- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
32. Построение vpn на базе сетевой операционной системы
Это удобное и дешевое средство создания инфраструктуры защищенных виртуальных каналов. В качестве распространенной сетевой ОС считается Windows NT.
Практика показала, что на базе Windows NT используемый протокол PPTP имеет достаточно большое количество уязвимых мест:
- применение функций хэширования паролей и протокола аутентификации CHAP;
- ограниченность протокола шифрования в одноранговых сетях (MPPE);
- открытость для атаки на этапе конфигурации соединения и атак типа «отказ в обслуживании»;
- недостаточная проработанность вопросов безопасности в данной ОС и др.
Более совершенным протоколом в ОС Windows 2000 является IPSec. В ОС Windows XP/Whistler введены более быстрые службы SSL, поддержка смарт-карт, аутентификация пользователя с помощью XML (расширенный язык разметки, описывающий и смысловое содержание документа Набор тегов не фиксирован, их можно добавлять для собственных нужд, расширяя возможности сложных данных и их структур).
33. Построение vpn на базе маршрутизаторов
Лидером на рынке маршрутизаторов является компания Cisco Systems. Построение VPN каналов на базе маршрутизаторов Cisco осуществляется средствами самой ОС Cisco IOS, начиная с версии 12.
Из-за экспертных ограничений для шифрования данных в канале по умолчанию используется алгоритм DES с длиной ключа 56 бит, что недостаточно в современных условиях.
Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная ОС, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа точка-точка от одного маршрутизатора к другому.
Для организации VPN туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP. Этот протокол позволяет обеспечить инкапсуляцию пакетов протокола сетевого уровня (IP, IPX и др.) в пакеты канального уровня (PPP) для передачи по сетям, поддерживающим доставку кадров в каналах точка-точка. Преимуществом L2TP является его независимость от транспортного уровня, что позволяет его использовать в гетерогенных сетях. Однако «канальная природа» протокола является причиной недостатка – для гарантированной передачи защищенного пакета через составляющие маршрут сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что достаточно трудно гарантировать. В связи с этим особое внимание заслуживает протокол сетевого уровня – IPSec.
Протокол IPSec является одним из самых проработанных в плане безопасности в Интернет протоколов. Он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждой дейтаграммы (для управления криптографическими ключами IPSec использует протокол IKE). Работа протокола на сетевом уровне – стратегическое преимущество IPSec, так как VPN на его базе работают прозрачно для всех сетевых сервисов.
Так как основной задачей маршрутизатора является маршрутизация трафика, то дополнительные функции, связанные с криптообработкой пакетов, должны быть обеспечены необходимым запасом производительности маршрутизатора.