- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
В настоящее время значительное внимание многих организаций посвящено безопасному обмену данными по корпоративным сетям (VPN).
VPN позволяет решить проблему безопасной передачи данных. Основными задачами являются:
аутентификация взаимодействующих сторон
криптографическая защита передаваемой информации
подтверждение подлинности и целостности доставленной информации
защита от повтора, задержки и удаления сообщения
защита от отрицания фактов приема и отправления сообщения
Данные полученные таким образом являются абсолютно оригинальными.
VPN называется объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, т.е. эта технология, при которой происходит обмен данными с удаленной локальной сетью по виртуальному каналу через сеть общего пользования.
Защита информации при ее передаче по открытому каналу основана на построении криптозащищенных туннелей. Каждый из таких туннелей представляет собой виртуальное соединение, созданное в открытой сети, по которому передаются криптографически защищенные сообщения.
Известно несколько часто используемых способов образования защищенных виртуальных каналов:
конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений. Данный вариант является наилучшим с точки зрения безопасности. В этом случае обеспечивается полная защищенность канала вдоль всего пути следования сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат.
конечные точки защищенного туннеля совпадают с МЭ или пограничным маршрутизатором локальной сети. В данном случае поток сообщений внутри локальной сети является незащищенным, а все сообщения, выходящие из локальной сети передаются по криптозащищенному туннелю.
конечные точки – провайдеры интернет. В этом случае защищаются каналы локальной сети и выделенные каналы связи. Защищаются только каналы внешней сети интернета. Протоколы поддержки виртуальных сетей создаются на одном из трех уровней модели OSI, прикладной, канальный, сетевой. Канальному уровню соответствуют такие протоколы, как PPIP, L2TP, L2F. Сетевому уровню – IPSec, SKIP. Прикладному – SSL, Socks. Чем ниже уровень эталонной модели OSI, на котором реализуется защита, тем она прозрачней и незаметней. Однако при снижении уровня набор реализуемых услуг уменьшается. Оптимальное соотношение между качеством защиты и прозрачностью достигается при формировании защищенных каналов на сетевом уровне.
ЛЕКЦИЯ №6.
Протоколы сетевой безопасности.
PPTP – туннельный протокол «точка-точка» является расширением протокола PPP. Данный протокол является стандартным встроенным (клиент удаленного доступа Windows XP).
L2PP. Более современный протокол, образовавшийся в результате объединения двух протоколов L2F и L2TP и обеспечивает более защищенное соединение. Также является встроенным.
При автоматическом определении типа подключения клиент пытается соединиться с сервером по данному протоколу, далее передает управление пользователю. Это более предпочтительнее с точки зрения безопасности.
SKIP управляет ключами шифрования и обеспечивает для приложения прозрачную криптозащиту IP-пакета. Данный протокол предусматривает самостоятельное формирование противоположными сторонами общего секретного ключа на основе ранее распределенных или переданных друг другу открытых ключей сторон. Выборка общего секретного ключа осуществляется в рамках протокола Диффи-Хелмана. Общий секретный ключ не используется для шифрования трафика между узлами.
Для шифрования конкретного пакета передающая сторона вырабатывает случайный временный пакетный ключ. Далее выполняются следующие действия:
исходный IP-пакет шифруется на пакетном ключе и инкапсулируется в защищенный SKIP-пакет
пакетный ключ шифруется на общем секретном ключе и помещается в SKIP-заголовок
полученный SKIP-пакет инкапсулируется в результирующий IP-пакет
для результирующего IP-пакета с помощью некой криптографической функции кэширования рассчитывается на пакетном ключе иммитовставка
Применение для криптозащиты трафика не общего секретного ключа, а случайного пакетного повышается безопасность защищенного туннеля. Это связано с тем, что долговременный секретный ключ не сможет быть определен на основании анализа трафика, т.к. вероятный противник не будет иметь достаточно материала для проведения быстрого криптоанализа.