- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
77. Sstp
Это новая разновидность VPN-туннеля, позволяющая передавать данные через брандмауэры, которые блокируют трафик протоколов PPTP и L2TP/IPsec.
В протоколе SSTP предусмотрен механизм инкапсуляции трафика PPP через канал SSL протокола HTTPS.
Архитектура SSTP на уровне протоколов:
Применение протокола PPP делает возможной поддержку методов строгой проверки подлинности – в частности, EAP-TLS. Протокол HTTPS пропускает данные через порт TCP 443 – стандартный порт веб-доступа. Протокол SSL (Secure Sockets Layer) обеспечивает: -защиту на транспортном уровне, -широкие возможности согласования: ключей, шифрования, проверки целостности.
Механизм SSTP-соединения
Как и SSL: Клиент SSTP создает TCP-подключение к серверу SSTP между динамическим назначением с TCP-портом с SSTP-клиентом и TCP-портом 443 и SSTP-сервером. SSTP-клиент отправляет «Hello» SSTP-серверу о желании установить SSTP-сеанс с SSTP-сервером.
SSTP-сервер отправляет SSTP-клиенту свой сертификат PC. SSTP-клиент проверяет полученный сертификат, при успешной проверке соединение устанавливается, иначе - обрывается.
SSTP-клиент определяет метод шифрования сеанса SSTP, генерирует обычный сеансовый SSTP-ключ и шифрует его на ОК SSTP-сервера и отправляет ему. SSTP-сервер расшифровывает ОК с помощью ЛК, все последующие данные между SSTP-клиентом и SSTP-сервером шифруются на этом ключе.
SSTP-клиент отправляет SSTP-серверу запрос по протоколу HTTP SSL. SSTP-клиент согласует с SSTP-сервером SSTP-туннель. SSTP-клиент согласует с SSTP-сервером IP-соединение. Производится аутентификация пользователя с использованием одного из стандартных методов IP. SSTP-клиент уступает передачу трафика IPv4 и v6 кан. PPP.
Создание лаборатории тестирования VPN-подключений по протоколу SSTP
Сервер DC1, работающий под управлением ОС Windows Server 2008R2, исполняет роли контроллера домена, DNS-сервера и файлового сервера в интрасети;
Сервер маршрутизации и удаленного доступа под именем VPN1, работающий под управлением ОС Windows Server 2008R2, действует в качестве VPN-сервера. Также на нем установлены службы сертификации Active Directory и службы IIS. На сервере SERVER установлено два сетевых адаптера;
Клиентский компьютер CLIENT1, работающий под управлением ОС Windows 7, исполняет роль VPN-клиента в общедоступной сети.
Преимущества SSTP: SSTP использует HTTPS для установления безопасного соединения; Снижается количество проблем с обычной блокировкой портов; Интеграция в NAP; Полная поддержка IPv6; Увеличилась зона покрытия VPN от нескольких точек до практически любого Интернет подключения; Сильная аутентификация на клиенте и сервере MS RRAS, с возможностью двух факторной аутентификации; Может управляться и контролироваться с помощью брандмауэров прикладного уровня; Поддержка не IP протоколов; SSL инкапсуляция прослеживания по порту 443.
78. Классификация систем обнаружения атак.
Выделяют этапы атак:
1) подготовительный – поиск уязвимостей для реализации атаки
2) атака
3) злоумышленник заметает следы.
Комплексная система ИБ должна работать на всех этапах осуществления атаки. Система обнаружения атак IDS может быть классифицирована по этапам атаки. Системное функционирование на 1ом этапе осуществления атаки и позволяющие обнаружить уязвимости в ИС называется сканером уязвимостей.
2ой класс – 2ой этап – позволяют обнаружить атаку в процесс реализации в реальном времени. Эта IDS в узком понимании.
3 я система на 3 этапе – позволяет определить уже совершенные атаки. Среди них выделяют системы контроля целостности, обнаруживающие изменение контролируемых ресурсов и системы регистрации.
По принципу реализации выделяют: 1. Host base. Обнаруживают атаки, направленные на конкретный компьютер. HISD.
1.1 Application IDS - обнаружение атаки на конкретное приложение.
1.2 OS IDS - обнаружение атаки на ОС.
1.3 DBMS IDS - обнаружение атаки на СУБД.
2. Network base - обнаружение атаки на соединения сети.