Опубликован: 19.01.2010 | Доступ: свободный | Студентов: 1540 / 216 | Оценка: 4.33 / 4.00 | Длительность: 18:53:00
Лекция 8:

Безопасность на сетевом уровне: IP SEC

8.7. Рекомендованная литература

Для более детального изучения положений, обсужденных в этой лекции, мы рекомендуем нижеследующие книги и сайты. Пункты, указанные в скобках, показаны в списке ссылок в конце.

Книги

[ DH03], [ FraOl], [ KPS02], [ Res0l], [ Sta06], [ Rhe03] полностью рассматривают IPSec.

Сайты

Нижеследующие сайты дают больше информации о темах, обсужденных в этой лекции.

8.8. Итоги

  • Безопасность IP ( IPSec ) - совокупность протоколов, разработанных IETF (Группа Инженерной поддержки сети Интернет) для того, чтобы обеспечить безопасность передачи пакетов на сетевом уровне.
  • IPSec работает в транспортном или туннельном режиме. В транспортном режиме IPSec защищает информацию, доставляемую от транспортного уровня к сетевому уровню, но не защищает заголовок IP. В туннельном режиме IPSec защищает весь пакет IP, включая первоначальный заголовок IP.
  • IPSec определяет два протокола: протокол заголовка аутентификации (AH) и полезную нагрузку со встроенной защитой (ESP). Эти протоколы обеспечивают аутентификацию, шифрование или и то и другое для пакетов на уровне IP. Протокол заголовка аутентификации (AH) подтверждает подлинность хоста источника и гарантирует целостность полезной нагрузки, которую несет пакет IP. Протокол " полезная нагрузка со встроенной защитой " ( ESP ) обеспечивает исходную аутентификацию, целостность и секретность. ESP добавляет к формату заголовок и конечную метку.
  • IPSec косвенно обеспечивает управление доступом, используя базу данных услуг обеспечения безопасности (SAD).
  • В IPSec стратегия безопасности (SP) определяет, какая безопасность должна быть обеспечена пакету в передатчике или в приемнике. IPSec использует множество стратегий безопасности, называемых базой данных стратегии безопасности (SPD).
  • Смена ключей в Интернете ( IKE ) - протокол, предназначенный для создания услуг обеспечения безопасности (SA) для входящих и исходящих соединений. IKE создает SA 's для IPSec.
  • IKE - сложный протокол, который базируется на трех других протоколах: Oakley, SKEME и ISAKMP.
  • IKE работает в двух фазах: фаза I и фаза II. Фаза I создает SA 's для фазы II; фаза II создает SA 's для протокола обмена данными, такого как IPSec.
  • ISAKMP -протокол разработан для того, чтобы доставить сообщение для протокола IKE.

8.9. Набор для практики

Обзорные вопросы

  1. Покажите различия между двумя режимами IPSec.
  2. Определите протокол AH и услуги безопасности, которые он обеспечивает.
  3. Определите протокол ESP и услуги безопасности, которые он обеспечивает.
  4. Определите услуги обеспечения безопасности (SA) и объясните их цель.
  5. Определите SAD и объясните его отношение к услугам обеспечения безопасности.
  6. Определите стратегию безопасности и объясните ее цель в отношении к IPSec.
  7. Определите IKE и объясните, почему этот протокол необходим в IPSec.
  8. Определите фазы IKE и цели каждой фазы.
  9. Определите ISAKMP и его отношение к IKE.
  10. Перечислите типы полезной нагрузки ISAKMP и цель каждого типа.

Упражнения

  1. Хост получает аутентифицированный пакет с порядковым номером 181. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
  2. Хост получает аутентифицированный пакет с порядковым номером 208. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
  3. Хост получает аутентифицированный пакет с порядковым номером 331. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
  4. Диаграмма для вычисления SKEYID при методе предварительного совместного ключа показана на рис. 8.44. Обратите внимание, что ключ к функции prf в этом случае - предварительный совместный ключ.
    Упражнение 14

    Рис. 8.44. Упражнение 14
    • нарисуйте подобную диаграмму SKEYID для метода открытого ключа.
    • нарисуйте подобную диаграмму SKEYID для метода цифровой подписи.
  5. Нарисуйте диаграмму, подобную рис. 8.44, для приводимых ниже случаев; ключ в каждом случае - SKEYID.
    • SKEYID_a
    • SKEYID_d
    • SKEYID_e
  6. Нарисуйте диаграмму, подобную рис. 8.44, для приводимых ниже случаев, ключ в каждом случае - SKEYID.
    • HASH1
    • HASH-R
  7. Нарисуйте диаграмму, подобную рис. 8.44, для следующего случая; ключ в каждом случае - SKEYID_d.
    • HASH1
    • HASH2
    • HASH3
  8. Нарисуйте диаграмму, подобную рис. 8.44, для следующего случая; ключ в каждом случае - SKEYID _d.
    • K для случая без PFS
    • K для случая с PFS
  9. Повторите упражнение для случая, в котором длина K - слишком мала.
  10. Начертите диаграмму и покажите ISAKMP -пакеты, которыми обменялись инициатор и респондент, использующие метод предварительного совместного ключа в главном режиме (см. рис. 8.20). Используйте по крайней мере два пакета предложения с двумя пакетами преобразования для каждого предложения.
  11. Повторите упражнение 10, используя метод первоначального открытого ключа в главном режиме (см. рис. 8.21).
  12. Повторите упражнение 10, используя пересмотренный метод открытого ключа в главном режиме (см. рис. 8.22).
  13. Повторите упражнение 10, используя метод цифровой подписи в главном режиме (см. рис. 8.23).
  14. Повторите упражнение 10 в энергичном режиме (см. рис. 8.24).
  15. Повторите упражнение 11 в энергичном режиме (см. рис. 8.25).
  16. Повторите упражнение 12 в энергичном режиме (см. рис. 8.26).
  17. Повторить упражнение 13 в энергичном режиме (см. рис. 8.27).
  18. Нарисуйте диаграмму и покажите фактические ISAKMP -пакеты, которыми обменялись инициатор и респондент в быстром режиме (см. рис. 8.28).
  19. Сравните методы предварительного совместного ключа в главном и энергичном режимах. Что сделано в энергичном режиме для безопасности? Каково увеличение эффективности?
  20. Сравните общие методы открытого ключа в главном и энергичном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
  21. Сравните пересмотренные методы открытого ключа в главном и агрессивном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
  22. Сравните метод цифровой подписи в главном и агрессивном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
  23. В главном и агрессивном режиме - мы предполагаем, что злоумышленник не может вычислить SKEYID. Приведите доводы в пользу этого предположения.
  24. В фазе I IKE идентификатор обычно определяется как адрес IP. В предварительном общедоступном методе предварительный совместный ключ - также функция адреса IP. Покажите, как это может создать порочный круг.
  25. Сравните методы для главного режима и покажите, какой метод позволяет обменяться защищенными ID.
  26. Повторите упражнение для энергичных методов.
  27. Покажите, как IKE реагирует на атаку воспроизведения в главном режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в главном режиме
  28. Покажите, как IKE реагирует на атаку воспроизведения в энергичном режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в энергичном режиме.
  29. Покажите, как IKE реагирует на атаку воспроизведения в быстром режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в быстром режиме.
  30. Покажите, как IPSec реагирует на атаку грубой силы. Если злоумышленник может сделать исчерпывающий компьютерный поиск, сможет ли он найти ключ шифрования для IPSec?
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова