена пакетами с флагами SYN и ACK.
Первый пакет сеанса содержит флаг SYN и произвольное число. Это запрос клиента на открытие сеанса. Внешний хост в ответ посылает пакет с флагом ACK и числом на единицу больше, подтверждая прием запроса. Затем, обратная процедура.
хост (SYN ххх) клиент
клиент (ACK ххх+1) хост
Шлюз сеансового уровня считает сеанс допустимым, если при квитировании пакет с SYN, ACK, числа является логически связанным.
После установления соединения, МЭ перенаправляет пакеты, не проводя фильтрации. Поддерживается таблица установленного соединения, и пропускаются данные, относящиеся к одному сеансу, указанному в данной таблице. После завершения сеанса соответствующий элемент из таблицы удаляется, и цепь разрывается.
Данные МЭ позволяют бороться с атаками «отказ в обслуживании».
Так же, к МЭ сеансового уровня относится прокси-сервер с NAT. При этом внутренняя сеть имеет серые адреса.
При обращении внутреннего компьютера в интернет, МЭ перехватывает запрос и выступает от имени клиента, подставляя свой белый ip. Полученный ответ МЭ передает внутреннему компьютеру, подставляя его серый ip. Это позволяет уменьшить число белых ip и контролировать поток информации, запрещая доступ в интернет определенным компьютерам. Имеется несколько режимов NAT:
динамический (PAT). Ретранслируется на уровне потоков. Шлюз имеет один ip адрес. При обращении клиента, шлюз выделяет ему уникальный порт транспортного протокола TCP\UDP для данного внешнего ip. Он используется компьютерами, которые выступают в роли клиентов в сети интернет. Все исходящие пакеты отправляются с ip шлюза;
статический. Внешнему интерфейсу шлюза назначается несколько внешних ip, соответствующих числу интернет серверов, которые должны быть доступны. Соответствующий шлюз транслирует белый в серый и наоборот, обеспечивая доступ из интернета к серверу корпоративной сети, который имеет серый ip.
Возможен «гибридный» режим – комбинированный.
Недостатки:
-Фильтрует пакеты только на сеансовом уровне, т.е. не проверяют содержимое пакетов.
-После завершения процедуры квитирования и установки соединения МЭ будет просто перенаправлять пакеты независимо от содержимого
не поддерживается аутентификация на уровне пользователей, а только на уровне айпи адресо
-Они фильтруют информацию на прикладном уровне. Используются программы посредники (proxy), которые перенаправляют информацию через шлюз и исключают прямое соединение между клиентом и сервером.
55. DOS-атаки, средства борьбы с ними.
Данные МЭ позволяют бороться с атаками «отказ в обслуживании». Например DOS, Denial of Servia, атака наплыва SYN пакета. При этом комп продолжает работать , но оказывается недоступен по сети. Это связано с тем, что при получении SYN комп выделяет память, а во многих ОС на нее установлен лимит. Пока не получит RST или не наступит тайм-аут, соединение продолжит резервировать память.
Атака SYN flooding - отправка множества пакетов SYN от не существующих\не работающих компов с подменов ip адреса. Отправка должна быть именно от не существующих\не работающих хостов, иначе в ответ на пакет SYN, ACK сервер ответит пакетом с флагом RESET и соединение сбросится.
При данной атаке, выделенная для нового соединения память быстро исчерпывается и сервер "виснет». Для борьбы с ними используются фильтры с многоступенчатой установкой соединения.
Например, SYN Defender.
Клиент посылает пакет с флагом SYN. Он передается на втором шаге на сервер. На третьем шаге сервер отвечает пакетом с флагами SYN, ACK.
МЭ посылает ACK от имени клиента. За счет быстрого ответа память, выделенная для нового соединения, не исчерпывается.
Если клиент действительно запросил соединение, то он пошлет пакет с флагом ACK, который проходит через ? на сервер. Если же МЭ не получит флаг ACK от клиента, то МЭ пошлет на сервер пакет с флагом RESET.
SYN Defender
Может использоваться еще один вариант фильтра SYN Defender Relay. Сервер не отвечает. МЭ устанавливает соединение с клиентом. После подтверждения клиента, МЭ устанавливает соединение с сервером.
SYN Defender Relay