Файл: Вопросы для подготовки к экзамену по дисциплине " Операционные системы ".docx

· протоколирование и предупреждение, т.е. брандмауэр должен собирать строго необходимый объем информации;

· максимально прозрачная работа, применение мастеров настройки брандмауэров.

17. 
    Поясните классификацию брандмауэров по исполнению.
    

Существуют аппаратные, программные, локальные и распределенные брандмауэры.

Аппаратные брандмауэры существуют в виде физических устройств, не являющихся персональными компьютерами и серверами. Примерами брандмауэров, являющихся аппаратными средствами являются межсетевые экраны фирмы D-Link серий DFL и DSR.

Программные брандмауэры ставятся на персональные компьютеры рабочих мест или серверы. Примером такого брандмауэра является брандмауэр Windows, входящий в состав операционной системы Windows 2000/ХР и последующих версий.

Локальные брандмауэры устанавливаются на одно рабочее место или на один сервер, распределённые – на множество компьютеров и серверов.

18. 
    Поясните работу брандмауэров на пакетном уровне.
    

Брандмауэр, работающий на пакетном уровне, осуществляет фильтрацию входящих и исходящих пакетов. Большинство пакетных брандмауэров проверяют полную ассоциацию пакетов, т.е. связи пакета с конкретным отправителем и конкретным получателем, на основе IP-заголовка пакета. Он включает в себя: адреса отправителя и получателя, информацию о приложении или протоколе, номера портов источника и получателя. Прежде чем отправить пакет по адресу проверяется соответствие пакета одному из правил фильтрации. Если пакет не удовлетворяет правилу фильтрации, то обычно посылка пакета блокируется.

Пакетный брандмауэр не проверяет содержание пакета информации, поэтому его можно обойти, создав IP-заголовок, который удовлетворяет правилам фильтрации. Дополнительную возможность обхода создаёт возможность указания злоумышленником адреса источника, которому получатель пакета доверяет.

19. 
    Поясните работу брандмауэров на прикладном уровне.
    

Брандмауэр прикладного уровня перехватывает входящие и исходящие пакеты, использует программы-посредники, которые копируют и перенаправляют информацию через брандмауэр, а также выполняет роль сервера посредника, исключая прямые соединения между доверенным сервером или клиентом и внешним хостом. Посредники, используемые брандмауэром прикладного уровня, связаны с приложениями и могут фильтровать информацию на прикладном уровне модели OSI. Примерами программ-посредников являются службы FTP и Telnet. Настройка брандмауэра позволит блокировать пакеты, содержащие нежелательные команды, например, команду PUT службы FTP.

---

20. 
    Поясните работу брандмауэров на сеансовом и экспертном уровнях.
    

Брандмауэр сеансового уровня фильтрует пакеты на основе подтверждения (квитирования) связи. Прежде всего, выполняется проверка осуществления полной ассоциации пакета с отправителем и получателем. Далее брандмауэр связывается с приёмником и осуществляет с ним обмен флагами SYN и ASK пакета. Если числа в этих флагах связаны установленными правилами, то пакет отправляется получателю.

Для осуществления процесса обмена информацией используются программы, которые называются канальными посредниками. Именно они копируют и пересылают информацию посредством создания виртуального канала связи между отправителем и получателем. После квитирования связи никакой фильтрации пакета не происходит до окончания сеанса связи.

Дополнительной функцией брандмауэра сеансового уровня является преобразование IP-адресов внутренних отправителей в один "надёжный" адрес сеансового брандмауэра, т.е. он выполняет функцию proxy-сервера и маскирует внутренние элементы локальной сети от внешних источников.

Экспертные брандмауэры являются брандмауэрами, работающими на всех указанных уровнях.

21. 
    Каковы недостатки брандмауэров? Какие программные средства усиливают защиту информации брандмауэрами?
    

Недостатками брандмауэров являются:

· Разрозненность систем защиты

· Отсутствие защиты для нестандартных или новых сетевых сервисов

· Снижение производительности

В целях повышения надёжности защиты на брандмауэры устанавливается следующее программное обеспечение:

· Intrusion Detection System (IDS – система выявления атак);

· система контроля целостности программного обеспечения и конфигурации;

· система мониторинга системы и оповещения о неисправностях.

22. 
    Что такое системные службы? Почему необходимо отключать ненужные системные службы? Как это сделать?
    

Различные сервисы требуют доступ к разным элементам сети (в том числе и к Интернет) через различные порты. Поэтому наличие работающих ненужных системных служб обуславливает наличие множества открытых портов, без которых можно было бы и обойтись. В различных ситуациях можно отключить следующие службы:

· почти всегда:

§ "Автоматическое обновление";

§ "Адаптер производительности WMI";

---

§ "Модуль поддержки смарт-карт";

§ "Смарт-карты";

---

§ "Серийный номер переносного медиа-устройства";

§ "Планировщик заданий";

§ Telnet;

§ NetMeeting Remote Desktop Sharing;

§ "Диспетчер сеанса справки для удаленного рабочего стола";

§ "Диспетчер сетевого DDE";

§ "Диспетчер учетных записей безопасности";

§ "Модуль поддержки NetBIOS через TCP/IP";

§ "Обозреватель компьютеров";

§ "Оповещатель";

§ "Рабочая станция";

§ "Сервер";

§ "Сервер папки обмена";

§ "Сетевой вход в систему";

§ "Служба сетевого DDE";

§ "Служба сетевого расположения NLA";

§ "Служба сообщений";

§ "Службы криптографии";

§ "Службы терминалов";

§ "Удаленный реестр";

§ "Фоновая интеллектуальная служба передачи";

§ "Диспетчер автоподключений удаленного доступа";

· если нет "Умной" бытовой техники:

§ "Служба обнаружения SSDP"

§ "Узел универсальных PnP-устройств"

§ при одной учётной записи пользователя:

§ "Вторичный вход в систему";

§ "Совместимость быстрого переключения пользователей";

§ если не используется RAID-массив дисков:

§ "Теневое копирование тома"

· для домашнего пользователя сети:

§ "Журналы и оповещения производительности";

§ "Служба регистрации ошибок";

§ "Уведомление о системных событиях";

· при отсутствии Wi-Fi адаптера;

§ "Беспроводная настройка";

· при пользовании сторонними программами записи на компакт-диски:

§ "Служба COM записи компакт-дисков IMAPI".

Отключение ненужных служб выполняется в окне приложения System Control Manager (рис. 9.2, 9.3). Следует иметь в виду, что отключение служб является серьёзным шагом, поэтому необходимо чётко фиксировать в своём рабочем журнале сделанные отключения, наблюдать за поведение компьютера и, в случае необходимости, отменять отключение служб.

23. 
    Что такое спам и как от него можно защититься?
    

Спамом называются ненужные письма, как правило, рекламного характе-ра, присланные пользователю без запроса с его стороны. Часто такие письма рассылаются автоматически от имени фальшивых отправителей. Поэтому отловить спаммера очень сложно. Значительно проще принять меры защиты. Простейшей радикальной мерой будет изменение почтового адреса, хотя это делается весьма неохотно. Такая защита имеет низкую стойкость вследствие существования программ автоматического поиска адресов электронной почты.

Большую стойкость обеспечивают антиспамовые фильтры, которые имеют современные почтовые серверы и клиенты (например, "The but!"). Антиспамовые фильтры являются на сегодняшний день самыми эффективными средствами защиты от спама, дающими долговременный эффект. Они являются экспертными системами, классифицирующими электронные письма на обычные и спам по множеству признаков. Как всякие экспертные системы они подлежат обучению. Фильтры,

---

установленные на почтовых серверах, обучаются обслуживающим персоналом, а фильтры почтовых клиентов – пользователем. Уточнить настройку антиспамового фильтра сервера может пользователь электронной почты, пометив письмо знаком "Спам" в списке входящих писем.

24. 
    Поясните роль минимизации программного кода с точки зрения защиты от вредоносных программ.
    

Современные операционные системы в большинстве своём в целях коммерческого успеха включают в себя огромное количество различных приложений и программных модулей, реализующих функции, не входящие в компетенцию операционных систем. Опыт показывает, что чем больше программный код модулей операционной системы и системы в целом, тем больше в нем различных уязвимых мест, в том числе и для вредоносных программ.

25. 
    Почему отказ от активного содержимого повышает защищённость операционной системы от вредоносных программ?
    

В настоящее время широко распространена практика включения программных кодов в состав документов. Примером могут служить макросы в документах MS OFFICE, различные ActiveX (элементы пользовательского интерфейса, реализованные в виде программных модулей различных библиотек) и т.д. Принцип защиты: "Присланный документ не должен требовать запуска присланного с ним программного кода".

26. 
    Повысит чёткое разграничение программных модулей по применению привилегирован­ного и непривилегированного режима ли защищённость компьютерной системы от вредоносных программ? Почему?
    
27. 
    Каким образом можно построить управляемую пользователем защиту от перезаписи BIOS и от записи отделов разделов жёсткого диска? Что даст такая защита? Используется ли она в настоящее время?
    

Внедрение механизмов защиты цилиндров дисков и флэш-памяти, управляемых пользователем посредством изменения состояния переключателей на передней панели системного блока даст возможность пользователям сознательно разрешать или запрещать идентификацию указанных объектов, предотвращая тем самым изменение загрузочных записей дисков, файлов операционной системы, программного обеспечения и т.д. Например, легко понять, что если пользователь не производит обновление BIOS, то перезапись флэш-памяти должна быть запрещена.

28. 
    В чём противоречие требований информационной безопасности и удобства пользования? Почему защищённость часто приносится в жертву удобству?
    

---