- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
85. Tkip, Michael
MIC (Michael). Классический алгоритм контроля целостности на основе хеш-функции с ключом HMAC-MD5-SHA1 требует больших вычислительных затрат. Поэтому спец. для беспроводных сетей был разработан алгоритм Michael. 64-разрядный код MIC формируется как результат хэширования 64-бтных уникальных ключей, а также 32-битного МАС-адреса назначения и источника передаваемых данных. Полученное значение вставляется в шифр-ую часть фрейма после поля данных.
Протокол TKIP – временный протокол целостности ключа. Предусматривает нумерацию пакета, в кач-ве номера используется синхропосылка, которая в спецификации называется TKIP-Sequence counter и имеет длину 48 бит. Это позволяет избежать коллизии или повтора синхропосылки и гарантирует, что не повторится в течение 1000 лет. Процесс по фрейму измен. ключа можно разбить на ряд этапов:
Устройство инициализирует синхропосылку, присваивая TSC значение 0
Базовый 128-бит. WEP-ключ, полученный в результате аутентификации по 802.1х перемешивается с 48-битным MAC-адресом передачи и старшими 32 битами синхропосылки. В итоге получается 80-битный ключ первой фазы. Затем этот ключ хешируется с 32 старшими битами синхропосылки и с MAC-адресом передатчика для выработки 128-битного подфреймового ключа, первые 16 разрядов которого представляют значения младших битов синхропосылки
Подфреймовый ключ используется для WEP-шифрования
Для следующего фрейма вектор инициализации подфреймового ключа увеличивается на 1. После того, как все подфреймовые возможности данной части синхропосылки исчерпаны, увеличивается на 1 значение старших битов синхропосылки и вновь все повторяется
Данный алгоритм усиливает WEP и устраняет большинство возможных атак без замены оборудования.
86. Wpa
Новый стандарт безопасности WPA обеспечивает уровень безопасности куда больший, чем может предложить WEP Он перебрасывает мостик между стандартами WEP и 802.11i и имеет немаловажное преимущество, которое заключается в том, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений.
В WPA для получения всех ключей исп-ся Master Key (MK). Генерация ключей осущ-ся в 4 этапа
Клиент и точка доступа (ТД) устанавливают динамический MK (PMK), который получен на последнем этапе EAP-аут-ции по стандарту 802.1х. Он не исп-ся непоср-но для шифрования и рашифр., а применяется для генерации целой группы ключей.
ТД посылает клиенту случ. число ANonce аут-ра в сообщ. EAPoL-Key
Клиент локально генерирует SNonce – nonce просителя.
Клиент генерирует 512-битный парный переходной ключ (PTK) как результ. хеширования PMK, ANonce, SNonce, MAC-адреса кл-та, ТД и строка инициализации
Клиент отсылает SNonce, к которому присоединяет MIC от сообщения и первые 128 бит ключа PTK.
ТД вычисляет PTK и использует его для проверки целостности получ-го MIC сообщения клиента. Если ошибок не обнаружилось, аут-ор сообщает просителю о применении данного ключа