PA159 - Bezpečnost na síti II

Podobné dokumenty
Bezpečnost vzdáleného přístupu. Jan Kubr

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

SSL Secure Sockets Layer

12. Bezpečnost počítačových sítí

VPN - Virtual private networks

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost internetového bankovnictví, bankomaty

Směry rozvoje v oblasti ochrany informací KS - 7

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Úvod - Podniková informační bezpečnost PS1-2

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

PB169 Operační systémy a sítě

IP telephony security overview

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Desktop systémy Microsoft Windows

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Informatika / bezpečnost

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

PA159 - Bezpečnostní aspekty

ERP-001, verze 2_10, platnost od

Y36SPS Bezpečnostní architektura PS

Směry rozvoje v oblasti ochrany informací PS 7

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Inovace bakalářského studijního oboru Aplikovaná chemie

Y36SPS Bezpečnostní architektura PS

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Technické aspekty zákona o kybernetické bezpečnosti

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Zabezpečení v síti IP

Otázka 22 Zadání. Předmět: A7B32KBE

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Michaela Sluková, Lenka Ščepánková

Autentizace uživatelů

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Inovace bakalářského studijního oboru Aplikovaná chemie

Šifrování dat, kryptografie

Bezpečnost elektronických platebních systémů

Identifikátor materiálu: ICT-3-03

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Principy a použití dohledových systémů

Obrana sítě - základní principy

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Protokol pro zabezpečení elektronických transakcí - SET

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Inovace bakalářského studijního oboru Aplikovaná chemie

Internet Information Services (IIS) 6.0

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Vývoj Internetových Aplikací

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Počítačové sítě Systém pro přenos souborů protokol FTP

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Desktop systémy Microsoft Windows

CISCO CCNA I. 8. Rizika síťového narušení

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Identifikátor materiálu: ICT-2-04

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Správa přístupu PS3-1

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

Uživatel počítačové sítě

doc. Ing. Róbert Lórencz, CSc.

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

EXTRAKT z mezinárodní normy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnost počítačových sítí

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Vlastnosti podporované transportním protokolem TCP:

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

KLASICKÝ MAN-IN-THE-MIDDLE

Technologie počítačových komunikací

Specifikace předmětu zakázky

Komunikační protokoly počítačů a počítačových sítí

Transkript:

PA159 - Bezpečnost na síti II 2. 11. 2007

PAP (RFC 1334) Autentizační protokoly slabá autentizace plain-text hesla přes sít * Předpokládal přístup přes telefon přímo k autentizačnímu serveru CHAP (Challenge Handshake, RFC 1994) Challenge-response Neposílá hesla přes sít Obě strany znají otevřené heslo Používá MD5 (sdílené_heslo autentizační požadavek) PA159 2 Podzim 2007

Autentizační služby Služba pro autentizaci (a případnou následnou autorizaci) přístupu TACACS, Terminal Access Controller Access Control System (RFC 1492) RADIUS, Remote Authentization Dial In User Service (RFC 2865) PA159 3 Podzim 2007

TACACS Původně pro autentizaci volaných modemů Autentizaci neprovádí terminál server, ale autentizační server (služba pro více terminál serverů/modemů); uživatel přímo s autentizačním serverem nekomunikuje Zahrnuje i autorizaci: Uživatel Jan smí linku použít jen v úterý od 10:00 do 16:00. Klient používá pro komunikaci UDP port 49 nebo lokálně dohodnutý TCP port Analogie PAP protokolu pro vlastní autentizaci PA159 4 Podzim 2007

RADIUS Postaven na principu challenge-response Integrovatelný i s PAP, kde login/heslo je požadovaná response" Hierarchická struktura Může použít jako klient další RADIUS servery Používá UDP Transakční protokol, zajištění ve vyšších vrstvách Musí umět použít záložní server Jednodušší implementace (bezstavový server) Rozšiřitelný protokol Podpora mobility PA159 5 Podzim 2007

Distribuce klíčů Základní problém: Komu patří (veřejný) klíč K? Důvěryhodný prostředník (trusted intermediary): Symetrické klíče: Key Distribution Center (KDC) Asymetrické klíče: Certifikační autorita (CA) Příklad KDC: Kerberos (RFC 1510) Kerberos autentication server PA159 6 Podzim 2007

Podepisuje veřejné klíče Registrační autorita Certifikační autorita Kontrola totožnosti: asociace entita x klíč Potvrzenou asociaci předává CA Chráněný soukromý klíč CA Používán na podpis asociace entita x klíč Revokace klíčů PA159 7 Podzim 2007

\f ý e-mail Bezpečnost na více vrstvách vice různých požadavků: přenos vs. autentizace příjemce i odesilatele Požadavky: zabezpečená komunikace integrita zpráv autentizace odesilatele i příjemce PA159 8 Podzim 2007

Bezpečný e-mail - realizace Symetrická kryptografie: distribuce klíče Asymetrická kryptografie: problém šifrování velmi dlouhých zpráv Klíče seance (session keys) * jednorázový symetrický klíč * asymetricky zašifrován * dešifrován příjemcem Použití hash funkcí pro zajištění integrity PA159 9 Podzim 2007

PGP Pretty Good Privacy Původně Phil Zimmermann (1991) Sloužil jako de-facto standard pro šifrování pošty Garantuje: Šifrování zprávy symetrickým klíčem (CAST, 3DES, IDEA) Autentizaci uživatele pomocí asymetrické kryptografie (RSA) Integritu zprávy hash funkcí (MD5, SHA) (v podstatě poskytuje digitální podpis) Síření klíčů: Web of trust Já určuji, do jaké míry získanému veřejnému klíči věřím Já určuji, komu věřím, že mi sděluje důvěryhodné klíče PA159 10 Podzim 2007

SSL - bezpečnost v komerčním světě Secure Socket Layer Poskytuje: Autentizace serveru Autentizace klienta Šifrování zprávy (SSL session) Základ pro TLS (Transport Layer Security, RFC 2246) Zabezpečená cesta (na rozdíl od jednotlivých zpráv/paketů) PA159 11 Podzim 2007

SSL handshake Postupné kroky: 1. Prohlížeč pošle číslo verze SSL a preferované šifrovací protokoly (pro dohodu mezi serverem a prohlížečem) 2. Server pošle číslo verze SSL, preference šifrovacích protokolů a svůj certifikát 3. Prohlížeč zkontroluje certifikát. Pokud kontrola neproběhne (uživatel akceptuje neznámý certifikát resp. certifikát podepsaný neznámou CA), pak komunikace není autentizovana. 4. Prohlížeč vygeneruje symetrický klíč a zašifrovaný jej pošle serveru. Současně pošle zprávu, že tímto klíčem bude dále šifrovat. 5. Server akceptuje klíč a potvrdí, že jím bude nadále šifrovat. Zprávy šifrovány symetrickým klíčem (klíč seance) Umožňuje znovupoužití- handshake má určitou dobu platnosti PA159 12 Podzim 2007

Secure Electronic Transactions, SET Speciální protokol pro platby, není vhodný pro obecné šifrování dat Určen pro zajištění anonymity Obchodník nemusí znát identitu plátce, stačí mu garance banky Komunikace mezi třemi komponentami: Nakupující, resp. jeho elektronická peněženka Obchodník, resp. jeho server Banka, resp. její brána Každý ze zúčastněných má certifikát SET přidává sémantiku konkrétním polím PA159 13 Podzim 2007

SET - základní komunikace Náčrt protokolu Obchodník požádá banku o garanci na konkrétní platbu Nakupující prostřednictvím obchodníkova terminálu předloží bance svou peněženku a ta z ní vyjme příslušnou částku; případně částku odečte z jeho účtu v bance Banka potvrdí obchodníkovi platbu Obchodník se nedostane do styku s identitou zákazníka PA159 14 Podzim 2007

ISfllSnic lransaciioii Secure Electronic Transactions lokální CA č.1 root CA lokální CA č.2 PA159 15 Podzim 2007

IPsec Bezpečnost na sítové vrstvě Několik desítek RFC, základní 2401 a 2411 Základní protokoly Authentication Header (AH), RFC 2401 * Autentizace odesilatele a příjemce * Integrita dat * Data nejsou šifrována Encapsulation payload security (ESP), RFC 2406 * Přidává šifrování paketů PA159 16 Podzim 2007

IPsec - Security Agreement IPsec vytváří logické kanály, zvané security agreements, SA Vždy jednosměrné (dva SA pro duplex) SA je definován Identifikátorem protokolu (AH nebo ESP) Zdrojovou IP adresou kanálu 32bitovým identifikátorem spojení (Security Parameter Index, SPI) PA159 17 Podzim 2007

AH protokol Další hlavička mezi IP a TCP/UDP hlavičkou IP protokol č. 51 Příjemce z něj pozná, že musí zpracovat AH PoleAH Next header: říká, co následuje za protokol - SPI Sekvenční číslo datagramu Pole autentizačních dat: digitální podpis datagramu PA159 18

ESP protokol Nejen hlavička, ale i vlastní data jsou chráněna Přidává také na konec" (ocas): ESP Trailer ESP Auth (poslední část ESP datagramu) IP protokol č. 50 ESP Header neobsahuje Next header Ten je uložen v ESP traileru Šifrován původní datagram plus ESP trailer - Používá DES-CBC PA159 19 Podzim 2007

IPsec a distribuce klíčů Internet Key Exchange (IKE, RFC 2409) Internet Security Association and Key management Protocol (ISKMP, RFC 2407, 2408) Definuje postupy pro sestavení a zrušení SA PA159 20 Podzim 2007

Ochrana sítě, dat a uživatelů Komplikovaný problém bez jednoduchého řešení Autentizace a šifrování pouze technickým základem Podstatné organizační a sociální aspekty Člověk zpravidla nejslabším článkem (sociální inženýrství) PA159 21 Podzim 2007

Hrozby Získání přístupu k soukromým datům Modifikace soukromých i veřejných dat včetně zrušení či odstranění informací Nežádoucí zasahování do provozu až po zrušení služeb (Denial od Service) PA159 22 Podzim 2007

Ochrana proti zneužití Fyzická Zabránění prístupu Programová Autentizace Šifrování Synchronní zásah (monitorování provozu a okamžitá reakce) * Intrusion detection system (IDS) Právní Definice žádoucího a nežádoucího chování PA159 23 Podzim 2007

Firewally V podstatě logické odpojení od Internetu Vnitrní a vnejsľ sít Povoluje jen určité služby (zpravidla formou otevřených/zavřených portů) Oboustranný blok NAT (Network Address Translation) Filtr paketů Aplikační brána PA159 24 Podzim 2007

NAT Skrývá" vnitřní sít Vnitřní adresy neviditelné" (proto překlad) Fakticky rozšiřuje adresní rozsah Udržuje spojení (speciální typ proxy) Původně reakce na vyčerpání IPv4 adres Zpravidla kombinován s filtrováním paketů NAT sám o sobě není firewall PA159 25 Podzim 2007

Filtrování paketů Analyzuje hlavičky každého datagramu Kontroluje (zpravidla) Odesilatelovu IP adresu Cílovou IP adresu TCP/UDP výchozí a cílový port ( protokol") - Řídící data (ICMP, TCP SYN a ACK,...) Umí zachytit IP spoofing (podvržení interních adres) PA159 26 Podzim 2007

Příklad Blokování spojení z jedné strany Kontrola směru navázání spojení: Akceptuje iniciaci interním uzlem ( zevnitř") Blokuje spojení iniciované externím uzlem Možné řešení: TCP ACK pole nastaveno na 0 - blokuje spojení ACK nese číslo prvního chybějícího" oktetu, 0 znamená pokus o navázání spojení PA159 27 Podzim 2007

Aplikační brána Kontrola obsahu datagramů Problematické pro šifrovaná data (včetně IPsec) Princip prostředníka (proxy) Brána se vydává za druhou stranu spojení Specifické brány pro konkrétní aplikace web/http, telnet,... e-mail: kontrola virů, označování možného spamu PA159 28 Podzim 2007

Firewally - shrnutí Součást komplexní ochrany Není jisté, zda skutečně nutná součást - nejsou všelékem * Řada útoků vedena zevnitř * Zvyšují riziko rychlého síření nákazy falešný pocit bezpečí interní sít často není dostatečně chráněna uživatelé zleniví" (a nejsou informovaní ani proškolení) * Zpravidla zdrojem zpomalení při vysokých rychlostech * Akceptovatelné" překonávání firewalů Funkcionalita výborná pro zastavení probíhajícího útoku Aplikační brány: nebezpečí chyb (a ochrana soukromí) Např. falešná detekce virů PA159 29 Podzim 2007

Základní model útoku Přetížení serveru Zastavení (zhroucení) serveru Útok z jediného zdroje Denial of Service Nepříliš nebezpečný Lze zastavit (na nejbližším aktivním prvku) PA159 30

Distributed Denial of Service, DDoS Synchronizovaný útok z více míst Těžko rozpoznatelný Jednotliví útočníci mohou mít sami o sobě legitimní požadavky Neexistuje univerzální ochrana Zastavení vyžaduje spolupráci v rámci sítě PA159 31 Podzim 2007

DDoS - ochrana v aktivní síti První fází rozpoznání útoku: označení jednotlivých proudů Každý směrovač ví, od jakého souseda jdou takto označené pakety S každým přijatým datagramem pošle požadavek na zastavení nahoru" (proti proudu toku paketů) Každý datagram přiblíží zastavení blíže k útočníkovi V konečném počtu kroků všichni útočníci zablokování Kontrolní otázka: Proč nelze vše zastavit na aktivním prvku nejblíže napadenému serveru? PA159 32 Podzim 2007

Reprodukující se kódy Často se schopností mutace Počítačové viry Motivace tvorby (ne vždy jasná) Zpočátku zpravidla možnost ukázat se" (před uzavřenou komunitou) Potenciál pro využití (průmyslová a vojenská špionáž, terorismus) Ochrana: Lokální: Koncových stanic a serverů V síti: proti šíření - vhodná filtrace na branách/aktivních prvcích Detekce útoků (korelace dat) PA159 33 Podzim 2007

Technologie sama nestačí Viry - poučení Zpravidla využity dávno známé chyby Nicméně technologie je nezbytná pro zastavení útoku Nezbytností operační systémy s přístupovými právy Chyba, pokud běžná práce vyžaduje administrátorské privileje Nezbytnou součástí je výchova uživatelů Počítačová hygiena" PA159 34 Podzim 2007

Cílené napadení (hacking) Snaha získat přístup k síti a/nebo do ní zapojeným zdrojům Klukovska zábava ( jít sousedovi na hrušky") až vojenské/teroristické akce Využití Přístup k datům a jejich modifikace * krádež identity (kreditní karta a ID) phishing patří do kategorie sociálního inženýrství * změna webových stránek Nástupní" platforma pro další činnost (např. DDoS) * Často zneužívány stroje univerzit (rychlé spojení, liberální prostředí, ale především stále noví nepoučení uživatelé) PA159 35 Podzim 2007

Ochrana proti napadení Řízení a kontrola přístupu na všech úrovních Použití vhodných operačních systémů s ochranpou přístupu Pravidelná údržba (patche, povyšování,...) Další součást počítačové hygieny" Monitoring provozu Sledování provozu na síti Sledování procesů na stanicích a serverech Výchova uživatelů PA159 36 Podzim 2007

Společná ochrana proti útokům Nespoléhat na jediný ochranný mechanismus Nepodceňovat uživatele Distribuovaný monitoring poučenými uživateli Možnost rychle zastavit útok Monitorovat provoz a vyhodnocovat včetně chytrého" (nemodifikovatelného) ukládání citlivých dat Mít připraveny postupy pro případ rozeznaného útoku PA159 37 Podzim 2007

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář