Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Лампампулечка  
#1 Оставлено : 23 ноября 2010 г. 15:54:55(UTC)
Лампампулечка

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 3

Ребят помогите пожалуйста с задачей, просто жуть какая-то, не могу разобраться. Может будут у кого нибудь какие либо идеи, наводки? Хоть чем нибудь...
На форуме есть очень умные люди, я знаю.


Заранее спасибо всем за посильную помощь!

Рассмотрите сценарий на рисунке:

UserPostedImage

Предположите, что IPsec используется в режиме ESP (ESP protocol – Encapsulating Security Payload) с аутентификацией, для передачи между двумя VPN, сайтом Нью Йорк Сити и сайтом Лос Анджелес. Предположите, что одна пара SA (Security Association) устанавливается между сайтами. Предположите, что "человек в середине" (MITM) атакующий управляет раутером, и может наблюдать за передачей, которая проходит через раутер, и ввести один имитированный пакет в последовательность переданных пакетов (но не может отбросить или задержать пакеты). Кроме того, атакующий управляет компьютером зомби на сайте Нью Йорк Сити (установленный не на компьютере который использует CEO -Chief Executive Officer). Предположите, что у атакующего есть более быстрый канал к GW2, чем канал, используемый между GW1 к GW2. Предположите, что скорость передачи R (всех устройств) составляет 1Мбайт/с (Мегабайт в секунду, и эквивалентно 10 в 6-й степени байтам в секунду). Примите задержку dLGT легитимных частей по 0.2 секунды между GW1 и раутером (управляется атакующим) и задержку 0.8 секунды между раутером и GW2; задержка атакующего (более быстрого канала) является dATK = 0.4 секунды. MTU (Maximum Transmission Unit) 1000 байтов на всех каналах.


Для каждого значения (ниже) anti-replay window (в пакетах) объясните (с вычислением), если атакующий может заставить anti-replay отбрасывать пакеты (представте атаку), если атака не может привести к реализации IPsec, отбрасывая легитимные пакеты, или если основанное на данных параметрах не может быть решено.


A. 100 пакетов
B. 300 пакетов
C. 500 пакетов
D. 700 пакетов
E. 900 пакетов
F. 1100 пакетов

Оригинал задачи:

http://imglink.ru/pictur...6e8afad7eea269345f50.jpg

Заранее спасибо всем за посильную помощь!

Отредактировано пользователем 25 ноября 2010 г. 18:27:17(UTC)  | Причина: Не указана

Вложение(я):
IPSEC.jpg (288kb) загружен 31 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Дмитрий Пичулин  
#2 Оставлено : 24 ноября 2010 г. 17:22:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
видимо вы сделали некорректный перевод задачи.

текущая постановка вопроса не имеет никакого смысла, условие я даже не читал.
Знания в базе знаний, поддержка в техподдержке
Offline Лампампулечка  
#3 Оставлено : 25 ноября 2010 г. 17:37:35(UTC)
Лампампулечка

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 3

Вопрос задачи был действительно не совсем корректен (внесла изменения). Смутило понятие "anti-replay window" есть такое у IPSec, но на русском языке вроде такого понятия и нет. А в прямом переводе безсмыслица получается "окно анти-повтора".
Почитала инфу: anti-replay window protocol обеспечивает безопасность IP на уровне пакетов, делая невозможным для хакера перехват пакетов сообщений и изменять пакеты в потоке данных между компьютерами в сети путём присвоения уникального номера последовательности для каждого зашифрованного пакета. Security Association [SA] анти-повтор службы безопасности, в котором получатель может отказаться от старых или дублированных пакетов, чтобы защитить себя от атак.
Ну всё равно как-то не совсем понятно, можете помочь обьяснить по подробнее разобраться в этом каламбуре?
Если есть ветка форума по IPSec, значит и есть люди в нём понимающие, откликнитесь пожалуйста!

Отредактировано пользователем 25 ноября 2010 г. 18:20:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#4 Оставлено : 25 ноября 2010 г. 18:37:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
задача конечно очень кривая.

наверное, имеется ввиду следующее:
атакующий, имея более быстрый канал, может искусственно наращивать seqnum в SA, таким образом пакеты не попадающие в окно (anti-replay window) будут отвергаться.

приблизительная логика:
расстояние от атакующего до gw2 проходит двумя способами за 0.8 сек по медленному и за 0.4 по быстрому. у gw1 пакеты идут по медленному каналу. предположим gw1 на максимальной пропускной способности передает пакеты к gw2 последовательно по 1000 байт (в условии не сказано какие пакеты, все поменяется если они будут меньше или больше (тогда фрагментация), хотя наверно в этом и суть задачи, посмотреть как человек думает). то есть за 1 секунду идут от gw1 до gw2 1000 пакетов (1,2,3,4....1000). атакующий берет пакет номер 1000 (последний от gw1) и отправляет его по быстрому каналу. получаем время прихода пакета номер 1000 до атакующего 1+0.2=1.2 секунды. получаем время прихода пакета номер 1000 по быстрому каналу до gw2: 1.2+0.4=1.6. получается что в момент времени 1.6 сек, gw2 имеет корректный seqnum 1000 и устанавливает в SA этот номер за ориентир окна, но до него продолжают идти пакеты от gw1 с меньшим значением seqnum (так как канал медленнее), а именно со значением 600, то есть. если на gw2 установлено окно меньшее 400, например 300, то 100 пакетов с номерами 600-700 будут отвергнуты, и примутся только пакеты с 700-999, 1000ый пакет также будет отвергнут, так как является дублем пришедшего по быстрому каналу. и так далее. надеюсь логика понятна, дальше додумаете.

объяснял очень подробно, больше подробностей не будет.
Знания в базе знаний, поддержка в техподдержке
Offline Лампампулечка  
#5 Оставлено : 25 ноября 2010 г. 20:55:57(UTC)
Лампампулечка

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 3

pd - безграничное вам спасибо за пояснения, всё становится как на ладони, о больших подробностях и не мечтала, начало доходить :-) Буду додумывать вечерком !
Очень благодарна ...
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.