- •Стандарты и рекомендации в области информационной безопасности - «Оранжевая книга» (Основные элементы политики безопасности, подотчетность,
- •Характеристика классов безопасности «Оранжевая книга»
- •Гармонизованные критерии безопасности информационных технологий Европейских странны.
- •5. Положения руководящих документов Гостехкомиссии рф.
- •6. Рекомендации X-800. Распределение функций безопасности по уровням osi.
- •7. Интерпритация «Оранжевой книги» для сетевых конфигураций
- •8. Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •9. Системы защиты вычислительной сети первого и второго рода.
- •10. Криптография.Семь критериев идеальной криптосистемы. Классификация криптосистемы.
- •11. Система с открытым ключом Диффи и Хеллмана. Криптосистема rsa с открытым ключом.
- •12. Средства формирования электронной подписи.
- •13. Алгоритм генерации дайджеста.
- •14. Принципы использования ключей формирования.
- •15.Идентификация и аутентификация.
- •16.Биометрические технологии. Виды. Достоинства и недостатки.
- •17. Протоколы аутентификации. Типы протоколов pap, chap, двухсторонняя аутентификация. Атаки на протоколы.
- •Протокол pap
- •18. Аутентификация с применением hmac. Диффи-Хелмана.
- •Протокол аутентификации с кdc. Протоколы Нидхэма-Шредера. Отуэя-Риса.
- •Kerberos. Аутентификация с помощью шифрования с открытым ключем.
- •Безопасность сети и каналов передачи данных. Действия хакера по прослушиванию и опросу. Отказ в обслуживании. Замаскированные атаки. Атака «человек посередине».
- •23.Архитестура ipsec. Варианты, типы и случаи sa.
- •24. Транспортный и ткнельный режимы ipSec. Заголовки ah и esp. Посылка и получении е данных в ipSec
- •Стандарты
- •[Править] Архитектура iPsec
- •[Править]Обработка выходных ip-пакетов
- •[Править]Обработка входных ip-пакетов
- •[Править]Encapsulating Security Payload
- •[Править]Обработка выходных iPsec-пакетов
- •[Править]Обработка входных iPsec-пакетов
- •[Править]Использование
- •25.Построение средств межсетевой защиты. Брандмауэр. Архитектура брандмауэра. Типы и классификация брандмауэров.
- •26.Построение средств межсетевой защиты. Схемы подключения брандмауэров. Недостатки Firewalls.
- •5.6. Построение средств межсетевой защиты информации
- •27.Политика безопасности. Принципы безопасности.
- •28.Уровни политики безопасности. Схема разработки политики безопасности. Меры по созданию и обеспечению политики безопасности.
- •29.Ids. Модель адаптивного управления. Классификация систем обнаружения атак. Системы обнаружения на сетевом и хост уровнях.
23.Архитестура ipsec. Варианты, типы и случаи sa.
24. Транспортный и ткнельный режимы ipSec. Заголовки ah и esp. Посылка и получении е данных в ipSec
IPsec
IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключамив сети Интернет. В основном, применяется для организации vpn-соединений.
Стандарты
RFC 2401 (Security Architecture for the Internet Protocol) — Архитектура защиты для протокола IP.
RFC 2402 (IP Authentication header) — Аутентификационный заголовок IP.
RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — Использование алгоритма хэширования MD-5 для создания аутентификационного заголовка.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — Использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — Использование алгоритма шифрования DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) — Шифрование данных.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — Область применения протокола управления ключами.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) — Управление ключами и аутентификаторами защищенных соединений.
RFC 2409 (The Internet Key Exchange (IKE)) — Обмен ключами.
RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — Нулевой алгоритм шифрования и его использование.
RFC 2411 (IP Security Document Roadmap) — Дальнейшее развитие стандарта.
RFC 2412 (The OAKLEY Key Determination Protocol) — Проверка соответствия ключа.
[Править] Архитектура iPsec
Протоколы IPsec, в отличие от других хорошо известных протоколов SSL и TLS, работают на сетевом уровне (уровень 3 модели OSI). Это делает IPsec более гибким, так что он может использоваться для защиты любых протоколов, базирующихся на TCP и UDP. IPsec может использоваться для обеспечения безопасности между двумя IP-узлами, между двумя шлюзами безопасности или между IP-узлом и шлюзом безопасности. Протокол является "надстройкой" над IP-протоколом, и обрабатывает сформированные IP-пакеты описанным ниже способом. IPsec может обеспечивать целостность и/или конфиденциальность данных передаваемых по сети.
IPsec использует следующие протоколы для выполнения различных функций:
Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и дополнительную функцию по предотвращению повторной передачи пакетов
Encapsulating Security Payload (ESP) может обеспечить конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может обеспечить целостность виртуального соединения (передаваемых данных), аутентификациюисточника информации и дополнительную функцию по предотвращению повторной передачи пакетов (Всякий раз, когда применяется ESP, в обязательном порядке должен использоваться тот или иной набор данных услуг по обеспечению безопасности)
Security Association (SA) обеспечивают связку алгоритмов и данных, которые предоставляют параметры, необходимые для работы AH и/или ESP. Internet security association and key management protocol (ISAKMP) обеспечивает основу для аутентификации и обмена ключами, проверки подлинности ключей.
Security Association
Концепция "Защищенного виртуального соединения" (SA, "Security Association") является фундаментальной в архитектуре IPsec. SA представляет собой симплексное соединение, которое формируется для транспортирования по нему соответствующего трафика. При реализации услуг безопасности формируется SA на основе использования протоколов AH и ESP (либо обоих одновременно). SA определен в соответствии с концепцией межтерминального соединения (point-to-point) и может функционировать в двух режимах: транспортный режим (РТР) и режимтунелирования (РТУ). Транспортный режим реализуется при SA между двумя IP-узлами. В режиме туннелирования SA формирует IP-туннель.
Все SA хранятся в в базе данных SADB (Security Associations Database) IPsec-модуля. Каждое SA имеет уникальный маркер, состоящий из трех элементов:
индекса параметра безопасности (SPI)
IP-адреса назначения
идентификатора протокола безопасности (ESP или AH)
IPsec-модуль, имея эти три параметра, может отыскать в SADB запись об конкретном SA. В список компонентов SA входят:
Последовательный номер
32-битовое значение, которое используется для формирования поля Sequence Number в заголовках АН и ESP.
Переполнение счетчика порядкового номера
Флаг, который сигнализирует о переполнении счетчика последовательного номера.
Окно для подавления атак воспроизведения
Используется для определения повторной передачи пакетов. Если значение в поле Sequence Number не попадает в заданный диапазон, то пакет уничтожается.
Информация AH
используемый алгоритм аутентификации, необходимые ключи, время жизни ключей и другие параметры.
Информация ESP
алгоритмы шифрования и аутентификации, необходимые ключи, параметры инициализации (например, IV), время жизни ключей и другие параметры
Режим работы IPsec
туннельный или транспортный
MTU
Максимальный размер пакета, который можно передать по виртуальному каналу без фрагментации.
Так как защищенные виртуальные соединения(SA) симплексные соединения, то для организации дуплексного канала, как минимум, нужны два SA. Помимо этого, каждый протокол (ESP/AH) должен иметь свою собственную SA для каждого направления, то есть, связка AH+ESP требует наличия четырех SA. Все эти данные располагаются в SADB.
В SADB содержатся:
AH: алгоритм аутентификации.
AH: секретный ключ для аутентификации
ESP: алгоритм шифрования.
ESP: секретный ключ шифрования.
ESP: использование аутентификации (да/нет).
Параметры для обмена ключами
Ограничения маршрутизации
IP политика фильтрации
Помимо базы данных SADB, реализации IPsec поддерживают базу данных SPD (Security Policy Database- База данных политик безопасности). Запись в SPD состоит из набора значений полей IP-заголовка и полей заголовка протокола верхнего уровня. Эти поля называются селекторами. Селекторы используются для фильтрации исходящих пакетов, с целью поставить каждый пакет в соответствие с определенным SA. Когда формируется пакет, сравниваются значения соответствующих полей в пакете (селекторные поля) с теми, которые содержатся SPD. Находятся соответствующие SA. Затем определяется SA (в случае, если оно имеется) для пакета и сопряженный с ней индекс параметров безопасности(SPI). После чего выполняются операции IPsec(операции протокола AH или ESP).
Примеры селекторов, которые содержатся в SPD:
IP-адрес места назначения
IP-адрес отправителя
Протокол IPsec (AH, ESP или AH+ESP)
Порты отправителя и получателя
Authentication Header
Authentication Header format |
||||||||||||||||||||||||||||||||
Offsets |
Octet16 |
0 |
1 |
2 |
3 |
|||||||||||||||||||||||||||
Octet16 |
Bit10 |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
031 |
0 |
Next Header |
Payload Len |
Reserved |
||||||||||||||||||||||||||||
4 |
32 |
Security Parameters Index (SPI) |
||||||||||||||||||||||||||||||
8 |
64 |
Sequence Number |
||||||||||||||||||||||||||||||
C |
96 |
Integrity Check Value (ICV) … |
||||||||||||||||||||||||||||||
… |
… |
|||||||||||||||||||||||||||||||
Next Header (8 bits)
Тип заголовка протокола, идущего после заголовка AH. По этому полю приемный IP-sec модуль узнает о защищаемом протоколе верхнего уровня. Значения этого поля для разных протоколов можно посмотреть в RFC 1700.
Payload Len (8 bits)
Это поле определяет общий размер АН-заголовка в 32-битовых словах, минус 2. Несмотря на это, при использовании IPv6 длина заголовка должна быть кратна 8 байтам.
Reserved (16 bits)
Зарезервировано. Заполняется нулями.
Security Parameters Index (32 bits)
Индекс параметров безопасности. Значение этого поля вместе с IP-адресом получателя и протоколом безопасности (АН-протокол), однозначно определяет защищенное виртуальное соединение(SA) для данного пакета. Диапазон значений SPI 1...255 зарезервирован IANA.
Sequence Number(32 bits)
Последовательный номер. Служит для защиты от повторной передачи. Поле содержит монотонно возрастающее значение параметра. Несмотря на то, что получатель может отказаться от услуги по защите от повторной передачи пакетов, оно является обязательным и всегда присутствует в AH-заголовке. Передающий IPsec-модуль всегда использует это поле, но получатель может его и не обрабатывать.
Integrity Check Value
Контрольная сумма. Должна быть кратна 8-байтам для IPv6, и 4-байтам для IPv4.
Протокол AH используется для аутентификации, то есть для подтверждения того, что мы связываемся именно с тем, с кем предполагаем, и что данные, которые мы получаем, не искажены при передаче.