Шпоры - Ответы на зачет по теории и методологии защиты информации - файл n1.docx

Шпоры - Ответы на зачет по теории и методологии защиты информации
Скачать все файлы (72.2 kb.)

Доступные файлы (1):
n1.docx73kb.01.04.2014 06:17скачать

n1.docx

1   2   3

IDS (Intrusion Detection System) — СОВ (система обнаружения вторжений): СОВ анализирует входящий трафик, выявляя подозрительные типы активности. Если она обнаруживает подозрительный трафик, то происходит оповещение администратора сети, который может заблокировать любые события, аналогичные происходящим. В некоторых случаях СОВ также могут оповещать о заданных событиях другие системы в сети, предназначенные для ее защиты.
IPS (Intrusion Prevention System) — СПВ (системы предупреждения вторжений): СПВ подобна СОВ, кроме того, что она предназначена для выполнения немедленных действий — например, блокировки конкретных IP-адресов или пользователей, — а не просто предупреждения системы и администратора сети. Некоторые СПВ также используют метод поведенческого анализа для обнаружения и пресечения потенциально опасных пакетов данных.
***СОВ часто называют «активной» системой, в отличие от СПВ, которые, как правило, считаются «пассивными».


34. Какие уровни стека протоколов TCP/IP используются для создания VPN? 

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (т.е. физический, канальный и сетевой)


35. Назовите основные типы конфигураций VPN. 

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.


36. Назовите основные недостатки применения VPN.

Недостатки SSL VPN:

• Простота и переносимость SSL провоцируют более широкое использование удаленного доступа с неуправляемых ПК. 
• По мере роста требований к SSL-решениям усложняется управление ими. 
• Покупатели вынуждены брать на себя ответственность за обеспечение достаточного уровня безопасности на удаленных точках доступа. 
• Роуминг для стандартных сеансов SSL не является прозрачным и требует обновления в браузере.

Недостатки IPsec VPN: 
• Компании продолжают практику использования простых идентификаторов пользователей и паролей, что увеличивает риск вторжения. 
• Не все клиентское ПО одинаково качественное.

• Требуется постоянный IP-адрес. 
• Не поддерживается роуминг.


37. Что понимается под термином «туннелирование»? 

Туннелирование (от англ. tunnelling - "проложение туннеля") в компьютерных сетях — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве тоннеля.

Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт» для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети. Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети.


38. Перечислите основные различия транспортного и туннельного режимов. 

В транспортном режиме работы СКЗИ сначала вычисляется контрольная сумма для поля данных пакета, после чего зашифровывается это поле вместе с контрольной суммой. Заголовок пакета данных передается в незашифрованном виде.

При передаче в туннельном режиме СКЗИ вычисляется контрольная сумма для пакета данных и выполняется его шифрование, зашифрованный блок данных инкапсулируется (переупаковывается) в новое сообщение , которое передается следующему СКЗИ при этом в поле заголовка «адрес получателя (IP)» сформируется пакет вместо адреса автоматически указывается адрес СКЗИ, которому предназначается сообщение. После передачи сообщения на другой конец туннеля СКЗИ расшифровывает полученные данные, проверяет их целостность, после чего передает адресату.


39. Оцените порядок «накладных расходов» при применении протоколов ESP и АН. 


40. Возможно ли одновременное применение протоколов ESP и АН для организации защищенной связи? 

Ключевым объектом в механизмах аутентификации и конфиденциальности для IP является защищенная связь (Security Association). Связь представляет собой одностороннее отношение между отправителем и получателем, применяющим сервис защиты к транспортному потоку. Сервис защиты предоставляет возможность для защищенной связи использовать либо АН, либо ESP, но никак не обе эти возможности одновременно.

В любом пакете IP защищенная связь однозначно идентифицируется адресом пункта назначения в заголовке IPv4 или IPv6 и индексом параметров защиты (даёт возможность выбрать защищённую связь по которой должен обрабатываться полученный пакет) во вложенном заголовке расширения (АН или ESP).


41. Какие варианты защищенной связи поддерживаются протоколом IPSec? 

Протокол IPsec предоставляет три вида услуг: аутентификацию (АН), шифрование (ESP) и безопасную пересылку ключей. Обычно желательны обе первые услуги, так как неавторизованный клиент не сможет проникнуть в VPN (Virtual Private Network - виртуальная частная сеть), а шифрование не позволит злоумышленникам прочитать, исказить или подменить сообщения. По этой причине протокол ESP предпочтительнее, так как он позволяет совместить обе эти услуги.


42. Какой из протоколов (ESP или АН) несовместим с NAT? 

Именно потому, что AH обеспечивает хорошую защиту содержимого пакета, так как этот протокол покрывает все, что только нужно защитить, эта защита приводит к несовместимости с NAT. Протокол NAT используется для установления соответствия между частными IP-адресами (например, 19.125.1.X) и легальными IP. При этом IP заголовок модифицируется устройством NAT путем замены IP-адресов отправителя и получателя. Когда изменяются IP-адреса, нужно заново вычислить контрольную сумму заголовка. Так как устройство NAT обычно размещается в одном шаге между отправителем и получателем это требует, кроме того декрементации значения TTL. Так как поля TTL и контрольная сумма заголовка всегда модифицируются на пролете, AH знает, что эти поля следует исключить из зоны защиты, но это не касается IP адресов. Адреса включены в область вычисления ICV, и любая модификация вызовет сбой при проверке ICV получателем. Так как вычисление ICV требует знания секретного ключа, который неизвестен промежуточным узлам, маршрутизатор NAT не сможет заново вычислить ICV.

Аналогичная проблема возникает при использовании протокола PAT (Port Address Translation), который устанавливает соответствие нескольких частных IP адресов одному внешнему IP. В этом случае изменяются не только IP-адреса. Но и коды портов в UDP и TCP пакетах (а иногда и в поле данных). Это требует много большей адаптивности со стороны устройства NAT, и более серьезных модификаций всей IP дейтограммы.

По этой причине, протокол AH в туннельном или транспортном режиме полностью несовместим с NAT.


43. Каковы состав и назначение цифрового сертификата открытых ключей? 

Сертификат открытого ключа (сертификат ЭЦП, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ)) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

для проверки подписи владельца (аутентификация)

для шифрования посылаемых ему данных (конфиденциальность)

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.

Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:




Украина

Россия

уникальный регистрационный номер сертификата

+

+

даты и время начала и окончания срока действия сертификата

+

+

фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца

+

+

открытый ключ

+

+

наименование и реквизиты ЦС

+

+

наименование криптографического алгоритма

+

+

информацию об ограничении использования подписи

+

+

указание на страну выпуска сертификата

+

-

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.


44. Для чего в уполномоченном центре ведутся списки отозванных сертификатов и отозванных полномочий? 

45. Какие средства могут быть использованы для построения VPN?

 1. ОС со встроенными функциями VPN(Win 2000, 2003, 2008, Linux)

2. Маршрутизаторы и коммутаторы, ПО, которое имеет функции СКЗИ (Cisco, 3COM, Nortel)

3. Межсетевые экраны в ПО которых есть функции построения VPN (Cisco Pix Firewall, Check Point FW-1)

4. Специализированное программно-аппаратное обеспечение («Континент», «Застава», VipNET)

Наиболее часто для построения VPN используется криптопротокол IPSec , спецификация которого является частью базового стандартаIPv6, посредством которого реализуются функции OSI/
1   2   3
Учебный текст
© perviydoc.ru
При копировании укажите ссылку.
обратиться к администрации