24413

Понятие семафора, назначение семафора, операции P(Q) и V(Q)

Контрольная

Информатика, кибернетика и программирование

Ее можно проводить из любой точки Интернета в адрес любого сервера а для отслеживания злоумышленника потребуются совместные действия всех провайдеров составляющих цепочку от злоумышленника до атакуемого сервера VPN Потребительская сущность VPN виртуальный защищенный туннель или путь с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных FTP и почтовым серверам. VPN это: защита трафика основанная на криптографии; средство коммуникации с гарантией защиты доступа к...

Русский

2013-08-09

90 KB

6 чел.

1. Понятие семафора, назначение семафора, операции P(Q) и V(Q).

Процессы, выполняемые в режиме мультипрограммирования, можно рассматривать как набор последовательных, слабосвязанных процессов, которые действуют почти независимо друг от друга, лишь изредка используя общих ресурс. Взаимосвязь между такими процессами устанавливается с помощью различных сообщений и так называемой механической синхронизации, которая призвана согласовывать и координировать работу процессора. Хотя каждый процесс, выполняемый в режиме мультипрограммирования, имеет доступ к общему ресурсу, существует критическая область, которую в фиксированный момент времени использовать только один процесс. Нарушение этого условия приводит к неизвестному порядку выполнения процессов. Использование критической области также создает определенные проблемы, среди которых наиболее сложными выделяются проблемы состязаний (гонок) и тупиков (клинчей).

Условие состязаний: возникают, когда процессы настолько связаны между собой, что порядок их выполнения влияет на результат. Условие тупиков: появляются, если два взаимосвязанных процесса блокируют друг друга при обращении к критической области. Для разрешения подобных проблем используется понятие семафора, призванного рационализировать осуществление синхронизации процессов.

Семафором (байтом блокировки) называют целую переменную, сигнализирующую о готовности процесса к использованию критической области. Термин появился в 1965 году. Механическую синхронизацию предложил Дейкстра и означает она следующее:

Семафор Q имеет две операции в основной механической синхронизации. Первая операция P(Q). Р-операция есть операция с одним аргументом — семафором, которая уменьшает величину семафора на 1 если Q больше либо равно 0. Р-операция является неделимой, т.е. определение возможности уменьшения Q и последующее его уменьшение на 1 рассматривается как неделимая операция. P(Q) представляет собой операцию задержки, т.е. если процесс Р1 должен выполнить операцию P(Q) над семафором Q=0, то операция P(Q) не может завершиться до тех пор, пока какой-либо процесс Pj не выполнит над ним операцию V. Если некоторые процессы Р1, Р2, … Рк одновременно начнут Р операцию над Q, то Q изменит свое значение лишь тогда, когда завершится одна из начавшихся Р операция.

Вторая операция V(Q) - это операция так же с одним аргументом — семафором, которая увеличивает значение семафора на 1. Является неделимой и упрощает взаимосвязь и синхронизацию процесса.

Кроме Р и V операций существуют другие операции над семафорами. Эти операции в силу неделимости позволяют блокировать или активизировать процессы при освобождении или запросе ресурсов любого типа.

2. Сетевая безопасность. Сетевые технологии. VPH. Межсетевые экраны. Методы атак.

Сервера: Основными задачами серверов являются хранение и предоставление доступа к информации и некоторые виды сервисов. Следовательно, и все возможные цели злоумышленников можно классифицировать как

  •  получение доступа к информации,
  •  получение несанкционированного доступа к услугам,
  •  попытка вывода из рабочего режима определенного класса услуг,
  •  попытка изменения информации или услуг, как вспомогательный этап какой-либо более крупной атаки.

Рабочие станции: Основной целью атаки рабочей станции является, конечно, получение данных, обрабатываемых, либо локально хранимых на ней. А основным средством подобных атак до сих пор остаются "троянские" программы. Для борьбы с троянскими программами используется как обычное антивирусное ПО, так и несколько специфичных методов, ориентированных исключительно на них.

Среда передачи информации: Естественно, основным видом атак на среду передачи информации является ее прослушивание. В отношении возможности прослушивания все линии связи делятся на:

  •  широковещательные с неограниченным доступом
  •  широковещательные с ограниченным доступом
  •  каналы "точка-точка"

К первой категории относятся схемы передачи информации, возможность считывания информации с которых ничем не контролируется. Такими схемами, например, являются инфракрасные и радиоволновые сети. Ко второй и третьей категориям относятся уже только проводные линии: чтение информации с них возможно либо всеми станциями, подключенными к данному проводу (широковещательная категория), либо только теми станциями и узлами коммутации через которые идет пакет от пункта отправки до пункта назначения (категория "точка-точка").

К широковещательной категории сетей относятся сеть TokenRing, сеть EtherNet на коаксиальной жиле и на повторителях (хабах – англ. hub). Целенаправленную (защищенную от прослушивания другими рабочими станциями) передачу данных в сетях EtherNet производят сетевые коммутаторы типа свич (англ. switch) и различного рода маршрутизаторы (роутеры – англ. router). Сеть, построенная по схеме с защитой трафика от прослушивания смежными рабочими станциями, почти всегда будет стоить дороже, чем широковещательная топология, но за безопасность нужно платить.

В отношении прослушивания сетевого трафика подключаемыми извне устройствами существует следующий список кабельных соединений по возрастанию сложности их прослушивания :

  •  невитая пара – сигнал может прослушиваться на расстоянии в несколько сантиметров без непосредственного контакта,
  •  витая пара – сигнал несколько слабее, но прослушивание без непосредственного контакта также возможно,
  •  коаксиальный провод – центральная жила надежно экранирована оплеткой : необходим специальный контакт, раздвигающий или режущий часть оплетки, и проникающий к центральной жиле,
  •  оптическое волокно – для прослушивания информации необходимо вклинивание в кабель и дорогостоящее оборудование, сам процесс подсоединения к кабелю сопровождается прерыванием связи и может быть обнаружен, если по кабелю постоянно передается какой-либо контрольный блок данных.

Вывод систем передачи информации из строя (атака "отказ в сервисе") на уровне среды передачи информации возможен, но обычно он расценивается уже как внешнее механическое или электронное (а не программное) воздействие. Возможны физическое разрушение кабелей, постановка шумов в кабеле и в инфра- и радио- трактах.

Узлы коммутации сетей: Узлы коммутации сетей представляют для злоумышленников 1) как инструмент маршрутизации сетевого трафика, и 2) как необходимый компонент работоспособности сети.

В отношении первой цели получение доступа к таблице маршрутизации позволяет изменить путь потока возможно конфиденциальной информации в интересующую злоумышленника сторону.

Либо же возможен второй путь атаки с целью изменения таблицы маршрутизации – он основан на динамической маршрутизации пакетов, включенной на многих узлах коммутации. В таком режиме устройство определяет наиболее выгодный путь отправки конкретного пакета, основываясь на истории прихода определенных служебных пакетов сети – сообщений маршрутизации (протоколы ARP, RIP и другие). В этом случае при фальсификации по определенным законам нескольких подобных служебных пакетов можно добиться того, что устройство начнет отправлять пакеты по пути, интересующем злоумышленника, думая, что это и есть самый быстрый путь к пункту назначения.

При атаке класса "отказ в сервисе" злоумышленник обычно заставляет узел коммутации либо передавать сообщения по неверному "тупиковому" пути, либо вообще перестать передавать сообщения.

Уровни сетевых атак согласно модели OSI

Эталонная модель взаимодействия открытых систем OSI (англ. Open Systems Interconnection) была разработана институтом стандартизации ISO с целью разграничить функции различных протоколов в процессе передачи информации от одного абонента другому. Подобных классов функций было выделено 7 – они получили название уровней. Каждый уровень добавляет к пакету небольшой объем своей служебной информации – префикс (на рисунке они изображены как P1...P7). Некоторые уровни в конкретной реализации вполне могут отсутствовать.

Данная модель позволяет провести классификацию сетевых атак согласно уровню их воздействия.

Физический уровень отвечает за преобразование электронных сигналов в сигналы среды передачи информации (импульсы напряжения, радиоволны, инфракрасные сигналы). На этом уровне основным классом атак является "отказ в сервисе". Постановка шумов по всей полосе пропускания канала может привести к "надежному" разрыву связи.

Канальный уровень управляет синхронизацией двух и большего количества сетевых адаптеров, подключенных к единой среде передачи данных. Примером его является протокол EtherNet. Воздействия на этом уровне также заключаются в основном в атаке "отказ в сервисе". Однако, в отличие от предыдущего уровня, здесь производится сбой синхропосылок или самой передачи данных периодической передачей "без разрешения и не в свое время".

Сетевой уровень отвечает за систему уникальных имен и доставку пакетов по этому имени, то есть за маршрутизацию пакетов. Примером такого протокола является протокол Интернета IP. Все атаки, основанные на заведомо неправильной маршрутизации пакетов, мы уже рассмотрели.

Транспортный уровень отвечает за доставку больших сообщений по линиям с коммутацией пакетов. Так как в подобных линиях размер пакета представляет собой обычно небольшое число (от 500 байт до 5 килобайт), то для передачи больших объемов информации их необходимо разбивать на передающей стороне и собирать на приемной. Транспортными протоколами в сети Интернет являются протоколы UDP и TCP. Реализация транспортного протокола – довольно сложная задача, а если еще учесть, что злоумышленник придумывает самые разные схемы составления неправильных пакетов, то проблема атак транспортного уровня вполне объяснима.

Все дело в том, что пакеты на приемную сторону могут приходить и иногда приходят не в том порядке, в каком они были отправлены. Причина обычно состоит в потере некоторых пакетов из-за ошибок или переполненности каналов, реже – в использовании для передачи потока двух альтернативных путей в сети. А, следовательно, операционная система должна хранить некоторый буфер пакетов, дожидаясь прихода задержавшихся в пути. А если злоумышленник с умыслом формирует пакеты таким образом, чтобы последовательность была большой и заведомо неполной, то тут можно ожидать как постоянной занятости буфера, так и более опасных ошибок из-за его переполнения.

Сеансовый уровень отвечает за процедуру установления начала сеанса и подтверждение (квитирование) прихода каждого пакета от отправителя получателю. В сети Интернет протоколом сеансого уровня является протокол TCP (он занимает и 4, и 5 уровни модели OSI). В отношении сеансового уровня очень широко распространена специфичная атака класса "отказ в сервисе", основанная на свойствах процедуры установления соединения в протоколе TCP. Она получила название SYN-Flood (зд. flood – англ. "большой поток").

При попытке клиента подключиться к серверу, работающему по протоколу TCP (а его используют более 80% информационных служб, в том числе HTTP, FTP, SMTP, POP3), он посылает серверу пакет без информации, но с битом SYN, установленным в 1 в служебной области пакета – запросом на соединение. По получении такого пакета сервер обязан выслать клиенту подтверждение приема запроса, после чего с третьего пакета начинается собственно диалог между клиентом и сервером. Одновременно сервер может поддерживать в зависимости от типа сервиса от 20 до нескольких тысяч клиентов.

При атаке типа SYN-Flood злоумышленник начинает на своей ЭВМ создавать пакеты, представляющие собой запросы на соединение (то есть SYN-пакеты) от имени произвольных IP-адресов (возможно даже несуществующих) на имя атакуемого сервера по порту сервиса, который он хочет приостановить. Все пакеты будут доставляться получателю, поскольку при доставке анализируется только адрес назначения. Сервер, начиная соединение по каждому из этих запросов, резервирует под него место в своем буфере, отправляет пакет-подтверждение и начинает ожидать третьего пакета клиента в течение некоторого промежутка времени (1-5 секунд). Пакет-подтверждение уйдет по адресу, указанному в качестве ложного отправителя в произвольную точку Интернета и либо не найдет адресата вообще, либо чрезмерно "удивит" операционную систему на этом IP-адресе (поскольку она никаких запросов на данный сервер не посылала) и будет просто проигнорирован. А вот сервер при достаточно небольшом потоке таких запросов будет постоянно держать свой буфер заполненным ненужными ожиданием соединений и даже SYN-запросы от настоящих легальных пользователей не будут помещаться в буфер : сеансовый уровень просто не знает и не может узнать, какие из запросов фальшивые, а какие настоящие и могли бы иметь больший приоритет.

Атака SYN-Flood получила довольно широкое распространение, поскольку для нее не требуется никаких дополнительных подготовительных действий. Ее можно проводить из любой точки Интернета в адрес любого сервера, а для отслеживания злоумышленника потребуются совместные действия всех провайдеров, составляющих цепочку от злоумышленника до атакуемого сервера

VPN 

Потребительская сущность VPN - «виртуальный защищенный туннель», или путь, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, FTP и почтовым серверам. VPN - это:

• защита трафика, основанная на криптографии;

• средство коммуникации с гарантией защиты доступа к внутренним ресурсам из любой точки мира, что позволяет развивать удаленный доступ;

• развитие коммуникационных систем корпорации без вкладывания значительных средств в строительство собственных выделенных линий.

Работа VPN основана на формировании «туннеля» между двумя точками Интернета. Как правило, клиентский компьютер устанавливает с провайдером стандартное соединение типа «точка - точка» (РРР), после чего подключается через Интернет к центральному узлу. При этом формируется канал VPN, представляющий собой «туннель», по которому можно производить обмен данными между двумя конечными узлами. Этот туннель «непрозрачен» для всех остальных пользователей, включая провайдера.

Атаки на протоколы VPN

В настоящий момент для построения VPN используется ряд протоколов, включая IPSec, PPTP, L2TP и т.д. Эти протоколы не шифруют данные, они лишь определяют, как используются алгоритмы шифрования и ряд других условий, необходимых для построения VPN (включая контроль целостности, аутентификацию абонентов и т.д.). За последние пару лет многие исследователи принимались за анализ данных протоколов с точки зрения безопасности, но серьезных "дыр" обнаружено практически не было. А те, что все-таки были обнаружены, касались вопросов неправильной эксплуатации или уже устранены разработчиками. Однако, теоретическая возможность обнаружения уязвимостей в протоколах IPSec, PPTP и т.д. остается.

Атаки на протоколы аутентификации

Установление соединения между абонентами сами требует их аутентификации, т.е. проверки подлинности. Основная проблема связан с доверием к удостоверяющим центрам (Certificate Authority), которые призваны выдавать на каждый открытый ключ абонента сети свой сертификат. Если этот центр не дает абсолютной гарантии, то вся инфраструктура VPN и "гроша ломаного не стоит". Узлы сети VPN не смогут доверять сертификатам, выданным удостоверяющим центром.

Атаки на реализацию: Примеров неправильной реализации, приводящей к атаке на нее, можно назвать множество. Например:

  •  Секретный ключ шифрования хранится на жестком диске, доступ к которому никак не контролируется.
  •  Криптографический ключ, хранящийся в оперативной памяти, не затирается после использования.
  •  Обеспечивается безопасность сеансовых ключей и недостаточное внимание уделяется защите главных ключей.
  •  Открыт доступ к "черным спискам" скомпрометированных ключей.
  •  Отсутствует контроль целостности программного комплекса VPN, что позволяет злоумышленнику изменить ПО, отвечающее за шифрование или проверку целостности, получаемых по сети пакетов.

Атаки на оборудование VPN: Достаточно часто VPN реализуется на базе уже существующего сетевого оборудования, как правило, маршрутизаторов (например, Cisco 1720) или программно-аппаратных межсетевых экранов (например, CheckPoint VPN-1 на базе платформы Nokia IP Security Solutions). Также существуют и специализированные устройства построения VPN (например, "Континент-К"). А раз это обычное устройство, поддерживающее стек TCP/IP, то на него могут быть реализованы атаки "отказ в обслуживании", которые могут нарушить функционирование, как самого устройства, так и временно нарушить взаимодействие защищаемых с их помощью сетей и узлов.

Атаки на операционные системы: Нередко VPN реализуется чисто программными средствами (например, в Windows 2000) и программное обеспечение VPN является надстройкой над операционной системой, что нередко и используется злоумышленниками. Поэтому независимо от надежности и защищенности ПО VPN, уязвимости операционной системы могут свести "на нет" все защитные механизмы VPN. Особенно это важно для продукции компании Microsoft, которая не отличается серьезной продуманностью с точки зрения защиты - нет недели, чтобы не обнаружилась очередная дыра в операционных системах Windows NT, Windows 2000 и, с недавнего времени, Windows XP.

Атаки на пользователей

Не стоит забывать, что конечный пользователь также является элементом VPN и также подвержен атакам, наравне со всеми остальными элементами. Пользователь может передать дискету с секретными ключами, а может потерять такую дискету или другой носитель секретных ключей и не сообщать об утере до того момента, пока эта дискета не понадобится вновь.

В некоторых системах пользователь может сам создавать себе ключи для шифрования. Генерация ключа основывается на паролях, выбираемых самим пользователем. Как известно фантазия в выборе таких паролей у пользователя очень слаба. Поэтому выбираются легко запоминаемые слова или фразы, которые легко угадываются злоумышленниками.

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран использует один или более наборов ''правил'' для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более ниже перечисленных задач:

  •  Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.
  •  Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.
  •  Для поддержки преобразования сетевых адресов (network address translation, NAT), что позволяет использование во внутренней сети приватных IP адресов (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).


 

А также другие работы, которые могут Вас заинтересовать

22588. Співучасть у злочині 32.16 KB
  Підставою відповідальності тут є той самий склад злочину але вчинюваний у співучасті. Об'єктивні ознаки співучасті виражені у такому формулюванні: злочин вчинений кількома двома або більше суб'єктами злочину спільно. Виконавцем співвиконавцем вважається особа яка безпосередньо або шляхом використання інших осіб що не є суб'єктами злочину вчинила конкретний злочин ч.
22589. Робочий час і його види 34.41 KB
  Згідно з діючим законодавством можна виділити такі види робочого часу: нормальна тривалість робочого часу; скорочений робочий час; неповний робочий час; нормований і ненормований робочий час; надурочний робочий час; нічний робочий час. 50 Кодексу законів про працю України нормальна тривалість робочого часу працівників не може перевищувати 40 годин на тиждень. Але підприємства і організації при укладанні колективного Договору можуть встановлювати меншу норму тривалості робочого часу тобто менше 40 годин на тиждень.
22590. Екологічні права і обовязки громадян 18.98 KB
  Громадяни мають право брати участь в обговоренні проектів законодавчих актів матеріалів щодо розміщення будівництва і реконструкції об'єктів які можуть негативно впливати на стан навколишнього природного середовища та внесення пропозицій до державних та господарських органів установ та організацій з цих питань. Кожен громадянин України має право на участь у розробці та здійсненні заходів щодо охорони навколишнього природного середовища раціонального і комплексного використання природних ресурсів. Громадяни можуть об'єднуватися у...
22591. Адміністративні правовідносини 57 KB
  Основні ознаки адміністративних правовідносин: вони виникають на основі адміністративноправових норм; характеризуються наявністю сторін що іменуються суб'єктами адміністративного права; за змістом включають в себе адміністративні права владного характеру і юридичні обов'язки; є видом суспільних відносин державних органів фізичних або юридичних осіборганізацій і спільностей; здійснення суб'єктивних прав або додержання юридичних обов'язків у правовідносинах контролюється і забезпечується державою; Групувати адміністративні правовідносини...
22592. Права та форми власності на землю 64 KB
  Земля в Україні може перебувати у приватній комунальній та державній власності. Суб'єкти права власності на землю. а громадяни та юридичні особи на землі приватної власності; б територіальні громади які реалізують це право безпосередньо або через органи місцевого самоврядуванні на землі комунальної власності; в держава яка реалізує це право через відповідні органи державної влади на землі державної власності.
22593. Цивільне - правові угоди та договори 33.93 KB
  Угоди укладають як юридичні так і фізичні особи. Угоди бувають односторонніми для виникнення такої угоди достатньо волевиявлення однієї сторони; двосторонніми для виникнення угоди необхідні зустрічні волевиявлення двох сторін; багатосторонніми для їх виникнення необхідне волевиявлення трьох і більше сторін. Деякі угоди можуть бути як платними такі безоплатними наприклад договір схову.
22594. Договір найму жилого приміщення 30.71 KB
  Договір найму жилого приміщення в будинках що належать громадянам на правах особистої власності укладається з власником будинку. Предметом договору найму жилого приміщення в будинках державного і громадського житлового фонду є окрема квартира чи інше ізольоване житлове приміщення а також одноквартирний жилий будинок. Не можуть бути самостійним предметом договору найму: жиле приміщення яке хоча і є ізольованим але розмір якого менший від установленого для надання одній особі; частина кімнати або кімнат з'єднаних з іншою кімнатою...
22595. Контролер локальних дисків 63.5 KB
  Програмування контролера НГМД 765 і мікросхеми прямого доступу до пам'яті 8237. Мікросхема контролера НГМД 765 фірми NEC управляє мотором і головками накопичувача на дискетах і обробляє потоки даних що направляються в або з дискових секторів. Один контролер встановлений на платі адаптора дисків може обслуговувати до чотирьох НГМД. За винятком випадків пов'язаних із захистом від копіювання програмістам не доводиться програмувати мікросхему контролера НГМД напряму.
22596. Імітаційна модель процесора 97.5 KB
  Команда як послідовність деяких дій над даними виконується по тактам мікропрограма команди. Команда має вигляд: Код команди 1й операнд 2й операнд . Найчастіше результат команди заноситься за місцем першого операнда. Формат операндів закладається у формат команди.