- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
10. Протокол ipSec
Безопасность на сетевом уровне обеспечивает протокол IPSec (IP Security – безопасный протокол IP).
Протокол IPSec предназначен для обеспечения безопасности при передаче данных в IP-сетях. Протокол представляет систему стандартов, устанавливающих:
- протоколы защиты информации (Authentication Header (AH) –заголовок аутентификации), Encapsulation Security Payload (ESP) – безопасная инкапсуляция полезной нагрузки);
- защищенные каналы передачи информации (Security Association (SA) – безопасное соединение);
- протоколы обмена информацией о ключах ( Internet Key Exchange (IKE) – обмен ключей по Интернету);
- алгоритмы для шифрования данных и аутентификации.
IPSec решает следующие основные проблемы:
- аутентификацию пользователя при создании защищенного канала;
- шифрование и обеспечение целостности передаваемых данных;
- автоматическое распределение ключей между пользователями защищенного канала.
Протокол AH обеспечивает целостность передаваемых данных и аутентификацию их источника, но не конфиденциальность. Протокол ESP обеспечивает аутентификацию источника, целостность передаваемых данных и их конфиденциальность. Этот протокол предоставляет больше возможностей и, разумеется, является более сложным и требует больших усилий по обработке, чем AH. Протоколы применяются как по отдельности, так и комбинировано.
В IPSec существует понятие базы данных безопасности, состоящей из двух баз данных: SPD (базы данных политики безопасности) и SAD (базы данных безопасности связей), определяющей правила формирования защищенных каналов между различными узлами.
Для создания защищенного канала используется протокол обмена ключами в Интернете.
Недостаток IPSec – возможность использования его только в IP-сетях. IPSec является хорошим протоколом для создания VPN. Существуют множество его реализаций, например:
- реализация IPSec в ОС Microsoft Windows 2000 Server;
- семейство средств построения VPN Застава версии 3.1 с использованием стандарта шифрования ГОСТ 28147 – 89.
11. Протокол tls
Протокол TLS базируется на версии 3.0 протокола SSL, обеспечивает конфиденциальность и целостность данных, передаваемых между двумя различными приложениями. Его удобно использовать для создания защищенного канала связи при коммуникации по протоколу HTTP.
TLS состоит из двух протоколов:
- TLS HP (Handshake Protocol) – обеспечивает взаимную аутентификацию приложений и безопасный обмен ключевой информацией;
- TLS RP (Record Protocol) – обеспечивает шифрование и защиту целостности передаваемых данных.
TLS HP предназначен для создания сессии защищенного обмена информацией. Он выполняется в несколько этапов:
Обмен стартовыми сообщениями, в ходе которого достигается соглашение об используемых алгоритмах. На данном этапе устанавливаются используемые в дальнейшем алгоритмы шифрования, хеширования и сжатия информации. Обычный принцип достижения соглашений об алгоритмах: клиент сессии предоставляет список алгоритмов, которые он поддерживает; сервер выбирает из предложенных клиентом алгоритмов сильнейший.
Обмен случайными величинами (уникальными для каждой сессии), на основе которых генерируется основной ключ, используемый при работе TLS RP.
Обмен криптографическими параметрами, на основе которых вырабатывается предварительный ключ, используемый при работе TLS HP.
Обмен сертификатами, в ходе которого происходит взаимная аутентификация клиента и сервера. Для аутентификации используется стандартный механизм «рукопожатие» (Handshake): взаимное шифрование собственными секретными ключами различных случайных чисел с их последующим расшифрованием с помощью соответствующих открытых ключей и сравнением с исходными.
Генерация основного ключа на основе предварительного ключа и сгенерированных ранее случайных величин.
Обеспечение всех криптографических параметров, необходимых для работы TLS RP.
Проверка корректности работы предыдущих этапов TLS HP.
TLS RP предназначен непосредственно для защиты передаваемой информации. Он использует параметры, полученные во время работы TLS HP. TLS RP выполняет шифрование сообщений и защиту целостности сообщений. Шифрование сообщений выполняется симметричными алгоритмами ( DES, RC4 и др.). Ключ шифрования является уникальным для каждой сессии и передается в защищенном виде ( с помощью асимметричных алгоритмов RSA, DDS и др.) на этапе работы TLS HP. Каждое сообщение дополняется кодом подтверждения достоверности (MAC), вычисленным с использованием сеансового ключа по алгоритму SHA, MDS или аналогичными. Как шифрование сообщений, так и вычисление MAC можно отключить.