- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
83. Уязвимости wep
Статические совместно используемые ключи. Клиентом аут-ся устр-во, а не пользователь. Утеря или кража беспроводного адаптера приводит к необходимости смены ключей всей беспроводной сети
Исп-ся аут-ия с помощью MAC-адресов. Они передаются в открытом виде и злоум-к с помощью анализа протоколов может определить разрешенные MAC, а потом их подделать
Пассивное накопление отдельных фреймов. Часть синхропосылок может раскрыть биты ключа в результате статист. анализа. При этом извлек-ся не ключевой поток, а сам ключ. В итоге злоум-к получает полный доступ к сети.
Легкий взлом короткого 40-битного ключа
Фальшивая аут-ия. Если злоум-к перехватывает открытый текст с вызовом и шифрованный текст ответа, то выполнив над данными значениями опрерацию XOR он может получить данные для соотв-го значения синхропосылки, которая дальше передается в откр. виде. Теперь он может внедриться в сеть, выдавая себя за другого. Также перехватывая большое кол-во вызовов и ответов, он может составить словарь, содерж. синхропосылку и соотв. ей гамму и с помощью данного словаря расшифровать пакеты.
Атака внедрения пакетов. Можно внедрять ложные пакеты при знании открытого текста и соотв. шифротекста.
Целенапр. изменение поля контрольной суммы ICV. Для этого генерируется новый фрейм той же длины, что и имеющ-ся в нем в 1 устан-ся биты, которые мы хотим изменить в первом фрейме (F1) и расчит. значение контрольной суммы для второго фрейма (F2). С помощью XOR формир. третий фрейм (F3), а посредством XOR над ICV(F1) и ICV(F2) создаем ICV(F3).
Атака с использованием ожидаемых сообщений. Злоум-к подделывает фрейм. Например поле контрольной суммы. При контроле это обнаруживается и высыл-ся сообщение об ошибке. Берем открытое и шифрованное сообщения и получаем гамму.
Атака с повторным использованием ключевого потока. Если открытые тексты P1 и P2 шифр-ся одним ключевым потоком, т.е. с использованием одного ключа и вектора инициализации и злоум-к перехватил пакеты и знает хотя бы часть одного открытого текста, то он может вычислить и второй. Многие сообщения имеют определенные заголовки, что облегчает задачу.
Метод двойного шифрования. Злоумышленник подсоед-ся к беспроводной сети и перехватывает зашифр-ое сообщение. Используя второе соединение он пересылает перехваченный пакет на свою машину. Точка доступа шифрует уже зашифрованный пакет и если вектор инициализации будет такой же, то повторное шифрование расшифрует данный пакет. Основная проблема – чтобы была та же синхропосылка.
Т.о. WEP не обеспечивает ни конфид-ть, ни контроль целостности, ни контроль доступа.
84. Аутентификация по стандарту 802.1X требует наличия трех составляющих:
Проситель. Размещается на стороне клиента беспроводной LAN.
Аутентификатор (authenticator). Размещается в точке доступа.
Сервер аутентификации. Размещается на сервере RADIUS.
802.1х использует протокол EAP-Cisco (LEAP):
Клиент посылает точке доступа сообщение EAP-Start, инкапс-ое по 802.1х
Точка доступа блокирует клиентский порт, позволяя передавать только трафик стандарта 802.1х
Точка доступа посылает клиенту сообщение EAP явным запросом на аутентификацию
Клиент отвечает EAP-ответом с именем клиента, который пересылается точке доступа на сервер аут-ии Radius
Cервер Radius посылает клиенту через точку доступа вызов
Клиент посылает ответ на вызов серверу Radius через точку доступа
Клиент посылает вызов серверу Radius через точку доступа
Сервер Radius посылает клиенту ответ на вызов
Radius генерирует динамический ключ шифрования на основе пароля пользователя и некоторой специфичной для сессии общей инфы
Клиент генерирует такой же динамический ключ шифрования на основе той же самой инфы
Radius посылает этот ключ точке доступа, что указывает точке доступа об успешности процесса аут-ии
Точка доступа устанавливает динамический ключ для данного клиента, инкапс-ет сообщение EAP-Auth_Success dj фрейм 802.1х и отправляет клиенту
Точка доступа перестает блокировать клиентский порт и начинается обмен инфой