
- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
12.3 Протоклы ipSec
Internet Protocol Security (IPSec) называют в стандартах Internet системой. IPSec — это согласованный набор открытых стандартов, имеющий сегодня вполне очерченное ядро, и в то же время он может быть достаточно просто дополнен новыми протоколами, алгоритмами и функциями.
Основное назначение протоколов IPSec — обеспечение безопасной передачи данных по сетям IP. Применение IPSec гарантирует:
Целостность
Аутентичность
Конфиденциальность
(Заметим, что в соответствии с классическим определением понятие безопасности данных включает еще одно требование — доступность данных, что в рассмотренном контексте может быть интерпретировано как гарантия их доставки. Протоколы IPSec не решают данную задачу, оставляя ее протоколу транспортного уровня TCP.)
IPSec — это только одна из многих, хотя и самая популярная на сегодня, технология безопасной передачи данных по общедоступной (незащищенной) сети. Для технологий такого назначения используется обобщенное название — защищенный канал (secure channel). Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов.
З
ащищенный
канал можно построить с помощью системных
средств, реализованных на разных уровнях
модели OSI.
Если для защиты данных используется протокол одного из верхних уровней (прикладного, презентационного или сеансового), то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, т. е. для приложений такой протокол не является прозрачным.
Защищенному каналу на самом высоком, прикладном уровне свойственен еще один недостаток — ограниченная область действия. Протокол защищает только вполне определенную сетевую службу — файловую, гипертекстовую или почтовую. Например, протокол S/MIME защищает исключительно сообщения электронной почты. Поэтому для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола.
Наиболее известным протоколом защищенного канала, работающим на следующем, презентационном уровне, стал протокол Secure Socket Layer (SSL) и его новая открытая реализация Transport Layer Security (TLS). Снижение уровня протокола превращает его в гораздо более универсальное средство защиты. Теперь единым протоколом защиты могут воспользоваться любые приложения и любые протоколы прикладного уровня. Однако приложения необходимо переписывать по-прежнему — в них должны быть встроены явные вызовы функций протокола защищенного канала.
Чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. На сетевом и канальном уровнях зависимость приложений от протоколов защиты исчезает совсем. Однако здесь мы сталкиваемся с другой проблемой — зависимостью протокола защиты от конкретной сетевой технологии. Действительно, в разных частях крупной составной сети, вообще говоря, используются разные канальные протоколы, поэтому проложить защищенный канал через эту гетерогенную среду с помощью единого протокола канального уровня невозможно.
Рассмотрим, например, протокол защищенного канала Point-to-Point Tunneling Protocol (PPTP), работающий на канальном уровне. Он основан на протоколе PPP, который широко используется в соединениях «точка-точка», например при работе по выделенным линиям. Протокол PPTP не только обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня, но и не зависит от применяемого протокола сетевого уровня: в частности, протокол PPTP может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnet или NetBEUI. Однако, поскольку протокол PPP используется далеко не во всех сетях (в большинстве локальных сетей на канальном уровне работает протокол Ethernet, а в глобальных — протоколы ATM, frame relay), то PPTP нельзя считать универсальным средством.
Работающий на сетевом уровне протокол IPSec является компромиссным вариантом. С одной стороны, он прозрачен для приложений, а с другой — он может работать практически во всех сетях, так как основан на широко распространенном протоколе IP: в настоящее время в мире только 1% компьютеров не поддерживает IP вообще, остальные 99% используют его либо как единственный протокол, либо в качестве одного из нескольких протоколов.