Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5209 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Приднепровская государственная академия строительства и архитектуры
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
BIKSS_Mod1_fixed_1_1.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
1.63 Mб
Скачать
►Содержание►

  1. Экранирующие маршрутизаторы. Назначение, достоинства, недостатки?

К достоинствам экранирующих маршрутизаторов относятся:

  • простота самого экрана, а также процедур его конфигурирования и установки;

  • прозрачность для программных приложений и минимальное влияние на производительность сети;

  • низкая стоимость, обусловленная тем, что любой маршрутизатор в той или иной степени представляет возможность фильтрации пакетов.

Недостатки экранирующих маршрутизаторов:

  • не поддерживают многие необходимые функции защиты, например, аутентификацию конечных узлов, криптографическое закрытие пакетов сообщений, а также проверку их целостности и подлинности;

  • уязвимы для таких распространенных сетевых атак, как подделка исходных адресов и несанкционированное изменение содержимого пакетов сообщений.

  1. Шлюзы сеансового уровня. Назначение, достоинства, недостатки?

Шлюз сеансового уровня дополняет экранирующий маршрутизатор функциями контроля виртуальных соединений и трансляции внутренних IР-адресов.

Недостатки у шлюза сеансового уровня:

не обеспечивается контроль и защита содержимого пакетов сообщений;

не поддерживаются аутентификация пользователей и конечных узлов, а также другие функции защиты локальной сети.

Поэтому шлюз сеансового уровня применяют как дополнение к прикладному шлюзу.

  1. Назначение канальных посредников (в рамках экранирующего транспорта)?

Для контроля виртуальных соединений в шлюзах сеансового уровня используются специальные программы, которые называют канальными посредниками (рiре рrохiеs). Эти посредники устанавливают между внутренней и внешней сетями виртуальные каналы, а затем контролируют передачу по этим каналам пакетов, генерируемых приложениями ТСР/IР.

  1. Прикладные шлюзы. Назначение, достоинства, недостатки?

Функции защиты:

  • идентификация и аутентификация пользователей при попытке установления соединений через брандмауэр;

  • проверка подлинности информации, передаваемой через шлюз;

  • разграничение доступа к ресурсам внутренней и внешней сетей;

  • фильтрация и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

  • регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;

  • кэширование данных, запрашиваемых из внешней сети.

Шлюз прикладного уровня обладает следующими важными достоинствами:

  • за счет возможности выполнения подавляющего большинства функций посредничества, обеспечивает наиболее высокий уровень защиты локальной сети;

  • защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, уменьшая тем самым вероятность проведения успешных атак, основанных на недостатках программного обеспечения;

  • при нарушении работоспособности прикладного шлюза блокируется сквозное прохождение пакетов между разделяемыми сетями, что не снижает безопасность защищаемой сети в случае возникновения отказов.

Недостатки прикладного шлюза:

  • высокая стоимость;

  • довольно большая сложность самого брандмауэра, а также процедур его установки и конфигурирования;.

  • высокие требования к производительности и ресурсоемкости компьютерной платформы;.

  • отсутствие "прозрачности" для пользователей и снижение пропускной способности при реализации межсетевых взаимодействий.

  1. Схема защищенной сети с одним сетевым интерфейсом.

  1. Схема единой защищенной локальной сети.

  1. Схема сети с защищенной закрытой и незащищенной открытой подсетями.

  1. Схема сети с разделенной защитой и одним МЭ

  1. Схема сети с разделенной защитой и двумя МЭ.

  1. Классы межсетевых экранов по показателям защищенности

Устанавливается пять классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности — пятый, самый высокий — первый

Всего их 5 (5-тый самый низкий)

Гриф «секретно» не ниже 3-го

Гриф «совершенно секретно» не ниже 2-го

Гриф «особой важности» только 1-й, собственной разработки

  1. Возможности применения брандмауэров определенных классов (по показателям защищенности) в зависимости от важности обрабатываемой информации

= 28

  1. Сканирование портов TCP. «Вежливое сканирование»

Все по правилам

syn 

 ack

Ack  в зависимости от ОС в ответ если порт закрыт идет RST, ICMP, нечего

  1. Защита от сканирование портов.

Поставить FW

Тест 2

  1. Опишите атаку «Ложный ARP-сервер» с перехватом ARP-запроса.

- Атакованный хост передает пакеты на ложный ARP-сервер.

- Ложный ARP-сервер посылает принятые от атакованного хоста пакеты на маршрутизатор.

- Маршрутизатор, в случае получения ответа на запрос, адресует его непосредственно на атакованный хост, минуя ложный ARP-сервер.

  1. Опишите атаку «Ложный ARP-сервер» без перехвата ARP-запроса.

Враг перехватывает ARP запрос, дает свой ложный

  1. Опишите атаку «Ложный DNS-сервер» , c перехватом DNS-запрос.

Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса - это удаленная атака на базе типовой атаки, связанной с ожиданием поискового DNS-запроса. Перед тем как рассмотреть алгоритм атаки на службу DNS, необходимо обратить внимание на некоторые тонкости в работе этой службы.

Во-первых, по умолчанию служба DNS функционирует на базе протокола UDP (хотя возможно и использование протокола TCP), что, естественно, делает ее менее защищенной, так как протокол UDP (в отличие от TCP) вообще не предусматривает средств идентификации сообщений. Для того чтобы перейти от UDP к TCP, администратору DNS-сервера придется очень серьезно изучить документацию (в стандартной документации на демон named в ОС Linux нет никакого упоминания о возможном выборе протокола, на котором будет работать DNS-сервер). Этот переход несколько замедлит систему, так как при использовании TCP требуется создание виртуального соединения, кроме того, конечная сетевая ОС вначале посылает DNS-запрос с использованием протокола UDP, и только в том случае, если придет специальный ответ от DNS-сервера, она пошлет следующий запрос с использованием TCP.

Во-вторых, начальное значение поля "порт отправителя" в UDP-пакете >= 1023 и увеличивается с каждым переданным DNS-запросом.

В-третьих, значение идентификатора (ID) DNS-запроса устанавливается следующим образом. В случае передачи DNS-запроса с хоста оно зависит от конкретного сетевого приложения, вырабатывающего DNS-запрос. Эксперименты показали, что если запрос посылается из оболочки командного интерпретатора (SHELL) операционных систем Linux и Windows 95 (например, ftp nic.funet.fi), то это значение всегда равняется единице. Если же DNS-запрос передается из Netscape Navigator или его посылает непосредственно DNS-сервер, то с каждым новым запросом сам браузер или сервер увеличивает значение идентификатора на единицу. Все эти тонкости имеют значение в случае атаки без перехвата DNS-запроса.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности