лаб.4 (Примеры лаб по МИСЗКИ), страница 3
Описание файла
Файл "лаб.4" внутри архива находится в следующих папках: Примеры лаб по МИСЗКИ, Примеры лаб по МИЗСКИ. PDF-файл из архива "Примеры лаб по МИСЗКИ", который расположен в категории "". Всё это находится в предмете "методы и средства защиты компьютерной информации" из 7 семестр, которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лабораторные работы", в предмете "методы и средства защиты компьютерной информации" в общих файлах.
Просмотр PDF-файла онлайн
Текст 3 страницы из PDF
HTTPS широко используется в мире Веб дляприложений, в которых важна безопасность соединения, например, в платежных системах.В настоящее время HTTPS поддерживается наиболее популярными браузерами.Строго говоря, HTTPS не является отдельным протоколом.
По сути это обычный HTTP,работающий через шифрованные транспортные механизмы SSL и TLS. Это обеспечивает защиту отатак, основанных на прослушивании сетевого соединения.Для обработки HTTLS соединений у сервера имеются два ключа: Публичный, используемыйдля шифрования клиентом трафика к серверу и тайный – для расшифрования трафика на сервере.Сертификат выдает кампания – сертификатор (например VeriSign), гарантирующая, что держательсертификата – это тот, за кого он себя выдает. Также сертификаты могут быть самоподписанными,т.е.
их сертификат подписан этим же сертификатом. Такие сертификаты менее надежны.В HTTPS для шифрования используется длина ключа 40, 56, или 128 бит. Старые версиибраузеров использует длину ключа 40 бит (пример тому — IE), что связано с экспортнымиограничениями в США. Длина ключа 40 бит не является сколько-нибудь надёжной. Многиесовременные сайты требуют использования новых версий браузеров, поддерживающих шифрованиес длиной ключа 128 бит с целью обеспечить достаточный уровень безопасности. Такое шифрованиезначительно затрудняет злоумышленнику поиск паролей и другой личной информации.SSL (англ.
Secure Sockets Layer — уровень защищённых сокетов) — криптографическийпротокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использованиисоздаётся защищённое соединение между клиентом и сервером. SSL изначально разработанкомпанией Netscape Communications. Впоследствии на основании протокола SSL 3.0 был разработани принят стандарт RFC, получивший имя TLS.9TLS (англ. Transport Layer Security) — криптографический протокол, обеспечивающийзащищённую передачу данных между узлами в сети Интернет.TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей — TLSRecord Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0 незначительные,поэтому далее в тексте термин «SSL» будет относиться к ним обоим.TLS Working Group, основанная в 1996 году, продолжает работать над протоколом.TLS предоставляет возможности аутентификации и безопасной передачи данных черезИнтернет с использованием криптографических средств.
Часто происходит лишь аутентификациясервера, в то время как клиент остается неаутентифицированным. Для взаимной аутентификациикаждая из сторон должна поддерживать инфраструктуру открытого ключа (PKI), которая позволяетзащитить клиент-серверные приложения от перехвата сообщений, редактирования существующихсообщений и создания поддельных.SSL включает в себя три основных фазы:• диалог между сторонами, целью которого является выбор алгоритма шифрования;• обмен ключами на основе криптосистем с открытым ключом или аутентификация на основесертификатов;• передача данных, шифруемых при помощи симметричных алгоритмов шифрования.Алгоритм процедуры установления соединения по протоколу TLS handshakeКлиент и сервер, работающие по TLS, устанавливают соединение, используя процедуруhandshake ("рукопожатие").
В течение этого handshake, клиент и сервер принимают соглашениеотносительно параметров, используемых для установления защищенного соединения.Последовательность действий при установлении TLS соединения:o клиент подключается к TLS — поддерживаемому серверу и запрашивает защищенноесоединение;o клиент предоставляет список поддерживаемых алгоритмов шифрования и хеш-функций;o сервер выбирает из списка, предоставленного клиентом, наиболее устойчивые алгоритмы,которые так же поддерживаются сервером, и сообщает о своем выборе клиенту;o сервер отправляет клиенту цифровой сертификат для собственной идентификации. Обычноцифровой сертификат содержит имя сервера, имя доверенного центра сертификации иоткрытый ключ сервера;o клиент может связаться с сервером доверенного центра сертификации и подтвердитьаутентичность переданного сертификата до начала передачи данных;o для того чтобы сгенерировать ключ сессии для защищенного соединения, клиент шифруетслучайно сгенерированную цифровую последовательность открытым ключом сервера ипосылает результат на сервер.
Учитывая специфику алгоритма асимметричногошифрования, используемого для установления соединения, только сервер можетрасшифровать полученную последовательность, используя свой закрытый ключ;Пример установки соединения:1. Клиент посылает сообщение ClientHello, указывая наиболее последнюю версиюподдерживаемого TLS протокола, случайное число и список поддерживаемых методов шифрованияи сжатия, подходящих для работы с TLS.2. Сервер отвечает сообщением ServerHello, содержащим: выбранную сервером версиюпротокола, случайное число, посланное клиентом, подходящий алгоритм шифрования и сжатия изсписка предоставленного клиентом.3.
Сервер посылает сообщение Certificate, которое содержит цифровой сертификат сервера(в зависимости от алгоритма шифрования этот этап может быть пропущен)4. Сервер может запросить сертификат у клиента, в таком случае соединение будет взаимноаутентифицировано.5. Сервер отсылает сообщение ServerHelloDone, идентифицирующее окончание handshake.6. Клиент отвечает сообщением ClientKeyExchange, которое содержит PreMasterSecretоткрытый ключ, или ничего (опять же зависит от алгоритма шифрования).107.
Клиент и сервер, используя PreMasterSecret ключ и случайно сгенерированные числа,вычисляют общий секретный ключ. Вся остальная информация о ключе будет получена из общегосекретного ключа (и сгенерированных клиентом и сервером случайных значений).8. Клиент посылает ChangeCipherSpec сообщение, которое указывает на то, что всяпоследующая информация будет зашифрована установленным в процессе handshake алгоритмом,используя общий секретный ключ.9. Клиент посылает сообщение Finished, которое содержит хеш и MAC (код аутентификациисообщения), сгенерированные на основе предыдущих сообщений handshake.10.
Сервер пытается расшифровать Finished-сообщение клиента и проверить хеш и МАС.Если процесс расшифрования или проверки не удается, handshake считается неудавшимся исоединение должно быть оборвано.11. Сервер посылает ChangeCipherSpec и зашифрованное Finished сообщение и в своюочередь клиент тоже выполняет расшифрование и проверку.С этого момента handshake считается завершенным, протокол установленным. Все данные,которыми в последствии будут обмениваться стороны будут зашифрованы.Таким образом, существует способ защитить от перехвата, как учетные данные почты и ICQ,так и саму передаваемую информацию.Часть 4. Методы защиты от взлома паролейОдним из направлений защиты является защита доступа к самой парольной базе Windows.Требуется ограничить доступ к копиям SAM, и реестру windows.
Тем не менее пароли могут бытьперехвачены вместе с аутентификационными пакетами по сети.Чтобы этого избежать, требуется физически оградить жесткий диск компьютера отвозможности несанкционированного доступа. Защитить BIOS Setup паролем. отключить загрузку совсех носителей кроме жесткого диска. Без необходимости не использовать более одной ОС накомпьютере.Без необходимости не оставлять включенными службу удаленного доступа к реестру.
Неработать постоянно под учетной записью администратора. Не использовать автоматический вход вWindows. Запретить автозапуск с любых сменных накопителей.Отказаться от LM-аутентификации (в разделе HKLM\SYSTEM\CurrentControlSet\ControlLsa\создать ключ типа DWORD и присвоить ему значение 2 (посылать только NT-ответ)).Ограничить анонимный доступ в операционных системах Windows NT/2000, позволяющий прианонимном подключении получать информацию о пользователях, политике безопасности и общихресурсах(ВWindowsNT/2000нужнодобавитьвразделреестраHKLM\SYSTEM\CurrentControlSet\Control\Lsa параметр RestrictAnonymous типа DWORD и задатьему значение 1).Запретить хранение LM-хэшей в операционных системах Windows 2000/XP/2003 длязатруднения восстановления паролей злоумышленником, вынуждая использовать для этого NTхэши.ДляэтогонеобходимодобавитьвразделреестраHKLM\SYSTEM\CurrentControlSet\Control\Lsa параметр NoLMHash типа DWORD и установить егов 1).В условиях ограниченных прав рекомендуется создавать пароли длинной более 14 символов.Если длина NT-пароля превышает 14 символов, его LM-хэш соответствует пустому паролю и дляаутентификации используется более криптостойкий NT-хэш.LM-хэш основан на разработанном в 1977 году алгоритме DES.
LM-хэш пароля разбивается на2 независимые части, по 7 символов каждая, что делает возможным их независимый друг от другаподбор. LM-хэш хранит все символы пароля в верхнем регистре, что также уменьшает его стойкость.NT-хэш основан на алгоритме MD4, разработанном в 1990 г. Для произвольного входногозначения функция генерирует 128-битный хэш. Регистр символов в NT-хэше сохраняется.В результате количество комбинаций для подбора 14-симвльного пароля из латинских букв ицифр для NT-хэша составляет (24+24+10)14 в то время как.Ответы на задачи:1. 31 час 6 мин.2. LM-хэш – 26 компьютеров, NT-хэш - 16 746 067 912 940 473 компьютера.3.
1 569 754 078 068 489 322 169 компьютеров.11.
