![](/user_photo/2706_HbeT2.jpg)
- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Диалог аутентификации
KERBEROS v.4
Получение мандата на получение мандата
1) С→AS: IDc||IDTGS||TS1;
2) AS→ С: EKS[Kс,TGS||IDTGS||TS2|Срок2||МандатTGS], где Kc – сеансовый ключ
МандатTGS=ЕКTGS[IDc||ADc||IDTGS||TS2||Cрок2||Kс,TGS]
Получение мандата на получение сервиса;
3) С→TGS: IDv||МандатTGS||аутентификаторс;
4) TGS→С: ЕКc,TGS[Kc||IDv||IDv||TS4||мандатv]
Аутентификаторс= ЕКc,TGS[IDc||ADc||TS3]
Мандатv=ЕКv[IDc||IDv||TS4||Kc,v||Cрок4]
5) С→V: Мандатv||аутентификаторс2
аутентификаторс2=ЕКC,v[IDc||ADc||TS5]
6) V→C:EKC,V[TS5+1]
Области взаимодействия kerberos
Если у организации состоит большое количество пользователей и большое число сервисов, использование одного сервера аутентификации и сервера TGS нецелесообразно.
Выделяют области взаимодействия, каждая из которых содержит пару серверов AS и TGS.
Такая схема требует, чтобы сервер одной области мог доверять аутентификацию клиента другой области, и серверы AS и TGS имели общий секретный ключ.
1) С→AS: IDc||IDTGS||TS1;
2) AS→ С: EKС[KЕ,TGS||IDTGS||TS2||Срок2||МандатTGS];
3) С→TGS: IDTGSB||МандатTGS||аутентификаторс;
4) TGS→С: ЕКc,TGS[Kc,TGSB||IDTGSB||TS4||мандатTGSB]
5) С→TGS: IDvB||МандатTGSB||аутентификаторс
6) TGSВ→C:EKC,TGSB[KC,VB||IDVB||TS5||МандатVB]
7) C→VВ: МандатVB|| аутентификаторс
KERBEROS v.5
Содержит ряд усовершенствований 4-й версии в двух областях:
-
Область ограничения среды;
-
Техническая область.
Ограничения среды:
1) зависимость от системы шифрования v.4 требует DES.BV.5 к шифрованному тексту присоединять идентификатор текста шифрования, а ключи шифрования содержат указатели их длины;
2) зависимость от протокола сети
v.4 требует только IP v.5, к адресу добавляется метка типа и длины;
3) срок действия мандата.
В v.4 срок представляется 8-битовым значением, единица которого соответствует 5 минутам, т.е. максимальный срок = 21 час, следовательно, не удобно для систем, требующих длительных временных ресурсов.
В v.5 мандат содержит явное указание времени нала и окончания действий.
4) передача сертификатов аутентификации.
В v.4 сертификат, выданный одному узлу, нельзя передавать другому узлу, а в v.5 – можно.
5) аутентификация в удаленной области
v.5 требует гораздо меньше сеансов взаимодействия между серверами Kerberos разных областей.
Технические ограничения
1) Двойное шифрование
В шагах (2), (4) и (6) мандат шифруется повторно, что является излишней тратой ресурсов;
2) шифрование в нестандартном режиме DES
v.4 использует специальный режим DES со сцеплением блоков, который обеспечивает дополнительный контроль целостности, однако, является менее защищенным.
v.5 использует отдельный механизм контроля деятельности, а алгоритм DES используется в наиболее защищенном режиме.
3) сеансовые ключи
В v.4 сеансовый ключ, используемый для шифрации аутентификатора клиента, в дальнейшем используется для защиты сообщений, передаваемых в ходе сеанса.
В v.5 используют специальный сеансовый подключ.
4) атака на пароль
Во (2) шаге данные шифруются на основе ключа, вычисляемого с помощью пароля клиента, а В v.5 предлагается механизм предварительной аутентификации, которая затрудняет атаку на пароль, но не исключает ее полностью.