12.Защита от несанкционированного доступа Protection - это защита от

несанкционированного доступа. Говорим про protection. И защита от несанкционированного доступа в плане protection это защита памяти, чтобы туда не залез не нужный процесс, защита файловой системы. Для этой защиты используют специальные классы. Эти классы описаны в специальной книжке Orange book department of defense. У всех ОС, которые мы хотим продать или использовать в бизнесе есть такой класс. Подразумевается что у вас есть класс D в том случае, если у тебя ОС не умеет ничего кроме как спросить пароль, ниже класса D получить уже ничего нельзя. Все это спрашивается в том числе и пароль по специальной схеме AAA (класс D). Authentication (Аутентификация), Authorization(Авторизация), Audit (Аудит). Есть у всех. Authorization(Авторизация) - Пользователь авторизуется в соответствии со свои логином. Authentication(Аутентификация)- это процесс идентификации пользователя. Чтобы проверить личность пользователя надо ввести пароль, который будет закодирован и передан в зашифрованном виде менеджеру. Audit(Аудит) - Операционная система следит, чтобы пользователь использовал только те ресурсы и привилегии, которые даны его уровню. А не другие, только в том объеме который обговаривали (раз в некоторое время). 13.Классы защиты информационных систем классы A,B,C,D Класс D: Все операционные системы умеют кодировать данные. Прежде всего кодирование паролей. Делается это по алгоритму DES у нас DES и AES. (Стандарт дефакта IBM) *DES: (Стандарт шифрования данных): Шифрование 64-битного открытого текста с помощью 56-битного ключа. *AES (Advanced Encryption Standard): 128-битный алгоритм AES, соответствующий стандартам IETF. Класс С универсальные (windows,Linux): Классы С подразделяются на С1 и С2. Это означает, что все пользователи разбиты на группы (С1) и в каждой группе есть определенные права. Дача прав по пользователям(С2) (конкретно). Все обращения к файловым система буду защищены system call , будут получать информацию если есть на это право. Класс B (любимый VRP хуавей) Все команды операционной системы разбиты на лвлы. Пример наших LVL в VRP Level Privilege Command 0 Visit ping, tracert, telnet 1 Monitor display, debugging 2 System All configuration commands except for those at manage level 3 Manage FTP, TFTP, Xmodem, and file system operation commands Только с определённого уровня я могу выполнять определённые команды. Класс B есть у всех коммутаторов и роутеров ОС. B1 есть у всех. B2 говорит что может делать аудит событий отслеживать их при помощи ОС. B3(наша остановка) имеем право делать специальные фильтры. ACL (Access Control List) позволяет указать тип пакетов, которые маршрутизатор и коммутатор будет разрешать или запрещать. Защита от операций . У B3 есть получение доступа к файловой системе по паролю(в VRP нет) B3=работа с ACL Класс А Это операционные системы, которые фактически имеют B3 , но которые пишут люди которые имеют специальный сертификат (сертификат national computer security centre, который находится в Стэнфорде США). 14.Понятие сетевых РОС Сетевая ОС - ОС предназначенная для разделения общих ресурсов в сети, в частности в файловых системах. Необходимо залогиниться для использования - network operating system (подвид РОС) Для получения доступа к файловой системе необходимо залогниниться (хз хз тут можно обосраться но вроде правильно) Если операционная система предполагает, что войду в сессию (сделать логин) - я пользуюсь всеми ресурсами операционной системы по обеспечению security например: Windows NT - login - connection - распределить файловую систему для меня и обеспечивать безопасность Если я сделала логин, значит такая операционная система позволяет мне быть сетевой. Но есть операционные системы, которые говорят «не надо делать ко мне логин» - значит пользуемся какими-то ресурсами - это делает распределенная система. непонятно ничего, но это дословная цитата из лекции. 15.Способы защиты в стандартах IEEE IEEE потребовало чтобы все операционные системы коммутаторов включали дополнительную защиту от несанкционированного доступа вне классов защиты.

Прежде всего, это протоколы IEEE 802.1X , которые включают в себя: стандарт 802.1d: если мы говорим о WAN-системах Включает в себя протокол STP (Spanning Tree Protocol) основанный на алгоритме STA(Spanning Tree Algorithm), Основной задачей которого является устранение петель в топологии произвольной сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. Изначально было придумано для решения проблем топологии сети кольцо (реализация Token ring). стандарт 802.1p и 802.1q: протокол организации виртуальных локальных сетей-VLAN. Благодаря протоколам происходит объединение в логические сети. Объединение может происходить по MAC адресам, номерам порта и IP адресам - это делается для защиты от несанкционированного доступа. стандарт 802.1x: Протокол для защиты системы по MAC адресам. Коммутатор настраивается, так чтобы он мог принимать информацию только с определённых MAC адресов. Все выше перечисленные протоколы обязаны быть в составе операционных систем коммутаторов. вот это говорить не нужно, так на всякий случай Не у всех подключающихся устройств есть мак-адрес(например модемы), и их нельзя отследить по мак-адресам. эту проблему решает Radius (Remote Authentication in Dial-In User Service) протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием протокол управления SNMP - simple network management protocol. Там есть все те же менеджеры, там есть агенты, то есть на каждом роутере, на каждом коммутаторе (но не рабочей станции, она никого не интересует) они работают, то есть собирают какую-то информацию по требованию менеджера. Всегда агенты входят в состав софта, коммутатора или роутера. Менеджер - это всегда дополнительный продукт, его нужно либо самому написать или купить. По определённым правилам менеджер опрашивает агентов, а они ему посылают, что произошло, например, недоступен интерфейс, получили такое-то количество ошибок и т.д. Смысл заключается в том, что вся информация собирается в базе данных менеджера, и используя эту информацию, можно оценивать ситуацию и управлять тем, что происходит. SNMP на сегодняшний день, как стандарт де-факто, входит в состав всех ОС, коммутаторов, роутеров, но НЕ рабочих станций или серверов, поэтому в состав Unix, RT Linux, Windows это входить не может, а вот в состав VRP Huawei - входит, так как она специализированная, то есть она специализирована для работы с коммутатором или с роутером. Хардвеерное решение RMON (Remote network monitoring) 16.Что такое таблицы маршрутизации и функции таблиц роутеров (гугл.Таблица маршрутизации — электронная таблица (файл) или база данных, хранящаяся на маршрутизаторе или сетевом компьютере, которая описывает соответствие между адресами назначения и интерфейсами, через которые следует отправить пакет данных до следующего маршрутизатора.) 17.Функции ОС коммутаторов ОС коммутатора занимается всеми вопросами протекшн(а может и секьюрити но скорее протекшн), а ОС роутера поддерживает таблицу маршрутизации 21.Способы коммуникации процессов в распределенных системах «почтовые ящики» - mailbox Не выделяю память с помощью ОС, а создаю «почтовые ящики» (контролируются ОС), в который кладут сообщения по ссылке (адресу, а точнее поинтеру). Указатель на слово в оперативной памяти (она считается массивом слов). Положили туда сообщение для процесса (например, параметры) и след. процесс обращается к этому адресу. Но не знаю, кто положил туда. Для таких случаев есть: direct - прямо так и кладем, как нужно для данного процесса. например, процесс а всегда с определенными поинтерами (оч плохой метод) inderect - сначала устанавливаем связь между процессами и говорим какой процесс будет выполнять (поинтер, говорит ссылку на адрес с именем процесса и т.д.). Во всех современных системах indirect Есть еще способ коммуникации процессов: пайпы (трубка, канал) - выделяем массив памяти и

даем ссылку на массив, где говорим - в начало пишу, а с конца считываю (FIFO, LIFO). named pipes, асихронные пайпы - совершенно не применяется в расп.системах. из гугла: pipe: Именованный канал позволяет различным процессам обмениваться данными, даже если программы, выполняющиеся в этих процессах, изначально не были написаны для взаимодействия с другими программами. Первый способ (не годится для расп. систем из-за отсутствия общей памяти и расписаний) С помощью shared memory - есть общая память, выделим место, будем передавать параметры и давать на них ссылку. Ссылка на адрес, т.е. поинтер. (есть только на С) Есть два варианта: - обращаюсь с помощью вызовов ОС, ОС выполняет restriction (делит кусочки на нужные кусочки для всех и обеспечивает всем доступ, при котором мы не можем полезть в чужое). Так работают большинство ОС, например windows. - без ос. процесс сам занимается restriction. если не договорятся процессы между собой - начнутся проблемы. так работает ОС Android (не рассчитаны на большой мультипроцесс (много задач).) Есть ОС для: - многозадачности - многопользовательности - а есть posix (ни первое, ни второе. как раз андройд). Если мы снимаем restriction и если не делаем ничего при контроле ОС, то пользовательские процессы этой борьбой занимаются. Мы должны иметь специальные компиляторы с вызовами ОС, либо спец. библиотеки для деления памяти. Разделяемая память (англ. Shared memory) является самым быстрым средством обмена данными между процессами. В других средствах межпроцессового взаимодействия (IPC) обмен информацией между процессами проходит через ядро, что приводит к переключению контекста между процессом и ядром, т.е. к потерям производительности. Техника разделяемой памяти позволяет осуществлять обмен информацией через общий для процессов сегмент памяти без использования системных вызовов ядра Сокет придуман, чтобы передавать друг другу сообщения для разных нод. При такой передаче говорим не только какой процесс, параметры и тд - теперь появляется специальная адресация, идентифицируем адрес узла(ip) и порт (номер почтового бокса, точнее поинтер на него) 22.Сокет и RPC что это (из гугла: сокет-название программного интерфейса для обеспечения обмена данными между процессами.) Кроме портов, есть адреса самих устройств, есть пара, которую называют сокетом. Процесс сервера мультиплексирует, он одновременно работает с одинаковыми номерами портов отправителя в соответствии с некоторыми IP-адресами и номер порта + адрес отправителя образуют пару, которая и есть сокет RPC (Remote Procedure Call) обеспечивает удаленный доступ к файловой системе (из гугла: класс технологий, позволяющих программам вызывать функции или процедуры в другом адресном пространстве) RPC Он сериализует данные при помощи XDR( External Data Representation - внешнее представление данных) — международный стандарт передачи данных в Интернете,), который также может кодировать и декодировать файлы для поддержки доступа с различных платформ. Затем доставляет данные XDR, используя UDP или TCP. Доступ к сервисам RPC на компьютере предоставляется через отображатель портов, который принимает запросы на известном порту, обычно 111, по UDP и TCP. 23.Аудит это Audit(Аудит) - Операционная система следит, чтобы пользователь использовал только те ресурсы и привилегии, которые даны его уровню. А не другие, только в том объеме который обговаривали (раз в некоторое время) Аудит (ОС следит за тем, какие ресурсы использует Петя. Если Пете разрешено использовать такие-то файловые системы [атрибуты доступа], то ОС говорит, мол, Петя полез не туда и не в то время. 24.Memory management unit (Блок управления памятью). Это hardware, нужный для соотношения логических и физических адресов в режиме runtime. Swapping – «выброс» процессов на специальную область памяти, а затем получение их обратно. (Swap-память. Проходили по ОС). Процессы встают в очередь, чтобы «заброситься» обратно, и чаще всего имеют приоритеты. Такая очередь – это Schedule(расписание) (своими словами - если оперативная память загружена

очень, берут часть жесткого диска) 25. Что такое файловая система Файловая система - это механизм для того, чтобы нам рассматривать storage и доступ на этом storage как к данным операционной системы, так и к программным продуктам. С точки зрения ОС и с точки зрения пользователя ФС - это как бы 2 объекта, это сама коллекция файлов и это структура директории, т.е. структура организации информации о файловой системе. 26. Что такое протоколы и стандарты? Протоколы - это некая спецификация Стандарты - реализация этих протоколов 27. Центральные устройства в архитектуре системы? Коммутатор - делит на сегменты всю систему (микросегментирует), тем самым резко ускоряет производительность. Сегмент - кусочек от рабочей станции до коммутатора. Роутер - объединяет сегменты сети и делает маршрут. 28. Операционные системы коммутаторов 29. В чем разница между стандартами и протоколами (лекция 4) Протоколы-это некая спецификация, (определенные правила) Стандарты-реализация этих протоколов