Информационная безопасность открытых систем-2

Лекции

1 неделя (4 часа). Базовые сведения о виртуальных частных сетях (VPN) (начало)
Базовые понятия о VPN. Различные подходы к определению VPN, определение компании Check Point Software Technologies. Цели и задачи применения VPN-технологий. Преимущества VPN по сравнению с защищенными выделенными каналами связи и другими методами организации защищенной связи.
Классификация VPN. Специфика построения VPN. Критерии, предъявляемые к VPN. Классификация VPN компании Check Point по типу устанавливаемых соединений: Intranet VPN, Client\Server VPN, Extranet VPN, Remote Access VPN – определения, характерные черты и особенности использования. Классификация VPN согласно консорциуму VPN (VPNC) по степени защищенности: доверенные, защищенные и смешанные VPN – определения, требования, технологии построения.
VPN в сетях общего пользования. Специфика использования VPN в сетях Frame Relay, ATM, X.25, TCP/IP.
Туннелирование. Механизм туннелирования как основа построения VPN. Общий поход к созданию туннелей, функции конкретных протоколов, участвующих в процессе туннелирования. Обеспечение конфиденциальности, подлинности и целостности при использовании инкапсуляции данных.
2 неделя (4 часа). Базовые сведения о VPN (окончание)
Базовая схема VPN. VPN-агенты. Функции VPN-агентов. Обработка входящих и исходящих пакетов. Различные варианты позиционирования и использования VPN-агентов.
Политики безопасности VPN. Основные варианты создания VPN: защищенные, частные и промежуточные каналы. Варианты политик безопасности при использовании каналов Internet для построения VPN. Интеграция VPN и дополнительных средств защиты: использование PKI, криптографические модули, аудит, антивирусные средства и т.д.
Межсетевые экраны. Назначение и функции МЭ. Основные компоненты МЭ. Принцип работы МЭ, варианты позиционирования МЭ. Основные типы МЭ: пакетные фильтры, шлюзы сеансового уровня, шлюзы прикладного уровня, МЭ экспертного уровня. Руководящий документ Гостехкомиссии РФ по МЭ.
Варианты построения VPN. VPN на базе сетевой ОС, МЭ, маршрутизаторов, специализированного ПО, аппаратных средств – основные характеристики, сравнительный анализ.
3 неделя (4 часа). Стандартные протоколы создания VPN (начало)
Протокол PPTP. Функции протокола. Компоненты PPTP. Сценарии работы протокола. Архитектура PPTP. Управляющее соединение и управляющие сообщения. Инкапсуляция данных при передаче. Аутентификация, контроль доступа и шифрование. Настройка VPN на базе протокола PPTP в среде Windows 2000.
Протокол L2TP. Основные функции и характеристики протокола. Управление L2TP-туннелем. Управляющие сообщения L2TP. L2TP/IPSec инкапсуляция данных. Обработка входящих и исходящих данных. Настройка VPN на базе протокола L2TP в среде Windows 2000.
4 неделя (4 часа). Стандартные протоколы создания VPN (продолжение)
Архитектура IPSec. Функции, принцип работы, сценарии применения IPSec. Обзор основных компонентов IPSec. Главные базы данных IPSec: SPD, SAD, PAD. Политики безопасности IPSec. Ассоциации безопасности (SA): определение, назначение, процедуры управления. Обработка IP-трафика. Особенности обработки ICMP-трафика и фрагментированных IP-пакетов. Использование аудита в архитектуре IPSec.
5 неделя (4 часов). Стандартные протоколы создания VPN (продолжение)
Защита данных с помощью протоколов AH и ESP. Инкапсуляция данных в транспортном и туннельном режимах работы. Форматы заголовков. Защищаемые поля IP-заголовка при использовании AH в транспортном режиме. Обработка исходящих (поиск SA, генерация порядкового номера, вычисление ICV и шифрование данных, фрагментация) и входящих (сборка, поиск SA, проверка порядкового номера, проверка ICV, расшифрование, проверка на соответствие записи в SPD) пакетов. Использование комбинированных криптографических алгоритмов в ESP. Особенности использования расширенных (64-битных) порядковых номеров. Защита от повторной передачи пакетов.
6 неделя (4 часа). Стандартные протоколы создания VPN (окончание)
Согласование параметров безопасности с использованием протокола IKE. Порядок обмена сообщениями IKE. Сообщения IKE_SA_INIT для согласования параметров безопасности IKE_SA и обмена по протоколу Диффи-Хеллмана. Сообщения IKE_AUTH для аутентификации и установления CHILD_SA для защиты данных с помощью AH или ESP. Сообщения CREATE_CHILD_SA для согласования дополнительных CHILD_SA в рамках данной IKE_SA. Сообщения INFORMATIONAL для сообщения информации о текущем состоянии или ошибках. Детали работы протокола (согласование версий протокола, использование порядковых номеров, генерирование ключевого материала, обработка ошибок и т.д.). Форматы основного заголовка IKE и заголовков сообщений.
7 неделя (4 часа). Базовые сведения о виртуальных локальных сетях (VLAN)
Виды виртуальных локальных сетей: VLAN c группировкой портов, VLAN с маркированными кадрами, VLAN на основе протоколов высокого уровня. Этапы перехода к VLAN. Протокол VTP. Безопасность в VLAN. Преимущества VLAN.
8 неделя (4 часа). Маршрутизаторы Cisco. Межсетевой экран ФПСУ-IP фирмы “АМИКОН”
Маршрутизаторы Cisco. Назначение и основные характеристики. Операционная система. Интерфейсы маршрутизаторов. Межсетевые экраны. Принцип действия. Основные разделы и подразделы меню комплекса межсетевых экранов ФПСУ-IP. Идентификация и аутентификация комплекса в сети. Удаленное администрирование. Построение VPN на базе комплекса. Комплекс ФПСУ-IP-клиент.

Лабораторные работы

  1. Лабораторная работа №1. Внедрение кода SQL.
  2. Лабораторная работа №2. Межсайтовое выполнение сценариев (XSS).
  3. Лабораторная работа №3. Сетевые сканеры безопасности.
  4. Лабораторная работа №4. Системы обнаружения вторжений.

Литература

  1. Основы построения виртуальных частных сетей. С.В. Запечников, Н.Г. Милославская, А.И. Толстой. М.: Горячая линия – Телеком, 2003.
  2. Информационная безопасность открытых систем: т.1 – Угрозы, уязвимость, атаки и подходы к защите. – 2006.

Дополнительная литература

  1. VPN Technologies: Definitions and Requirements. VPN Consortium, 2004. http://www.vpnc.org/vpn-technologies.html.
  2. Understanding Point-to-Point Tunneling Protocol. Microsoft Corporation, 1997. http://msdn.microsoft.com/library.
  3. Security Architecture for the Internet Protocol. S.Kent, K. Seo, IETF IPSec Working Group, 2004. http://www.ietf.org/html.charters/ipsec-charter.html.
  4. IP Authentication Header. S.Kent, IETF IPSec Working Group, 2004. http://www.ietf.org/html.charters/ipsec-charter.html.
  5. IP Encapsulating Security Payload (ESP). S.Kent, IETF IPSec Working Group, 2004. http://www.ietf.org/html.charters/ipsec-charter.html.
  6. Internet Key Exchange (IKEv2) Protocol. Charlie Kaufman, IETF IPSec Working Group, 2004. http://www.ietf.org/html.charters/ipsec-charter.html.
  7. Технология ViPNet компании «Инфотекс». http://www.infotecs.ru/probl.htm.