- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Протокол записи ssl
Обеспечивает поддержку двух сервисов:
1) конфиденциальность, обеспеченный схемой шифрования с помощью общего ключа К и С;
2) целостность, определяется общий секретный ключ для вычисления значения МАС.
В версии SSL v.3 отказались от сжатия.
Если используется поточное шифрование, то шифруется сразу. Если обычно, то может добавляться заполнитель.
Заголовок протокола записи состоит из следующих полей:
1) Тип содержимого (8 бит) – определяет протокол вышележащего уровня;
2) главный номер версии ()8 бит (3);
3) данный номер версии (8 бит) (0);
4) длина сжатого фрагмента (16 бит), максимальное значение +2048 [214+2048].
Пипш – протокол изменения параметров шифрования
Представляет собой однобайтовое сообщение, содержащее единицу. Целью этого сообщения является указание копировать параметры состояния ожидания в текущее состояние. В результате чего обновляется комплект шифров.
ПИ – протокол извещения
Состоит из двух байт. Нужен для извещения об ошибках. 1 байт содержит информацию об уровне предупреждения (извещения). 2 байт – код конкретной ошибки. В случае передачи неустранимой ошибки соединение разрывается.
ПК – протокол квитирования
Этот прокол позволяет К и С выполнить взаимную аутентификацию. Согласовать алгоритмы шифрования, алгоритмы вычисления МАС, криптографические ключи.
Протокол должен использоваться до начала посылки прикладных программ. Все сообщения протокола квитирования имеют общий формат.
Поля:
1) Тип (1 байт) – указывает одно из 10 возможных типов сообщений;
2) длина (3 байта);
3) содержимое – переменой длины, передающиеся параметры связи, а сообщения конкретного типа.
1 этап - обмен характеристиками защиты. На этом этапе производится инициация защищенных сеансов и определенные связанные с ним характеристики защиты. Начинается с посылки сообщения клиентом – Client Hello. Сообщение содержит следующие параметры:
1) версия- наивысший номер версии SLL, поддерживаемом клиентом;
2) случайное значение – 32 бита, штамп дата – времени, и 28 байт случайного числа ГПСЧ;
3) идентификатор сеанса – переменной длин7ы. Нулевое значение говорит о том, что К хочет создать новое соединение в новом сеансе;
4) комплект шифров, поддерживаемых клиентом в порядке убывания приоритетов;
5) метод сжатия. С возвращает сообщение Server Hello, содержащее те же параметры, но не списки поддерживаемых алгоритмов, а конкретный алгоритм.
Случайное число С никак не связано со случайным значением К.
2 этап – аутентификация и обмен ключами С.
1) С отправляет свой сертификат, если требуется его аутентификация;
2) передача ключей С, содержит необходимые параметры для вычисления ключей симметричного алгоритма шифрования;
3) запрос сертификата К, если требуется аутентификация К для С;
4) (обязательное поле) Завершен этап 2.
3 этап – аутентификация и обмен ключами К.
1) сертификат К, если его запросит С;
2) обмен ключами К (обязательное поле);
3) верификация сертификата, сообщение, позволяющее обеспечить средства прямой верификации сертификата К.
4 этап – Завершение.
К отправляет сообщение протокола ПИПШ, после чего копируются установленные параметры в текущем соединении и передает сообщение «ФИНИШ», зашифрованное с новыми параметрами.
Если расшифрование сообщения «ФИНИШ» на обоих сторонах прошло успешно, то процесс квитирования завершается и К, С могут обмениваться защищенным сообщением прикладного уровня.
С точки зрения К, при использовании защищенного соединения в строке адреса браузера появляется протокол HTTPS и в настройках фаервола необходимо открыть порт 443.