Экзамен ответы на вопросыэ. 51. Определение мэ, три подхода к сегментированию сети, типы мэ, архитектура безопасности ip, компоненты ipsec
 Скачать 26.89 Kb.
|
|
51. Определение МЭ, три подхода к сегментированию сети, типы МЭ, архитектура безопасности IP, компоненты IPSec Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. Одним их недостатков первоначального протокола IP было отсутствие каких-либо механизмов, обеспечивающих аутентификацию и целостность данных, передаваемых через составную сеть. Для обеспечения различных сервисов безопасности на уровне IP для протоколов IPv4 и IPv6 был раз-работан набор протоколов IP Security или IPSec. Компоненты IPSec - InternetProtocolSecurity (IPsec) — это набор протоколов для обеспечения защиты данных, передаваемых по IP-сети. В отличие от SSL, который работает на прикладном уровне, IPsec работает на сетевом уровне и может использоваться нативно со многими операционными системами, что позволяет использовать его без сторонних приложений (в отличие от OpenVPN) 52. Определение МЭ, три подхода к сегментированию сети, типы МЭ, Протокол ESP Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. Протокол ESP - EncapsulatingSecurityProtocol (ESP), который обеспечивает конфиденциальность, целостность и аутентификацию пакета при передаче. 53. Определение МЭ, три подхода к сегментированию сети, типы МЭ, протокол IKE1, протокол IKE2 Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. Протокол IKE1 - (Internet Key Exchange) — стандартный протокол набора протоколов IPsec, используется для обеспечения защищённого взаимодействия в виртуальных частных сетях. Предназначение IKE — защищенное согласование и доставка идентифицирующей информации для "ассоциации безопасности" (SA). Протокол IKE2 – Internet Key Exchange 2 (IKEv2) — это протокол туннелирования на основе IPsec, который обеспечивает безопасный канал связи VPN между равноправными VPN-устройствами и определяет согласование и аутентификацию для ассоциаций безопасности IPsec (SAs) защищенным способом. 54. Определение МЭ, три подхода к сегментированию сети, типы МЭ, NAT Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. NAT - технология, позволяющая подменить IP-адрес в сетевых пакетах. Нужна для маскировки внутренних локальных IP-адресов сети и организации совместного доступа к сети Интернет. Последний меняется на внешний IP роутера, который доступен с внешней сети. 55. Определение МЭ, три подхода к сегментированию сети, типы МЭ, архитектура SSL/TLS,Протокол ChangeCipherSpec, Протокол Alert, Сертификаты X.509 Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. АрхитектураSSL/TLS – SSL (SecureSocketsLayer) и TLS (Transport Level Security) — криптографические протоколы, обеспечивающие защищенную передачу данных в компьютерной сети. Они широко используются в веб-браузерах, а также при работе с электронной почтой, обмене мгновенными сообщениями и в IP-телефонии.Соединение, защищенное протоколом TLS, обладает одним или несколькими следующими свойствами: Безопасность: симметричное шифрование защищает передаваемую информацию от прочтения посторонними лицами. Аутентификация: "личность" участника соединения можно проверить с помощью асимметричного шифрования. Целостность: каждое сообщение содержит код (MessageAuthenticationCode, MAC), с помощью которого можно проверить, что данные не были изменены или потеряны в процессе передачи. Протокол ChangeCipherSpec –Он существует для сигнализации перехода в режим шифрования. Протокол содержит единственное сообщение, которое зашифровано и сжато при текущем установленном соединении. Сообщение состоит только из одного бита со значением 1. Сообщение изменения шифра посылается и клиентом и сервером для извещения принимающей стороны, что последующие записи будут защищены в соответствии с новым договоренным CipherSpec и ключами. Принятие этого сообщения заставляет получателя отдать приказ уровню записи незамедлительно копировать состояние отложенного чтения в состояние текущего чтения. Сразу после послания этого сообщения, тот кто послал должен отдать приказ уровню записи перевести режим отложенной записи в режим текущей записи. Сообщение изменения шифра посылается во время рукопожатия, после того как параметры защиты были переданы, но перед тем как будет послано сообщение ‘finished’. Протокол Alert- Один из типов проверки, поддерживаемых в протоколе SSL записи, — это протокол тревоги.Сообщение тревоги передаёт трудности, возникшие в сообщении, и описание тревоги. Сообщение тревоги с критическим уровнем незамедлительно прерывает соединение. В этом случае другие соединения, соответствующие сессии, могут быть продолжены, но идентификатор сессии должен быть признан недействительным. Как и другие сообщения, сообщение тревоги зашифровано и сжато, как только указано текущее состояние соединения. Сертификаты X.509 –определяет стандартные форматы данных и процедуры распределения открытых ключей с помощью соответствующих сертификатов с цифровыми подписями. Эти сертификаты предоставляются удостоверяющими центрами (англ. CertificateAuthority). Кроме того, X.509 определяет формат списка аннулированных сертификатов, формат сертификатов атрибутов и алгоритм проверки подписи путём построения пути сертификации. X.509 предполагает наличие иерархической системы удостоверяющих центров для выдачи сертификатов. 56. Определение МЭ, три подхода к сегментированию сети, типы МЭ, Протокол Handshake в TLS 1.2, Протокол Handshake в TLS 1.3, Протокол Record Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. Протокол Handshake в TLS 1.2 – Клиент и сервер должны договориться об используемых шифрах и методах аутентификации, согласовать ключи и другие параметры сеанса связи. Набор согласованных параметров называется криптографическим контекстом. Согласование происходит при установлении соединения, путём обмена специальными сообщениями - handshake-сообщениями. Такой обмен в TLS осуществляется поверх обмена записями. Каждое Handshake-сообщение содержит специальный заголовок, состоящий из четырёх байтов. Первый байт обозначает код типа сообщения, три следующих байта - длину сообщения. Протокол HandshakeвTLS 1.3-В TLS 1.3 установление соединения организовано таким образом, что уже на втором шаге используется защищённый режим, то есть, разбор Handshake версии 1.3 требует, как минимум, использования протокола Диффи-Хеллмана и симметричных шифров. К TLS 1.2 и раньше - этот момент не относится. Поэтому мы сначала подробно разберём установление соединения в 1.2, потом рассмотрим протокол Диффи-Хеллмана (применительно к TLS) и симметричные шифры, после этого перейдём к анализу Handshake версии 1.3. (Заметьте, что для понимания принципов построения TLS 1.3 – необходимо понимание версии 1.2, особенно с учётом того, что 1.3 отличается весьма существенно.) ПротоколRecord – Получив данные от протоколов более высокого уровня, протокол Record формирует из них последовательность структур, которые называются записями. Затем сформированные записи передаются транспортному протоколу. Записи состоят из заголовка, описывающего передаваемые данные, и самих данных, которые передаются в открытом или защищенном виде в зависимости от текущего состояния соединения. Заголовок всегда передается в открытом виде. Данные, полученные от протокола транспортного уровня, протокол Record интерпретирует как записи и формирует из них сообщения для протоколов верхнего уровня, опираясь на заголовки записей. 57. Определение МЭ, три подхода к сегментированию сети, типы МЭ, GRE, зоны безопасности, ACL Определение МЭ Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN. Три подхода к сегментированию сети Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей. Типы МЭ Управляемые коммутаторы. Пакетные фильтры. Шлюзы сеансового уровня. Посредники прикладного уровня. Инспекторы состояния. определение VPN VirtualPrivateNetwork, то есть виртуальная частная сеть ПротоколыVPNнауровняхTCP/IP Сетевой, Межсетевой, Транспортный, Прикладной Протокол L2TP Layer 2 TunnelingProtocol (L2TP) - это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. GRE –протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. Зоны безопасности –zone security IN; zone security OUT; zone security DMZ ACL –AccessControlList или ACL — список управления доступом, который определяет, кто или что может получать доступ к объекту, и какие именно операции разрешено или запрещено выполнять субъекту. Списки контроля доступа являются основой систем с избирательным управлением доступа. |