- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
23. Управление ключами. Kdc
Недостатком схемы шифрования с открытым ключом является то, что двум общающимся сторонам нужно заранее договариваться об общем секретном ключе. В схеме шифрования с открытым ключом необходимость в такой предварительной договоренности отпадает. Однако схеме шифрования с открытым ключом обладает собственными недостатками, в частности существует проблема получения настоящего открытого ключа. Обе эти проблемы – выбор общего ключа для шифрования с симметричными ключами и безопасное получение открытого ключа при шифровании с открытом ключом – могут быть решены при помощи доверенных посредников.
В случае шифрования с симметричными ключами такой доверенный посредник называется центром распределения ключей (Key Distribution Center, KDC) и представляет собой единый доверенный сетевой орган, с которым другие сетевые объекты устанавливают общий секретный ключ.
В схемах шифрования с открытым ключом доверенный посредник называется сертификационным центром (Certification Authority, CA). Если вы доверяете сертификационному центру, то можете быть уверены в том, кому принадлежит открытый ключ, сертифицированный этим центром.
KDC
KDC является специализированным узлом сети, который хранит секретные ключи всех пользователей и всех серверов, доверяющих этому центру. Поскольку база данных KDC эквивалентна полной БД учетных записей, этот сервис может совмещаться со службой многоступенчатой авторизации по типу SMB.
24. Прикладные протоколы и службы
WWW (World Wide Web) – клиент-серверная технология, базирующаяся на прикладном протоколе HTTP (Hypertext Transfer Protocol – протокол передачи гипертекста), в котором имеются два типа сообщений: запросы от клиента (браузера) к серверу и ответы сервера клиенту. В ответ на запрос сервер предоставляет клиенту некоторую информацию – контент. В простейшем случае контент ответа представляет собой содержание файла, расположенного на диске сервера (HTML-файл или файл другого формата).
Протокол HTTP – прикладной клиент-серверный протокол типа «запрос – ответ», работающий поверх TCР. HTTP – протокол без сохранения состояния, т.е. каждая пара «запрос – ответ» является абсолютно самостоятельной и никак не связана ни с предыдущими, ни с последующими запросами клиентов, даже если серия запросов – ответов выполняется в рамках одного TCP-соединения.
HTTP-запрос и ответ состоят из текстовых заголовков, завершаемых пустой строкой, после которой следуют передаваемые данные (если они есть).
В большинстве случаев HTTP-клиент для обслуживания своего запроса не должен предъявлять никакого удостоверения личности пользователя. Так происходит при обращении на WWW-серверы, содержащие открытую информацию.
Протокол HTTP предоставляет также возможность аутентификации пользователя перед тем, как его запрос будет обслужен. Для этого применяются заголовки www-Authenticate: и Authorization:. Определены две схемы аутентификации: Basic и Digest.
Электронная почта – служба пересылки сообщений между зарегистрированными адресами.
Основную роль в системе электронной почты играют программы трех типов:
- транспортные агенты (работают, как правило, на почтовом сервере) функционируют как маршрутизаторы почтовых сообщений ;
- агенты доставки осуществляют доставку определенным способом (local-если письмо отправлено на почтовый ящик, находящийся на этом же компьютере; SMTP – если письмо адресовано в почтовый домен, обслуживаемый другим сервером; prog – если письмо должно быть обработано какой-либо программой, доставка осуществляется вызовом этой программы, на вход которой подается содержимое письма);
- пользовательские агенты являются оболочкой для работы с электронной почтой.
SMTP (Simple Mail Transfer Protocol) – простой протокол электронной почты, работает поверх TCP.
Хост, передающий или принимающий почтовое сообщение с помощью SMTP, в зависимости от своей роли при передаче сообщения может быть инициатором, ретранслятором, конечным сервером или почтовым шлюзом.
Протокол FTP (File Transfer Protocol – протокол передачи файлов) предназначен для передачи файлов между двумя хостами и для управления файлами на удаленном хосте. Протокол работает поверх TCP и использует два соединения: одно для передачи команд протокола; другое – для передачи данных.
Протокол FTP использует два параллельных TCP-соединения: управляющее соединение и соединение данных. Управляющее соединение служит для пересылки управляющей информации между двумя хостами: имени пользователя и пароля, команд смены текущего удаленного каталога, передачи и запроса файлов. Соединение данных предназначено для передачи самих данных..
во время FTP-сеанса серверу необходимо иметь информацию о пользователе. Как правило, управляющее соединение связано со специальной учетной записью пользователя. Кроме того, сервер, должен следить за текущим каталогом, в котором работает пользователь. Необходимость затрат ресурсов на хранение информации приводит к значительному снижению числа FTP-сеансов, одновременно поддерживаемых сервером.