Эта книга посвящена описанию проблем безопасности обмена информацией и обеспечивающих ее протоколов передачи данных. В связи с тем, что понятие безопасности в Интернете трактуется очень широко, основное внимание уделено протоколам передачи данных, применяемым для обмена данными между узлами - такими как, например, маршрутизаторы и серверы. При этом рассматривается большинство используемых в настоящее время протоколов. Книга предназначена для широкого круга читателей, не являющихся специалистами в данной области. При этом, однако, предполагается, что читатель знаком с архитектурой Интернета и структурой протокола TCP/IP.
Название: Интернет: протоколы безопасности Автор: Блэк У. Издательство: Питер Год: 2001 Страниц: 282 Формат: PDF Размер: 70,4 МБ ISBN: 5-318-00002-9 Качество: Хорошее
Содержание:
Предисловие Благодарности От издательства Глава 1. Введение Проблемы безопасности Насколько распространены попытки взлома систем безопасности? Меры безопасности Что такое брандмауэр? Политика безопасности Внутренние и внешние сети (Trusted and Untrusted Networks) Безопасность и управление риском Виртуальные частные сети (Virtual Private Network - VPN) Современные виртуальные частные сети (VPN) Виртуальные частные сети и соглашения о качестве предоставляемых услуг (Service Level Agreement - SLA) Конфиденциальность или исполнение закона? Глава 2. Возможные нарушения безопасности Типы проблем в обеспечении безопасности Отказ в обслуживании: атаки и контратаки Вирус Червь Закупорка или затопление Троянский конь Бомба Лазейка Салями Повторение Cookies Апплеты и песочницы Другие проблемы Заключение Глава 3. Основные концепции безопасности Защищена ли защищаемая информация? Определения Шифрование и дешифрование Основные методы шифрования и дешифрования Немецкая шифровальная машина «Энигма» Подстановка и перестановка Односторонние функции и арифметика в остаточных классах Пример односторонней функции Идеи Диффи-Хеллмана, использующие арифметику в остаточных классах Хэш-функция Использование односторонней хэш-функции Произвольность ключей Недостаток произвольности равен взлому шифра Ключевая проблема: обмен ключами Неудобство обмена ключами Асимметричный ключ Использование асимметричных ключей для дешифровки Асимметричные ключи: шифрование Асимметричные ключи: идентификация (цифровая подпись) Следующий шаг: RSA Пары ключей RSA Генерация и передача ключей Код подтверждения подлинности сообщения и хэширование ключей Совмещение функций безопасности Поль Циммерман и PGP (Pretty Good Privacy- достаточно хорошая секретность) PGP с использованием сертификатов ключей Пример открытого ключа PGP OpenPGP Совершенная прямая секретность (Perfect Forward Secrecy - PFS) Атака типа «человек посередине» Сертификация Процедура сертификации Меры против атак типа «повтор» Безопасность в мобильных сетях Идентификация Операции секретности Заключение Глава 4. Брандмауэры Что такое брандмауэр? Защита от внешних (untrusted) сетей Разрешительный и запретительный доступы Что могут делать брандмауэры и что они не могут делать Фильтрация пакетов Прокси-брандмауэры или брандмауэры приложений Документы NationalComputer Security Association (NCSA) Управление брандмауэром (Managed Firewall Service - MFWS) Оценка поставщика услуг MFWS Брандмауэры с протоколами безопасности Интернета (Internet Security Protocols - IPSec) SOCKS Заключение Глава 5. Распространенные методы защиты данных в Интернете Диффи-Хеллман Диффи-Хеллман и RFC 2631 Ривест, Шамир и Адлеман (RSA) RSA в RFC 2437 MD5 Подвержен ли MD5 атакам? RFC 2537: RSA, MD5 и DNS Открытые ключи RSAw DNS Подписи RSA/MD5 в DNS Соображения по поводу эффективности Стандарт защищенного хэширования (SHA-1) и алгоритм защищенного хэширования RIPEMD-160 Сравнение MD5, SHA-1, RIPEMD-160 и MD5-HMAC НМАС Производительность и надежность НМАС НМАС и IPSec Протокол определения ключей OAKLEY За пределами Диффи-ХеллманаиБТЗ Обмен ключей в протоколе OAKLEY Наиболее важные поля сообщения обмена ключей Заключение Глава 6. РРР, ECP, TLS, EAP, DESE-bis и 3DESE РРР и HDLC LCP Примеры использования протокола РРР Фазовая диаграмма РРР Нет связи (нет физического соединения) Фаза установления связи Фаза идентификации Фаза протокола сетевого уровня Фаза завершения соединения Пакеты LCP Запрос-Конфигурации Подтверждение-Конфигурации Отказ-Конфигурации Ошибка-Конфигурации Запрос-Завершения и Подтверждение-Завершения Отказ-Кода Отказ-Протокола Эхо-Запрос и Эхо-Ответ Отвергнуть-Запрос Другие вспомогательные протоколы обеспечения безопасности в РРР Протокол обеспечения безопасности на уровне передачи данных (Transport Layer Security Protocol-TLS) Предназначение TLS РРР-протокол управления шифрацией (РРР Encryption Control Protocol - ЕСР) Расширяемый РРР-протокол идентификации (РРР Extensible AUTHentication Protocol - ЕАР) РРР-протокол шифрования DES, версия 2 (РРР DES Encryption Protocol, Version 2 - DESE-bis) Настройка конфигурации в ЕСР Формат пакета DESE РРР-протокол тройной DES-шифрации (РРР Triple-DES Encryption Protocol - 3DESE) Алгоритм Ключи Настройка конфигурации 3DESE в ЕСР Формат пакета 3DESE Заключение Глава 7. Протоколы коммутируемых соединений PAP, CHAP, RADIUS и DIAMETER PAP и CHAP PAP Ключевые аспекты PAP CHAP Сообщения CHAP RADIUS Настройка RADIUS Пример обмена сообщениями в RADIUS Польза UDP Формат сообщения RADIUS Атрибуты RADIUS Пример обмена данными с RADIUS Проблемы RADIUS DIAMETER Формат сообщения DIAMETER Заголовок сообщения Тело сообщения (AVP) AVP DIAMETER-команда Команда Отказ-Сообщения-Инд Как устроены остальные сообщения Базовые операции Использование DIAMETER для соединения c SS7 по коммутируемым линиям Обмен сообщениями при установке сеанса Сигнальный шлюз/МБ-контроллер (SGNC) Пример обмена сообщениями Заключение Глава 8. Архитектура IPSec Основы IPSec Возможности IPSec IPSec-протоколы защиты передачи данных Базы данных ассоциаций безопасности (SA) Туннель IPSec Ассоциация безопасности (SA) Случаи ассоциаций безопасности: обзор Типы SA: транспортный режим и туннельный режим Комбинирование ассоциаций безопасности: более подробно Местоположение IPSec Базы данных IPSec Селекторы и базы данных SAD/SPD IP-адрес Получателя IP-адрес Отправителя Имя Протокол транспортного уровня Порты Отправителя и Получателя Селекторы и записи в SAD/SPD Поиск SA в SAD Примеры посылки и получения данных в IPSec Выбор и использование SA или пакета SA Заключение Глава 9. IPSec: протоколы АН и ESP Предназначение протоколов IPSec Значение проверки сохранности (Integrity Check Value - ICV) Взаимоотношения между протоколами АН и ESP и транспортным и туннельным режимами Управление изменяемыми полями Что защищается в пакетах AH и ESP Защита АН Что и как делает АН RFC 1826 RFC 2402 Значение проверки сохранности (Integrity Check Value - ICV) для исходящих пакетов Значение проверки сохранности (Integrity Check Value - ICV) для входящих пакетов Что и как делает ESP Защита ESP RFC 1827 RFC 2406 Обработка исходящих пакетов Обработка входящих пакетов АН и ESP и «случаи» IP-адресация в заголовках Создание пакета ESP Создание заголовка для туннельного режима Применение НМАС в АН и ESP MD5-HMAC-96 HMAC-SHA-1-96 IPSec и NAT Заключение Глава 10. Распространение, сертификация и управление ключами в Интернете Что такое инфраструктура открытого ключа? Сертификаты и центры сертификации (СА) Поддержка принятия (non-repudiation) Сохранение и восстановление ключей Использование двух пар ключей Обновление ключей и управление их архивом Хранилище сертификатов и распространение сертификатов Взаимная сертификация ISAKMP, область интерпретации ISAKMP и ЖЕ ISAKMP «Защитная оболочка» Другие соображения по поводу обмена ключами Фазы согласования в ISAKMP Сообщения Общий заголовок Атрибуты данных Возможные типы передаваемых данных OAKLEY и ISAKMP Примеры согласований ISAKMP Базовый обмен Обмен с защитой конфиденциальности Обмен идентификации Агрессивный обмен Область интерпретации (D0I) ISAKMP Данные, передаваемые IPSec/ISAKMP Заключение Глава 11. Обмен ключами Основы IKE Определения Совершенная прямая секретность Аспекты IKE и ISAKMP Режимы установления идентифицированного обмена ключей Основной режим Агрессивный режим Быстрый режим и режим новой группы Четыре метода, используемых в основном и агрессивном режимах Примеры обмена сообщенями IKE Фаза 1: обмен идентифицирован при помощи цифровой подписи Фаза 1: обмен идентифицирован при помощи шифрации с открытым ключом Фаза 1: обмен идентифицирован при помощи исправленной шифрации с открытым ключом Фаза 1: обмен идентифицирован при помощи разделяемого секретного кода Фаза 2: Быстрый режим Режим новой группы Информационный обмен ISAKMP Группы AKLEY Все сообщения при обмене IKE Фаза 2 с применением быстрого режима IPSec, NAT и IKE Примеры реализаций PKI Заключение Глава 12. Безопасность беспроводных сетей Спецификация IS-41-C Модель IS-41-C Пять операций безопасности/конфиденциальности Параметры идентификации Процедуры идентификации регистрации передвижного устройства Параметры В беспроводном интерфейсе В сети Процедуры уникального вызова/ответа Параметры В беспроводном интерфейсе В сети Идентификация звонка от передвижного устройства Параметры В беспроводном интерфейсе В сети Идентификация звонка на передвижное устройство Параметры В беспроводном интерфейсе В сети Обновление разделяемых секретных данных (SSD) Параметры В беспроводном интерфейсе'и в сети Заключение Глава 13. Дополнение к этой книге Рабочие документы RFC Приложение А. Исходные коды наиболее важных функций защиты Исправленный алгоритм MD5 (RFC 1321, Appendix А, автор Рон Ривест) Исправленный алгоритм MD5 (RFC 1321, Section 3.4, автор Рон Ривест) НМАС: Идентификация сообщения при помощи хэширования (RFC 2104, Appendix, авторы: Хьюго Кравчик, Михир Беллар и Ран Канетти) Создание и извлечение зашифрованного текста в RFC 1969: РРР-протокол шифрования DES (DESE-bis) (авторы: Кейт Склоуер и Джерри М. Мейер) Приложение Б. Трансляция сетевых адресов (NAT) Сокращения Алфавитный указатель
