- •19. Укажите уровни сетевой модели, на которых применяется фильтрация пакетов.
- •20. Какой принцип предпочтительнее для фильтрации пакетов: «то, что не запрещено, разрешено» или «то, что не разрешено, запрещено». Почему?
- •21. Укажите основные цели тестирования на проникновение.
- •27. Перечислите задачи, выполняемые системами обнаружения аномалий протоколов.
- •29. Укажите основные достоинства применения технологии агентов для обнаружения вторжений.
27. Перечислите задачи, выполняемые системами обнаружения аномалий протоколов.
Однако в случае задачи распознавания аномалий вычислительных процессов возникает целый ряд затруднений, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:
-
построение некоторого эталонного множества инвариантов нормального (семантически корректного) развития вычислительных процессов в условиях априорной неопределенности воздействий внешней и внутренней среды;
-
установление шкал измерения признаков эталонов или инвариантов;
-
выявление необходимых и достаточных информативных признаков инвариантов;
-
построение правил распознавания аномалий.
28. Какие подходы могут использоваться для определения «нормальности» поведения?
В системах обнаружения вторжений решения принимаются по поводу нормальности или аномальности поведения на основе статистических данных. В антивирусных сканерах на основе эвристического анализа делается вывод, соответствует ли данная сигнатура вирусной сигнатуре или нет. Не смотря на то, что бинарный характер работы механизма принятия решений является как бы имманентным для рассматриваемых систем защиты, он же является и главной проблемой таких систем. Чем более жесткая выбирается политика безопасности, тем больше ложных тревог генерируется системой. Как показывает статистика инцидентов безопасности CERT [1] пользователи склонны делать выбор в пользу простоты, чем безопасности. Следует также отметить, что бинарный механизм принятия решений не учитывает ситуации неопределенности, когда ни пользователь, ни система не в состоянии принять решение в принципе пока не выполниться какое-либо действие или не поступит новая информация.
29. Укажите основные достоинства применения технологии агентов для обнаружения вторжений.
Первичный сбор данных осуществляют агенты, называемые также сенсорами. Регистрационная информация может извлекаться из системных или прикладных журналов (технически несложно получать ее и напрямую от ядра ОС), либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.
На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы.
Агенты передают информацию в центр распределения, который приводит ее к единому формату, возможно, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Один центр распределения может обслуживать несколько сенсоров.
Содержательный активный аудит начинается со статистического и экспертного компонентов. Если в процессе статистического или экспертного анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования.
Хорошая система обнаружения вторжений должна уметь внятно объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия. Если выбор должен оставаться за человеком, то пусть он сводится к нескольким элементам меню, а не к решению концептуальных проблем.
30. Перечислите основные методы обхода систем обнаружения вторжений.
-f (фрагментировать пакеты);
—mtu (используя заданное значение MTU) -D <фиктивный_хост1>[,<фиктивный_хост2>][,ME][,...] (Маскировка сканирования с помощью фиктивных хостов) -S <IP_адрес> (Изменить исходный адрес) -e <интерфейс> (Использовать конкретный интерфейс) —source-port <номер_порта>; -g <номер_порта> (Задать свой номер порта) —data-length <число> (Добавить произвольные данные к посылаемым пакетам) —ip-options <S|R [маршрут]|L [маршрут]|T|U ... >; —ip-options <шестнадцатиричная строка> (Посылать пакет с заданным ip опциями) —ttl <значение> (Установить IP поле time-to-live (время жизни) —randomize-hosts (Использовать произвольный порядок целей сканирования) —spoof-mac <MAC адрес, префикс или название производителя> (Задать собственный MAC адрес) —badsum (Посылать пакеты с фиктивными TCP/UDP контрольными суммами)
31. В чем состоит основная цель Honeypot и Honeynet?
Honeypot — ресурс, представляющий собой приманку для злоумышленников. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков. Собственно, понятно из названия, что Honeynet это разновидность Honeypot, только система представляет из себя не один компьютер, а целую их сеть (либо виртуальную, при которой на одном компьютере эмулируется работа многих ОС и устройств, либо реальную, при которой используется совершенно реальная локалка). Сеть сидит за неким фильтром (файрволом) и перехватывает все входящие и исходящие соединения, затем информация о проделанной хакером работе рассматривается и анализируется. Внутри Сети может быть размещено множество различных компьютеров, например с Solaris, Linux, Windows NT, а так же свичи и маршрутизаторы. Honeynet, конечно же, создает для стороннего грабителя более реальную картину, нежели стоящий отдельно и в одиночестве Honeypot. К тому же, используя много машин с различным программным обеспечением, пусть даже и виртуальным, мы сможем узнать гораздо больше о тактике хакера нежели при использовании одного компьютера.
32. Укажите причины появления ошибок ложного срабатывания и ошибок пропуска для различных технологий обнаружения: обнаружения сигнатур и обнаружения аномалий. Одной из главных проблем систем обнаружения вторжений является их склонность к большому числу ложных срабатываний. Ложное срабатывание имеет место, когда система генерирует сигнал тревоги на основе того, что она считает вредоносной или подозрительной активностью, но что в действительности оказывается нормальным трафиком для данной сети. Обычно в подразумеваемой конфигурации сетевая система обнаружения вторжений будет реагировать на все хоть чуть-чуть необычное. Типичные причины ложных срабатываний: Работа системы мониторинга сети Для опроса состояния эти системы обычно применяют SNMP или аналогичный протокол, но они могут также использовать эхо-тестирование и другие, более назойливые проверки. По умолчанию большинство систем обнаружения вторжений рассматривают эту активность как вредоносную или, по крайней мере, подозрительную. Сетевое сканирование уязвимостей/сканеры портов Всякий раз, когда вы запускаете сетевое тестирование уязвимостей или сканирование портов с помощью таких программ, как Nessus и Nmap, ваша сетевая система обнаружения вторжений будет сходить с ума. Эти программы созданы для выполнения именно того, что делают хакеры. Пользовательская активность Большинство сетевых систем обнаружения вторжений настроены для сигнализации об опасной активности пользователей, такой как одноранговое разделение файлов, мгновенный обмен сообщениями и т.д. Однако, если подобная активность допускается либо формальной политикой, либо просто несоблюдением существующих политик, то она будет фиксироваться в журналах в виде сигналов.
33. Укажите принципиальное отличие систем предупреждения вторжений от систем обнаружения вторжений.
IDS (Intrusion Detection System) — СОВ (система обнаружения вторжений): СОВ анализирует входящий трафик, выявляя подозрительные типы активности. Если она обнаруживает подозрительный трафик, то происходит оповещение администратора сети, который может заблокировать любые события, аналогичные происходящим. В некоторых случаях СОВ также могут оповещать о заданных событиях другие системы в сети, предназначенные для ее защиты. IPS (Intrusion Prevention System) — СПВ (системы предупреждения вторжений): СПВ подобна СОВ, кроме того, что она предназначена для выполнения немедленных действий — например, блокировки конкретных IP-адресов или пользователей, — а не просто предупреждения системы и администратора сети. Некоторые СПВ также используют метод поведенческого анализа для обнаружения и пресечения потенциально опасных пакетов данных. ***СОВ часто называют «активной» системой, в отличие от СПВ, которые, как правило, считаются «пассивными».
34. Какие уровни стека протоколов TCP/IP используются для создания VPN?
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (т.е. физический, канальный и сетевой)
35. Назовите основные типы конфигураций VPN.
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
36. Назовите основные недостатки применения VPN.
Недостатки SSL VPN:
• Простота и переносимость SSL провоцируют более широкое использование удаленного доступа с неуправляемых ПК. • По мере роста требований к SSL-решениям усложняется управление ими. • Покупатели вынуждены брать на себя ответственность за обеспечение достаточного уровня безопасности на удаленных точках доступа. • Роуминг для стандартных сеансов SSL не является прозрачным и требует обновления в браузере.
Недостатки IPsec VPN: • Компании продолжают практику использования простых идентификаторов пользователей и паролей, что увеличивает риск вторжения. • Не все клиентское ПО одинаково качественное.
• Требуется постоянный IP-адрес. • Не поддерживается роуминг.
37. Что понимается под термином «туннелирование»?
Туннелирование (от англ. tunnelling - "проложение туннеля") в компьютерных сетях — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве тоннеля.
Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт» для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети. Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети.
38. Перечислите основные различия транспортного и туннельного режимов.
В транспортном режиме работы СКЗИ сначала вычисляется контрольная сумма для поля данных пакета, после чего зашифровывается это поле вместе с контрольной суммой. Заголовок пакета данных передается в незашифрованном виде.
При передаче в туннельном режиме СКЗИ вычисляется контрольная сумма для пакета данных и выполняется его шифрование, зашифрованный блок данных инкапсулируется (переупаковывается) в новое сообщение , которое передается следующему СКЗИ при этом в поле заголовка «адрес получателя (IP)» сформируется пакет вместо адреса автоматически указывается адрес СКЗИ, которому предназначается сообщение. После передачи сообщения на другой конец туннеля СКЗИ расшифровывает полученные данные, проверяет их целостность, после чего передает адресату.
39. Оцените порядок «накладных расходов» при применении протоколов ESP и АН.
40. Возможно ли одновременное применение протоколов ESP и АН для организации защищенной связи?
Ключевым объектом в механизмах аутентификации и конфиденциальности для IP является защищенная связь (Security Association). Связь представляет собой одностороннее отношение между отправителем и получателем, применяющим сервис защиты к транспортному потоку. Сервис защиты предоставляет возможность для защищенной связи использовать либо АН, либо ESP, но никак не обе эти возможности одновременно.
В любом пакете IP защищенная связь однозначно идентифицируется адресом пункта назначения в заголовке IPv4 или IPv6 и индексом параметров защиты (даёт возможность выбрать защищённую связь по которой должен обрабатываться полученный пакет) во вложенном заголовке расширения (АН или ESP).
41. Какие варианты защищенной связи поддерживаются протоколом IPSec?
Протокол IPsec предоставляет три вида услуг: аутентификацию (АН), шифрование (ESP) и безопасную пересылку ключей. Обычно желательны обе первые услуги, так как неавторизованный клиент не сможет проникнуть в VPN (Virtual Private Network - виртуальная частная сеть), а шифрование не позволит злоумышленникам прочитать, исказить или подменить сообщения. По этой причине протокол ESP предпочтительнее, так как он позволяет совместить обе эти услуги.
42. Какой из протоколов (ESP или АН) несовместим с NAT?
Именно потому, что AH обеспечивает хорошую защиту содержимого пакета, так как этот протокол покрывает все, что только нужно защитить, эта защита приводит к несовместимости с NAT. Протокол NAT используется для установления соответствия между частными IP-адресами (например, 19.125.1.X) и легальными IP. При этом IP заголовок модифицируется устройством NAT путем замены IP-адресов отправителя и получателя. Когда изменяются IP-адреса, нужно заново вычислить контрольную сумму заголовка. Так как устройство NAT обычно размещается в одном шаге между отправителем и получателем это требует, кроме того декрементации значения TTL. Так как поля TTL и контрольная сумма заголовка всегда модифицируются на пролете, AH знает, что эти поля следует исключить из зоны защиты, но это не касается IP адресов. Адреса включены в область вычисления ICV, и любая модификация вызовет сбой при проверке ICV получателем. Так как вычисление ICV требует знания секретного ключа, который неизвестен промежуточным узлам, маршрутизатор NAT не сможет заново вычислить ICV.
Аналогичная проблема возникает при использовании протокола PAT (Port Address Translation), который устанавливает соответствие нескольких частных IP адресов одному внешнему IP. В этом случае изменяются не только IP-адреса. Но и коды портов в UDP и TCP пакетах (а иногда и в поле данных). Это требует много большей адаптивности со стороны устройства NAT, и более серьезных модификаций всей IP дейтограммы.
По этой причине, протокол AH в туннельном или транспортном режиме полностью несовместим с NAT.
43. Каковы состав и назначение цифрового сертификата открытых ключей?
Сертификат открытого ключа (сертификат ЭЦП, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ)) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:
для проверки подписи владельца (аутентификация)
для шифрования посылаемых ему данных (конфиденциальность)
Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.
Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:
|
|
Украина |
Россия |
|
уникальный регистрационный номер сертификата |
+ |
+ |
|
даты и время начала и окончания срока действия сертификата |
+ |
+ |
|
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца |
+ |
+ |
|
открытый ключ |
+ |
+ |
|
наименование и реквизиты ЦС |
+ |
+ |
|
наименование криптографического алгоритма |
+ |
+ |
|
информацию об ограничении использования подписи |
+ |
+ |
|
указание на страну выпуска сертификата |
+ |
- |
Кроме этого в сертификат могут вноситься дополнительные поля.
Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.
44. Для чего в уполномоченном центре ведутся списки отозванных сертификатов и отозванных полномочий?
45. Какие средства могут быть использованы для построения VPN?
1. ОС со встроенными функциями VPN(Win 2000, 2003, 2008, Linux)
2. Маршрутизаторы и коммутаторы, ПО, которое имеет функции СКЗИ (Cisco, 3COM, Nortel)
3. Межсетевые экраны в ПО которых есть функции построения VPN (Cisco Pix Firewall, Check Point FW-1)
4. Специализированное программно-аппаратное обеспечение («Континент», «Застава», VipNET)
Наиболее часто для построения VPN используется криптопротокол IPSec , спецификация которого является частью базового стандартаIPv6, посредством которого реализуются функции OSI/