- •§1. Основные принципы организации и задачи сетевой безопасности.
- •Уровень 1, физический (Physical Layer).
- •Уровень 3, сетевой (Network Layer)
- •Уровень 4, транспортный (Transport Layer)
- •Уровень 5, сеансовый (Session Layer)
- •Уровень 6, уровень представления (Presentation Layer)
- •Уровень 7, прикладной (Application Layer)
- •Рекомендации ieee 802
- •Сетезависимые и сетенезависимые уровни
- •§3. Обзор стека протоколов tcp/ip
- •3.1. Общая характеристика tcp/ip
- •Структура стека tcp/ip и краткая характеристика протоколов
- •3.2. Протоколы iPv4 и iPv6
- •Формат заголовка iPv4
- •Адресация в iPv6
- •Формат заголовка iPv6
- •Взаимодействие iPv6 и iPv4
- •Туннелирование
- •Двойной стек
- •Трансляция протоколов
- •IPv6 в России
- •§4. Математические основы криптографии.
- •4.1. Криптографические примитивы.
- •4.1.1. Подстановки
- •4.1.2. Перестановки
- •4.1.3. Гаммирование.
- •4.1.4. Нелинейное преобразование с помощью s-боксов
- •4.1.5. Комбинированные методы.
- •4.2. Потоковые шифры на основе сдвиговых регистров.
- •4.3. Абелевы группы и конечные поля.
- •4.3.1. Основные определения и примеры.
- •4.3.2. Неприводимые многочлены в конечном поле k.
- •4.4. Эллиптические кривые
- •4.5. Односторонние функции.
- •§5. Криптографические средства защиты.
- •5.1. Классификация криптографических методов.
- •5.2. Схема метода rc4.
- •5.4. Асимметричные системы шифрования
- •5.5. Алгоритм ЭльГамаля.
- •5.6. Алгоритм Диффи-Хелмана выработки общего секретного ключа.
- •§6. Электронно-цифровая подпись
- •6.1. Свойства эцп и ее правовые основы.
- •6.2. Алгоритм создание эцп и стандарты.
- •6.3. Использование эллиптических кривых в стандарте цифровой подписи.
- •§7. Сетевая аутентификация
- •Вычисление хеш-функций
- •7.2. Парадокс дня рождения
- •Использование цепочки зашифрованных блоков
- •Алгоритм md5
- •7.4. Алгоритм hmac
- •7.5. Простая аутентификация на основе хеш-значений
- •7.5. Сетевая аутентификация на основе слова- вызова.
- •§7. Протокол расширенной аутентификации Kerberos
- •§9. Стандарт сертификации X.509.
- •9.1. Аутентификация пользователей на основе сертификатов
- •9.2. Состав сертификата
- •Имя владельца сертификата.
- •Открытый ключ владельца сертификата.
- •Компоненты иок и их функции
- •Центр Сертификации
- •Эцп файлов и приложений
- •Стандарты в области иок
- •Стандарты pkix
- •Стандарты, основанные на иок
- •§10. Защита информации, передаваемой по сети
- •10.1. Организация защиты данных в сетях.
- •10.2. Протокол iPsec.
- •10.3. Спецификации iPsec.
- •10.3.1. Защищенные связи
- •10.3.2. Транспортный и туннельный режимы iPsec.
- •10.4. Режим ah протокола ipSec
- •10.6. Управление ключами ipSec
- •Следующий элемент
- •Тип обмена
- •Идентификатор сообщения
- •§11. Защита web.
- •11.1. Угрозы нарушений защиты Web
- •11.2.Архитектура ssl
- •Идентификатор сеанса.
- •2 Этап. Аутентификация и обмен ключами сервера.
- •3 Этап. Аутентификация и обмен ключами клиента.
- •4 Этап. Завершение.
- •11.4. Протокол set
- •11.5. Сравнительные характеристики протоколов ssl и set
- •§12. Организация сетей gsm.
- •12.1. Основные части системы gsm, их назначение и взаимодействие друг с другом
- •12.2. Полный состав долгосрочных данных, хранимых в hlr и vlr.
- •12.3. Полный состав временных данных, хранимых в vlr.
- •12.4. Регистрация в сети.
- •12.5. Пользовательский интерфейс мобильной станции
- •Регистрация пользователя в сети
- •Классы доступа
- •Режим фиксированных номеров
- •13. Защита сетей gsm.
10.3. Спецификации iPsec.
Спецификации IPsec определяются рядом документов. Наиболее важные из них были опубликованы в ноябре 1998 года. Это документы RFC с номерами 2401, 2402, 2406 и 2408. Они содержат
RFC 2401 – обзор архитектуры защиты;
RFC 2402 – описание расширений аутентификации пакетов IPv4 и IPv6;
RFC 2406 – описание расширений шифрования пакетов IPv4 и IPv6;
RFC 2408 – спецификации средств управления ключами.
Поддержка этих возможностей обязательна для IPv6, и допустима, но не обязательна для IPv4.
10.3.1. Защищенные связи
Ключевым моментом протокола IPsec является понятие защищенной связи (Security Assotiation). Связь представляет собой одностороннее отношение между отправителем и получателем, использующим защищенное соединение. Если необходим двухсторонний защищенный обмен, то необходимо создавать две защищенные связи. Отметим, что защищенная связь используется либо в режиме AH – заголовка аутентификации, либо в режиме ESP – защищенного содержимого IP-пакета, но не в обоих одновременно. Защищенная связь однозначно определяется следующими тремя параметрами:
Индекс параметров защиты – строка битов, присваиваемая данной защищенной связи. Передается в заголовках AH и ESP, чтобы принимающая сторона могла правильно обработать принимаемый пакет;
Адрес IP пункта назначения;
Идентификатор протокола защиты. Определяет, является ли данная защищенная связь связью AH или это ESP связь;
Параметры защищенной связи. Защищенная связь характеризуется следующими параметрами:
Счетчик порядкового номера. 32-битовое значение, используемое при генерации значений поля порядкового номера в заголовках AH или ESP;
Флаг переполнения счетчика порядкового номера. При переполнении счетчика порядкового номера генерирует событие прекращения передачи пакетов а рамках этой защищенной связи.
Окно защиты от воспроизведения. Используется для выявления повторных пакетов среди прибывающих пакетов AH или ESP;
Информация AH. Алгоритм аутентификации, ключи, параметры продолжительности жизни ключей и другие необходимые параметры.
Информация ESP. Алгоритм аутентификации и шифрования, ключи, значения инициализации, параметры продолжительности жизни ключей и другие необходимые параметры.
Продолжительность жизни данной защищенной связи. Интервал времени, в течение которого действительна данная защищенная связь.
Режим протокола IPsec. Туннельный, транспортный или задаваемый групповым символом.
Максимальная единица передачи (Maximum Transmission Unit MTU). Максимальный размер пакета, который может быть передан без фрагментирования.
Ассоциация потока данных с защищенными связями осуществляется с помощью базы данных политики защиты (Security Policy Database). В простейшей форме эта база данных представляет собой набор записей, определяющих некоторые подмножества потока IP и защищенные связи для этих потоков. Каждая запись состоит из наборов значений полей протокола IP и протоколов более высокого уровня (TCP, UDP, ICMP). Эти поля называются селекторами (например, селектором может быть IP-адрес получателя). Каждый передаваемый IP-пакет обрабатывается следующим образом:
Сравниваются значения соответствующих полей пакета (селекторов) с полями базами данных. В случае успеха находится некоторое число защищенных связей, удовлетворяющих критерию отбора.
Определяется защищенная связь и соответствующий индекс параметров защиты для данного пакета.
Выполняются необходимые операции IPsec (т.е. обработка AH или ESP).
В качестве селекторов базы данных политики защиты могут быть следующие поля:
Адрес IP пункта назначения;
Адрес IP пункта отправления;
Идентификатор пользователя (UserID);
Гриф секретности данных;
Протокол транспортного уровня;
Протокол IPsec – AH, ESP или AH/ESP;
Порты источника или порты адресата;