- •Аутентифікація на основі паролів і сертифікатів ( приклад)
- •Базові протоколи шифрування у vpn.
- •Види атак на Wi-Fi мережу та захист від них.
- •Вимоги до криптографічних систем захисту інформації.
- •Вимоги до статистичних характеристик шифрів.
- •Випробування стійкості wep.
- •Випробування стійкості wpa.
- •Генератори псевдовипадкових чисел.
- •По степени защищенности используемой среды
- •По способу реализации
- •По назначению
- •По типу протокола
- •По уровню сетевого протокола
- •67. Метод довірених кур’єрів.
- •69. Технології побудови vpn
- •71. Типи брандмауерів та їх основне призначення. Політика міжмережевої взаємодії.
- •72. Тунелювання
- •73. Що таке iptables? Основні можливості
- •74. Що таке політика безпеки?
- •76. Як вберегтися від злому wpa?
- •77. Які алгоритми шифрування використовуються в wpa?
Випробування стійкості wpa.
WPA
Пристрої, що підтримують стандарт 802.11g, підтримують покращений алгоритм шифрування WPA - Wi-Fi Protected Access. WPA включає в себе 802.1X, EAP, TKIP і MIC.
TKIP (Temporal Key Integrity Protocol) - реалізація динамічних ключів шифрування, плюс до цього, кожен пристрій у мережі так само отримує свій Master-ключ (який теж час від часу змінюється). Ключі шифрування мають довжину 128 біт і генеруються за складним алгоритмом, а загальна кількість можливих варіантів ключів досягає сотні мільярдів, а змінюються вони дуже часто. Тим не менш, використовуваний алгоритм шифрування - RC4.
MIC (Message Integrity Check) - протокол перевірки цілісності пакетів. Протокол дозволяє відкидати пакети, які були «вставлені» в канал третьою особою, тобто пішли не від валідного відправника.
Велике число достоїнств протоколу TKIP не покриває його основний недолік-використовуваний для шифрування алгоритм RC4. Тому зараз все популярнішим стає використання стандарту AES (Advanced Encryption Standard), який приходить на заміну TKIP.
WPA2
WPA2 визначається стандартом IEEE 802.11i, прийнятим у червні 2004 року, і покликаний замінити WPA. У ньому реалізовано CCMP і шифрування AES, за рахунок чого WPA2 став більш захищеним, ніж свій попередник. З 13 березня 2006 підтримка WPA2 є обов'язковою умовою для всіх сертифікованих Wi-Fi пристроїв.
CCMP - протокол шифрування 802.11i створений для заміни TKIP, обов'язкового протоколу шифрування в WPA і WEP, як більш надійний. CCMP є обов'язковою частиною стандарту WPA2, і необов'язковою частиною стандарту WPA.
Генератори псевдовипадкових чисел.
Випадкові числа (ВЧ) – це така послідовність чисел, для якої неможливо передбачити наступне число, навіть якщо відомі попередні. Псевдовипадкові числа (ПВЧ) – це така послідовність чисел, яка має властивості випадкових чисел, проте кожне наступне число обчислюється за певною формулою. Псевдовипадкова двійкова послідовність – частковий випадок ПВЧ, у якому елементи приймають два можливі значення «0» і «1» (інколи цими значеннями є «–1» та «+1»). Для отримання ВЧ та ПВЧ використовують обчислювальний або фізичний пристрій, спроектований для генерації послідовності номерів чи символів, які не відповідають будь-якому шаблону – генератор випадкових чисел (ГВЧ). Деякі вчені вважають, що немає істино випадкових генераторів, а є лише ГПВЧ, відповідно і результатом їх роботи є ПВЧ, а не ВЧ. Хоча псевдовипадкова послідовність на перший погляд може здатися, позбавленою закономірностей, проте будь-який ГПВЧ з кінцевим числом внутрішніх станів повториться після дуже довгої послідовності чисел (що доводиться за допомогою принципу Діріхлє). Основним завдання розробників таких генераторів є забезпечення якомога більшого періоду повторюваності.
Внаслідок швидкого розвитку методів статистичного моделювання і криптографії, галузь застосування ГВЧ істотно розширилася. Можливість реалізації ГВЧ для зазначених застосувань була забезпечена, з одного боку, розвитком теорії ймовірностей і математичної статистики, а з іншого – становленням радіоелектроніки та створенням обчислювальних засобів, що дозволили швидко проводити складні математичні обчислення. ГВЧ використовуються в існуючих криптосистемах для генерації ключової інформації і визначення ряду параметрів криптосистем. Відповідно до принципу Керкгоффса стійкість криптографічного алгоритму не має залежати від архітектури алгоритму, а має залежати тільки від ключів. Іншими словами, при оцінці надійності шифрування необхідно вважати, що супротивник знає все про систему шифрування, що використовується, крім ключів. З огляду на це, досить важливою задачею є забезпечення секретності такої критично важливої ланки криптосистеми як ключ. Однією із умов секретності є статистична незалежність між різними послідовностями (тобто ключами).
Будь-які послідовності, породжувані ГВЧ (або ГПВЧ) безпосередньо для криптографічних цілей, підлягають обов'язковому тестуванню. Тестування псевдовипадкових послідовностей – це сукупність методів та засобів визначення міри близькості заданої псевдовипадкової послідовності до випадкової. У якості критерію зазвичай виступає наявність рівномірного розподілу, великого періоду, рівної частоти появи однакових підрядків тощо.
Існують такі методи тестування ПВЧ:
1) Графічні тести. До цієї категорії відносяться тести, результати яких відображаються у вигляді графіків, що характеризують властивості досліджуваної послідовності. Серед них: гістограма розподілу елементів послідовності; розподіл на площині; перевірка серій; перевірка на монотонність; автокореляційна функція; профіль лінійної складності; графічний спектральний тест та ін. Проте, результати графічних тестів інтерпретуються безпосередньо людиною, тому висновки на їх основі можуть бути неоднозначними і суб’єктивними (людський чинник).
2) Статистичні тести. На відміну від графічних, статистичні тести видають чисельну характеристику ПВЧ і дозволяють однозначно сказати, чи пройдений конкретний тест, чи ні. Сьогодні найбільш відомими і використовуваними є такі статистичні тести: добірка тестів Д. Кнута, DIEHARD, CRYPT-X, NIST STS, FIPS.
12. Графічні тести оцінки псевдовипадкових послідовностей
При графічному тестуванні статистичні властивості послідовностей відображаються у виді графічних залежностей, за виглядом яких роблять висновки про властивості досліджуваної послідовності. До даної категорії відносяться такі тести: гістограма розподілу елементів послідовності, розподіл на площині, перевірка серій, перевірка на монотонність, автокореляційна функція, профіль лінійної складності, графічний спектральний тест. Результати графічних тестів інтерпретуються людиною, тому висновки можуть бути неоднозначними.
13. Джерела випадкових чисел
Джерела справжніх випадкових чисел знайти важко. Фізичні шуми, такі як детектори подій іонізуючої радіації, дробовий шум у резисторі або космічне випромінювання можуть бути такими джерелами. Однак застосовуються такі пристрої в додатках мережевої безпеки рідко. Складнощі також викликають грубі атаки на подібні пристрої.
Альтернативним рішенням є створення деякого набору з великої кількості випадкових чисел і опублікування його в деякому словнику. Тим не менше, і такі набори забезпечують дуже обмежений джерело чисел в порівнянні з тією кількістю, яка вимагається додаткам мережевої безпеки. Хоча дані набори дійсно забезпечують статистичну випадковість, вони не досить випадкові, так як супротивник може отримати копію словника.
Генератор псевдовипадкових чисел включений до складу багатьох сучасних процесорів (напр., сімейства x86)
Криптографічні додатки використовують для генерації випадкових чисел особливі алгоритми. Ці алгоритми заздалегідь визначені і, отже, генерують послідовність чисел, яка теоретично не може бути статистично випадковою. У той же час, якщо вибрати хороший алгоритм, отримана чисельна послідовність буде проходити більшість тестів на випадковість. Такі числа називають псевдовипадковими числами.
14. Загальна характеристика DLP-системи
15. Захист даних у VPN
Захист інформації в VPN будується з використанням наступних технічних прийомів: Шифрування вихідного IP-Пакета, що забезпечує таємність даних, що втримуються в пакеті, таких як поля IP-Заголовка й поле даних; Цифровий підпис IP-Пакетів, що забезпечує аутентифікацію пакета й джерела-відправника пакета;Інкапсуляція IP-Пакета в новий захищений IP-Пакет з новим заголовком, що містить IP-Адресу пристрою захисту, що маскує топологію внутрішньої мережі [2].
Захист інформації при передачі між віртуальними підмережами реалізується на алгоритмах асиметричних ключів і електронного підпису, що захищає інформацію від підробки. Фактично дані, що підлягають межсегментній передачі, кодуються на виході з однієї мережі, і декодуются на вході іншої мережі, при цьому алгоритм керування ключами забезпечує їхній захищений розподіл між кінцевими пристроями.
Всі маніпуляції з даними прозорі для працюючих у мережі додатків. При цьому можливо організувати захист інформації на будь-якому рівні: захист трафіка, тобто всієї інформації, переданої по каналі зв’язку, наприклад, між географічно вилученими філіями компанії; між сервером і користувачем; між клієнтами; організувати захищений доступ мобільних користувачів у локальну мережу компанії.
16. Імітостійкість та перешкодостійкість шифрів
17. Канали, що контролюються DLP засобами
18. Класи мереж за IP адресацією
На відміну від фізичних MAC–адрес, формат яких залежить від конкретної мережної архітектури, IP–адреса будь–якого вузла мережі є чотирибайтовим числом. Записуються IP–адреси чотирма числами в діапазоні від 0 до 255, які представляються в двійковій, вісімковій, десятковій або шістнадцятковій системах числення та розділяються крапками (наприклад 192.168.40.250). Для більш ефективного використання єдиного адресного простору Internet введено класи мереж:
Мережі класу A ( 1–126) мають 0 в старшому біті адрес. На мережну адресу відводиться 7 молодших бітів першого байта, на гост–частину – 3 байти. Таких мереж може бути 126 з 16 мільйонами вузлів у кожній.
Мережі класу B (128–191) мають 10 у двох старших бітах адрес. На мережну адресу відводиться 6 молодших бітів першого байта та другий байт, на гост–частину – 2 байти. Таких мереж може бути близько 16 тисяч з 65 тисячами вузлів в кожній.
Мережі класу C (192–223) мають 110 у трьох старших бітах адрес. На мережну адресу відводиться 5 молодших бітів першого байта та другий і третій байт, на гост–частину – 1 байт. Таких мереж може бути близько 2 мільйонів з 254 вузлами в кожній.
Мережі класу D (224–239) мають 1110 у чотирьох старших бітах адрес. Решта біт є спеціальною груповою адресою. Адреси класу D використовуються у процесі звернення до груп комп'ютерів.
Мережі класу E (240–255) зарезервовані на майбутнє.
Для зменшення трафіка в мережах з великою кількістю вузлів застосовується розділення вузлів за підмережами потрібного розміру. Адреса підмережі використовує кілька старших бітів гост–частини IP–адреси, решта молодших бітів – нульові. В цілому IP–адреса складається з адреси мережі, підмережі та локальної гост–адреси, яка є унікальною для кожного вузла. Для виділення номерів мережі, підмережі та госта (вузла) використовується маска підмережі – бітовий шаблон, в якому бітам, що використовуються для адреси підмережі, присвоюються значення 1, а бітам адреси вузла – значення 0. Розглянемо адресу 192.168.40.252 та значення маски 255.255.255.0. У цьому випадку маємо адресу підмережі 192.168.40 та адресу госта – 252. При цьому всі гости підмережі 192.168.40 мають встановити ту ж саму маску підмережі. Отже, мережа 192.168 може мати 256 підмереж з 254 вузлами в кожній. Використання ж маски 255.255.255.192 дасть змогу мати 1024 підмережі з 60 вузлами в кожній.
19. Класифікація VPN
Классифицировать VPN решения можно по нескольким основным параметрам: