ответы на контрольные вопросы по бкс. кр бкс 2. Процессов, связанных с обеспечением защиты данных в информационных системах, включая обеспечение аутентификации, авторизации и аудита, но без обеспечения доступности данных (защиты от dosатак)
 Скачать 25.23 Kb.
|
|
1. Какие компоненты входят в технологию ААА, для чего они предназначены? AAA (от англ. Authentication, Authorization, Accounting) — общее название процессов, связанных с обеспечением защиты данных в информационных системах, включая обеспечение аутентификации, авторизации и аудита, но без обеспечения доступности данных (защиты от DOS-атак). Authentication (аутентификация) — сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д. Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (пользователю А запрещён доступ к серверам компании). Accounting (учёт) — слежение за потреблением ресурсов (преимущественно сетевых) пользователем. В accounting включается также и запись фактов получения доступа к системе (англ. access logs). 2. Какое назначение, принципы работы и настройки протокола TACACS+? Данный протокол разработан компанией Cisco и является развитием прошлых версий TACACS и XTACACS. Несмотря на схожесть названий, TACACS+ был сильно видоизменен и не имеет обратной совместимости с TACACS, который сейчас практически нигде не применяется. Основная сфера использования TACACS+ – это администрирование сетевых устройств, однако он может применяться для некоторых типов AAA при доступе в сеть. TACACS + использует Transmission Control Protocol (TCP) порт 49, а не UDP, так как он обладает большей надежностью и позволяет заранее получать информацию о потенциальных ошибках благодаря пакету TCP-RST. ТСP более медленный протокол, но обладает дополнительными преимуществами: возможность разделения аутентификации, авторизации и учета в качестве отдельных и независимых функций, множественная авторизация после одной аутентификации, шифрование всего содержимого пакета. 3. В чем отличие различных версий протокола TACACS, XTACACS, TACACS+? XTACACS - это расширенный TACACS, который предоставляет гораздо больше функций, чем протокол TACACS. Наиболее заметное различие между TACACS и XTACACS заключается в том, что процессы аутентификации, авторизации и аудита являются отдельными процессами. Таким образом, процессы аутентификации, авторизации и аудита могут выполняться разными серверами XTACACS. TACACS + - это совершенно новый протокол, который отличается от TACACS и XTACACS и несовместим с ними. TACACS + - это расширение, разработанное Cisco для TACACS, которое добавляет шифрование и детальное управление командами. 4. Какой алгоритм аутентификации по протоколу TACACS+? TACACS+ использует AAA-архитектуру, которая выделяет авторизацию, аутентификацию и учет. Это позволяет параллельно функционировать различным решениям проверки подлинности, которые все еще используют TACACS+ для авторизации и обработки учетных записей. Например, протокол TACACS+ позволяет использовать проверку подлинности Kerberos, а также авторизацию и учет TACACS+. Сначала сервер NAS проверяет подлинность на сервере Kerberos, затем запрашивает сведения авторизации у сервера TACACS+ без повторной аутентификации. Сервер NAS информирует сервер TACACS+ о том, что он успешно прошел проверку подлинности на сервере Kerberos, а сервер после этого предоставляет сведения авторизации. 5. Для чего с точки зрения безопасности информации в компьютерных сетях используется протокол TACACS+? 6. Какие существуют сетевые атаки в отношении протокола TACACS+? DoS-атака Man-in-the-Middle атака 7. Какое назначение, принципы работы и настройки протокола Radius? RADIUS — это сервер доступа, который использует протокол AAA (аутентификация, авторизация и учет). Эта система распределенной безопасности защищает удаленный доступ к сетям и сетевым службам от несанкционированного доступа. RADIUS содержит три компонента: протокол с форматом кадра, использующим протокол дейтаграмм пользователя (UDP)/IP; сервер; клиент. Сервер работает на центральном компьютере, как правило, на стороне пользователя, а клиенты размещаются на серверах удаленного доступа и могут распространяться по сети. 8. Какой алгоритм аутентификации по протоколу Radius? RADIUS сочетает аутентификацию и авторизацию. Сервер RADIUS отправляет клиенту пакеты разрешения доступа, содержащие сведения авторизации. Это усложняет разграничение понятий аутентификации и авторизации. 9. Для чего с точки зрения безопасности информации в компьютерных сетях используется протокол Radius? Подлинность транзакций между клиентом и сервером RADIUS подтверждается с помощью общего секрета, никогда не пересылаемого по сети. Помимо этого, клиент RADIUS отправляет серверу RADIUS зашифрованный пароль пользователя. Это исключает возможность раскрытия пароля пользователя злоумышленником при слежении за незащищенной сетью. 10. Какое назначение, принципы работы и настройки протокола Diametr? DIAMETER — сеансовый протокол, созданный, отчасти, для преодоления некоторых ограничений протокола RADIUS. Обеспечивает взаимодействие между клиентами в целях аутентификации, авторизации и учёта различных сервисов (AAA, англ. authentication, authorization, accounting). Является основным протоколом архитектуры IMS. В основе протокола DIAMETER лежит концепция в создании базового протокола с возможностью его расширения для предоставления сервисов AAA при появлении новых технологий доступа. 11. Какие технологические ограничения протокола Radius позволяет преодолеть протокол Diametr? Название DIAMETER — игра слов, отражающая превосходство нового протокола над предшественником RADIUS (диаметр — удвоенный радиус). Diameter не имеет обратной совместимости по отношению к RADIUS, но предоставляет механизмы миграции. Среди отличий между протоколами особенно выделяют: Поддержка транспортных протоколов с гарантированной доставкой (TCP или SCTP вместо UDP) TCP транспорт для RADIUS еще в процессе стандартизации IETF Защита данных на сетевом и транспортном уровнях (IPsec или TLS) Transport Layer Security for RADIUS еще в процессе стандартизации IETF Поддержка перехода с RADIUS, несмотря на то, что Diameter не полностью совместим с RADIUS Увеличенное адресное пространство для пар атрибут-значение (AVP) и идентификаторов (32 bit вместо 8 bit) Модель клиент-сервер. В качестве исключения, тем не менее, поддерживаются некоторые инициируемые сервером сообщения Поддержка stateful и stateless моделей использования Динамическое обнаружение узлов (используя DNS SRV и NAPTR) Возможность согласования функциональных возможностей узлов Поддержка механизмов надежной доставки на уровне приложений, описаны механизмы отказоустойчивости и state machine (RFC 3539) Сообщения об ошибках Улучшенная поддержка мобильности Улучшенная расширяемость; возможность использования пользовательских команд и атрибутов 12. Какие существуют роли узлов относительно работы протокола Diametr? Термин «Diameter-узел» используется для ссылки на Diameter-клиент, на Diameter-сервер или на Diameter-агент (Relay agent, proxy agent, Redirect agent, Translation agent). 13. Какой алгоритм аутентификации по протоколу Diametr? |