logo
Otvety_na_bilety_po_vase_1

41.3 Утилиты для диагностики tcp/ip соединений

Packet InterNet Grouper (PING) Проверка доступности хоста.

IPCONFIG Информация о конфигурации TCP/IP (IP адрес, маска подсети, default gateway). Если используется ключ /all, то дополнительно высвечивается о DHCP, WINS, DNS серверах).

В Windows 95 аналогичная утилита называется WinIpCfg

Finger Получение информации с удаленного компьютера, который поддерживает finger сервис.

NSLOOKUP Exames entries in the DNS database of a particular host.

HOSTNAME Информация об имени хоста.

NETSTAT Статистика протокола и текущие соединения, использующие TCP/IP.

NBTSTAT Статистика протокола и текущие соединения, использующие NetBIOS over TCP/IP.

ROUTE Просмотр и корректировка таблицы маршрутизации.

TRACERT Просмотр маршрута между локальным и удаленным хостом.

Address Resolution Protocol (ARP) Работа с кэшем ARP.

42. Модель рабочей группы

1.Понятие о доменной модели. Компьютерная система содержит множество объектов, которые необходимо защищать (аппаратура и программное обеспечение). Каждый объект обладает именем и множеством операций, производимых над ним процессами ( напр. для файлов: MyFile.txt: read ,write). Основа механизмов защиты – концепция доменов. Домен – множество пар вида ( ОБЪЕКТ, ПРАВА ДОСТУПА). Каждая пара указывает на некоторый объект и совокупность операций, выполняемых над объектом. След. Права доступа – разрешение на выполнение соответствующей операции. Домен соответствует пользователю или группе пользователей (Рис.1).

Рис.1 Рис.2

В каждый момент процесс работает в одном из доменов защиты, но имеет возможность переключиться на другой домен по правилам, зависящим от системы. Одно из решений на основе доменной модели – представление в виде таблицы (колонки – объекты, а строки - домены). Также можно представить таблицу переходов между доменами (колонки и столбцы - домены). При возможности перехода из j-го домена в i-тый соответствующая ячейка=1 если невозможно =0. Но хранить в виде матриц невыгодно. Матрицу хранят или по столбцам (ACL - список) или по строкам. На рис.2 предст. ACL –списки для трех объектов F1,F2,F3, в которых указаны права для доменов, каждый из которых соответствует одному из пользователей (А,В,С). Права предоставляются пользователю-владельцу, который запускает процесс, который может выполнять соответствующие спискам операции (в зависимости от домена владельца) над объектами-файлами.

2. Концепция групп пользователей. У групп есть имена, и они также могут включаться в ACL-списки. Возможно два варианта семантики групп.

Использование групп вводит понятие роли. Допустим некоторый пользователь tana является СисАдмином и след. входит в группу sysadm и одновременно принадлежит к непривилегированной группе pigfan(рис3).

рис.3

Результат попытки доступа к файлам пользователем tana зависит от того, под какой учетной записью она зарегистрировалась в системе (сисадмин-sysadm или юзер-pigfan). Цель данной схемы состоит в том, чтобы tana не смогла получить доступ к файлу паролей, когда регистрируется в системе как юзер.

Если права по доступу к файлу предоставляются независимо от группы, к которой принадлежит пользователь, то это обозначается в ACL-списке как *, напр. *:RW (всем можно писать и читать). Кроме того права предоставляются пользователю, если они предоставлены группе, к которой принадлежит пользователь. В таком случае пользователь, принадлежащий к нескольким группам не должен задумываться , какую группу указать при регистрации. Членство при таком подходе является постоянным и не указывается при регистрации. Недостаток(см рис.3) – возможность редактирования файла Password tan-ой как из группы pigfan, так и из группы sysadm.

C помощью * возможна блокировка прав определенного пользователя, например

File Hacker.*:(none); *.*:RW -

Разрешение на запись и чтение всем пользователям всех групп, кроме пользователя hacker.

Важно то, что ACL список проверяется лишь при открытии файла. Если некоторый пользователь хочет запретить(редактируя ACL - список) доступ к файлу определенных групп, а пользователи данных групп уже работают с данным файлом, - изменение прав на время работы с открытым файлом их касаться не будет. , т.е. права сохраняться на время открытия.