- •1. Понятие информационной безопасности
- •2. Важность и сложность проблемы информационной безопасности
- •3. Основные составляющие информационной безопасности
- •4. Категории информационной безопасности
- •5. Требования к политике безопасности в рамках iso
- •6. Общие сведения о стандартах серии iso 27000
- •Разработчики международных стандартов
- •Русские переводы международных стандартов
- •7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- •8. Iso 18028 - Международные стандарты сетевой безопасности серии
- •Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- •Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- •9. Российские стандарты гост
- •10. Модель сетевого взаимодействия
- •11. Модель безопасности информационной системы
- •12. Классификация криптоалгоритмов
- •13. Алгоритмы симметричного шифрования
- •14. Криптоанализ
- •Дифференциальный и линейный криптоанализ
- •15. Используемые критерии при разработке алгоритмов
- •16. Сеть Фейштеля
- •17. Алгоритм des Принципы разработки
- •Проблемы des
- •18. Алгоритм idea
- •Принципы разработки
- •Криптографическая стойкость
- •21. Создание случайных чисел
- •22. Требования к случайным числам
- •Случайность
- •Непредсказуемость
- •Источники случайных чисел
- •Генераторы псевдослучайных чисел
- •Криптографически созданные случайные числа
- •Циклическое шифрование
- •Режим Output Feedback des
- •Генератор псевдослучайных чисел ansi x9.17
- •23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- •Обзор финалистов
- •Критерий оценки
- •Запасной алгоритм
- •Общая безопасность
- •25. Основные способы использования алгоритмов с открытым ключом
- •Алгоритм rsa
- •27. Алгоритм обмена ключа Диффи-Хеллмана
- •28. Транспортное кодирование
- •29. Архивация
- •Требования к хэш-функциям
- •31. Цифровая подпись Требования к цифровой подписи
- •Прямая и арбитражная цифровые подписи
- •32. Симметричное шифрование, арбитр видит сообщение:
- •33. Симметричное шифрование, арбитр не видит сообщение:
- •34. Шифрование открытым ключом, арбитр не видит сообщение:
- •35. Стандарт цифровой подписи dss
- •Подход dss
- •36. Отечественный стандарт цифровой подписи гост 3410
- •37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- •38. Протоколы аутентификации
- •Взаимная аутентификация
- •39. Элементы проектирования защиты сетевого периметра.
- •40. Брандмауэр и маршрутизатор.
- •41. Брандмауэр и виртуальная частная сеть.
- •42. Многоуровневые брандмауэры.
- •43. Прокси-брандмауэры.
- •44.Типы прокси.
- •46.Недостатки прокси-брандмауэров.
- •48. Виртуальные локальные сети.
- •49. Границы виртуальных локальных сетей.
- •50. Частные виртуальные локальные сети.
- •51. Виртуальные частные сети.
- •52. Основы построения виртуальной частной сети.
- •53. Основы методологии виртуальных частных сетей.
- •54. Туннелирование.
- •55. Защита хоста.
- •56. Компьютерные вирусы
- •Структура и классификация компьютерных вирусов
- •2.3.3. Механизмы вирусной атаки
- •58. Протокол ррр рар
- •59. Протокол ррр chap
- •60. Протокол ррр еар
- •68. Виртуального удаленного доступа
- •69. Сервис Директории и Служб Имен
- •70. По и информационная безопасность
- •71. Комплексная система безопасности. Классификация информационных объектов
53. Основы методологии виртуальных частных сетей.
Основной концепцией виртуальных частных сетей является защита шифрованием канала связи. Связь можно защитить шифрованием на различных уровнях сетевой модели взаимодействия открытых систем OSI, а именно:
прикладном (7-й уровень);
транспортном (4-й уровень);
сетевом (3-й уровень);
канальном (2-й уровень).
На уровне приложения шифрование можно применять при помощи программ, подобных пакету Pretty Good Privacy (PGP), или через каналы типа Secure Shell (SSH). Кроме того, удаленные односеансовые программы, подобные pcAnywhere, и многосеансовые программы, подобные Terminal Server, могут применять шифрование для зашиты удаленных соединений. Большинство этих программ работает на участке сети от узла до узла, что означает, что они предлагают защиту только для содержательной части (payload) пакета, а не всего пакета в целом. Исключение составляет протокол SSH, который может использовать режим port-forwarding для создания туннеля.
На транспортном уровне сетевой модели для защиты содержимого пакетов конкретного сеанса связи между двумя сторонами можно использовать протоколы, аналогичные протоколу защищенных сокетов (Secure Sockets Layer – SSL). Обычно такой метод используется при соединениях, установленных посредством web-браузера. При этом вновь защищается только содержательная часть передаваемых пакетов, а IP-пакеты, которые несут эту информацию, доступны для просмотра. Протокол защищенных сокетов (SSL) также может использоваться для организации туннеля при других типах соединения.
На сетевом уровне протоколы, подобные IPSec, не только зашифровывают содержательную часть пакета, но они также зашифровывают информацию самого протокола TCP/IP. Хотя информация об IP-адресах сторон, шифрующих и расшифровывающих пакет, необходима для облегчения надлежащей маршрутизации, высокоуровневая информация, включая транспортные протоколы и связанные порты, может быть полностью скрыта. Информация об IP-адресе получателя может также быть скрыта, если шлюзовое устройство такое, как маршрутизатор, брандмауэр или концентратор, выполняет шифрование, используя концепцию, называемую туннелированием (tunneling).
54. Туннелирование.
Туннелирование – это процесс инкапсуляции одного типа пакета внутри другого с целью получения некоторого преимущества при его транспортировке. Например, туннелирование можно использовать, чтобы послать широковещательный трафик через маршрутизируемую сетевую среду или трафик протокола NetBEUI через сеть Интернет, или чтобы применить шифрование для обеспечения безопасности IP-пакетов. Использование технологии туннелирования в качестве средства шифрования можно проиллюстрировать на примере виртуальной частной сети типа шлюз-шлюз. На рис. 14 представлены две сети связанные через виртуальную частную сеть, которая располагается между двумя брандмауэрами.
В приведенном примере брандмауэр переводит все пакеты, предназначенные для удаленной сети, в зашифрованный вид и добавляет к ним новый IP-заголовок со своим собственным IP-адресом в качестве адреса отправителя и адресом удаленного брандмауэра в качестве IP-адреса получателя пакета. Шифрование скрывает фактическую информацию IP-заголовка оригинального пакета. Когда удаленный брандмауэр получает пакет, он расшифровывает его снова в первоначальный вид и передает узлу сети, для которого он изначально предназначался. Виртуальный сегмент сети, создаваемый между двумя шлюзовыми оконечными точками, называют туннелем (tunnel). Узлы сети не имеют ни малейшего представления ни о том, что пакеты зашифровывались, ни о том, что их посылали через общественную сеть. При этом от узлов сети не требуется ни наличия специального программного обеспечения, ни дополнительной настройки. Все, что должно присутствовать, так это пакет, предназначенный для узла удаленной подсети и процесс, полностью контролируемый шлюзовыми устройствами.
Несмотря на то, что при использовании процесса туннелирования системные IP-адреса узлов сети замаскированы от внешнего мира, они все же не обладают полной анонимностью. Поскольку доступны IP-адреса шлюзовых устройств, то подслушивающие все еще могут определить, кто с кем поддерживает связь.
Рис. 14. Виртуальный туннель.
Применение шифрования, инкапсуляции и туннелирования не обеспечивает недоступность отправляемых пакетов. Пакеты все еще могут собираться и анализироваться. Однако если используется должным образом реализованный, адекватно сильный алгоритм шифрования, то содержимое пакетов находится в безопасности.
Достоинства VPN.
Главной выгодой от использования виртуальной частной сети для удаленного доступа можно считать совокупность стоимостной эффективности возможного использования общественной сетевой среды для транспортирования частной информации и достижение высокого уровня безопасности. Виртуальная частная сеть (VPN) может предоставить множество уровней безопасности в общедоступной сетевой среде, включая усовершенствование конфиденциальности, целостности и аутентификации. Поскольку виртуальная частная сеть использует существующую сетевую инфраструктуру, ее можно реализовать без промедления, не ожидая прокладки линий связи или других факторов, которые обычно сдерживают подобные проекты. Если виртуальные частные сети используются для подключения удаленных пользователей, то они могут предложить безопасное и более рентабельное решение "дорожному воину". Этим способом люди, нуждающиеся в удаленном доступе, могут использовать в своих интересах местный доступ к Интернет везде, где бы они ни находились, вместо того, чтобы делать дорогостоящие междугородные звонки. Комбинация безопасности, быстрой установки и рентабельности с точки зрения стоимости может сделать виртуальную частную сеть превосходным коммуникационным решением.
Недостатки виртуальной частной сети.
Несмотря на все свои положительные стороны, виртуальные частные сети не избавлены от недостатков. Нужно взвесить множество факторов, чтобы подтвердить то, что виртуальная частная сеть является подходящим решением для сетевой среды. Использование шифрования вызывает дополнительную сетевую нагрузку, которая, наиболее вероятно, не сможет быть обработана существующими шлюзовыми устройствами или другим оборудованием, поэтому эти аппаратные средства должны быть закуплены дополнительно. Встраивание виртуальной частной сети в существующую сеть может также быть в некоторых сетевых средах сложной задачей из-за дополнительных накладных расходов на пакет. Существуют определенные проблемы с проектированием виртуальных частных сетей, которыми новичок (так же, как и посредники), вероятно, не захочет заниматься самостоятельно. А проблема ликвидации конфликтов формируемого трафика может бросить вызов даже самым опытным практикам.