Купить доменное имя нельзя, они даются в аренду на определенный срок. Есть в каждой зоне организации свои организации раздачи доменных имен.

По любому домену 2 уровня можно посмотреть владельца. В ОС кроме Windows, whois показывает обладателя сайта.

Иногда сдаются в аренду и домены 3 уровня: …*****;…*****;…*****;…*****

DNS. Domain Name System - система доменных имен.

Основная задача DNS - преобразование доменного имени в IP адрес и в обратную сторону.

Корневой DNS (точка)- отвечает за весь интернет. Он не хранит информацию о доменных именах в интернете, а хранит информацию за DNS сервера за зоны.

С КЭШ в DNS может быть проблема. Например, он запомнил IP, а сайт перенесли, и он продолжает обращаться по старому IP, поэтому ввели такое понятие как TTL-время жизни записи. Второе поле в заголовке его это некое уникальное число, которое меняется каждый раз при изменении записи. Серийный нолмер чаще всего YYYYDDMMXXX.

Тело самой DNS записи.

In A xxx. xxx. xxx. xxx

Может быть несколько A.

SMTP IN CNAME mail. *****

MX 5 – mail exchange. Это запись указывает на адрес сервера, который принимает электронную почту для этого доменного имени.

«5»- это число из MX - это номер сервера с минимальным весом это основной почтовый сервер.

По истечении срока аренды домен требуется продлить срок.

Электронная почта. Понятие почтового ящика. Способы борьбы со спамом.

Сначала клиент к серверу SMTP пишет

HELO…..(HELO sntp. )(ip-адрес)

220 ok …..

Mail from: *****@***com

220…

RCPT TO: *****@***ru- в этот момент принимается решение о принятии сообщения или нет. Открытый SMTP сервер принимает от любого пользователя любому пользователю называется - открытый SMTP relay.

НЕ нашли? Не то? Что вы ищете?

«POP3 прежде чем SMTP»

Перед тем как отправить письмо, пользователь должен был пройти аунтификацию на сервере входящей почты. Из-за того что стало много спама.

Позднее вышел ESMTP - уже имеет авторизацию пользователей. Только вместо HELO надо писать EHLO. За одно соединение можно отправить несколько писем и разным получателям. На SMTP накапливается очередь для отправки на определенный сайт и отправляет сразу пачку.

Самый лучший пока что способ отсеивания спама это «Серый списки», Greylist. Серые списки - это таблица обычно состоит из 3 столбцов

Отправитель

Получатель

IP-адрес отправителя

Проверяется отправитель и получатель и /йпи на сервере получатель и просит обождать и заносит в таблицу

Отправитель

Получатель

IP-адрес отправителя

*****@***com

*****@***ru

Smtp.

Записи не хранятся вечно а имеют время жизни. А отсылка спама происходит чуть по другому. Netstat-an статистика соединений на 25 порту.

Изначально делались протоколы с учетом того чтобы письмо не пропадало, а попадало или к получателю, или к отправителю.

Второй способ борьбы - семантический анализ содержаний письма. Происходит уже после приема на сервер получателя и отдается на анализ, и снова на сервер, а потом уже после проверки отправляется получателю.

На большинстве используются фильтры Байеса. Он сравнивает по слепкам из базы. Но Байес надо обучать (регулярно обновлять).

Почта изначально хранилась в так называемых mbox - майл бокс одному ящику один файл. После чего была придумана maildir - целая директория, в которой каждое письмо храниться в виде отдельного файла, и проблем с удалением нету, и новая почта в момент работы приходит. Единственная проблема если одной папке слишком много файлов м. б. проблемы с файловой системой.

Один из лучших методов борьбы со спамом это использование SPAMASSASIN там и Байес, и списки и базы данных.

Понятие VPN сети (виртуальная частная сеть). Классификация.

VPN- виртуальная частная сеть - логическая сеть созданная поверх другой сети (чаще всего поверх интернета).

Классификация VPN

Сетевой
 

TCP/IP
 
 

По реализации.
 

По назначению
 

По уровню OSI
 

По протоколу
 

По защищенности
 

Remote Access
 

Extrnet
 

ПО
 

АПКщщ
 

доверительные
 

Классификация VPN
 

IPX
 

Канал
 

Транспортный уровень
 

Intranet
 

Защищенные
 
 

интегр
 
 

Intranet- объединение двух удаленных сетей. Pptp, IPSECL2TP

Remote Access - удаленные доступ. Для создания защищенного канала, между корпоративной сети и одного пользователем.

Extranet- то же самое что и Remote Access, но доступ в локальную сеть идет с ограниченными возможностями.

PPTP- Point to point tunnel protocol - позволяет доступ клиенту с сервером за счет туннеля, в обычной стандартной незащищенной сети. Инкапсуляция файлов кадров PPP в IP пакеты. Недостаток его в том что помимо инкапсуляции надо еще и управлять связью. Так что по одному каналу идет передача, по второму открытому используется для поддержания первого. Он плохо из-за этого маршрутизируется. Протокол шифрования MPPE.

Надежное шифрование IPSEC - IP Security - набор протоколов для передачи по сети, осуществление подлинности, формирование IP пакетов, обмен ключами в сети интернет, работают на 3 уровне модели ОСИ. Делиться на два класса:

1)  Отвечают за защиту потока передаваемых данных

а) транспортный - только с информацией транспортного уровня (только информативная часть IP пакета; используется с другими протоколами например L2PT).

б) Тунелирование - работает с целыми IP пакетами - IP-пакет шифруется целиком, и помещается в другой пакет.

2)  Отвечают за обмен криптографическими ключами.

Беспроводные сети. Особенности передачи. Стандарты беспроводных сетей.

Wi-Fi - не full duplex. Невозможно одновременно вести приём и передачу. Это один из видов беспроводных сетей, но наиболее распространённый. Wi-Fi работает по принципу half duplex.

Стандарты Wi-Fi:

802.11a

802.11b

802.11b

802.11n

802.11a – появился самым первым. Этот стандарт не предназначался для предоставления доступа в сеть обычных пользователей, а необходим был для создания беспроводных мостов (провайдерский стандарт). Работает на частоте 5GHz. Интернет для офисов. Является наиболее дальнобойным. Также все зависит от максимальной мощности приемника и передатчика. По стандарту мощность 10мВт. На открытом пространстве зона покрытия до 300 метров, в закрытых помещениях до 30м, в зависимости от стен. Расстояние приёма/передачи должно измеряться по мощности самого слабого устройства.

802.11b – используется для мобильных терминалов. Рабочая частота 2.4GHz. Скорость такая же как и в стандарте 802.11a – 11Mbit/s

802.11g – Рабочая частота 2.4GHz. Но его скорость, в отличие от предшественников, достигает 54Mbit/s.

802.11n – [часто называется draft] – скорость приема/передачи достигает 300Mbit/s. На данный момент существует две разновидности с рабочими частотами: 2.4Ghz и 5Ghz соответственно.

Для того, чтобы устройства не мешали друг другу работать, их необходимо использовать на разных каналах. Фактически независимых каналов только 3 (1,6,11). Остальные каналы накладываются на них.

 

Понятие точки доступа. Назначение. Основные характеристики.

AP (Access Point) – точка доступа. AP - беспроводной хаб, а не свитч (концентратор, а не коммутатор). AP делит скорость между устройствами. Подавляющее большинство AP не может работать с более чем 50 устройствами. У любой AP есть две антенны: внешняя и внутренняя. Сигнал распространяется с внешней антенны, однако у внешней антенны есть мёртвая зона, где вещание не идет. Для того чтобы покрыть «мёртвую зону» предусмотрена внутренняя антенна. Мощность передатчика делится между этими антеннами, однако основная её часть отдаётся внешней антенне.

 

Мёртвая зона внешней антенны
 
 

Разграничение прав: первоначальной защитой AP была фильтрация по MAC адресу. В последствии, стали появляться различные технологии шифрования трафика. Чем сильнее шифруется трафик, тем больше падает скорость. В настоящее время помимо MAC фильтрации применяется WEP, WPA, WPA2 шифрование.

WEP (Wired Equivalent Privacy ) — алгоритм для обеспечения безопасности сетей Wi-Fi. Существует две разновидности: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться. В основе WEP лежит поточный шифр RC4, выбранный из-за своей высокой скорости работы и возможности использования переменной длины ключа. Для подсчета контрольных сумм используется CRC32.

Ключи имеют длину 40 и 104 бита для WEP-40 и WEP-104 соответственно. Используются два типа ключей: ключи по умолчанию и назначенные ключи. Назначенный ключ отвечает определенной паре отправитель-получатель. Может иметь любое, заранее оговоренное сторонами значение. Если же стороны предпочтут не использовать назначенный ключ, им выдается один их четырех ключей по умолчанию из специальной таблицы. Для каждого кадра данных создается Seed представляющий собой ключ с присоединенным к нему вектором инициализации.

Инкапсуляция WEP. Инкапсуляция данных проходит следующим образом:

1. Контрольная сумма от поля «данные» вычисляется по алгоритму CRC32 и добавляется в конец кадра.

2. Данные с контрольной суммой шифруются алгоритмом RC4, использующим в качестве ключа Seed.

3. Проводится операция XOR над исходным текстом и шифротекстом.

4. В начало кадра добавляется вектор инициализации и идентификатор ключа.

Декапсуляция WEP. Декапсуляция данных проходит следующим образом:

1. К используемому ключу добавляется вектор инициализации.

2. Происходит расшифрование с ключом, равным Seed.

3. Проводится операция XOR над полученным текстом и шифротекстом.

4. Проверяется контрольная сумма.

Проблемы и недостатки WEP. Все атаки на WEP основаны на недостатках шифра RC4, таких, как возможность коллизий векторов инициализации и изменения кадров. Для всех типов атак требуется проводить перехват и анализ кадров беспроводной сети. В зависимости от типа атаки, количество кадров, требуемое для взлома, различно.

Режимы работы Access Point:

1) Режим точки доступа (AP работает как концентратор)

2) Режим Ad-hoc – используется для соединения двух терминалов между собой без использования точек доступа.

3) Режим моста

4) Режим повторителя (WDS) – используется для расширения зоны покрытия

5) Может работать как обычная беспроводная сетевая карта

Алгоритм обеспечения безопасности в беспроводных сетях WEP. Недостатки алгоритма WEP.

Wired Equivalent Privacy (WEP) — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для защиты конфиденциальности передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как ее взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться. Для безопасности в сетях Wi-Fi рекомендуется использовать WPA. WEP часто неправильно называют Wireless Encryption Protocol.

Алгоритм

В основе WEP лежит поточный шифр RC4, выбранный из-за своей высокой скорости работы и возможности использования переменной длины ключа. Для подсчета контрольных сумм используется CRC32.

Кадр WEP включает в себя следующие поля:

1.  Незашифрованная часть

1.  Вектор инициализации (англ. Initialization Vector) (24 бита)

2.  Пустое место (англ. Pad) (6 бит)

3.  Идентификатор ключа (англ. Key ID) (2 бита)

2.  Зашифрованная часть

1.  Данные

2.  Контрольная сумма (32 бита)

Ключи имеют длину 40 и 104 бита для WEP-40 и WEP-104 соответственно. Используются два типа ключей: ключи по умолчанию и назначенные ключи. Назначенный ключ отвечает определенной паре отправитель-получатель. Может иметь любое, заранее оговоренное сторонами значение. Если же стороны предпочтут не использовать назначенный ключ, им выдается один их четырех ключей по умолчанию из специальной таблицы. Для каждого кадра данных создается сид (англ. Seed) представляющий собой ключ с присоединенным к нему вектором инициализации.

Инкапсуляция данных проходит следующим образом:

1.  Контрольная сумма от поля «данные» вычисляется по алгоритму CRC32 и добавляется в конец кадра.

2.  Данные с контрольной суммой шифруются алгоритмом RC4, использующим в качестве ключа сид.

3.  Проводится операция XOR над исходным текстом и шифротекстом.

4.  В начало кадра добавляется вектор инициализации и идентификатор ключа.

Декапсуляция данных проходит следующим образом:

1.  К используемому ключу добавляется вектор инициализации.

2.  Происходит расшифрование с ключом, равным сиду.

3.  Проводится операция XOR над полученным текстом и шифротекстом.

4.  Проверяется контрольная сумма.

Проблемы

Все атаки на WEP основаны на недостатках шифра RC4, таких, как возможность коллизий векторов инициализации и изменения кадров. Для всех типов атак требуется проводить перехват и анализ кадров беспроводной сети. В зависимости от типа атаки, количество кадров, требуемое для взлома, различно. С помощью программ, таких как Aircrack-ng, взлом беспроводной сети с WEP шифрованием осуществляется очень быстро и не требует специальных навыков.

Технология защищенного беспроводного доступа WРА. Достоинства. Механизм проверки целостности.

WPA и WPA2 (Wi-Fi Protected Access) — представляет собой обновленную программу сертификации устройств беспроводной связи. Технология WPA пришла на замену технологии защиты беспроводных сетей WEP. Плюсами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном уровне, так и на программном. На данный момент WPA и WPA2 разрабатываются и продвигаются организацией Wi-Fi Alliance.

В WPA обеспечена поддержка стандартов 802.1X, а так же протокола EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации). Стоит заметить, что в WPA поддерживается шифрование в соответствии со стандартом AES (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ над используемым в WEP RC4, например гораздо более стойкий криптоалгоритм.

Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi.

Некоторые отличительные особенности WPA:

    усовершенствованная схема шифрования RC4. обязательная аутентификация с использованием EAP. система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.

WPA, по сути, является суммой нескольких технологий.

Как упомянуто выше, в стандарте WPA используется Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS). Но следует отметить, что WPA имеет упрощённый режим. Этот режим получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети (беспроводные маршрутизаторы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

Даже не принимая во внимания тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

TKIP, MIC и 802.1X (части уравнения WPA) внесли свою лепту в усиление шифрования данных сетей, использующих WPA.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

Сервер аутентификации, после получения сертификата от пользователя, использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Другим важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

Реализованный на уровне 2 протокол WPA2 защищает беспроводную сеть значительно лучше. Однако лишь он один не способен обеспечить должную безопасность корпоративной сети. Управление же доступом по этому протоколу в сочетании с основанным на портах протоколом аутентификации IEEE 802.1X позволяет исключить возникновение большинства проблем безопасности. Применение этой пары протоколов не защитит вас от “нелегальных” устройств, атак типа “отказ в обслуживании” (denial-of-service) или какого-либо другого вмешательства извне, но обеспечит безопасность беспроводных коммуникаций.

Технология защищенного беспроводного доступа WPА2. Основные режимы работы.

Спецификация WPA2 организации Wi-Fi Alliance является значительным усовершенствованием механизма безопасности WEP (Wired Equivalent Privacy) исходного стандарта 802.11 (более подробную информацию по протоколу WEP можно найти по адресу www. /go/1702rd7.jhtml). Протокол WEP был уязвимым для атак и скверно реализовывался производителями, поэтому он так и не нашел применения в корпоративных сетях. Слабые места WEP и то, что их весьма просто использовать в вероломных целях, стимулировали разработку стандарта 802.11i, который был утвержден и опубликован в 2004 г. В рамках проекта стандарта 802.11i организация Wi-Fi Alliance разработала протокол WPA, а позднее — WPA2, обеспечивающий более высокий уровень безопасности, чем первая версия WPA.

WPA поддерживает использующий метод шифрования RC4 протокол TKIP (Temporal Key Integrity Protocol) и может быть программно реализован путем обновления драйвера или встроенного ПО. Частая ротация ключей и наличие счетчика пакетов предотвращают атаки с воспроизведением пакетов (packet replay) или их повторным вводом (packet re-injection). Протокол WPA обеспечивает контроль целостности данных, используя метод контрольной суммы MIC (Message Integrity Code), иногда называемый “Michael”. Данный метод подвержен атакам “грубой силы” (brute-force attacks), но при этом передача сетевого трафика на минуту автоматически приостанавливается и, если основанная на WPA точка доступа детектирует в течение 60 с более одной ошибки MIC протокола TKIP, сеансовые ключи переустанавливаются, снижая, таким образом, риск атак до минимума. Между тем протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard).

Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом (PreShared Key — PSK). Ключ PSK, а также идентификатор SSID (Service Set Identifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа (Pairwise Master Key — PMK), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа (Pairwise Transient Key — PTK), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.

Зато в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

Протоколы WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ PSK (PreShared Key). Ключ PSK совместно с идентификатором SSID (Service Set Identifier) используются для генерации временных сеансовых ключей PTK (Pairwise Transient Key), для взаимодействия беспроводных устройств. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще определенные проблемы, связанные с необходимостью распределения и поддержки ключей на беспроводных устройствах сети, что делает его более подходящим для применения в небольших сетях из десятка устройств, в то время как для к орпоративных сетей оптимален WPA2-Enterprise . В режиме WPA2-Enterprise решаются проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль, аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг подключений и направляют аутентификационные запросы на соответствующий сервер аутентификации (как правило, это сервер RADIUS, например Cisco ACS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий аутентификацию пользователей и устройств, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.

Понятие виртуальной сети. Классификация. Организация работы серверов.

VLAN - работают на канальном уровне блокируя сетевой уровень доступа.

комп
 

комп
 

комп
 

комп
 

комп
 

комп
 

SW
 

SW
 

SW
 

GW
 

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6