- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
64. Ike. Назначение, основные этапы и режимы функционирования
Протокол обмена ключами.
В IPSec поддерживается 2 схемы управления ключами:
Ручная. Сисадмин вручную конфигурирует систему с указанием используемых ключей, ключей сист.партнеров; применима для больших сетей.
Автоматизированная. Используется для больших распределительных систем с измененной конфигурацией. В этом случае и используется IKE.
Протокол функционирует в два этапа:
Установка защищенного канала между двумя узлами (аутентификация участников, согласование глобальных параметров защищенного канала, а также выработка ключей для защиты обмена во второй фазе.
Согласование по созданному каналу всех параметров защищенного соединения, при этом ключи формируются на основе ключей, сформированных в первой фазе.
Имеется 3 режима обмена информацией об алгоритмах и параметрах защиты.
основной
агрессивный
быстрый
На первом этапе используется основной и агрессивный режим а на втором – только быстрый. В основном режиме инициатор направляет противоположной стороне запрос на формирование защищенного канала, который включает в себя предложение по набору защ.алгоритмов и их параметров, упорядоченных по степени предпочтительности. Согласовываются алгоритмы шифрования, хэширования, методы аутентификации, группы Диффи-Хеллмана или др словами длины, используемых криптоключей. При этом возможно использование и эллиптической криптографии. В этом случае согласуются параметры эллиптической кривой.
На 3 и 4 этапах инициатор и партнер отправляют друг другу ключи для выработки общего секретного ключа SKEYID по алгоритму Диффи-Хеллмана.
На пятом и шестом этапах осуществляется аутентификация осуществляется аутентификация взаимодействующих сторон за счет обмена аутентификационной информацией, зашифрованной и подписанной , которая формируется на основе SKEYID.
65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
Информация, которой стороны обмениваются на 3 и 6 шагах обмена инфомации, способ формирования SKEYID зависят от использования метода аутентификации:
Аутентификация при помощи разделяемого секретного ключа.
Во время согласования параметров безопасности информация шифруется на этом ключе, и если 2я сторона может расшифровать информацию, то она аутентифицирована.
СК формируется по формуле:
SKEYID = prf (pre-shared key, Ni/Nr)
Noncе обеспечивает уникальность СК.
Часто в качестве nonce используется метка времени. Если разрядность функции больше требуемой длины ключа, то берется необходимое число ее старших битов,
если меньше - выполняется операция расширения формируя хэш-функцию с ключом от исходного значения и предыдущего значения хэш-функции. Результат вставляется в следующий блок хэш-функции. Каждая сторона генерирует nonce и шифрует его открытым ключом другой стороны.
Если та может его расшифровать и послать хэш nonce, первой стороне, то она считается аутентифицированной.
66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
Имеются два подметода:1) На третьем и четвертом шагах на ОК партнера шифруется идентификатор сторон 2) Только nonce шифруется на ОК, а идентификаторы и сертификат шифруется на сеансовых ключах, которые формируются из nonce и так называемых цепочек cookies источника и респондента.
Общий СК формируется как хэш-функция от нонсе и кукис. Cookies используют для борьбы с Dos атаками, когда противник фальсифицирует адрес законного источника и посылает ОК жертве, который тратит много времени на возведение в степень для генерации сеансового ключа. Многократный повтор загружает стороны при обмене cookies. Каждая сторона посылает псевдослучайные числа, которые другая сторона должна подтвердить. Если адрес источника фальсифицированный противник не получает ответа и не сможет сгенерировать подтверждение, без которого стороны не будут производить вычисления сеансового ключа. Cookies формируются на основе хэша от IP адреса источника и адресата и локально сгенерированного значения.
Значения хэша, которыми обмениваются стороны для аутентификации на пятом и шестом шагах определяются по формуле :