- •58. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
- •60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
- •61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
- •62. Протокол аутентификации ah
- •64. Ike. Назначение, основные этапы и режимы функционирования
- •65. Основной режим протокола ike. Аутентификация при помощи разделяемого секретного ключа (Preshared key)
- •66. Организация аутентификации с помощью ассиметричного шифрования в режиме протокола ike. Cookies.
- •67. Аутентификация с помощью эцп. Формирование ключей в основном режиме.
- •68. Агрессивный режим протокола ike. Быстрый режим протокола ike защищенного соединения.
- •69. Базы данных безопасных ассоциаций и политик безопасности.
- •70. Протокол socks
- •71. Протоколы формирования защищенного тунеля на канальном уровне.
- •72. Схемы применения pptp
- •73. L2tp
- •74. Ssl
- •75. Обмен сообщениями в протоколе ssl/tls
- •76. Методы обмена ключами в ssl
- •77. Sstp
- •78. Классификация систем обнаружения атак.
- •79. Системы анализа защищенности
- •80. Сетевые средства обнаружения атак
- •81. Защита в беспроводных сетях. Wep
- •82. Механизмы аутентификации стандарта 802.11
- •83. Уязвимости wep
- •85. Tkip, Michael
- •86. Wpa
- •87. Wpa2
- •88. L2f
- •86. Branch Cache
- •100. Реестр
59 . Проблемы безопасности взаимодействия через Интернет. Разработка протокола vpn. Требования к продуктам vpn.
Ранее для организации связи между отдельными офисами использовались выделенные каналы, что сопровождалось большими затратами. Это привело к использованию для построения защищенных каналов интернета. При этом возникает две проблемы:
– защита сегментов корпоративной сети от атак хакеров из интернета;
– защита данных, передаваемых через интернет.
Первая задача решается с помощью ранее рассмотренных межсетевых экранов.
Для защиты информации, передаваемой по открытым сетям (вторая проблема), необходимо обеспечить решение следующей задачи - аутентификация взаимодействующих сторон, криптографическое шифрование передаваемых данных, подтверждение подлинности и целостности доставленной информации, защита от повторов, задержек и удаления сообщений, защита от отрицаемых фактов, отправления и приема сообщений.
Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду в единую виртуальную сеть, обеспечивающую безопасность данных - защищенная виртуальная сеть (VPN). Она используется для решения трех основных задач:
для реализации защищенной связи между филиалами одной компании (интранет);
для соединения сети компании с ее деловыми партнерами и клиентами (для реализации экстрасети или extranet);
для взаимодействия с корпоративной сетью отдельных мобильных пользователей, которые могут работать дома
Открытая сеть выступает соединением для реализации множества виртуальных сетей, количество которых определяется лишь пропускной способностью.
ПП самостоятельно защищает данные, передавая по открытой сети, устанавливая в своих сегментах открытой сети vpn-шлюзы, получая от провайдера лишь выход в интернет.
Достоинства:
полный контроль над защитой корпоративных сетей;
сохранение всей информации в безопасности;
безопасность от источника пакетов до приемника (от начала до конца).
Недостатки:
высокая стоимость;
обслуживание;
низкая степень масштабируемости (каждое новое подразделение должно установить отдельный шлюз, а на каждом удаленном компьютере поддержку vpn).
Существуют требования к продуктам VPN:
Высокая производительность VPN-связи
Управляемость. Желательно иметь несколько уровней привилегий Целесообразно управление различн. VPN шлюзами с одной консоли. Также желательно автоматизировать инсталляцию, конфигур. прог. обеспеч. VPN клиентов на ПК удаленных пользователей.
Мощная система аудита
Совместимость. Наиб. полн. протоколом явл-ся IPSEC, но до сих пор не все устройства его поддерживают, либо не полностью.
Надежность защиты зависит от использованных методов защиты, алгоритмов и режимов шифрования, аутентификации, использования и обмена ключей.
Эта проблема решается использование готовых программных криптопровайдеров: Криптон ПРО, Signal COM. Второй подход: в отр-ие аппаратного сертифицированного модуля, реализующего российскую криптографию.
Функциональная полнота. Принято, что продукт VPN реализует как функции VPN-сервера , так и МЭ.
Защищаемы канал может быть реализован на разных уровнях модели OSI. Для каждой службы необходима своя защищенная версия протокола. (прим. SMIME-защита почтовые сообщения).
Наличие сертификата ФСБ.
Примеры VPN: IPSec (IP security), PPTP (point-to-point tunneling protocol), PPPoE (Point-to-Point Protocol), L2TP (Layer 2 Tunnelling Protocol), L2TPv3 (Layer 2 Tunnelling Protocol version 3), OpenVPN SSL VPN с открытым исходным кодом, и т.д.