- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
Каждый участник подписывает посылаемый другой стороне набор данных, что препятствует отказу отправителя от авторства. На пятом и шестом шагах формируется цифровая подпись под отправляемым сообщением, включая его цифровой сертификат и отметку времени для защиты от повтора.
Получатель извлекает из сертификата ОК отправителя и проверяет истинность цифровой подписи.
Далее проверяет, по имеющемуся ОК СА, его подпись в сертификате.
В случае правильности подписи и временных меток получатель делает вывод, что отправитель сообщения тот за кого себя выдает.
Информация на пятом и шестом шагах шифруется на сеансовом ключе определяемым следующим образом:
Из данного ключа формируется ключи -d, - a, - e, они формируются путем хэширования текущего ключа и используются на втором этапе обмена
В основном режиме инициатор направляет противоположной стороне запрос на формирование защищенного канала, который включает в себя предложение по набору защ.алгоритмов и их параметров, упорядоченных по степени предпочтительности. Согласовываются алгоритмы шифрования, хэширования, методы аутентификации, группы Диффи-Хеллмана или др словами длины, используемых криптоключей. При этом возможно использование и эллиптической криптографии. В этом случае согласуются параметры эллиптической кривой.
На 3 и 4 этапах инициатор и партнер отправляют друг другу ключи для выработки общего секретного ключа SKEYID по алгоритму Диффи-Хеллмана.
На пятом и шестом этапах осуществляется аутентификация осуществляется аутентификация взаимодействующих сторон за счет обмена аутентификационной информацией, зашифрованной и подписанной , которая формируется на основе SKEYID.
68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
Агрессивный режим предназначен для того же, что и основной, но проще и быстрее, хотя не обеспечивает защиту аутентификационной информации, так как она передается в нешифрованном виде до согласования канала. Число пакетов, которыми обмениваются стороны, уменьшается с шести до трех инициатором обмена. Инициатор обмена включает в первый пакет максимальное количество информации, предлагая набор алгоритмов, ОК, нонс и собственный идентификатор. Получатель в ответ посылает параметры, необходимые для завершения основной фазы
После создания общего защищенного канала во второй фазе, с помощью быстрого режима согласуются параметры каждого защищенного соединения, образованного контекстом безопасности. Пользователем защищенного канала является отдельное приложение, причем в рамках защищенного канала может существовать много защищенных соединений с разными параметрами защиты.
Целью быстрого режима является получение информации из защищенного соединения. Процедура формирования защищенного соединения проще, чем формирование защищенного канала.
Согласование параметров происходит в три шага:
Инициализатор создает запрос на формирование защищенного соединения вместе с предлагаемыми крипто алгоритмами и его параметрами и свой нонс.
Ответчик отправляет свой нонс и выбранные параметры.
Инициализатор повторно отправляет свой нонс и нонс ответчика, для подтверждения. Все сообщения шифруются на ключе SKEYID_e, для аутентификации используется имитовставка аутентификационного сообщения - SKEYID_a.
Сеансовые ключи могут периодически обновляться с помощью дополнительного хеширования. Неоднократная смена ключа сеанса может привести к раскрытию общего секрета D-H. Поэтому применяется предел обновления ключа сеанса.