- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
81. Защита в беспроводных сетях. Wep
Устройства стандарта 802.11 связываются друг с другом посредством радиосигнала. Любой другой ПК, использующий тот же диапазон радиочастот способен принять эти данные. Защита осуществляется за счет аутентификации и шифрования. Базовый стандарт 802.11 предусматривает защиту данных с помощью алгоритма WEP, который был принят в 1997 году. Он использует симметричный поточный шифр RC4. Используется 40-битные ключи, которые статически конфигурируются на нескольких устройствах в точках доступа. Можно определить до 4 ключей на 1 устройство, но домен для шифрования отправляемых фреймов используется только один. Для контроля целостности используется 32-разрядный циклический избыточный код, который помещается в поле ICV. При приеме сравниваются рассчитанные и считанные значения контрольной суммы. При несовпадении пакет отбрасывается. Шифруются как переданные данные, так и поле контроля целостности ICV. Пакет включает также 24-битную синхропосылку, которая не шифруется, т.к. используется для корректной расшифровки. Секретный ключ для шифрования WEP вместе с синхропосылкой определяют начальное значение генератора псевдослучайных чисел, базирующегося на шифре Вернама и формирующего гамму, которую в стандарте называют ключевым потоком. Шифрованное сообщение образуется в результате наложения ключевого потока с помощью операции XOR на нешифрованное сообщение и поле ICV. К передаваемому пакету добавляется само значение синхропосылки. На другой стороне производится обратный процесс. Получатель формирует гамму на основе ключа, который он знает заранее и значения синхропосылки. Процесс повторяется для каждого пакета с повышением значения синхропосылки.
82. Механизмы аутентификации стандарта 802.11
2 механизма аутентификации:
Открытая (нулевая). Точка доступа принимает любой запрос на аутентификацию. После выполнения открытой аутентификации и завершения процесса ассоциирования клиент может начать передачу и прием данных. Каждая станция и точка доступа должна иметь одинаковые ключи. При различии ключей клиент не сможет правильно зашифровать и расшифровать данные. Подобные фреймы будут отбрасываться как клиентской машиной, так и точкой доступа.
Аутентификация с совместно используемым ключом:
Требуется, чтобы клиентская станция и точка доступа имели одинаковые ключи
1 – клиент посылает запрос на аутентификацию
2 – точка доступа отвечает пакетом с nonse или вызовом
3 – клиент шифрует вызов и посылает обратно
4 – если точка доступа при рашифровке получает исходный вызов, то клиенту посылается сообщение об успешной аутентификации и он получает доступ к беспроводной сети
Имеется также аутентификация с помощью MAC-адресов, которая хоть и не специализируется стандартом 802.11, но обеспечивается многими производителями. В ее ходе проверяется наличие MAC-адреса клиента в сконфигурированном списке разрешенных адресов. Данный список может храниться на внешнем аут-ом сервере. Этот метод может использоваться с предыдущими.