Поясніть схему ВРК (відкритий розподіл ключів) ?
відправник і одержувач повідомлення повинні користуватися різними ключами або різними алгоритмами;
ключі відправника і одержувача повинні бути зв’язані однозначним співвідношенням;
по одному з ключів було б вкрай важко визначити другий ключ.
Щоб побудувати таку схему шифрування необхідно використати однонаправлені алгоритми.
Поясніть схему шифрування RSA ?
Безпечність алгоритму
RSA грунтується на трудомісткості розкладу на множники (факторизації) великих чисел. ВК і ЗК є функціями двох великих простих чисел, розрядністю 100-200 десяткових цифр. треба просто використати для шифрування свій секретний ключ, тоді внаслідок симетричності ключів процес розшифрування у одержувачів буде аналогічний
3. Що таке хеш-функція і для чого вона використовується ?
називають процедуру
перетворення інформації, що відображає початкову послідовність бітів довільної довжини, в послідовність бітів фіксованої довжини.
Які алгоритми шифрування підтримує PGP ?
Підтримка різних алгоритмів шифрування з ВК (RSA, DSS/DН) з довжиною ключа до 4096 біт для DSS/DН та 2048 біт для RSA. PGP надає широкий вибір симеричних алгоритмів для шифрування тіла повідомлення:
потрійний DES (168 біт), CAST (ключ 128 біт), IDEA (128 біт).
Що таке ЕЦП ? Як реалізується ЕЦП в PGP ?
Електронний цифровий підпис(підробка підпису неможлива) (копіювання підпису з одного документа на інший неможливе)
PGP використовує так звані "дайджести повідомлень" (ДП) для формування підпису. ДП це 160- або 128 бітна криптологічно стійка одностороння хеш-функція від повідомлення. Вона однозначно представляє повідомлення і може використовуватись для виявлення змін в повідомленні. Дайджест не дозволяє створити два повідомлення з однаковим дайджестом. Дайджест повідомлення шифрується секретним ключем для створення ЕЦП повідомлення.
Для чого використовується секретний і для чого – відкритий ключ ?
Відкритий ключ — ключ, котрий дозволяється передавати по відкритому каналу зв'язку, а таємний ключ — мусить зберігатися таємно, або передаватися з використанням закритого каналу зв'язку.
Поясніть механізм сертифікації ключів в PGP ?
Коли ви генеруєте пару ключів то автоматично вони сертифікуються вашим підписом і їм присвоюється найбільший рівень довіри - Сomplete. PGP встановлює такі рівні довіри до підпису особи, чий ВК є у вашій зв’язці
ключів: 1 - Ненадійний (Untrusted), 2 - Частково надійний (Marginal), 3 - Надійний (Complete).
Які протоколи входять до стеку ТСР/ІР ?
(Transmission Control Protocol/Internet Protocol)
Поясніть призначення протоколів ARP, IP, TCP, UDP ?
забезпечується протоколом вирішення адрес (Address Resolution Protocol, ARP), який здійснює перетворення мережевих адрес в МАС-адреси.
протокол ІР викликає засоби транспортування, прийняті в цій мережі, щоб з їх допомогою передати пакет на маршрутизатор, який веде до наступної мережі, або безпосередньо вузлу одержувачу.
Задача транспортного рівня, яку вирішують протоколи ТСР і UDP - передача даних між будь-якою парою прикладних процесів, які виконуються в мережі. Протоколи ТСР і UDP ведуть для кожного номеру порту дві черги: черга пакетів, які поступають в даний порт з мережі, і черга пакетів, яка відправляється даним портом в мережу. Задачу гарантування надійності каналу обміну між прикладними процесами в складній мережі вирішує тільки протокол ТСР. Протокол ТСР працює безпосередньо над протоколом ІР. Надійність передачі даних протоколом ТСР досягається за рахунок того, що він оснований на встановленні логічних з’єднань між процесами
Що таке порт, сокет, номер послідовності та підтвердження в протоколі ТСР?
Порти - точки входу різних прикладних процесів.
Номер порта разом з номером мережі і номером кінцевого вузла однозначно визначають прикладний процес в мережі. Цей набір ідентифікуючих параметрів (ІР-адрес, номер порту) має назву сокет (socket).
Коли відправник посилає сегмент, він заносить в одне з полів заголовку ТСР в якості ідентифікатора сегменту номер першого байту даного сегменту, який називають номером послідовності (secuence number)
В якості квітанції отримувач сегменту відсилає повідомлення відповідь (сегмент), в яку заносить число, на одиницю більше максимального номеру байта в отриманому сегменті. Це число називають номером підтвердження (acknowledgement number)
4. Що таке сніффінг ?
Комп’ютерні мережі використовують спільні комунікаційні канали. Спільне використання каналів приводить до того, що вузол може одержувати інформацію, яка призначається не йому. Збір цієї інформації в мережі називається сніффінгом (sniffing). Сніффінг – один з найпопулярніших методів крадіжки даних в мережі.
5. Які ви знаєте методи виявлення сніфферів ?
Метод пінгу Більшість сніфферів працюють на комп’ютерах зі звичайним стеком TCP/IP. Це означає, що якщо відправляється запит на ці комп’ютери, вони відгукнуться.
Метод ARP-тесту У цьому тесті відправляється ARP-запит на цільову машину. Цей запит має невірну МАС-адресу пункту призначення, але використовує вірний ІР-адрес машини, що перевіряється. Якщо цільова машина знаходиться в хаотичному режимі, ARP-запит з хибною МАС-адресою пройде через стек протоколу і ця машина надішле відповідь.
Метод DNS-тесту При виконанні DNS-тесту посилається лавина пакетів, які містять ІР-адрес, що не використовується в даній мережі. Якщо дозвіл імен включено, то сніффер спробує виконати зворотний пошук з метою визначення імені вузла, з відповідним ІР-адресом
Метод вихідного маршруту Ця техніка включає в себе конфігурацію інформації про маршрут джерела всередині ІР- заголовку. Це може бути використано для детектування сніфферів в сусідніх сегментах. Створюється пакет ping, в який включається окремий маршрут, щоб він був відправлений через іншу машину (М1) в тому ж сегменті.
Метод пастки Він просто полягає в настройці клієнта і сервера на будь-якій частині мережі, яка використовується клієнтом для виконання підключення використовуючи Telnet, POP або інший незашифрований протокол. Як тільки ЗВ відфільтрує імена користувачів/паролі, він спробує підключитися, використовуючи цю інформацію.
Метод хоста (визначення сніффера на локальному комп’ютері)
У багатьох Unix-системах є команда “ifconfig -a”, або аналогічна, яка повідомляє вам інформацію про всі мережеві інтерфейси, і про їх стан.
6. Які ви знаєте методи боротьби зі сніффінгом ?
Комутована інфраструктура – апаратний метод, коли замість дешевих концентраторів
встановлюються комутатори (switch), в результаті чого кожна машина отримує тільки той
трафік, який їй адресований.
Анти-сніффери – метод полягає у встановленні апаратних або програмних засобів, що
розпізнають працюючі в мережі сніффери. Ці засоби не можуть повністю ліквідувати загрозу, але, як і багато інших засобів мережевої безпеки, вони включаються в загальну систему захисту
Криптографія – самий ефективний спосіб боротьби з сніффінгом пакетів, не запобігає
перехвату і не розпізнає роботу сніфферів, але робить цю діяльність беззмістовною.
КОНТРОЛЬНІ ЗАПИТАННЯ
Що таке сканування портів, для чого воно призначене?
Сканування мережевих портів (рorts scan) – процес організації множини з’єднань з віддалених хостів на різні мережеві порти локальної системи, інакше кажучи, це перевірка системи на наявність відкритих TCP/IP портів. Програма-сканер, намагається приєднатися до кожного порта і встановлює які з них відкриті, тобто надсилають відповідь. Сканування мережевих портів проводиться з метою виявлення інформації про працюючі на сканованій системі сервіси (WEB-сервер, FTPсервер, SMTP-сервер). Процес збору інформації включає наступні дії: вивчення мережевої топології; визначення типу; визначення версії операційної системи вузла, що може бути використано для пошуку слабких місць в комп’ютерній системі. Виявлені вразливості можуть бути використані зловмисником для здійснення несанкціонованого доступу до системи або для підбору найбільш ефективної DоS-атаки. Адміністратору сканування портів необхідне для перевірки та аналізу безпеки системи
Назвати методи відкритого сканування?
3. Назвати методи невидимого сканування?
4. Які особливість сканування UDP-портів?
Сканування портів UDP перевіркою ICMP-повідомлення «Порт недоступний»
Цей метод призначений для визначення стану портів сервера. Основною відмінністю є використання протоколу UDP замість протоколу TCP. Не дивлячись на те, що організація протоколу UDP простіше, ніж TCP, сканувати UDP-порти набагато важче. Це пов’язано насамперед з концепцією протоколу UDP як протоколу з негарантованою доставкою даних. Тому UDP-порт не посилає підтвердження прийому запиту на встановлення з’єднання, і немає ніякої гарантії, що надіслані UDP порту дані успішно дійдуть до нього.
На щастя, більшість серверів у відповідь на пакет, який прибув на закритий порт UDP, відправляють ICMP-повідомлення «Порт недоступний» (Port Unreachable — PU). Таким чином, якщо у відповідь на UDP-пакет прийшло ICMP-повідомлення PU, то сканований порт є закритою, в іншому випадку (при відсутності PU) порт відкритий. Оскільки немає гарантії, що запити від хоста дійдуть до сервера, користувач повинен подбати про повторну передачу UDP-пакета, який, по всій видимості, виявився втраченим.
Як здійснюється визначення типу ОС?
Nmap посылает серию TCP и UDP пакетов на удаленный хост и изучает практически каждый бит в ответах. После проведения дюжины тестов таких как TCP ISN выборки, поддержки опций TCP, IP ID выборки, и анализа продолжительности процедуры инициализации, Nmap сравнивает результаты со своей nmap-os-db базой данных, состоящей из более чем тысячи известных наборов типичных результатов для различных ОС и, при нахождении соответствий, выводит информацию об ОС. Каждый набор содержит свободное текстовое описание ОС и классификацию, в которой указаны название производителя (напр. Sun), название ОС (напр. Solaris), поколение ОС (напр. 10), и тип устройства (). OS, and a classification which provides the vendor name (e.g. Sun), underlying OS (e.g. Solaris), OS generation (e.g. 10), and device type (для общих целей, роутер, коммутатор (switch), игровая консоль и т.д.).
Если Nmap не может определить ОС, но для этого есть хорошие предпосылки (наприме, по крайней мере, найдены один открытый и один закрытый порты), то Nmap предоставит URL, по которому, если вы точно знаете, какая ОС используется, вы сможете предоставить набор ее характеристик. Тем самым вы внесете свой вклад в дополнение базы данных известных ОС Nmap, и она будет более полезна для всех остальных.
Назвіть основні характеристики програми Nmap?
Nmap (network mapper) – безкоштовне відкрите програмне забезпечення для дослідження та аудиту безпеки мереж та виявлення активних мережевих сервісів. Дана утиліта є надзвичайно потужною, гнучкою, комплексною, простою в використанні і одночаcно складною в освоєнні через чисельність її параметрів та методів сканування.
4
1. Рівні функціонування САЗ?
Мережевий, транспортний?
2. Опишіть механізми здійснення перевірок в САЗ.
Досліджуючи систему, сканер опитує всі порти заданого діапазону на наявність мережевих сервісів. Визначивши доступний сервіс, сканер починає аналізувати його стійкість до злому, імітуючи задані в модулях типи атак
3. Переваги і недоліки таких методів аналізу вразливостей як: перевірки заголовків(Методика вважається найпростішою і найшвидшою, але має цілу низку недоліків:
Не надто висока ефективність перевірки
Неможливість точно визначити, чи є дані, що містяться у заголовку, доказом уразливості.
Ймовірність появи вразливості в наступних версіях.), активні зондуючі перевірки(Працює значно швидше за інші способи – хоча реалізувати її складніше, ніж перевірку заголовків), імітації атак(Деякі «дірки» в безпеці не можна виявити доти, доки не зімітувати справжню атаку проти підозрілих сервісів та вузлів;
При скануванні даних уразливості виявляються значно швидше, ніж у звичайних умовах;
Можливі ситуації, в яких виникне принципова неможливість атакувати систему.)?
4. Які вимоги ставляться до сучасних САЗ?
Кросплатформність або підтримка кількох операційних систем..
Можливість сканувати одночасно кілька портів– така функція помітно зменшує час для перевірки.
Сканування всіх видів ПЗ, які зазвичай схильні до атак з боку хакерів..
Перевірку мережі в цілому та окремих її елементів без необхідності запускати скануваннядля кожного вузла системи.
5. Назвіть основні характеристики САЗ Nessus?
До переваг вибору Nessus відносять:
Постійно оновлювану базу вразливостей;
Просте встановлення та зручний інтерфейс;
Ефективне виявлення проблем із безпекою;
Використання плагінів, кожен із яких виконує своє завдання – наприклад, забезпечує сканування ОС Linux або запускає перевірку лише заголовків.
6. Опишіть порядок проведення сканування в Nessus?
Більшість програм, що виконують сканування на вразливості, працює наступним чином:
1 Збирає про мережу всю необхідну інформацію, спочатку визначаючи всі активні пристрої в системі та працююче на них програмне забезпечення. Якщо аналіз проводиться лише на рівні одного ПК із уже встановленим на ньому сканером, цей крок пропускають.
2 Намагається знайти потенційні вразливості, застосовуючи спеціальні бази даних для того, щоб порівняти отриману інформацію з вже відомими видами «дір» у безпеці. Порівняння виконується за допомогою активного зондування чи перевірки заголовків.
3 Підтверджує знайдені вразливості, застосовуючи спеціальні методики– імітацію певного типу атак, здатних довести факт наявності чи відсутності загрози.
4 Генерує звіти на базі зібраних під час сканування відомостейописуючи вразливість.
ем. Вона здатна виявити найпоширеніші види вразливостей, наприклад:
1. Наявність вразливих версій служб або доменів
2. Помилки в конфігурації (наприклад, відсутність необхідності авторизації на
SMTP-сервері)
3. Наявність паролів за замовчуванням, порожніх, або слабких паролів