- •Вопрос 1. Сравнение возможностей реализации функций защиты на различных уровнях стека tcp/ip.
- •Вопрос 2. Протокол ipSec. Сервисы ipSec. Вопрос 3. Защищенные связи. Режим функционирования ipSec.
- •Вопрос 4. Заголовок аутентификации (ан).
- •Вопрос 5. Защищенный полезный груз (esp). Комбинации защищенных связей.
- •Вопрос 6. Способы защиты потока данных в глобальной сети. Стек протоколов ssl.
- •Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.
- •Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.
- •Вопрос 9. Классификация сетевых атак.
- •Вопрос 10. Сетевые атаки. Пассивные атаки, sniffing. Методы защиты.
- •Вопрос 12. Сетевые атаки. Разновидности Spoofing’a.
- •Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.
- •Вопрос 14. Сетевые атаки. Атаки на транспортном уровне. Предсказание sn. Вопрос 15. Сетевые атаки. Атаки на транспортном уровне. Десинхронизация tcp соединения.
- •Вопрос 16. Сетевые атаки. Dos-атаки. Flooding.
- •Вопрос 17. Защита от сетевых атак. Классификация мсэ.
- •Вопрос 18. Защита от сетевых атак. Различные типы окружений для мсэ. Места установки мсэ.
- •Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.
- •Вопрос 21. Kerberos. Диалог аутентификации Kerberos V.4.
- •Вопрос 22. Kerberos. Диалог аутентификации Kerberos V.5.
- •Вопрос 23. Kerberos. Области взаимодействия.
Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.
Протокол записи SSL
Обеспечивает поддержку двух сервисов:
1) конфиденциальность, обеспеченный схемой шифрования с помощью общего ключа К и С;
2) целостность, определяется общий секретный ключ для вычисления значения МАС.
В версии SSL v.3 отказались от сжатия.
Если используется поточное шифрование, то шифруется сразу. Если обычно, то может добавляться заполнитель.
Заголовок протокола записи состоит из следующих полей:
1) Тип содержимого (8 бит) – определяет протокол вышележащего уровня;
2) главный номер версии ()8 бит (3);
3) данный номер версии (8 бит) (0);
4) длина сжатого фрагмента (16 бит), максимальное значение +2048 [214+2048].
ПИПШ – протокол изменения параметров шифрования
Представляет собой однобайтовое сообщение, содержащее единицу. Целью этого сообщения является указание копировать параметры состояния ожидания в текущее состояние. В результате чего обновляется комплект шифров.
ПИ – протокол извещения
Состоит из двух байт. Нужен для извещения об ошибках. 1 байт содержит информацию об уровне предупреждения (извещения). 2 байт – код конкретной ошибки. В случае передачи неустранимой ошибки соединение разрывается.
Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.
ПК – протокол квитирования. Этот прокол позволяет К и С выполнить взаимную аутентификацию. Согласовать алгоритмы шифрования, алгоритмы вычисления МАС, криптографические ключи.
.Протокол должен использоваться до начала посылки прикладных программ. Все сообщения протокола квитирования имеют общий формат.
Поля:
1) Тип (1 байт) – указывает одно из 10 возможных типов сообщений;
2) длина (3 байта);
3) содержимое – переменой длины, передающиеся параметры связи, а сообщения конкретного типа.
1 этап - обмен характеристиками защиты. На этом этапе производится инициация защищенных сеансов и определенные связанные с ним характеристики защиты. Начинается с посылки сообщения клиентом – Client Hello. Сообщение содержит следующие параметры:
1) версия- наивысший номер версии SLL, поддерживаемом клиентом;
2) случайное значение – 32 бита, штамп дата – времени, и 28 байт случайного числа ГПСЧ;
3) идентификатор сеанса – переменной длин7ы. Нулевое значение говорит о том, что К хочет создать новое соединение в новом сеансе;
4) комплект шифров, поддерживаемых клиентом в порядке убывания приоритетов;
5) метод сжатия. С возвращает сообщение Server Hello, содержащее те же параметры, но не списки поддерживаемых алгоритмов, а конкретный алгоритм.
Случайное число С никак не связано со случайным значением К.
2 этап – аутентификация и обмен ключами С.
1) С отправляет свой сертификат, если требуется его аутентификация;
2) передача ключей С, содержит необходимые параметры для вычисления ключей симметричного алгоритма шифрования;
3) запрос сертификата К, если требуется аутентификация К для С;
4) (обязательное поле) Завершен этап 2.
3 этап – аутентификация и обмен ключами К.
1) сертификат К, если его запросит С;
2) обмен ключами К (обязательное поле);
3) верификация сертификата, сообщение, позволяющее обеспечить средства прямой верификации сертификата К.
4 этап – Завершение.
К отправляет сообщение протокола ПИПШ, после чего копируются установленные параметры в текущем соединении и передает сообщение «ФИНИШ», зашифрованное с новыми параметрами.
Если расшифрование сообщения «ФИНИШ» на обоих сторонах прошло успешно, то процесс квитирования завершается и К, С могут обмениваться защищенным сообщением прикладного уровня.
С точки зрения К, при использовании защищенного соединения в строке адреса браузера появляется протокол HTTPS и в настройках фаервола необходимо открыть порт 443.