- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
Протокол аутентифицирующего заголовка АН и протокол инкапсулирующей защиты содержимого ESP. Как упоминалось выше, при формировании защищенного виртуального канала взаимодействующие стороны должны разработать общий контекст безопасности SA и только затем использовать элементы этого контекста, такие как алгоритмы и ключи. Для семейства IPsec такими контекстами безопасности являются ESP SA и AH SA (общее название этих контекстов безопасности - IPsec SA).
Протокол инкапсуляции содержимого ESP обеспечивает криптографическое закрытие пакетов передаваемых сообщений, а также выполняет все функции протокола AS. ESP может поддерживать функции шифрования и аутентификации/целостности в любой комбинации, то есть либо группу функций, только аутентификацию/целостность, либо только шифрование.
Протоколы АН и ESP не зависят от кон¬кретных криптографических алгоритмов. Могут использоваться любые методы аутентификации, типы ключей (симметричные или несимметричные), алгоритмы шифрования и выделения ключей. Например, каждая страна может использовать свой собственный алгоритм, соответствующий национальным стандартам.
В настоящее время регистрируются два значения аутентификации для протоколов AS и ESP - HMAC-MD5 (Hashed Message Authentication Code - Message Digest версии 5) и HMAC-SHA1 (Hashed Message Authentication Code - Secure Hash Algorithm версии 1). Эти алгоритмы являются алгоритмами аутентификации секретного ключа. Если секретный ключ известен только передающей и принимающей сторонам, он обеспечивает аутентификацию источника данных, а также целостность пакетов, передаваемых между двумя сторонами. Алгоритм по умолчанию определяет алгоритм HMAC-MD5.
Для ESP зарегистрировано семь алгоритмов шифрования. Стандарт шифрования данных, как и алгоритм НМАС-MD5, является стандартом по умолчанию для совместимости с IPsec. В качестве альтернативы DES определены алгоритмы Triple DES, CAST-128, RC5, IDEA, Blowfish и ARCFour.
Протоколы AH и ESP поддерживают два режима:
а) туннельный режим. IP-пакеты защищены полностью, включая заголовки. Это главный режим. В этом режиме каждый обычный IP-пакет помещается полностью в криптографически защищенную форму в конверте IPsec, который, в свою очередь, инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуется на выделенных шлюзах безопасности, которые могут быть маршрутизаторами или брандмауэрами. Между этими шлюзами формируются безопасные туннели IPsec. Туннелирование IP-пакетов полностью прозрачно для конечных пользователей. В оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае компьютеры этих пользователей должны иметь программное обеспечение, реализующее туннель IPsec. Протокол заголовка аутентификации AN [RFC1826], [RFC1827] обеспечивает аутентификацию источника данных, проверку его целостности и подлинности после приема и защиту от навязывания повторяющихся сообщений. В основе обеспечения целостности и аутентификации данных лежит шифрование с помощью односторонней функции (one-way function), называемой также хэш-функцией (hash function);
б) транспортный режим. Только содержимое исходного IP-пакета помещается в конверт IPsec в криптографически защищенной форме, и исходный IP-заголовок добавляется к принятому конверту. Соответственно, в транспортном режиме заголовок IPsec помещается между заголовками сети (IP) и транспорта (TCP или UDP) обычного IP-пакета. Транспортный режим быстрее туннельного и предназначен для использования на терминальных системах. Это может использоваться для поддержки удаленных и мобильных пользователей и защиты информационных потоков в локальных сетях. В транспортном режиме IPsec помещает только содержимое защищаемого IP-пакета и добавляет исходный IP-заголовок к полученному конверту.
Заголовки блоков протоколов AN и ESP расположены в транспортном режиме после заголовка IP-пакета источника и перед заголовками протокола верхнего уровня, а в туннельном режиме - после заголовка внешнего IP-пакета и перед заголовком исходного IP-пакета
Протоколы АН и ESP могут комбинироваться разными способами. Если используется транспортный режим, то аналогично тому, как в рамках ESP аутентификация идет следом за шифрованием, протокол АН должен применяться после протокола ESP. В туннельном режиме протоколы АН и ESP применяются к разным вложенным пакетам и, кроме того, в данном режиме допускается многократная вложенность туннелей с различными начальными и/или конечными точками. Поэтому в случае туннельного режима число возможных комбинаций по совместному использованию протоколов АН и ESP существенно больше.