Межсетевые экраны в UNIX
и другие мысли
Темы лекций
- Виртуальные машины
- Межсетевые экраны
- Traffic shaping
- Tunnelling и proxy
- VPN
- DMZ
- Обработка HTTP-трафика
- Инсталляторы и конфигураторы.
Вопросы к лекциям
Три класса "виртуальных машин": виртуализация прав доступа (chroot, Jail/VServer), частичное или полное разделение аппаратных ресурсов (VMWare, Qemu+kQemu), полная эмуляция (Qemu, Bochs и т. д.). Задачи виртуализации: ограничение доступа, масштабируесомть, разделение ресурсов, их решение в каждом из классов. Производительность.
- Межсетевые экраны
Основные задачи межсетевого экрана (МЭ): фильтрация, преобразование, распределение и учёт. Задачи, которые не решаются одним только МЭ.
- МЭ как таблица, единый набор правил и топология правил. Органзация IPFW (FreeBSD4), PF (FreeBSD5, OpenBSD), IPChains и IPTables (Linux). Стратегии "First wins" и "Last wins", их достоинства и недостатки. "Состояние" как временное правило МЭ.
Пример МЭ уровня сетевого интерфейса. Что можно делать с IP-пакетом на сетевом уровне? Что нельзя делать с трафиком на сетевом уровне? Алгоритм работы NAT. Что можно обрабатывать NAT, кроме TCP-соединений? Примеры МЭ уровня приложений.
- Что такое Traffic Shaping. Способы реализации. Очереди. Эффективная работа очередей на перегруженных сетях. Стратегии CBQ и PriQ, различия и области применения. Random Drop, Random Early Detection и Explicit Congestion Notification.
- Туннелирование и проксирование -- сходства и различия. Основные решаемые задачи и условия применения. Проблемы туннелирования TCP/TCP. Понятие выделенного (dedicated) и прозрачного (transparent) проксирования. Анонимизирующий прокси: безопасность или безответственность? Примеры проксирования прикладных протоколов, отличных от HTTP или FTP.
- Технология VPN, основные свойства и причины популярности. Различные способы реализации VPN, их достоинства и недостатки. IPSEC, из чего состоит и как применяется. Два режима работы IPSEC. Шифрование с симметричным ключом. Шифрование с ассиметричным ключом и цифровая подпись. "Оппортунистский" IPSEC: размещение открытых ключей в DNS, надёжность такой схемы.
- Понятие внутренней и внешней угроз. Разделение служб по категориям субъектов, имеющих к ним доступ. Демилитаризованная зона, её структура и причины возникновения. Пример типичной корпоративной сети с DMZ. Снижение нагрузки при помощи DMZ.
- HTTP-серверы, их классификация по типу решаемых задач. Примеры специализированных, встроенных и малых HTTP-серверов. Возможности Apache. Проксирование HTTP-трафика, при решении каких задач оно необходимо. Специализированные HTTP-прокси. Возможности Squid. Обратное проксирование (Acceleration), как работает и когда применяется.
Разделение объектного и инструментального подхода к системе. Проблема границ между пользовательской задачей и способом её решения. Язык порстановки пользовательских задач. Почему полноценные конфигураторы появились недавно? Свойства идеального конфигуратора: разделение уровней, информационная открытость, распределённось реализации, простота типовых решений. Примеры конфигураторов: YAST2 и DebConf.