- •1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- •1.1Введение
- •1.2Осуществление угроз информационным ресурсам
- •1.3Факторы, приводящие к информационным потерям
- •1.4Виды угроз информации
- •1.5Источники возникновения угроз
- •2Криптография. Симметричные алгоритмы шифрования.
- •2.1Введение
- •2.2Терминология
- •2.3Симметричные криптосистемы
- •2.4Алгоритм Цезаря
- •2.5Алгоритм замены полиалфавитный
- •2.6Алгоритм замены с большим ключом
- •2.7Перестановки.
- •2.8Гаммирование.
- •3Криптография. Несимметричные алгоритмы шифрования.
- •3.1Системы с открытым ключом
- •3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- •3.3Описание системы с открытым ключом
- •3.4Алгоритм rsa
- •3.5Практическая реализация rsa
- •3.6Пример 1 rsa.
- •3.7Пример 2 rsa.
- •3.8Пример 3 rsa.
- •3.9Немного об арифметических операциях по модулю n.
- •3.10Сложение.
- •3.11Вычитание.
- •3.12Умножение.
- •3.13Деление.
- •3.14Обратное по модулю.
- •3.15Стандарт шифрования данных гост 28147-89
- •3.16Простые числа
- •4Электронная подпись
- •4.1Эцп - зашифрованный текст
- •4.2Эцп - открытый текст
- •4.3Использование хэш-функций
- •4.4Сертификация
- •4.5Имитовставка или mac-код
- •4.6 Шифрование больших сообщений и потоков данных
- •4.7Шифрование, кодирование и сжатие информации
- •4.8Аппаратные шифраторы.
- •5Управление ключами
- •5.1Генерация ключей
- •5.2Накопление ключей
- •5.3Распределение ключей
- •5.4Использование “блуждающих ключей”
- •6Стеганография
- •6.1Введение
- •6.2Электронные «водяные знаки».
- •6.3Скрытие текста в 24-разрядном bmp файле.
- •8.2Технология шифрования
- •8.3Взаимодействие с пользователем
- •8.4Восстановление данных
- •8.5Немного теории
- •Процесс шифрования
- •Процесс восстановления
- •8.6Реализация в Windows 2000
- •8.7Выводы
- •9Протокол ipSec в Window 2000.
- •9.1Реализация промышленных стандартов
- •9.2Реализация Windows ip Security
- •9.3Пример
- •9.4О совместимости
- •10Защищенные каналы. Аутентификация.
- •10.1Введение
- •10.2Аутентификация на основе хэш-функций.
- •10.3Аутентификация на основе общего секретного ключа
- •10.4Аутентификация на основе открытого ключа
- •10.5Аутентификация с использованием центра распределения ключей
- •11Протокол Kerberos в Windows 2000.
- •11.1Аутентификация в Windows 2000
- •11.2Преимущества аутентификации по протоколу Kerberos
- •11.3Начальная аутентификация.
- •11.4Метка времени в качестве средства для взаимной аутентификации.
- •11.5Аутентификация за пределами домена
- •11.6Срок годности билетов. Обновляемые билеты.
- •11.7Подпротоколы
- •11.8Подпротокол tgs Exchange
- •11.9Подпротокол cs Exchange
- •11.10Билеты
- •11.11Какие данные из билета известны клиенту
- •11.12Как служба kdc ограничивает срок действия билета
- •11.13Что происходит после истечения срока действия билета
- •11.14Обновляемые билеты tgt
- •11.15Делегирование аутентификации
- •11.16Представительские билеты
- •11.17Передаваемые билеты
- •12Криптографические протоколы
- •12.1Стегоканал
- •12.1.1Скрытие сообщения с одноразовым блокнотом
- •12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- •12.2Защищенный канал
- •12.2.1Протокол взаимоблокировки
- •12.2.2В92 – протокол.
- •12.3Аутентификация
- •12.3.1Аутентификация skey
- •12.3.2Взаимная аутентификация - однонаправленные сумматоры
- •12.6Протокол разбиения секрета
- •13.2Криптоанализ и атаки на криптосистемы
- •13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- •13.4Атака 2. Подпись нотариуса на неверном документе.
- •13.5Атака 3. Подпись на документе вторым способом.
- •13.6Атака 4. Атака при использовании общего модуля.
- •13.7Выводы
- •14Вредоносные программы. Вирусы. Защита.
- •14.1Классификация компьютерных вирусов
- •14.2Загрузочные вирусы
- •14.3Файловые вирусы
- •14.3.1Способы заражения - запись поверх.
- •14.3.2Способы заражения - паразитические
- •14.3.3Способы заражения - Вирусы без точки входа
- •14.3.4Способы заражения - Компаньон-вирусы
- •14.3.5Способы заражения - Файловые черви
- •14.3.6Способы заражения - Link-вирусы
- •14.3.7Алгоритм работы файлового вируса
- •14.4Макро-вирусы
- •14.4.1Алгоритм работы Word макро-вирусов
- •14.5Полиморфик-вирусы
- •14.5.1Полиморфные расшифровщики
- •14.5.2Уровни полиморфизва
- •14.5.3Изменение выполняемого кода
- •14.6Стелс-вирусы. Загрузочные вирусы
- •14.6.1Стелс-вирусы. Файловые вирусы
- •14.6.2Стелс-вирусы. Макро-вирусы
- •14.7Резидентные вирусы в Windows
- •14.8Прочие "вредные программы"
- •14.9Троянские кони (логические бомбы)
- •14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- •14.11Intended-вирусы
- •14.12Конструкторы вирусов
- •14.13Полиморфные генераторы
- •14.14Irc-черви
- •14.15Сетевые вирусы
- •14.16Методы обнаружения и удаления компьютерных вирусов.
- •14.17Типы антивирусов. Сканеры.
- •14.17.1Crc-сканеры
- •14.17.2Блокировщики
- •14.17.3Иммунизаторы
- •14.17.4Правила защиты
- •15Анализ защищенности tcp/ip
- •15.1Пассивные атаки на уровне tcp. Подслушивание
- •15.2Активные атаки на уровне tcp
- •15.2.1Предсказание tcp sequence number
- •15.2.2Описание
- •15.2.3Детектирование и защита
- •15.3.1Ранняя десинхронизация
- •15.3.2Десинхронизация нулевыми данными
- •15.3.3Ack-буря
- •15.4Пассивное сканирование
- •15.5Затопление icmp-пакетами
- •15.6Локальная буря
- •15.7Затопление syn-пакетами
- •16Атака через Internet
- •16.1Понятие удалённой атаки через Internet
- •16.2Пример удалённой атаки через интернет
- •16.3Классификация удаленных атак через систему Internet
- •16.4Понятие типовой удаленной атаки
- •16.5Причины успеха удаленных атак на сеть Internet
- •17Защита локальной сети и одиночного компьютера от атак через Internet.
- •17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- •17.2Аппаратные шифраторы сетевого трафика
- •17.3Можно организовать прокси - сервер.
- •17.4Firewall или брандмауэр.
- •17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •17.6Основные виды межсетевых экранов (брандмауэров)
- •17.7Фильтрующие маршрутизаторы
- •17.8Пример работы фильтрующего маршрутизатора
- •17.9Недостатки и преимущества фильтрующих маршрутизаторов
- •17.10Шлюзы сетевого уровня
- •17.11Шлюзы прикладного уровня
- •17.12Преимущества и недостатки шлюзов прикладного уровня
- •17.13Усиленная аутентификация
- •17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- •18Правовое обеспечение безопасности ис.
- •18.1Предмет законодательства
- •18.2Уголовная ответственность
- •18.3Требования к безопасности ис в сша
- •18.4Стандартизация аппаратных средств
- •18.5Требования к безопасности информационных систем в России
- •18.6Показатели защищенности средств вычислительной техники
- •18.7Заключение
- •18.8Рекомендации
- •19Пароли ис.
- •19.1Пароли. Хранение и передача по сети.
- •19.2Безопасность паролей и шифрование
- •19.3Идентификация и аутентифокация. Использование токенов.
- •19.4Равнозначность паролей
- •19.5Восстановление паролей текстовом виде
- •19.6Поиск по словарю
- •19.7Прямой подбор
- •19.8“Комбинированный” метод
- •19.9Работа программ вскрытия паролей Windows nt
- •19.10Основные меры защиты.
- •19.11Программы подбора паролей
- •19.16Троянская конница
- •19.17Программно-технические мероприятия защиты.
- •19.18Защита паролем
- •19.19Создание надежных паролей
11.3Начальная аутентификация.
В Windows 2000 нашли применение расширения протокола Kerberos, упрощающие начальную аутентификацию клиентов. Обычно для этой цели используются секретные ключи, которыми должны заранее обменяться между собой участники сеанса, но теперь такую процедуру можно провести с помощью открытых ключей. Благодаря этому появилась возможность интерактивной регистрации пользователя с помощью микропроцессорных карточек. В основу расширений, обеспечивающих аутентификацию с открытым ключом, положена спецификация PKINIT.
Роль посредника в Kerberos здесь играет так называемый центр распределения ключей Key Distribution Center (KDC). KDC представляет собой службу, работающую на физически защищенном сервере. Она ведет базу данных с информацией об учетных записях всех главных абонентов безопасности (security principal) своей области (области Kerberos в сетях Windows 2000 соответствует домен). Вместе с информацией о каждом абоненте безопасности в базе данных KDC сохраняется криптографический ключ, известный только этому абоненту и службе KDC. Данный ключ, который называют долговременным, используется для инициирования связи пользователя системы безопасности с центром распределения ключей. В большинстве практических реализаций протокола Kerberos долговременные ключи создаются на основе пароля пользователя.
Прежде всего, Алиса входит в сеть, для чего вводит свое пользовательское имя и пароль. Клиент Kerberos, установленный на ее рабочей станции, преобразует пароль в криптографический ключ (пропускает указанный пользователем пароль через функцию хеширования, все реализации протокола Kerberos 5 должны обязательно поддерживать алгоритм DES-CBC-MD5) и сохраняет полученный результат в кэш-памяти удостоверений.
После этого клиент посылает в службу аутентификации центра KDC запрос KRB_AS_REQ (Kerberos Authentication Service Request – запрос к службе аутентификации Kerberos). Первая часть его сообщения содержит идентификатор пользователя, то есть Алисы, а также имя службы, для которой ей нужно удостоверение, то есть службы выдачи билетов. Во второй же части указываются данные предварительной аутентификации (pre-authentication data), которые подтверждают, что Алиса знает пароль. Обычно в качестве таких данных используется метка времени, зашифрованная с долговременным ключом Алисы, хотя Kerberos допускает и другие виды предаутентификационных данных.
Таким образом, на клиенте и сервере Kerberos должен получиться один и тот же ключ. Этот ключ не передается по сети!
Получив запрос KRB_AS_REQ, служба KDC обращается в свою базу данных и находит в ней долговременный ключ Алисы, после чего расшифровывает данные предварительной аутентификации и оценивает метку времени, содержащуюся в них. Если проверка прошла успешно, служба KDC делает вывод, что данные предварительной аутентификации были зашифрованы с долговременным ключом Алисы и, следовательно, поступили от клиента, имя которого содержится в первой части сообщения.
После того, как проверка личности Алисы завершена, служба KDC генерирует удостоверение, подтверждающее, что клиент Kerberos на ее рабочей станции имеет право обратиться к службе выдачи билетов. Этот процесс выполняется в два этапа. Во-первых, KDC создает сеансовый ключ регистрации и шифрует его копию с помощью долговременного ключа Алисы. Во-вторых, служба включает еще одну копию сеансового ключа регистрации в билет TGT. Туда же заносятся и другая информация об Алисе, например, ее данные авторизации. Затем KDC шифрует билет TGT с собственным долговременным ключом и, наконец, включает зашифрованный сеансовый ключ регистрации вместе с билетом TGT в пакет KRB_AS_REP (Kerberos Authentication Service Reply – ответ службы аутентификации Kerberos), который направляет клиенту.
Получив такое сообщение, клиент расшифровывает сеансовый ключ регистрации и сохраняет его в кэш-памяти удостоверений. После этого из сообщения извлекается билет TGT, который также помещается в эту кэш-память.
Получив ответ службы KDC на свой первоначальный запрос, клиент расшифровывает свою копию сеансового ключа, используя для этого рассчитанное значение ключа. После этого долговременный ключ, полученный из пользовательского пароля, удаляется из памяти, поскольку он больше не понадобится: вся последующая связь с KDC будет шифроваться с помощью сеансового ключа. Как и все другие сеансовые ключи, он имеет временный характер и действителен до истечения срока действия билета TGT, либо до выхода пользователя из системы. По этой причине такой ключ называют сеансовым ключом регистрации (logon session key).
С точки зрения клиента, билет TGT почти ничем не отличается от обычного. Перед подключением к любой службе, клиент, прежде всего, обращается в кэш-память удостоверений и достает оттуда сеансовый билет для этой службы. Если его нет, он начинает искать в этой же кэш-памяти билет TGT. Найдя его, клиент извлекает оттуда же соответствующий сеансовый ключ регистрации и готовит с его помощью аутентификатор (некоторую информацию о себе), который вместе с TGT высылает в KDC. Одновременно туда направляется запрос на сеансовый билет для требуемой службы. Другими словами, организация безопасного доступа к KDC ничем не отличается от организации такого доступа к любой другой службе домена – она требует сеансового ключа, аутентификатора и билета (в данном случае TGT).
С точки же зрения службы KDC, билеты TGT позволяют ускорить обработку запросов на получение билетов, сэкономив несколько наносекунд на обработке каждого из них. Центр распределения ключей KDC обращается к долговременному ключу пользователя (то есть ищет в базе данных) только один раз, когда предоставляет клиенту первоначальный билет TGT. Во всех последующих транзакциях с этим клиентом центр KDC расшифровывает билеты TGT с помощью собственного долговременного ключа и извлекает из него сеансовый ключ регистрации. Этот процесс происходит быстрее, так как никогда не требуется обращений ко внешним носителям, кроме того расшифровывание происходит быстрее поиска в достаточно большой базе.