Министерство образования и науки РФ новосибирский государственный университет физический факультет Кафедра физико-технической информатики проблемы безопасности в информационных технологиях (курс лекций)

но не AH) в UDP, стало возможным пересылать трафик IPSec через NAT, используя специальные NAT traversal (NAT-T).

8 Компания Microsoft в своей имплементации IPSec реализовала возможность безопасного создания SA с использованием протокола Kerberos. Но эта технология возможна только для систем, работающих в одном «лесе» AD.

1 Клиент Windows при первоначальном получении IP-адреса поступает очень просто – он выбирает DHCP-сервер, первым ответившим ему с DHCPOFFER.

2 Рандомизация номеров исходящих портов на сегодня реализована во всех без исключения реализациях DNS-серверов всех основных производителей. Но это привело к возможности DoS атаки на DNS-сервер: даже если на сервере нет никаких других UDP-служб, атакующий может просто обрушить на DNS большое количество легальных запросов, опустошая пул доступных портов, что в конечном счёте и может привести к DoS.

3 В реальной атаке Каминский действовал несколько другим способом, подробности технологии есть в его презентации. Главное то, что из-за наложения некоторых дополнительных факторов 16-битная длина поля идентификатора TXID оказалась совершенно недостаточной и многие DNS-сервера оказались подвержены атаке по подбору TXID, которая раньше рассматривалась как неосуществимая.

4 См. ссылку по поводу рандомизации UDP-портов на предыдущей странице. Атаку на кеш рандомизация портов действительно затрудняет, но приводит к возможности DoS-атаки на DNS-сервер.

1 В Интернете можно наткнуться на отчаянные споры – является ли МСЭ маршрутизатором или нет. Поддержка указанных протоколов в ASA даёт однозначный ответ на этот вопрос.

2 Предшественником Forefront TMG можно назвать продукты под названием ISA. Их было выпущено несколько версий, пронумерованных по годам: 2004, 2007 и др. Но только в TMG Microsoft удалось достичь очень неплохого сочетания возможностей МСЭ и удобства его управления.

3 Comodo Firewall входит в состав Comodo Internet Security. Существует множество систем безопасности от других производителей, название которых образовано сходным образом: Kaspersky Internet Security, Norton Internet Security и др.

1 Response возвращает связанные переменные и значения от агента менеджеру для GetRequest, SetRequest, GetNextRequest, GetBulkRequest и InformRequest. Уведомления об ошибках обеспечиваются полями статуса ошибки и индекса ошибки.

2 При разработке SNMP второй версии была предпринята попытка изменить модель безопасности в протоколе. Но, из-за возникших проблем с совместимостью и излишней сложности модели в версии v2, была выпущена версия SNMPv2c, имеющая одинаковую с v1 схему аутентификации. Естественно, с теми же проблемами в безопасности.

3 Очень часто поддержка SNMP-агента реализуется в устройстве на отдельном встроенном «компьютере», предназначенном исключительно для мониторинга и управления. Такой подход объясняет заметно более высокую итоговую цену устройств. Например, управляемые коммутаторы – при схожих базовых характеристиках – сто́ят примерно в 2-2.5 раза дороже неуправляемых.

1 Протокол WEP, несмотря на принципиальные и фундаментальные проблемы с безопасностью, всё же как-то развивался, в основном за счёт увеличения длины ключа до 256 бит. Хотя такие реализации были поддержаны далеко не всеми производители.

2 В ad-hoc сетях довольно часто единственным поддерживаемым протоколом безопасности является WEP. То же самое относится к режиму беспроводного моста «AP-AP» от многих производителей – часто оказывается, что он тоже работает только с WEP.

3 WPA2 определяется стандартом IEEE 802.11i, хотя до момента окончательного принятия стандарта существовали некоторые различия между ними. Сейчас можно считать, что WPA2==802.11i.

4 WPS включён по умолчанию в устройствах очень многих производителей, что делает эту уязвимость достаточно актуальной.

1 По такому же принципу общей разделяемой среды передачи работают беспроводные сети Wi-Fi. Полоса пропускания делится между всеми абонентами.

2 Транк – линк, передающий тегированные фреймы – терминология Cisco.

3 Современные модели некоторых продвинутых коммутаторов умеют выполнять двойную инкапсуляцию (QinQ).

4 Интересно, что некоторые другие производители, например, Allied Telesis, наоборот настоятельно рекомендуют использование VLAN 1, руководствуясь при этом именно соображениями безопасности.

5 Огромное количество сетевых администраторов зачастую даже не подозревает о самом существовании протокола STP. Его настройки по умолчанию позволяют получить функционирующую сеть по принципу «включи и работай», но с точки зрения безопасности STP требует обязательной настройки «по месту», под конкретную топологию.

1 RSA Survey: http://news.bbc.co.uk/1/hi/technology/3639679.stm

1 По этой причине вредоносной программой был признан rootkit фирмы Sony: эта программа автоматически устанавливалась при проигрывании DVD-диска с фильмом, а затем без предупреждения запускалась и собирала информацию о лицензионности других DVD с фильмами.

2 Zero-day эксплойт — это киберугроза, использующая ошибку или уязвимость в приложении или операционной системе и появившаяся сразу после обнаружения данной уязвимости, пока разработчики ПО еще не успели создать патч, а IT-администраторы — принять другие меры безопасности.

3 По этой причине в публичной сети ЦЕРН’а запрещено использовать IRC.

4 Rootkit от Sony скрывал файлы, каталоги, процессы, ветки в реестре, имена которых начинались с сочетания символов $sys$, используя при этом технологии драйвера уровня ядра.

1 Honeypot («ловушка») (горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников