- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
Протокол РРТР (Point-to-Point Tunneling Protocol) разработан компанией Майкрософт для создания защищенных виртуальных каналов для удаленного доступа к локальным сетям через Интернет. Он позволяет установить криптозащищенный туннель на канальном уровне модели OSI для прямого соединения удаленного компьютера с открытой сетью или через провайдера по телефонной линии.
Протокол РРТР получил популярность благодаря его включению в операционные системы Windows NT/2000 компании Майкрософт. Некоторые производители межсетевых экранов и шлюзов VPN также поддерживают этот протокол. Протокол РРТР позволяет создавать защищенные каналы для обмена данными по протоколам IP, IPX или NetBEUI.
Пакеты, передаваемые в рамках сессии РРТР, имеют структуру, включающую заголовок канального уровня, заголовок IP, заголовок общего метода инкапсуляции для маршрутизации GRE (Generic Routing Encapsulation) и исходный пакет РРР, содержащий пакет IP, IPX или NetBEUI. Принимающий узел сети извлекает из пакетов IP кадры РРР и затем извлекает из кадра РРР исходный пакет IP, IPX или NetBEUI и отправляет его по локальной сети конкретному адресату.
Для аутентификации удаленного пользователя в протоколе РРТР могут использоваться различные протоколы, такие как протокол аутентификации по паролю РАР (Password Authentication Protocol), протокол аутентификации при рукопожатии MSCHAP (Microsoft Challenge Handshaking Authentication Protocol) и протокол аутентификации EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Шифрование с помощью PPTP (Point-to-Point Encryption) обеспечивает безопасность передаваемых данных.
Протокол РРТР применяется в схеме туннелирования при прямом подсоединении компьютера удаленного пользователя к Интернету. Удаленный пользователь устанавливает удаленное соединение с локальной сетью с помощью клиентской части сервиса удаленного доступа RAS (Remote Access Service) и устанавливает связь с сервером удаленного доступа по протоколу РРТР.
Протокол РРТР предоставляет возможность защищенного удаленного доступа через открытые IP-сети к любым локальным сетям, независимо от используемых протоколов сетевого уровня модели OSI. Он обеспечивает аутентификацию удаленного пользователя и шифрование передаваемых данных для обеспечения безопасности.
Протокол туннелирования точка-точка (PPTP) был разработан Microsoft при поддержке Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics для обеспечения стандартного протокола туннелирования точка-точка. PPTP не указывает конкретные методы аутентификации и шифрования.
Протоколы PPTP и L2F были представлены на рассмотрение Целевой группы по проектированию Интернета (IETF), и в 1996 году соответствующие комитеты приняли решение объединить их. Результирующий протокол, включавший лучшие из PPTP и L2F, назывался Layer-2 Tunneling Protocol (L2TP). Поддерживается компаниями Cisco, Microsoft, 3Com, Ascend и многими другими производителями.
Протоколы защищенных туннелей на канальном уровне не зависят от протоколов сетевого уровня модели OSI, над которыми работают локальные сети, входящие в состав виртуальных сетей. Они позволяют создавать безопасные каналы для связи между удаленными компьютерами и локальными сетями, работающими по разным протоколам сетевого уровня. Пакеты этих протоколов криптографически защищены и инкапсулируются в IP-пакеты Интернета, которые транспортируются к месту назначения, образуя безопасные виртуальные каналы. Многопротокольность – является основным преимуществом протоколов инкапсуляции канального уровня.
Однако формирование криптографически защищенных туннелей между «открытыми» контурами взаимодействующих систем на основе протоколов канального уровня приводит к трудностям конфигурирования и поддержки виртуальных каналов связи. Кроме того, в протоколах формирования безопасных туннелей на канальном уровне не указаны конкретные методы шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средства управления ключами.
Из вышесказанного можно сделать вывод, что протоколы для создания безопасных виртуальных линий связи на канальном уровне лучше всего подходят для защиты связи при удаленном доступе к LAN.