- •Варианты построения виртуальных защищенных каналов
- •2. Протоколы формирования защищенных каналов на канальном уровне
- •Протоколы формирования защищенных каналов на сеансовом уровне
- •Настройка сетевого интерфейса в CentOs
- •Настройке сети
- •Настройка dns
- •3.1.1. Функции межсетевых экранов
- •3.1.1.1. Фильтрация трафика
- •3.1.1.2. Выполнение функций посредничества
- •3.1.1.3. Дополнительные возможности межсетевых экранов
- •Коммутация пакетов
- •Достоинства коммутации пакетов
- •Недостатки коммутации пакетов
- •Протокол Spanning Tree Protocol (stp)
- •Протокол Rapid Spanning Tree Protocol (rstp)
- •2.Настройка ios
- •3. Настройка маршрутизации
- •Настройка dhcp pool на маршрутизаторе
- •Локальные учетные записи
- •Управление доменными учетными записями пользователей
- •Структуры распределенных систем управления
- •Понятие защищенной ос
- •Выполнить резервное копирование стандартными средствами ос Windows.
- •Технология преобразования сетевых адресов (nat)
- •Установка
- •Настройка сервера
- •1. Процедуры по обслуживанию ис
- •1.Резервное копирование данных
- •2.Ведение журналов регистрации событий
- •3.Слежение за окружающей средой
- •4.Оперирование с носителями информации и их защита
- •5.Обмен данными и программами
- •6.Рекомендации для аудита
- •7.Квотирование дискового пространства
- •Заголовок ah
- •Заголовок esp
- •Транспортный режим
- •Туннельный режим
- •Политика безопасности
- •1. Управление производительностью, безопасностью сети.
- •Типы резервного копирования
- •Разработка и реализация стратегии резервного копирования. Понятие плана архивации
- •Выбор архивных устройств и носителей
- •Особенности управления доступом
- •Функционирование системы управления доступом
- •1. Составляем список критичных пользовательских ит-сервисов
- •2. Определяем точки отказа пользовательских сервисов
- •3. Определяем зависимости точек отказа
- •2. Определяем необходимые ресурсы и условия для восстановления
- •3. Определяем минимальное гарантируемое время восстановления пользовательского сервиса
- •4. Определяем факторы риска процедуры аварийного восстановления и планируем мероприятия по их контролю
- •5. Определяем ситуации, выходящие за рамки планирования
- •Типы acl
- •Порядок просмотра acl
- •Применение acl
- •15.1.1. Классификация компьютерных вирусов
- •15.1.3. Основные каналы распространения вирусов и других вредоносных программ
Протоколы формирования защищенных каналов на сеансовом уровне
Самым высоким уровнем модели OSI, на котором возможно формирование защищенных виртуальных каналов, является пятый — сеансовый уровень. При построении защищенных виртуальных сетей на сеансовом уровне появляется возможность криптографической защиты информационного обмена, включая аутентификацию, а также реализации ряда функций посредничества между взаимодействующими сторонами.
Однако на сеансовом уровне начинается непосредственная зависимость от приложений, реализующих высокоуровневые протоколы. Поэтому реализация протоколов защиты информационного обмена, соответствующих этому уровню, в большинстве случаев требует внесения изменений в высокоуровневые сетевые приложения.
Для защиты информационного обмена на сеансовом уровне широкое распространение получил протокол SSL (Secure Sockets Layer).
Протоколы SSL/TLS
Протокол SSL применяется в качестве протокола защищенного канала, работающего на сеансовом уровне модели OSI. Этот протокол использует криптографические методы защиты информации для обеспечения безопасности информационного обмена. Протокол SSL выполняет все функции по созданию защищенного канала между двумя абонентами сети, включая их взаимную аутентификацию, обеспечение конфиденциальности, целостности и аутентичности передаваемых данных. Ядром протокола SSL является технология комплексного использования асимметричных и симметричных криптосистем.
Взаимная аутентификация обеих сторон в SSL выполняется путем обмена цифровыми сертификатами открытых ключей пользователей (клиента и сервера), заверенными цифровой подписью специальных сертификационных центров. Протокол SSL поддерживает сертификаты, соответствующие общепринятому стандарту Х.509, а также стандарты инфраструктуры открытых ключей PKI (Public Key Infrastructure), с помощью которой организуется выдача и проверка подлинности сертификатов.
Конфиденциальность обеспечивается шифрованием передаваемых сообщений с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей, извлеченных из сертификатов абонентов. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрования и расшифрования на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей. Подлинность и целостность циркулирующей информации обеспечивается за счет формирования и проверки электронной цифровой подписи.
В качестве алгоритмов асимметричного шифрования используются алгоритм RSA, а также алгоритм Диффи — Хеллмана. Допустимыми алгоритмами симметричного шифрования являются RC2, RC4, DES, 3DES и AES. Для вычисления хэш-функций могут применяться стандарты MD5 и SHA-1. В протоколе SSL версии 3.0 набор криптографических алгоритмов является расширяемым.
Согласно протоколу SSL криптозащищенные туннели создаются между конечными точками виртуальной сети. Инициаторами каждого защищенного туннеля являются клиент и сервер, функционирующие на компьютерах в конечных точках туннеля
Протокол SSL предусматривает следующие этапы взаимодействия клиента и сервера при формировании и поддержке защищаемого соединения: • установление SSL-сессии; • защищенное взаимодействие.
В процессе установления SSL-сессии решаются следующие задачи: • аутентификация сторон; • согласование криптографических алгоритмов и алгоритмов сжатия, которые будут использоваться при защищенном информационном обмене; • формирование общего секретного мастер-ключа; • генерация на основе сформированного мастер-ключа общих секретных сеансовых ключей для криптозащиты информационного обмена.
Процедура установления SSL-сессии, называемая также процедурой рукопожатия, отрабатывается перед непосредственной защитой информационного обмена и выполняется по протоколу начального приветствия (Handshake Protocol), входящему в состав протокола SSL.
К недостаткам протоколов SSL и TLS можно отнести то, что для транспортировки своих сообщений они используют только один протокол сетевого уровня — IP, и, следовательно, могут работать только в IP-сетях.
Билет 5.
Управление конфигурацией. Базовые команды настройки сетевой ОС. Командная строка сетевой операционной системы.
Защита программного обеспечения методами стеганографии.
Из круглого 8-жильного кабеля заклепать гигабитный кросс-овер.
1. Основной сетевой подсистемы UNIX является сетевой интерфейс. Сетевой интерфейс – это абстракция, используемая для представления связи канального уровня сети с протоколом TCP/IP в UNIX.
Каждый сетевой интерфейс в системе имеет уникальное имя, сотстоящее из типа устройства и номера (0 или больше для однотипных устройств). Под типами устройств в различных UNIX-системах может пониматься вид протокола канального уровня (Ethenet – eth) или название драйвера устройства (Realtek – rl).
Интерфейс имеет набор параметров, большинство которых относятся к сетевому уровню (IP-адрес, маска сети и т.п.). Важным параметром сетевого интерфейса является аппаратный адрес (В Ethernet аппаратный адрес называется MAC-адрес и состоит из шести байтов, которые принято записывать в шестнадцатеричной системе исчисления и разделять двоеточиями).
Узнать параметры интерфейса можно с помощью команды ifconfig, указав в качестве аргумента его имя
В IP-сетях каждому сетевому интерфейсу присваивается некоторый единственный на всю глобальную сеть адрес, который не зависит от среды передачи данных и всегда имеет один и тот же формат.
Адрес, определяемый протоколом IP, состоит из четырех байтов, записываемых традиционно в десятичной системе счисления и разделяемых точкой. Адрес сетевого интерфейса eth0 из примера – 192.168.1.5.
Второй сетевой интерфейс из примера, lo, – так называемая заглушка (loopback), которая используется для организации сетевых взаимодействий компьютера с самим собой: любой посланный в заглушку пакет немедленно обрабатывается как принятый оттуда. Заглушка обычно имеет адрес 127.0.0.1.
Для установления связи между интерфейсом и IP-адресом необходимо выполнить команду:
desktop ~ # ifconfig eth0 192.168.1.1 up
Таблицу, управляющую маршрутизацией пакетов, можно просмотреть с помощью команды netstat -r или route (обе команды имеют ключ -n, заставляющий их использовать в выдаче IP-адреса, а не имена компьютеров):
Задавать параметры маршрутизации можно с помощью той же команды route.
Есть такие протоколы уровня IP, действие которых этим уровнем и ограничивается. Например, служебный протокол ICMP (Internet Control Message Protocol), предназначенный для передачи служебных сообщений.
Примером применения ICMP является утилита ping, которая позволяет проверить работоспособность узлов в сети. Другое применение ICMP – сообщать отправителю, почему его пакет невозможно доставить адресату, или передавать информацию об изменении маршрута, о возможности фрагментации и т. п.
Протоколом ICMP пользуется утилита traceroute, позволяющая приблизительно определять маршрут следования пакета
Утилита traceroute показывает список абонентов, через которых проходит пакет по пути к адресату, и потраченное на это время.
Для просмотра всех существующих в настоящий момент сетевых соединений можно воспользоваться командой netstat