- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
87. Wpa2
Спецификация WPA2 организации Wi-Fi Alliance является значительным усовершенствованием механизма безопасности WEP (Wired Equivalent Privacy) исходного стандарта 802.11 (более подробную информацию по протоколу WEP можно найти по адресу www.nwc.com/go/1702rd7.jhtml). Протокол WEP был уязвимым для атак и скверно реализовывался производителями, поэтому он так и не нашел применения в корпоративных сетях. Слабые места WEP и то, что их весьма просто использовать в вероломных целях, стимулировали разработку стандарта 802.11i, который был утвержден и опубликован в 2004 г. В рамках проекта стандарта 802.11i организация Wi-Fi Alliance разработала протокол WPA, а позднее — WPA2, обеспечивающий более высокий уровень безопасности, чем первая версия WPA. тем протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard).
Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом (PreShared Key — PSK). Ключ PSK, а также идентификатор SSID (Service Set Identifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа (Pairwise Master Key — PMK), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа (Pairwise Transient Key — PTK), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.
Зато в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.
88. L2f
Разработан Cisco как альтернатива РРТР. В отличии от РРТР для связи уд. Компа с сервером провайдера могут применяться различные протоколы. Для переноса данных через защищенный туннель могут использоваться разные протоколы сетевого уровня (IP с РРТР)
- исходное инкапсулирование протокола (IP)
-протокол-пассажир в котором инкапсулируется исходный протокол и который в свою очередь следует инкапсулировать при уд. Передаче через сеть
-инкапсулирующий протокол – используется для создания, поддержания и разрыва тоннеля (L2F)
- протокол провайдера используемый для переноса инкапсулирующих протоколов (IP)
Защищенный тоннель создается между сервером уд. Доступа провайдера и пограничным маршрутизатором ЛС. Участок между уд. Компом и сервером провайдера остается незащищенным. Для использования L2F нужно,чтобы его поддерживали маршрутизатор и сервер удаленного доступа.
89. Direct Access. Новая компонета,которая появилась в S2008. Позволяет установить связь с сервером сразу, как только появляется возмонжость выхода в инет, даже до входа юзера в ОС. Назначается: защищенное соединение с корпоративной сетью для удаленных юзеров. Отличие в том что