- •Вопрос 1. Сравнение возможностей реализации функций защиты на различных уровнях стека tcp/ip.
- •Вопрос 2. Протокол ipSec. Сервисы ipSec. Вопрос 3. Защищенные связи. Режим функционирования ipSec.
- •Вопрос 4. Заголовок аутентификации (ан).
- •Вопрос 5. Защищенный полезный груз (esp). Комбинации защищенных связей.
- •Вопрос 6. Способы защиты потока данных в глобальной сети. Стек протоколов ssl.
- •Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.
- •Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.
- •Вопрос 9. Классификация сетевых атак.
- •Вопрос 10. Сетевые атаки. Пассивные атаки, sniffing. Методы защиты.
- •Вопрос 12. Сетевые атаки. Разновидности Spoofing’a.
- •Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.
- •Вопрос 14. Сетевые атаки. Атаки на транспортном уровне. Предсказание sn. Вопрос 15. Сетевые атаки. Атаки на транспортном уровне. Десинхронизация tcp соединения.
- •Вопрос 16. Сетевые атаки. Dos-атаки. Flooding.
- •Вопрос 17. Защита от сетевых атак. Классификация мсэ.
- •Вопрос 18. Защита от сетевых атак. Различные типы окружений для мсэ. Места установки мсэ.
- •Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.
- •Вопрос 21. Kerberos. Диалог аутентификации Kerberos V.4.
- •Вопрос 22. Kerberos. Диалог аутентификации Kerberos V.5.
- •Вопрос 23. Kerberos. Области взаимодействия.
Вопрос 22. Kerberos. Диалог аутентификации Kerberos V.5.
С AS : Опции || IDC || ОбластьС || IDTGS || Границы времени || Оказия 1
Опции служат для запроса установки определенных флагов на запрашиваемом мандате.
Оказия (nonce) случайное число которое генерирует клиент для защиты от атак воспроизведения
AS C : ОбластьС || МандатTGS || EKC [kC,TGS || Граница времени || Оказия 1|| область TGS || IDTGS ]
МандатTGS : E TGS [Флаги || KC,TGS || ОбластьС || IDC || ADC || Граница времени]
С TGS : Опции || IDV || Граница времени || Оказия 2 || МандатTGS || АутС
АутС = E K: C,TGS [ IDC || ADC || TS3 ]
TGS C : ОбластьС || IDC || МандатV || E K: C,TGS [kC,V || Граница времени || Оказия 2 || ОбластьV || IDV ]
МандатV = E K: C,TGS [Флаги || ОбластьС || IDC || ADC || Граница времени]
С V : Опции || МандатV || АутC
АутC = E K: C,V [IDC || ОбластьС || TS5 || Подключ || Порядковый номер]
Подключ - может не использоваться, тогда вместо него будет сеансовый ключ
Порядковый номер - от атак на воспроизведение
V C : TS5 || Подключ || Порядковый номер
KERBEROS v.5
Содержит ряд усовершенствований 4-й версии в двух областях:
Область ограничения среды;
Техническая область.
Ограничения среды:
1) зависимость от системы шифрования v.4 требует DES.BV.5 к шифрованному тексту присоединять идентификатор текста шифрования, а ключи шифрования содержат указатели их длины;
2) зависимость от протокола сети
v.4 требует только IP v.5, к адресу добавляется метка типа и длины;
3) срок действия мандата.
В v.4 срок представляется 8-битовым значением, единица которого соответствует 5 минутам, т.е. максимальный срок = 21 час, следовательно, не удобно для систем, требующих длительных временных ресурсов.
В v.5 мандат содержит явное указание времени нала и окончания действий.
4) передача сертификатов аутентификации.
В v.4 сертификат, выданный одному узлу, нельзя передавать другому узлу, а в v.5 – можно.
5) аутентификация в удаленной области
v.5 требует гораздо меньше сеансов взаимодействия между серверами Kerberos разных областей.
Технические ограничения
1) Двойное шифрование
В шагах (2), (4) и (6) мандат шифруется повторно, что является излишней тратой ресурсов;
2) шифрование в нестандартном режиме DES
v.4 использует специальный режим DES со сцеплением блоков, который обеспечивает дополнительный контроль целостности, однако, является менее защищенным.
v.5 использует отдельный механизм контроля деятельности, а алгоритм DES используется в наиболее защищенном режиме.
3) сеансовые ключи
В v.4 сеансовый ключ, используемый для шифрации аутентификатора клиента, в дальнейшем используется для защиты сообщений, передаваемых в ходе сеанса.
В v.5 используют специальный сеансовый подключ.
4) атака на пароль
Во (2) шаге данные шифруются на основе ключа, вычисляемого с помощью пароля клиента, а В v.5 предлагается механизм предварительной аутентификации, которая затрудняет атаку на пароль, но не исключает ее полностью