- •Мдк 03.02. Технология применения комплексной защиты информации
- •Раздел 2. Технология применения комплексной защиты информации
- •Тема 2.1. Программно-аппаратные средства защиты информации
- •Информационная безопасность в многоканальных телекоммуникационных системах и сетях электросвязи
- •Структурные схемы систем защиты информации в типовых ис
- •Показатели защищенности многоканальных телекоммуникационных систем
- •Семантические показатели защищенности ис
- •Нечеткие оценки защищенности информационных систем
- •Защита среды передачи
- •Защита данных
- •Идентификация и аутентификация
- •Разграничение доступа
- •Протоколирование и аудит
- •Типовые удаленные сетевые атаки и их характеристики
- •Компьютерные вирусы и защита от них
- •Антивирусные программы и комплексы
- •Полное декодирование
- •Цифровая иммунная система
- •Защита от программных закладок
- •Как защитить систему от клавиатурных шпионов
- •Программный комплекс Dr.Web Enterprise Suite
- •Антивирус Касперского Personal Pro
- •Антивирусные утилиты Symantec, McAffee и BitDefender
- •Тема 2.2 Администрирование телекоммуникационных систем и сетей связи
- •Как выбрать стратегию аутентификации для информационных сервисов компании?
- •Биометрия
- •Методика выбора технологии
- •Расставьте приоритеты и выберите решение
- •Заключение
- •Протоколы vpn
- •Что такое ipSec
- •Ассоциации защиты (Security Association ,sa)
- •Инфраструктура ipSec
- •Как работает ipSec
- •Характеристика направлений и групп методов обнаружения вторжений
- •Анализ методов обнаружения аномалий
- •Выбор оптимальной совокупности признаков оценки защищаемой системы
- •Получение единой оценки состояния защищаемой системы
- •Нейронные сети
- •Анализ методов обнаружения злоупотреблений
- •Анализ изменения состояний
- •Наблюдение за нажатием клавиш
- •Методы, основанные на моделировании поведения злоумышленника
- •Недостатки существующих систем обнаружения
- •Направления совершенствования сов
- •Тема 2.3. Системы условного доступа в сетях вещания
Ассоциации защиты (Security Association ,sa)
IPSec предлагает стандартный способ аутентификации и шифрования соединений между сообщающимися сторонами. Чтобы обеспечить защиту связей, средства IPSec используют стандартные алгоритмы (т.е. математические формулы) шифрования и аутентификации, называемые преобразованиями. В IPSec используются открытые стандарты согласования ключей шифрования и управления соединениями, что обеспечивает возможность взаимодействия между сторонами. Технология IPSec предлагает методы, позволяющие сторонам IPSec "договориться" о согласованном использовании сервисов. Чтобы указать согласуемые параметры, в IPSec используются ассоциации защиты.
Ассоциация защиты (Security Association -- SA) представляет собой согласованную политику или способ обработки данных, обмен которыми предполагается между двумя устройствами сообщающихся сторон. Одной из составляющих такой политики может быть алгоритм, используемый для шифрования данных. Обе стороны могут использовать один и тот же алгоритм как для шифрования, так и для дешифрования. Действующие параметры SA сохраняются в базе данных ассоциаций защиты (Security Association Database -- SAD) обеих сторон.
Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы и ключи, используемые в SA. Каждый SA используется только в одном направлении. Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и протокол; таким образом, если для одного пакета необходимо использовать два протокола (как например AH и ESP), то требуется два SA.
IKE
Протокол IKE (Internet Key Exchange -- обмен Internet-ключами) является гибридным протоколом, обеспечивающим специальный сервис для IPSec, а именно аутентификацию сторон IPSec, согласование параметров ассоциаций защиты IKE и IPSec, а также выбор ключей для алгоритмов шифрования, используемых в рамках IPSec. Протокол IKE опирается на протоколы ISAKMP (Internet Security Association and Key Management Protocol -- протокол управления ассоциациями и ключами защиты в сети Internet) и Oakley, которые применяются для управления процессом создания и обработки ключей шифрования, используемых в преобразованиях IPSec. Протокол IKE применяется также для формирования ассоциаций защиты между потенциальными сторонами IPSec. Как IKE, так и IPSec используют ассоциации зашиты, чтобы указать параметры связи.
Инфраструктура ipSec
Сети VPN на основе IPSec могут быть построены с помощью самых разных устройств Cisco - маршрутизаторов Cisco, брандмауэров CiscoSecure PIX Firewall, программного обеспечения клиента CiscoSecure VPN и концентраторов Cisco VPN серий 3000 и 5000. Маршрутизаторы Cisco имеют встроенную поддержку VPN с соответствующими богатыми возможностями программного обеспечения Cisco IOS, что уменьшает сложность сетевых решений и снижает общую стоимость VPN при возможности построения многоуровневой защиты предоставляемых сервисов. Брандмауэр PIX Firewall является высокопроизводительным сетевым устройством, которое может обслуживать конечные точки туннелей, обеспечивая им высокую пропускную способность и прекрасные функциональные возможности брандмауэра. Программное обеспечение клиента CiscoSecure VPN поддерживает самые строгие требования VPN удаленного доступа для операций электронной коммерции, а также приложений мобильного доступа, предлагая законченную реализацию стандартов IPSec и обеспечивая надежное взаимодействие маршрутизаторов Cisco и брандмауэров PIX Firewall.