- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
Протокол L2F туннелирования (Layer-2 Forwarding), разработанный Cisco Systems при поддержке компаний Shiva и Northern Telecom, также соответствует канальному уровню модели OSI. В этом протоколе также не указаны конкретные методы аутентификации и шифрования. В отличие от PPTP, L2F позволяет использовать не только PPP, но и другие протоколы, например SLIP, для удаленного доступа к своему интернет-провайдеру. Интернет-провайдеры не должны настраивать адреса и проверять подлинность при создании безопасных каналов по глобальной сети. Кроме того, различные протоколы сетевого уровня могут использоваться для передачи данных через защищенный туннель, а не только через IP, как в PPTP. Протокол L2F стал компонентом операционной системы Cisco IOS и поддерживается на всех выпускаемых устройствах взаимодействия и удаленного доступа.
Протоколы PPTP и L2F были представлены на рассмотрение Целевой группы по проектированию Интернета (IETF), и в 1996 году соответствующие комитеты приняли решение объединить их. Результирующий протокол, включавший лучшие из PPTP и L2F, назывался Layer-2 Tunneling Protocol (L2TP). Поддерживается компаниями Cisco, Microsoft, 3Com, Ascend и многими другими производителями.
Гибридный протокол L2TP сочетает в себе лучшие функции вышеуказанных протоколов и добавляет новые функции. Протокол L2TP может поддерживать любые протоколы высокого уровня и обеспечивает управление потоком данных, удаленную аутентификацию пользователей, безопасную установку виртуальных соединений, а также позволяет открывать несколько туннелей между пользователями, каждый из которых администратор может выделить приложению. Как и предыдущие протоколы канального уровня, спецификация L2TP не описывает методы аутентификации и шифрования. Таким образом, протокол L2TP является расширением протокола PPP с помощью функций аутентификации удаленных пользователей, установления безопасного виртуального соединения и управления потоком данных. Протоколы CHAP/PAP или другие могут использоваться для аутентификации в корпоративной сети до начала сеанса PPP. Гарантированная доставка информации в сеансе обеспечивается нумерацией защищенных кадров в соединении, восстановлением потерянных и искаженных кадров. Протокол L2TP предусматривает три этапа установления соединения: установление соединения с удаленным сервером LAN; Аутентификация пользователя; Конфигурирование безопасного туннеля.
Протоколы защищенных туннелей на канальном уровне не зависят от протоколов сетевого уровня модели OSI, над которыми работают локальные сети, входящие в состав виртуальных сетей. Они позволяют создавать безопасные каналы для связи между удаленными компьютерами и локальными сетями, работающими по разным протоколам сетевого уровня. Пакеты этих протоколов криптографически защищены и инкапсулируются в IP-пакеты Интернета, которые транспортируются к месту назначения, образуя безопасные виртуальные каналы. Многопротокольность – является основным преимуществом протоколов инкапсуляции канального уровня.
Однако формирование криптографически защищенных туннелей между «открытыми» контурами взаимодействующих систем на основе протоколов канального уровня приводит к трудностям конфигурирования и поддержки виртуальных каналов связи. Кроме того, в протоколах формирования безопасных туннелей на канальном уровне не указаны конкретные методы шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средства управления ключами.
Из вышесказанного можно сделать вывод, что протоколы для создания безопасных виртуальных линий связи на канальном уровне лучше всего подходят для защиты связи при удаленном доступе к LAN.