Security
.pdf
1.Увеличение длинны вектора инициализации до 48 бит
2.Добавление криптографической контрольной суммы - Michael
Заголовок |
TSC |
Данные |
MIC |
ICV |
802.11 |
|
|
|
|
48-ми битный TSC |
Зашифрованный текст |
|
||
3. Изменение способа генерации ключевой последовательности
ТК ТА TSC
Фаза 1
Фаза 2
PK
В июне 2004 года принят стандарт обеспечения безопасности в беспроводных сетях IEEE 802.11i (WPA2)
Основное нововведение стандарта – использование более надёжного алгоритма шифрования Advanced Encryption Standard (AES)
Протокол |
Open System |
Shared Key |
WPA-PSK |
WPA-EAP |
WPA2-PSK |
WPA2-EAP |
Алгоритм шифрования |
RC4 |
RC4 |
RC4 (TKIP) |
RC4 (TKIP) |
AES (CTR) |
AES (CTR) |
Аутентификация |
Отсутствует |
Preshared Key |
Preshared Key |
IEEE 802.1x |
Preshared Key |
IEEE 802.1x |
Длина ключа, бит |
64 или 128 |
64 или 128 |
128 шифрование, |
128 шифрование, |
128 |
128 |
|
|
|
64 аутентификация |
64 аутентификация |
|
|
|
|
|
|
|
|
|
Повторяемость ключа |
24-битный IV |
24-битный IV |
48-битный TSC |
48-битный TSC |
48-битный PN |
48-битный PN |
Целостность данных |
CRC-32 |
CRC-32 |
Michael |
Michael |
AES |
AES |
|
|
|
|
|
(CBC-MAC) |
(CBC-MAC) |
Целостность заголовка |
Отсутствует |
Отсутствует |
Michael |
Michael |
AES |
AES |
|
|
|
|
|
(CBC-MAC) |
(CBC-MAC) |
Управление ключами |
Статические |
Статические |
Статические для |
На основе EAP |
Статические |
На основе EAP |
|
для всей сети |
для всей сети |
всей сети |
|
для всей сети |
|
Wireless и VPN
Защита при помощи межсетевого экрана
Рекомендации по обеспечению безопасности в беспроводных сетях
Тип сети |
Корпоративная |
Сеть |
Мостовое |
|
сеть |
Hot-Spot |
соединение |
Использование WPA2 |
√ |
|
|
|
|
|
|
Использование WPA |
√ |
|
|
|
|
|
|
Использование 802.1x |
√ |
|
|
|
|
|
|
Использование WEP |
√ |
√ |
√ |
|
|
|
|
Использование VPN |
√ |
|
√ |
|
|
|
|
Вынос точки доступа |
√ |
√ |
√ |
за брандмауэр |
|
|
|
Использование IDS |
√ |
√ |
√ |
|
|
|
|
Аутентификация на |
√ |
√ |
|
пограничном ресурсе |
|
|
|
Фильтрация по MAC-адресам |
√ |
|
√ |
|
|
|
|
Отключение рассылки SSID |
√ |
|
√ |
|
|
|
|
Обзор межсетевых экранов D-Link
Характеристики межсетевых экранов D-Link
Производительность
Модель |
Количество Производител Производител Производител Производител |
Количество |
Количество |
Порты |
802.1Q |
|||||
|
сессий |
ьность, Мбит/с |
ьность VPN, |
ьность IPS, |
ьность AV, |
туннелей |
политик |
(Роль (LAN, WAN, DMZ) может быть |
|
|
|
|
|
Мбит/с |
Мбит/с |
Мбит/с |
|
|
переназначена) |
|
|
|
|
|
|
|
|
|
|
|
||
DFL-260E |
25,000 |
150 |
60 |
70 |
35 |
100 |
500LAN - 5-ти портовый коммутатор 1Г |
8 Vlans |
||
|
|
|
|
|
|
|
|
WAN - 1* 1Г, DMZ - 1* 1Г |
|
|
DFL-860E |
40,000 |
250 |
100 |
70 |
50 |
300 |
1,000LAN - 8-ми портовый коммутатор 1Г |
16 Vlans |
||
|
|
|
|
|
|
|
|
WAN - 2* 1Г, DMZ - 1* 1Г |
|
|
DFL-1660 |
600,000 |
1,200 |
350 |
400 |
225 |
2,500 |
4,0006* 1Г всего (настраивается пользователем) 1024 |
Vlans |
||
DFL-2560 |
1,500,000 |
2,000 |
1,000 |
600 |
450 |
5,000 |
6,00010* 1Г всего (настраивается |
2048 |
Vlans |
|
|
|
|
|
|
|
|
|
пользователем) |
|
|
DFL-2560G |
1,500,000 |
2,000 |
1,000 |
600 |
450 |
5,000 |
6,00010* 1Г всего (6 UTP и 4 SFP, настраивается 2048 |
Vlans |
||
|
|
|
|
|
|
|
|
пользователем) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Характеристики межсетевых экранов D-Link
Режимы работы
Модель |
Пакетные |
Режимы |
Управление |
Маршрутизац Мультикаст |
SPI |
IDS/AV сигнатуры |
Аутентификац Управление |
Zone- |
Отказоустойчивость |
||
|
фильтры |
|
полосой |
ия |
|
|
|
ия |
|
Defense |
|
|
|
|
пропускания |
|
|
|
|
|
|
|
|
DFL-260E |
Между |
Transparen Гарантирован |
Статическая, |
Без IGMP, |
Да |
Обновляемая база, |
Внутренняя |
RS-232, |
Нет |
Резервирование каналов, |
|
|
всеми |
t (bridge), |
ная, |
на основе |
IGMP Proxy, |
|
настраиваемая |
БД, RADIUS, |
HTTP, |
|
балансировка нагрузки |
|
интерфейса |
Router, |
максимальная, |
политик |
IGMP |
|
реакция на отдельные LDAP, X.509, |
HTTPS, |
|
между каналами |
|
|
ми, включая NAT (Static |
по потоку, по |
|
Snooping |
|
сигнатуры, |
PSK |
SSH, |
|
|
|
|
VLANs и |
& Dynamic) |
DSCP |
|
|
|
блокирование IM/P2P |
|
SNMPv1/v2c, |
|
|
|
туннели |
|
|
|
|
|
|
|
Syslog, E- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DFL-860E |
Между |
Transparen Гарантирован |
Статическая, |
Без IGMP, |
Да |
Обновляемая база, |
Внутренняя |
RS-232, |
Да |
Резервирование каналов, |
|
|
всеми |
t (bridge), |
ная, |
динамическа |
IGMP Proxy, |
|
настраиваемая |
БД, RADIUS, |
HTTP, |
|
балансировка нагрузки |
|
интерфейса |
Router, |
максимальная, |
я (OSPF), на |
IGMP |
|
реакция на отдельные LDAP, X.509, |
HTTPS, |
|
между каналами, |
|
|
ми, включая |
NAT (Static |
по потоку, по |
основе |
Snooping |
|
сигнатуры, |
PSK |
SSH, |
|
балансировка нагрузки |
|
VLANs и |
& Dynamic) |
DSCP |
политик |
|
|
блокирование IM/P2P |
|
SNMPv1/v2c, |
|
между хостами |
|
туннели |
|
|
|
|
|
|
|
Syslog, E- |
|
|
|
|
|
|
|
|
|
|
|
Да |
|
|
DFL-1660 |
Между |
Transparen Гарантирован |
Статическая, |
Без IGMP, |
Да |
Обновляемая база, |
Внутренняя |
RS-232, |
Резервирование каналов, |
||
DFL-2560 |
всеми |
t (bridge), |
ная, |
динамическа |
IGMP Proxy, |
|
настраиваемая |
БД, RADIUS, |
HTTP, |
|
балансировка нагрузки |
DFL- |
интерфейса |
Router, |
максимальная, |
я (OSPF), на |
IGMP |
|
реакция на отдельные LDAP, X.509, |
HTTPS, |
|
между каналами, |
|
2560G |
ми, включая |
NAT (Static |
по потоку, по |
основе |
Snooping |
|
сигнатуры, |
PSK |
SSH, |
|
балансировка нагрузки |
|
VLANs и |
& Dynamic) |
DSCP |
политик |
|
|
блокирование IM/P2P |
|
SNMPv1/v2c, |
|
между хостами, режим |
|
туннели |
|
|
|
|
|
|
|
Syslog, E- |
|
высокой доступности |
|
|
|
|
|
|
|
|
|
|
|
|
Характеристики межсетевых экранов D-Link
ALG
Модель |
|
HTTP |
|
|
ALG |
FTP |
|
|
|
TFTP |
|
|
|
|
|
|
|
|
|
|
|
||||
|
Блокирование |
Блокирование |
Блокирование |
Антивирусная Определение Блокировани Блокирование Блокирование Антивирусна Определени Блокировани Антивирусна |
||||||||
|
доступа к URL загрузки файлов |
ActiveX, Java |
проверка |
динамических |
е режима |
команд |
загрузки |
я проверка |
е |
е команд |
я проверка |
|
|
ресурсу |
|
applets, Java |
|
портов |
(Активный, |
|
файлов |
|
динамически |
|
|
|
|
|
Scripts, VB |
|
|
Пассивный) |
|
|
|
х портов |
|
|
|
|
|
Scripts, Cookies |
|
|
|
|
|
|
|
|
|
DFL-260E |
Статическое, |
По MIME типу, |
Да |
Да, включая |
Да |
Да |
Да |
По MIME типу Да, включая |
Да |
Да |
Да, включая |
|
DFL-860E |
По URL базе |
размеру |
|
ZIP и GZIP |
|
|
|
|
ZIP и GZIP |
|
|
ZIP и GZIP |
DFL-1660 |
(32 категории, |
|
|
архивы |
|
|
|
|
архивы |
|
|
архивы |
DFL-2560 |
обновляемая с |
|
|
|
|
|
|
|
|
|
|
|
DFL-2560G |
автоматической |
|
|
|
|
|
|
|
|
|
|
|
классификацие й)
Модель |
|
|
|
|
|
ALG |
|
|
|
|
|
|
|
SMTP |
|
|
POP3 |
|
SIP |
H.323 |
TLS |
PPTP |
|
|
Блокирование |
Блокирование |
Антиспамовая |
Антивирусная |
Блокирование |
Блокирование |
Антивирусная |
Определение |
Определение |
Терминация |
Работа |
|
сообщение |
загрузки |
проверка |
проверка |
команд |
загрузки |
проверка |
динамических |
динамических |
TLS и SSL |
PPTP из |
|
|
файлов |
|
|
|
файлов |
|
портов |
портов |
сессий |
под NAT |
|
|
|
|
|
|
|
|
|
|
|
|
DFL-260E |
По количеству |
По MIME типу |
Да |
Да, включая |
Да |
По MIME типу |
Да, включая ZIP |
Да |
Да |
Да |
Да |
DFL-860E |
за минуту, по |
|
|
ZIP и GZIP |
|
|
и GZIP архивы |
|
|
|
|
DFL-1660 |
размеру |
|
|
архивы |
|
|
|
|
|
|
|
DFL-2560 |
|
|
|
|
|
|
|
|
|
|
|
DFL-2560G |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Характеристики межсетевых экранов D-Link
Тунелирование
Модель |
|
|
|
|
|
Протокол |
Режим |
Обмен |
Длина DH |
|
|
|
ключами |
|
DFL-260E |
ESP |
Тунельный, |
IKE (Main & |
Group 5, |
DFL-860E |
|
транспортный, |
Aggressive) |
Group 2, |
DFL-1660 |
|
оба |
|
Group 1 |
DFL-2560 |
|
|
|
|
DFL-2560G |
|
|
|
|
|
IPSSec |
|
|
|
|
PFS |
Шифрование |
Аутентификация |
Keep Alive |
xAuth |
NAT-T |
Да |
DES, 3DES, AES |
Х.509, PSK, |
Ручной, авто, Да |
Да |
|
|
(128-256), Twofish, |
SHA1, MD5 |
DPD |
|
|
|
Blowfish, CAST128 |
|
|
|
|
Модель |
|
PPTP |
|
|
L2TP |
|
|
PPPoE |
GRE |
SSL |
|
Режим |
Аутентификация |
Шифрование |
Режим |
Аутентификация |
Шифрование |
Режим |
Аутентификация |
|
Режим |
|
|
|
|
|
|
|
|
|
||
DFL-260E |
Сервер, Клиент PAP, CHAP, |
MPPE (40-128) |
Сервер, Клиент PAP, CHAP, |
MPPE (40-128), |
Клиент |
PAP, CHAP, |
Да |
Сервер |
||
DFL-860E |
|
MSCHAP, |
|
|
MSCHAP, |
IPSec (в режиме |
|
MSCHAP, |
|
|
DFL-1660 |
|
MSCHAPv2 |
|
|
MSCHAPv2 |
Сервера) |
|
MSCHAPv2 |
|
|
DFL-2560 |
|
|
|
|
|
|
|
|
|
|
DFL-2560G |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|