Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Днепропетровский национальный университет железнодорожного транспорта им. академика В. Лазаряна
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
shporka_po_zashite.doc
Скачиваний:
3
Добавлен:
12.09.2019
Размер:
2.47 Mб
Скачать
►Содержание►

1)Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирущих данных, называют защищенной виртуальной сетью (VPN)

2) Протокол аутентификации AH (Authentication Header)Обеспечивает:

- целостность;

- аутентификацию.

Позволяет приемной стороне убедиться, что:

- пакет был отправлен стороной, с которой установлена данная ассоциация;

- содержимое пакета не было искаженном

- пакет не является дубликатом некоторого ранее полученного пакета

Протокол шифрования (Encapsulation Security Payload)

Обеспечивает:

- конфиденциальность;

- целостность;

- аутентификацию.

3) Ассоциация безопасности - набор правил, процедур, параметров, прменяемых для обеспечения сервиса защиты транспортного потока

М етод форматирования определяет, каким образом создаются заголовки и то, какая часть этих заголовков и данных пользователя будет защищена в процессе передачи данных

S PI (Security Parameter Index - индекс параметров защиты) - идентификатор SA. Он определяет то, как принимающая сторона будет обрабатывать поступающий поток данных

4)→

  1. В ариант использования туннелей в VPN, основанных на IPSec при соединении удаленных хостов?

- обеспечивается сквозная защита;

- Internet не имеет понятия об SA и не участвует в ней

-Используется транспортный режим защиты, хотя разрешается и туннельный.

  1. Вариант использования туннелей в VPN, основанных на IPSec при соединении шлюзов безопасности?

Хосты освобождены от заботы относительно применения SA. Предполагается, что хосты соединены со шлюзами безопасности (IP-совместимый маршрутизатор) безопасными соединениями.

Используется туннельный режим защиты.

  1. Вариант использования туннелей в VPN, основанных на IPSec при соединении удаленного хоста со шлюзом безопасности?

Защищенный канал организуется между удаленным хостом, на котором работает IPSec, и шлюзом, защищающим трафик для всех хостов, входящих в сеть Intranet предприятия.

- Удаленный хост может использовать при отправке пакетов шлюзу как транспортный, так и туннельный режим,

- шлюз же отправляет пакет хосту только в туннельном режиме.

  1. Назначение протокола АН?

Протокол аутентификации AH (Authentication Header)

Обеспечивает:

- целостность;

- аутентификацию.

 Протокол аутентифицирующего заголовка АН (Authentication header), обеспечивающий аутентификацию источника данных, проверку их целостности и подлинности после приема, а также защиту от навязывания повторных сообщений;

9 ) Протокол АН. Транспортный режим.

Позволяет приемной стороне убедиться, что:

- пакет был отправлен стороной, с которой установлена данная ассоциация;

- содержимое пакета не было искажено;

- пакет не является дубликатом некоторого ранее полученного пакета

10) Протокол АН. Туннельный режим.

  1. Назначение протокола ESP?

Протокол шифрования (Encapsulation Security Payload)

Обеспечивает:

- конфиденциальность;

- целостность;

- аутентификацию.

Протокол инкапсулирующей защиты содержимого ESP (Encapsulating Security Payload), обеспечивающий криптографическое закрытие, аутентификацию и целостность передаваемых данных, а также защиту от навязывания повторных сообщений.

14) Сервис защиты от воспроизведения в протоколе АН?

N - наивысший порядковый номер до сих пор полученных действительных пакетов

Когда принимается, его обработка выполняется следующим образом.

  1. Е сли полученный пакет попадает в рамки окна и является Новым, проверяется значение МАС. Если аутентификация пакета завершается успешно,помечается соответствующий сегмент в окне.

  2. . Если полученный пакет попадает в область правее окна и является новым, проверяется значение МАС. Если аутентификация пакета завершается успешно, окно сдвигается так, чтобы новый порядковый номер оказался правой границей окна, а в окне помечается соответствующий сегмент.

  3. Если полученный пакет оказывается слева от окна или аутентификация не удается, пакет будет отвергнут. Такое событие должно фиксироваться.

  1. Назначение и структура sad и spd?

База данных политик безопасности SPD (Security Policy Database). Это один из важнейших компонентов, поскольку он определяет политику безопасности, применяемую к пакету. SPDиспользуется основным протоколом IPSec при обработке входящих и исходящих пакетов.

База данных безопасных ассоциаций SAD (Security Association Database). БД SAD хранит список безопасных ассоциаций SA (Security Association) для обработки входящей и исходящей информации. Исходящие SA используются для защиты исходящих пакетов, а входящие SA используются для обработки пакетов с заголовками IPSec. БД SAD заполняется SA вручную или с помощью протокола управления ключами IKE.

  1. Использование sad и spd для формирования исходящего трафика

В систему поступает IP-пакет для отправления; выбирается селектор, признаки которого соотв пакету; по селектору определяется политика работы с пакетом (напр SA3); если выбирается SAj, то по содерж параметров SAj в SAD обрабатывается исх IP-пакет; из пришедшего пакета выбирается SPI (из AH или ESP заголовка); по SPI выбирается запись SAD; по пар-ам их этой записи механизм IP-sec IP-sec пакет преобраз в исх IP-пакет (с проверкой аутентификации); доп проверка селектора.Базыа данных безопасных ассоциаций (Security Associations Database, SAD) и база данных политики безопасности (Security Policy Database, SPD).Обработка исходящего и входящего трафика, не является симметричной. Для исходящих пакетов просматривается база SPD, находится подходящее правило, извлекаются ассоциированные с ним протокольные контексты и применяются соответствующие механизмы безопасности. поле политики защиты должно содержать ссылку на запись в базе данных SAD, в которую помещен набор параметров безопасной ассоциации для данного пакета) На основании заданных параметров к пакету применяется соответствующий протокол (на рисунке - ESP), функции шифрования и секретные ключи. В том случае, когда пакет нужно обработать с помощью обоих протоколов AH и ESP, администратор должен создать в базе SPD две записи, соответствующие двум ассоциациям. Если к исходящему пакету нужно применить некоторую политику защиты, но указатель записи SPD показывает, что в настоящее время нет активной SA с такой политикой, то IPSec создает новую ассоциацию с помощью протокола IKE, помещая новые записи в базы данных SAD и SPD.

17) Использование sad и spd для обработки входящего трафика?

Базыа данных безопасных ассоциаций (Security Associations Database, SAD) и база данных политики безопасности (Security Policy Database, SPD).

Во входящих пакетах для каждого защитного протокола уже проставлено значение SPI, однозначно определяющее контекст. Просмотр базы SPD в таком случае не требуется; можно считать, что политика безопасности учитывалась при формировании соответствующего контекста. (Практически это означает, что ISAKMP-пакеты нуждаются в особой трактовке, а правила с соответствующими селекторами должны быть включены в SPD.)

В заголовках AH и ESP предусмотрено особое поле SPI, куда помещается указатель на строку базы данных SAD, в которой записаны параметры соответствующей SA. Данное поле заполняется протоколами AH или ESP во время обработки пакета в отправной точке защищенного канала. Когда пакет приходит в оконечный узел защищенного канала, из его заголовка ESP или AH (на рисунке из заголовка ESP) извлекается указатель SPI, и дальнейшая обработка пакета выполняется с учетом всех параметров заданной этим указателем ассоциации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности