- •1. Классификация сетевых атак
- •2. Классификация сетевых угроз
- •3. Основные непреднамеренные искусственные угрозы
- •4. Основные преднамеренные искусственные угрозы
- •5. Основные принципы построения систем защиты
- •Принцип комплексности
- •Принцип непрерывности защиты
- •Разумная достаточность
- •Гибкость системы защиты
- •Открытость алгоритмов и механизмов защиты
- •Принцип простоты применения средств защиты
- •7. Протоколы прикладного уровня tcp/ip
- •8. Протоколы транспортного уровня tcp/ip
- •10. Протокол ipSec
- •11. Протокол tls
- •12. Стандарт set
- •13. Межсетевые экраны. Преимущества и недостатки.
- •14. Межсетевые экраны с фильтрацией пакетов
- •15. Межсетевые экраны уровня приложений
- •16. Шлюзы уровня соединений
- •17. Межсетевые экраны с адаптивной проверкой пакетов (или мэ с запоминанием состояния пакетов)
- •18. Разграничение доступа пользователей к ресурсам ас
- •19. Способы нсд к информации
- •20. Методы и средства защиты от нсд в сети
- •21. Аутентификация пользователей
- •22. Аутентификация в протоколе smb
- •23. Управление ключами. Kdc
- •24. Прикладные протоколы и службы
- •25. Безопасность www
- •26. Безопасность электронной почты
- •27. Виды каналов связи
- •28. Канал связи isdn
- •29. Беспроводные каналы связи
- •30. Спутниковые каналы передачи данных
- •31. Защита мобильной связи
- •32. Построение vpn на базе сетевой операционной системы
- •33. Построение vpn на базе маршрутизаторов
- •34. Построение vpn на базе межсетевых экранов
- •35. Vpn продукты застава
- •40. Понятие политики безопасности
12. Стандарт set
Стандарт SET (безопасная электронная транзакция) – это набор протоколов, обеспечивающих:
- Конфиденциальность передаваемых данных. В электронных транзакциях участвует такая информация, как, например, номер кредитной карточки покупателя, его персональные данные. Эта информация должна быть надежно защищена.
- Целостность данных Как продавец, так и покупатель должны быть уверены, что вся информация, относящаяся к транзакции, передана без возможности изменения третьим лицом. Целостность обеспечивается электронной подписью, которая также гарантирует подтверждение авторства совершаемой покупки и невозможность отказа от авторства.
- Двустороннюю аутентификацию сторон, участвующих в транзакции.
Для шифрования SET используются как симметричные, так и асимметричные криптоалгоритмы: сообщения шифруются на случайно сгенерированных ключах симметричными алгоритмами, после чего дополняются симметричными ключами с помощью асимметричных алгоритмов.
Достоинство SET – отсутствие ограничений на использование криптоалгоритмов.
13. Межсетевые экраны. Преимущества и недостатки.
Преимущества МЭ
МЭ ограничивает доступ к определенным службам (например, общий доступ к веб-узлу может быть разрешен, а к telnet - запрещен).
МЭ – средство аудита. Они могут заносить в журнал информацию о любом проходящем трафике.
МЭ обладают возможностями по оповещению о конкретных событиях.
Недостатки МЭ
МЭ разрешают установку обычных соединений санкционированных приложений, но если приложение представляет собой угрозу, МЭ не сможет предотвратить ее реализацию (например, МЭ разрешают прохождение электронной почты на почтовый сервер, но не находит вирусов в сообщении).
Эффективность МЭ зависит от правил, на соблюдение которых они настроены.
МЭ не защищают от аутсайдеров.
МЭ не предотвращают атаки, если трафик не проходит через них.
14. Межсетевые экраны с фильтрацией пакетов
МЭ с фильтрацией пакетов обеспечивают защиту сети путем фильтрации сетевых сообщений на основе информации, содержащейся в заголовках TCP/IP каждого пакета.
Фильтры пакетов принимают решение исходя из следующих данных заголовка:
IP-адрес источника;
IP-адрес отправителя;
применяемый сетевой протокол (TCP, UDP, ICMP);
порт источника TCP или UDP;
порт назначения TCP или UDP;
тип сообщения ICMP (Internet Control Message Protocol – протокол управляющих сообщений в сети Интернет), если применяется протокол ICMP.
Существуют различные стратегии реализации фильтров пакетов. Наиболее популярными являются следующие две.
Построение правил – от наиболее конкретных к наиболее общим.
Правила упорядочиваются таким образом, чтобы наиболее часто используемые из них находились во главе списка. Это сделано для повышения эффективности.
Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
Достоинства МЭ с фильтрацией пакетов:
производительность – фильтрация происходит на скорости, близкой к скорости передачи данных;
хороший способ управления трафиком;
прозрачность.
Недостатки МЭ с фильтрацией пакетов:
низкий уровень масштабируемости. По мере роста наборов правил становится все труднее избегать «ненужных» соединений;
возможность открытия больших диапазонов портов;
подверженность атаки с подменой данных. Атаки с подменой данных, как правило, подразумевают присоединение ложной информации в заголовок TCP/IP.
Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.