
- •Реализация протокола isakmp
- •Анализ методов реализации системы защиты сетевых соединений (Исследовательская часть) Введение
- •Структура протоколаIsakmp
- •Фаза 1 (Main Mode)
- •Фаза 1 (Aggressive Mode)
- •Фаза2(Quick Mode)
- •Виды сетевых атак
- •Отказ в обслуживании(Denial of Service)
- •Человек посередине (Man-in-the-Middle)
- •Повтор посылки (Replay attack)
- •Заключение
- •Разработка программы Определение места программы в системе защиты сетевого трафика
- •Модуль хранения основной ключевой информации
- •Модуль обработки сетевого трафика
- •МодульIsakmp
- •Модуль хранения ключевой информацииIsakmp
- •Разработка общей структуры программы
- •Что такое нить (thread)?
- •Механизм обмена информации между нитями
- •Нитевая структура программы
- •Таблицы поиска нитей
- •Входные и выходные данные
- •Алгоритм обработки входящего пакета
- •Написание программы и проведение тестирования
- •Служебные функции и модули.
- •Функции работы с памятью.
- •Функции работы с сетью.
- •Функции криптоалгоритмов.
- •Создание нитей и организации передачи данных между ними.
- •Модули реализации протоколаIsakmp
- •Тестирование с другими реализациями протоколаIsakmp
- •Заключение
- •Технология реализации протокола isakmp
- •Введение
- •Подготовительная часть
- •Реализация Main mode cметодом аутентификации заранее известного секретного ключа
- •Реализация Quick mode
- •Реализация остальных методов аутентификации для Main mode
- •Реализация Aggressive modeсо всеми методами аутентификации
- •Реализация New Group Mode
- •Сегментация рынка пользователей программы, реализующей протокол isakmp
- •Введение
- •Методика расчёта сегментации рынка
- •Поиск сегментов рынка для программы установки защищенных сетевых соединений с помощью протоколаIsakmp
- •Разработка мероприятий по безопасноти работы с монитором пк.
- •Введение
- •Электромагнитное излучение монитора эвм
- •Электроопасность и пожароопасность
- •Требования к освещению при работе с монитором пк
- •Руководство оператора Содержание
- •Назначение программы
- •Структура конфигурационного файла
- •Структура файла протокола
- •Сообщения об ошибках
- •19:54:01 53F5d1aa error: no proposal chosen Текст программы Аннотация
- •Содержание
Руководство оператора Содержание
Назначение программы 88 стр.
Структура конфигурационного файла 88 стр.
Структура файла протокола 92 стр.
Сообщения об ошибках 93 стр.
Назначение программы
Программа предназначена для получения параметров секретного соединения и соответствующей ключевой информации с помощью протокола ISAKMP. Управление программой производится с помощью конфигурационного файла. Все промежуточные и окончательные результаты записываются в файл протокола.
Структура конфигурационного файла
Управление представленной программой осуществляется с помощью конфигурационного файла. В данном разделе будут описано содержимое этого файла – задаваемые поля, их назначение и возможные значения. Конфигурационный файл содержит простые объекты, списки и структуры.
Простые объекты это объекты, принимающие одно значение. Формат записи следующий: <Имя объекта> = < Значение >.
Списки – объекты, содержащие несколько значений. Порядок значений важен. Формат записи следующий:
<Имя объекта> = <Значение 1>,<Значение 2>,….,<Значение N>,END
Структуры это объекты, содержащие другие объекты (простые, списки или те же структуры). Формат записи следующий:
<Имя объекта>
<Описание внутреннего объекта 1>
…..
<Описание внутреннего объектаN>
END_<Имя объекта>
Простые объекты
LOCAL_ADDRESS – содержитIPадрес машины, на которой запущена программа.
LOCAL_PORT –номер рабочегоUDPпорта.
REMOTE_PORT– номерUDPпорта партнера для отсылки пакетов.
DSA_CERTIFICATE – имя файла с локальнымDSAсертификатом.
DSA_SECRET – имя файла с секретным ключом локальногоDSAсертификата.
RSA_CERTIFICATE – имя файла с локальнымRSAсертификатом.
RSA_SECRET – имя файла с секретным ключом локальногоRSAсертификата.
PRESHARED_KEY– содержит заранее распределенный секретный ключ для соответствующего метода аутентификации.
PFS – флаг, определяющий обмен ключевой информацией во второй фазе. Возможные значенияONиOFF. По умолчанию –OFF.
Объекты-списки
AUTHENTICATION_METHOD – задает поддерживаемые методы аутентификации в порядке их приоритета. Допустимые значения –PRESHARED, DSA_SIGN, RSA_SIGN и RSA_ENC. Список задается перечислением значений через пробел, в конце списка должно стоят ключевое словоEND.
EXCHANGE_TYPE– задает поддерживаемые режимы для первой фазы. Возможные значенияMAINи AGGRESSIVE.
PRESHARED_KEY– содержит заранее распределенный секретный ключ для соответствующего метода аутентификации.
Объекты-структуры
IDENTIFICATION– задает информацию, идентифицирующую данную программу. Поля структуры:
TYPE – простое поле, содержащие тип идентификационной информации.
DATA– простое поле, содержащие непосредственно данные.
NEW_GROUP– содержит необходимую информацию для проведения режимаNew Group Mode
NAME – простой объект, содержащий имя объекта для обращения к нему в будущем
DESCRIPTION– простой объект. Содержит номер группы.
PRIME, GENERATOR– простые объекты. Содержат параметры договариваемой группы.
ATTRIBUTE – задает атрибут при описании политики
TYPE – простой объект. Содержит тип атрибута.
SMALL_VAL– простой объект. Содержит значение атрибута если он имеет короткий формат.
BIG_VAL– простой объект. Содержит значение атрибута, если он имеет длинный формат.
TRANSFORM – описывает алгоритм используемый в политике.
TRANSFORMN – простой объект. Содержит номер структуры.
TRANSFORMID– простой объект. Содержит номер алгоритма.
<Перечисление атрибутов> - набор атрибутов (структураATTRIBUTE), содержащих параметры алгоритма.
PROPOSAL – описывает протокол используемый в политике.
PROPOSAL N – простой объект. Содержит номер структуры.
PROTOCOLID– простой объект. Содержит номер протокола.
<Перечисление алгоритмов> - набор алгоритмов(структураTRANSFORM) соответствующих данному протоколу.
Совсем в стороне стоят два поля POLICYиISAKMP_POLICY, которые представляют собой описание политик для первой и второй фаз. Структурно они представляют собой набор структурPROPOSAL.
Далее представлен пример описанной конфигурации.
LOCAL_ADDRESS = 212.24.32.12
LOCAL_PORT = 500
REMOTE_PORT = 500
DSA_CERTIFICATE = dsa_cert
DSA_SECRET = dsa_secret
RSA_CERTIFICATE = rsa_cert
RSA_SECRET = rsa_secret
PFS = ON
PRESHARED_KEY = whatcertificatereally
AUTHENTICATION_METHOD=PRESHARED DSA_SIGN RSA_SIGN RSA_ENC END
EXCHANGE_TYPE = MAIN AGGRESSIVE END
IDENTIFICATION
TYPE = 1;
DATA = ^c2bec082
END_IDENTIFICATION
NEW_GROUP
NAME = NG3
DESCRIPTION = 34567
PRIME = ^12345aaaaaaaabbbb12345678
GENERATOR = ^06
END_NEW_GROUP
ISAKMP_POLICY
PROPOSAL
PROPOSALN = 1
PROTOCOLID = PROTO_ISAKMP
TRANSFORM
TRANSFORMN = 1;
TRANSFORMID = KEY_IKE
ATTRIBUTE
TYPE = 1
SMALL_VAL = 1
END_ATTRIBUTE
ATTRIBUTE
TYPE = 2
SMALL_VAL = 1
END_ATTRIBUTE
ATTRIBUTE
TYPE = 3
SMALL_VAL = 1
END_ATTRIBUTE
END_TRANSFORM
END_PROPOSAL
END_ISAKMP_POLICY
POLICY
PROPOSAL
PROPOSALN = 1
PROTOCOLID = PROTO_IPSEC_ESP
TRANSFORM
TRANSFORMN = 1
TRANSFORMID = ESP_DES
ATTRIBUTE
TYPE = 3
SMALL_VAL = 2
END_ATTRIBUTE
ATTRIBUTE
TYPE = 4
SMALL_VAL = 1
END_ATTRIBUTE
END_TRANSFORM
TRANSFORM
TRANSFORMN = 2
TRANSFORMID = ESP_3DES
ATTRIBUTE
TYPE = 3
SMALL_VAL = 2
END_ATTRIBUTE
ATTRIBUTE
TYPE = 4
SMALL_VAL = 1
END_ATTRIBUTE
END_TRANSFORM
END_PROPOSAL
END_POLICY