6. (+)
Трансивер — приёмопередатчик. Сетево́й транси́вер — устройство для передачи и приёма сигнала между двумя физически разными средами системы связи. Это приёмник-передатчик, физическое устройство, которое соединяет интерфейс хоста с локальной сетью, такой как Ethernet. Трансиверы Ethernet содержат электронные устройства, передающие сигнал в кабель и детектирующие коллизии. Трансивер позволяет станции передавать и получать из общей сетевой среды передачи. Дополнительно, трансиверы Ethernet определяют коллизии в среде и обеспечивают электрическую изоляцию между станциями.
7. Протоколы и интерфейсы.
Формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах, называются протоколом. Модули, реализующие протоколы соседних уровней и находящиеся в одном узле, также взаимодействуют друг с другом в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений. Эти правила принято называть интерфейсом. Интерфейс определяет набор сервисов, предоставляемый данным уровнем соседнему уровню. В сущности, протокол и интерфейс выражают одно и то же понятие, но традиционно в сетях за ними закрепили разные области действия: протоколы определяют правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы - модулей соседних уровней в одном узле. Средства каждого уровня должны отрабатывать, во-первых, свой собственный протокол, а во-вторых, интерфейсы с соседними уровнями. Программный модуль, реализующий некоторый протокол, часто для краткости также называют «протоколом». При этом соотношение между протоколом - формально определенной процедурой и протоколом - программным модулем, реализующим эту процедуру, аналогично соотношению между алгоритмом решения некоторой задачи и программой, решающей эту задачу. Протоколы реализуются не только компьютерами, но и другими сетевыми устройствами - концентраторами, мостами, коммутаторами, маршрутизаторами и т.д.
12. Отказ в обслуживании.
Отказ в обслуживании (Denial of Servise – DoS), без всякого сомнения, является наиболее известной формой атаки на доступность к ресурсам систем ИТ. Когда атака данного типа проводится одновременно через множество узлов распределённой системы имеет место распределённая атака DoS (DDoS – distributed DoS). Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к системе ИТ или на получение из этой системы какой либо информации. DoS делает систему ИТ недоступной для обычного (штатного) использования за счёт превышения допустимых пределов параметров функционирования системы или её приложений. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной (сетевой) архитектуры ИТ. Некоторые атаки сводят к нулю производительность систем (сетей) ИТ, переполняя их нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии системных ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером сетевых (интернет) услуг. Для того чтобы понять угрозу отказа в обслуживании, необходимо иметь в виду, что безопасные ИТ-системы служат промежуточным звеном при запросе услуг пользователей посредством монитора обращений (пересылок). Такой промежуточный монитор обращений позволяет рассмотреть запросы услуг в терминах простой модели, в которой пользователи являются зарегистрированными либо незарегистрированными, и обеспечиваются запрашиваемой услугой либо получают отказ. В случаях, когда зарегистрированным пользователям не предоставляется запрашиваемая услуга, говорят, что имеет место отказ в обслуживании.
В понятии предоставления или отказа в обслуживании должно быть включено время. Добавление времени к простой модели запроса услуг основано на том, что каждая услуга должна быть связана с некоторым периодом времени, называем максимальным временем ожидания (MWT). Иными словами, если после запроса услуга обеспечивается в течение слишком долгого времени, то можно считать, что она не предоставлена или ее нельзя больше использовать. Дав определение MWT, мы можем теперь ввести точное определение угрозы DoS, а именно, будем говорить, что имеет место угроза всякий раз, когда услуга с соответствующим DoS максимальным временем ожидания (MWT) запрашивается зарегистрированным пользователем в момент времени t и не предоставляется этому пользователю к моменту времени (t + MWT). Это означает, что ответы на запросы зарегистрированных пользователей не должны опаздывать.
13. NIS+
Сетевой информационный сервис (NIS) служит для централизованного управления информационными ресурсами в распределенной среде. NIS+ функционально существенно богаче. Сервис NIS+ работает на основе набора таблиц, содержащих сведения о машинах, параметрах удаленной загрузки, паролях, ключах аутентификации машин локальной сети, пользователях и группах, подсетях, сетевых масках, адресах Ethernet, сервисах, протоколах, параметрах автоматического монтирования удаленных файловых систем и удаленного вызова процедур (RPC). Поскольку указанная информация является весьма важной с точки зрения безопасности информационной системы, ее надежная защита с учетом всех трех критериев (конфиденциальность, целостность, доступность) абсолютно необходима. Такая защита реализуется при задействовании механизмов авторизации и аутентификации NIS+.
Права доступа в NIS+ определяют, какие операции доступны тому или иному NIS-клиенту. Операции в NIS+ подразделяются на четыре класса: чтение (Read), модификация (Мodify), создание (Create), удаление (Destroy). Каждое взаимодействие между клиентом и сервером может сводиться к запросу на проведение действий какого-либо из этих классов, и соответственно авторизовываться. В NIS+ различаются четыре категории сетевых субъектов: владелец (Owner), группа владельца (Group), все (World), никто (Nobody).
В NIS+ имеется три уровня режима безопасности. Уровень 0 используется для тестирования и установки начального набора имен. В этом режиме любому пользователю NIS+ разрешен доступ к любому из объектов. Уровень 1 также применяется на стадии тестирования и отладки. В этом режиме используется тип аутентификации LOCAL, когда параметром служит идентификатор пользователя. В случае, если он не будет найден, клиенту предоставляются права Nobody. При этом все механизмы авторизации работают в полной мере. Наконец, на уровне 2 производится аутентификация клиентов NIS+ с использованием DES-ключей.
NIS+ разделяет клиентов, в зависимости от требуемого сервиса, на две категории: клиент-пользователь и клиент-машина. Клиент выступает как клиент-машина, если запрашиваемый им сервис предполагает получение полномочий привилегированного пользователя (root). Каждому клиенту соответствует удостоверение (credentials), при помощи которого и производится аутентификация. Удостоверение состоит из сетевого имени ( unix.UserID@domainname для клиента-пользователя либо unix.HostName@domainname для клиента-машины) и поля верификации, с помощью которого проверяется подлинность и аутентичность удостоверения. Все удостоверения NIS+ хранятся в одной из таблиц базы данных сетевого информационного сервиса, называемой "Cred table". Для каждого клиента в таблице содержится его имя, тип аутентификации, сетевое имя, открытый (public) и секретный (private) ключи. Удостоверение для каждого из клиентов создается администратором сети (домена сети). Сервер, обслуживающий NIS+, называется мастер-сервером.