Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Sterowanie dostępem do systemów informatycznych. Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne.

Podobne prezentacje


Prezentacja na temat: "Sterowanie dostępem do systemów informatycznych. Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne."— Zapis prezentacji:

1 Sterowanie dostępem do systemów informatycznych

2 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

3 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

4 Sterowanie dostępem Mechanizmy sterowania dostępem zapewniają, że wszystkie bezpośrednie dostępy do różnych obiektów są uznawane za legalne Skuteczność sterowania dostępem opiera się na: Poprawnej identyfikacji użytkowników lub obiektów zabiegających o dostęp do zasobów poprzez procedury sprawdzania i weryfikacji tożsamości Kontrolowaniu dostępu do zasobów za pomocą praw dostępu, które są chronione przed nieuprawnioną modyfikacją

5 Metody weryfikowania tożsamości użytkowników Coś, co znasz (ang. something you know). Do tej kategorii można zaliczyć hasła, identyfikatory, numery PIN, itd Coś, co posiadasz (ang. something you own), np. karta magnetyczna, karta chipowa, klucz do drzwi, itd Coś, czym się charakteryzujesz (ang. something you are)., np. linie papilarne, geometria twarzy, tęczówka oka, charakterystyka głosu, ręczny podpis, kod DNA, zapach, cechy behawioralne

6 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

7 Zagrożenia niedozwolonego dostępu Intruzi - nieupoważniona osoba próbuje włamać się do systemu informatycznego Wirusy - złośliwe programy komputerowe zagrażające systemom komputerowym, wykorzystujące ich słabe punkty Szpiegostwo - celowe pozyskiwanie tajnych informacji chronionych przed niepowołanym dostępem Sabotaż - celowe niszczenie tajnych informacji chronionych przed niepowołanym dostępem

8 Historia Hackingu Lata 70 XX wieku. John T. Draper - zwany Cap'n Crunch - za pomocą gwizdka z opakowania amerykańskich chrupek z tą komiksową postacią i dźwięku o częstotliwości 2600 Hz potrafił uzyskać darmowe połączenie telefoniczne Następnie skonstruowano urządzenie o nazwie blue box, które pozwalało na oszukiwanie operatora telefonicznego Takie urządzenia sprzedawali Steve Jobs i Steve Wozniak – twórcy firmy Apple

9 Historia Hackingu Lata 80 XX wieku. Wzrost popularności komputerowych klasy PC oraz innych spowodował szybki rozwój wirusów komputerowych i włamań do systemów Lata 90 XX wieku. Popularności Internetu prowadzi do ogólnoświatowych epidemii wirusów (np. I love sou, Code Red, MS Blaster), ataków DDoS na duże serwisy WWW Obecnie. Dalszy rozwój wirusów, ataków DoS, spam. Zagrożenia związane z handlem elektronicznym, np. phishing

10 Problemy wojny informatycznej Poziom personalny: wykradanie informacji o obywatelach, ataki skierowane na osoby prywatne, kradzież tożsamości, szkalowanie innych osób Poziom firm: wykradanie informacji biznesowych, zablokowanie usług firm Poziom globalny: sieciowy terroryzm, niszczenie danych, np. ataki na sieć w Estonii w 2007 roku, ataki na komputery w USA towarzyszące wojnie w Iraku, bombardowaniu Serbii, itd

11 Klasyfikacja intruzów Haker – white hat. Dobry specjalista, znający doskonale systemy komputerowe, nie ma złych zamiarów Cracker – black hat. Włamywacz mający na celu pokonanie zabezpieczeń systemu w celu osiągnięcia własnych korzyści Grey hat. Któs pomiędzy white hat i black hat Invisible enemy. Niewidzialny wróg atakujący systemy Phreaker. Włamuje się do systemów telekomunikacyjnych Lamer. Osoba słabo znająca się na systemach informatycznych, a udająca profesjonalistę

12 Motywacja intruzów Pieniądze Samorealizacja Rozrywka Walka dla sprawy Konflikt międzynarodowy

13 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

14 Wirusy Szeroko pojęte wirusy to złośliwe programy komputerowe zagrażające systemom komputerowym, wykorzystujące ich słabe punkty Wirusy można podzielić na wymagające gospodarza oraz działające samodzielnie Wirusy mogą być rozprzestrzeniane za pomocą poczty elektronicznej, plików, stron WWW Główny powód tworzenia wirusów to chęć uzyskania korzyści finansowych

15 Rodzaje wirusów Bakteria – program zużywający zasoby przez rozmnażanie Bomba logiczna – fragment programu sprawdzający, czy w systemie jest spełniony określony zbiór warunków, umożliwiający wykonanie niedozwolonych operacji Boczne wejście – tajne, nie opisane w dokumentacji, wejście do programu, pozwalające na uzyskanie dostępu z pominięciem procedur uwierzytelnienia i kontroli dostępu Koń trojański – tajna, nie opisana w dokumentacji procedura zawarta w programie Worm – program, który może się powielać za pomocą sieci, po dotarciu do stacji może się uaktywnić i ponownie powielić się

16 Metody ochrony antywirusowej Brama antywirusowa. W tej metodzie poczta elektroniczna przesyłana do sieci lokalnej jest kontrolowana i zainfekowane listy, załączniki, pliki są usuwane Ogólne programy antywirusowe reagują na przeprowadzenie przez system podejrzanych operacji, np. modyfikowanie o pamięci operacyjnej, plików dyskowych. Nie eliminują wirusa Skanery poszukują na dyskach znanych sygnatur wirusów Antywirusowe zdjęcia zapisują matematyczne kody plików

17 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

18 Phishing Phishing to oszukańcze pozyskanie poufnej informacji osobistej, np. hasła, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Phising to rodzaj inżynierii społecznej Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł) Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80 Najsłynniejszym cybernetycznym przestępcą, który stosował inżynierię społeczną był Kevin Mitnick

19 Realizacje phishing Wysłanie maili w imieniu banku czy innej instytucji finansowej Tworzenie stron WWW udających strony banków czy innej instytucji finansowej Kontakt telefoniczny i udawanie kogoś innego, np. podając się za administratora prosimy o hasło Wykorzystywanie spamu do rozsyłania linków do fałszywych stron

20 Ochrona przed phishing Polityka informacyjna banków lub innych instytucji finansowych podkreślająca, że nie są wysyłane maile z prośbą o hasła Nie należy otwierać hiperłączy bezpośrednio z otrzymanego a Stosowanie protokołu https (SSL) w dostępie do stron WWW Rozsądek i czujność użytkowników Bieżące aktualizacje systemu operacyjnego i innego oprogramowania (przeglądarki, klient poczty)

21 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

22 Ochrona haseł Większość systemów wymaga podczas identyfikacji podania identyfikatora użytkownika oraz hasła Hasła są kodowane algorytmami szyfrującymi umożliwiającymi łatwe zakodowanie i jednocześnie będące bardzo trudne do deszyfracji (np. algorytmy haszujące) Hasła są przechowywane w systemie oraz przesyłane w sieci komputerowej w formie zakodowanej

23 Metody utrudniania haseł Dołączanie do hasła tzw. domieszek (soli) Wymuszanie na użytkownikach odpowiednio długich haseł Wymuszanie na użytkownikach czasowej zmiany haseł Hasła generowane komputerowo Aktywne sprawdzanie haseł Pasywne sprawdzanie haseł Hasła jednorazowe

24 Łamanie haseł Metody brutalnej siły (brute force) – sprawdzane są wszystkie możliwe kombinacje, złożoność ataku zależy od długości hasła Atak słownikowy – szyfrowane są kolejne wyrazy ze słownika oraz różnych kombinacji tych wyrazów z dołączonymi cyframi, znakami graficznymi itd. Tęczowe tablice (rainbow table) – wykorzystywana jest gotowa tablica skrótów, do których próbuje się dopasować przechwycone zaszyfrowane hasło Wirusy, konie trojańskie, key logger Inżynieria społeczna – intruz próbuje wyłudzić hasło od użytkownika, np. phishing

25 Łamanie haseł metodą brutalnej siły Intruz może uzyskać zaszyfrowane hasło podsłuchując łącze sieciowe lub wykradając plik z hasłami Metoda brutalnej siły (brute force) – sprawdzane są wszystkie możliwe kombinacje hasła Złożoność ataku zależy więc od długości użytego hasła Dlatego skuteczną metodę ochrony przed tym atakiem jest wybieranie odpowiednio długich haseł

26 Liczba różnych haseł Długość hasła Tylko litery (26 znaków) Litery i cyfry (36 znaków) Duże i małe litery, cyfry (62 znaki) Wszystkie wyświetlane znaki (96) x x x x x x x x x x x x x x x x x x x x x x x x x x 10 18

27 Czas potrzebny na pełen przegląd haseł przy założeniu weryfikacji haseł na sekundę Długość hasła Tylko litery (26 znaków) Litery i cyfry (36 znaków) Duże i małe litery, cyfry (62 znaki) Wszystkie wyświetlane znaki (96) 30,2 s0,5 s2,4 s8,8 s 42,6 s17 s2,5 min14,1 min 52 min10 min2,5 godz.22 godz 651 min6 godz6,6 dni90 dni 722 godz.9 dni407 dni23 lata 824 dni326 dni69 lat2287 lat 9628 dni32 lata4270 lat lat 1044 lata1159 lat lat21 mln lat

28 Atak słownikowy Atak słownikowy – szyfrowane są kolejne wyrazy ze słownika oraz różnych kombinacji tych wyrazów z dołączonymi cyframi, znakami graficznymi itd. Otrzymane w ten sposób ciągi bitów są sprawdzane czy pasują jako hasło Jest to możliwe gdyż zazwyczaj znany jest algorytm użyty do zaszyfrowania hasła Skuteczne metody to: wymuszanie trudnych haseł, aktywne i pasywne sprawdzanie haseł, hasła generowane komputerowo Poza tym można ustalić po ilu błędnie podanych hasłach system ma się blokować

29 Tęczowe tablice Tęczowe tablice (rainbow table) – wykorzystywana jest gotowa baza skrótów, do których próbuje się dopasować przechwycone zaszyfrowane hasło Zwykłe bazy danych skrótów zajmują bardzo dużo pamięci przez co są nieefektywne Tęczowa tablica jest tworzona przez zapisywanie łańcuchów (ang. chains) ze skrótów z możliwych haseł tworzonych za pomocą funkcji redukcji Dzięki temu zapisywany jest jeden skrót na kilkaset (kilka tysięcy) wygenerowanych Mimo to baza danych pozwala na odwrócenie skrótu w ponad 90% przypadków, w zależności od rozmiaru tablicy

30 Tęczowe tablice Dobrym sposobem na zabezpieczenie przed tęczowymi tablicami jest stosowanie domieszki tzw. soli Sprawia to, że dla każdej soli funkcja skrótu jest inna Żeby złamać taki skrót program łamiący hasło musiałby posiadać tęczową tablicę dla każdej możliwej soli, co jest niepraktyczne Większość dystrybucji GNU/Linuksa i systemów BSD wykorzystuje sól do zapisywania haseł użytkowników, funkcjonalność ta jest oferowana przez pakiet shadow Większość aplikacji internetowych w PHP wykorzystuje do kodowania haseł użytkowników zwykłe MD5, co ułatwia złamanie hasła

31 Key logger Key logger to program, który zapisuje wszystkie naciśnięte klawisze Wiele wirusów i koni trojańskich ma wbudowaną tą funkcję Można się przed tym bronić stosując graficzną klawiaturę na ekranie, jednak wirusy mogą robić również zrzuty ekranów Skutecznym zabezpieczeniem są hasła jednorazowe, które można wykorzystać tylko do wykonania jednej operacji w systemie

32 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

33 Metody biometryczne Słowo biometria pochodzi z greckiego bios =życie", metron =pomiar" Metody biometryczne to implementacja metody uwierzytelniania typu coś co znasz Biometria do uwierzytelnienia wykorzystuje cechy fizyczne (np. linie papilarne, tęczówka oka, siatkówka (dno oka), układ naczyń krwinośnych, kształt dłoni, kształt linii zgięcia wnętrza dłoni, kształt ucha, twarz, rozkład temperatur na twarzy, kształt i rozmieszczenie zębów, zapach, DNA itp.) Można też wykorzystywać cechy behawioralne, tzn. związane z zachowaniem (np. sposób chodzenia, podpis odręczny, ale też pisząc na klawiaturze komputera, głos

34 Metody biometryczne Biometryczne techniki zajmują się przede wszystkim weryfikacją, czyli porównaniem uzyskanych cechy z zapisaną wcześniej próbką Możliwe jest również identyfikacja polegająca na tym, że uzyskane z pomiaru cechy należy porównać z każdą zapisaną w bazie próbką W uzyskanego pomiaru (np. zdjęcia) obliczana jest cyfrowa postać uwzględniając pewne charakterystyczne elementy pomiaru W bazie danych cyfrowa postać cechy danego użytkownika przechowywana jest w formie zaszyfrowanej

35 Metody biometryczne Z używaniem biometrii mogą wiązać się następujące błędy: False positive – ktoś nieupoważniony do korzystania z systemu jest identyfikowany jako ktoś inny (upoważniony) i w ten sposób pozytywnie przechodzi uwierzytelnienie False negative – ktoś upoważniony nie jest identyfikowany przez system i w ten sposób nie może przejść uwierzytelnienia Metody biometryczne powinny dążyć do minimalizacji obydwu rodzajów błędów

36 Linie papilarne Linie papilarne to charakterystyczny układ bruzd na skórze, w szczególności na opuszkach palców rąk, ale również na wewnętrznej powierzchni dłoni, palcach stóp i wargach Badaniem linii papilarnych palców dłoni zajmuje się daktyloskopia Układ linii papilarnych tworzy się w czasie trwania życia płodowego (pomiędzy 100 a 120 dniem) i jest różny nawet u bliźniąt jednojajowych Daktyloskopię od XIX wieku stosuje policja do identyfikacji przestępców

37 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

38 Inne metody ochrony dostępu do sieci X.509 Radius Zapora ogniowa (firewall) System wykrywania intruzów IDS (ang. Intrusion Detection System) oraz IPS (ang. Intrusion Prevention System) Protokół Kerberos Sieci VPN i inne techniki szyfrowania Audyt bezpieczeństwa oraz polityka bezpieczeństwa Szkolenia personelu Ochrona prawna

39 X Uwierzytelnianie na podstawie katalogu X.509 to jedno z zaleceń CCITT definiujące usługę katalogowania Katalog to serwer lub rozproszony zbiór serwerów, który prowadzi bazę danych o użytkownikach zawierającą nazwy użytkowników, ich adresy sieciowe oraz inne atrybuty X.509 definiuje ramy usług uwierzytelniania świadczonych użytkownikom przez katalog X.500 Katalog może służyć jako magazyn certyfikatów kluczy jawnych dla algorytmów asymetrycznych

40 RADIUS RADIUS (ang. Remote Authentication Dial In User Service) to usługa zdalnego uwierzytelniania użytkowników, którzy korzystają z dostępu do sieci, np. poprzez usługę wdzwanianą typu DialUp, sieci bezprzewodowe IEEE RADIUS został opracowany przez firmę Livingston, Inc., i następnie uznany jako standard w RFC: 2138, i innych Umożliwia realizację usługi AAA (ang. Authentication, Authorization, and Accounting), czyli uwierzytelnianie, autoryzacja, rozliczanie Używa protokołu UDP

41 RADIUS Współpracuje z scentralizowaną bazą danych zawierającą dane o użytkownikach, np. informacje uwierzytelniające, konfiguracyjne, rodzaj usług, z których mogą korzystać poszczególni użytkownicy Rejestruje dostęp użytkowników od zasobów Działa w modelu klient serwer, obydwie strony współdzielą tajny sekret dla zapewnienia bezpieczeństwa, np. wspólny klucz szyfrujący lub hasło Otwarty standard, który może współpracować z wieloma systemami oraz metodami uwierzytelniania użytkowników

42 RADIUS w dostępie DialUp

43 RADIUS w dostępie do WiFi

44 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

45 Koncepcje mechanizmów sterowania dostępem Macierz dostępu Lista kontroli dostępu ACL (Access Control List) Lista możliwości (capability) Zaufane systemy Hierarchia dostępu

46 Model macierzy dostępu Macierz dostępu stanowi podstawowy sposób opisu systemów ochrony W tym modelu stan systemu ochrony reprezentuje macierz, a przejścia stanów są opisywane poleceniami Stan systemu jest określany przez zbiór podmiotów S, zbiór obiektów O oraz macierz dostępu A Elementy macierzy zawierają rodzaje dozwolonych praw dostępu R

47 Lista sterowania dostępem Lista sterowania dostępem ACL (ang. Access Control List) jest listą podmiotów s upoważnionych do dostępu do pewnego obiektu x Lista ta zawiera niepuste elementy kolumny x macierzy dostępu A, i-ta pozycja listy określa nazwę podmiotu s i oraz prawa r i w elemencie A[s i,x] macierzy dostępu

48 Lista możliwości Możliwość (ang. capability) jest parą (x,r) określającą unikalną nazwę (adres logiczny) obiektu x i zbiór praw dostępu r do x Możliwość jest rodzajem biletu, którego posiadanie bezwarunkowo upoważnia do dostępu r do obiektu x

49 Zasady projektowania mechanizmów ochrony Najmniejsze uprzywilejowanie - każdy użytkownik i proces powinny dysponować najmniejszym zbiorem niezbędnych praw Ekonomiczność mechanizmu - projekt powinien być dostatecznie mały i prosty, by mógł być zweryfikowany i zaimplementowany Całkowite pośrednictwo - każdy dostęp powinien podlegać upoważnieniu i kontroli Jawność projektu - ochrona systemu nie powinna zależeć od utrzymywania w tajemnicy projektu lub ignorancji intruzów

50 Zasady projektowania mechanizmów ochrony cd. Oddzielenie przywilejów - gdzie to możliwe, dostęp do obiektu powinien zależeć od spełnienia więcej niż jednego warunku Najmniejszy wspólny mechanizm - liczba wspólnych mechanizmów powinna być jak najmniejsza Psychiczna akceptowalność - mechanizmy muszą być łatwe w użyciu, aby były stosowane poprawnie i nie były omijane przez użytkowników

51 Zaufane systemy W celu ochrony dostępu stosowana może być koncepcja zaufanych systemów, która polega na ochronie danych lub zasobów na podstawie poziomów ochrony (np. kategorie jawna, poufna, tajna, ściśle tajna) Koncepcję tę można zastosować, gdy informacje można pogrupować w zbiorcze kategorie, a użytkownikom udzielać pozwoleń na dostęp do niektórych kategorii Nie można odczytywać informacji na wyższym poziomie ochrony Nie można zapisywać na poziomie niższym ochrony

52 Zapis kontrolny Narzędziem stosowanym w wykrywaniu włamań do systemu jest zapis kontrolny (ang. audit record) Każdy zapis powinien zawierać: Podmiot, który jest inicjatorem działania Wykonaną czynność Przedmiot, na którym wykonywana jest ta czynność Zużycie zasobów Datownik

53 Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne Inne metody ochrony dostępu do sieci Sterowanie dostępem Podsumowanie

54 Popularność systemów informatycznych powoduje potrzebę skutecznego sterowania dostępem do tych systemów Istnieje wiele różnych zagrożeń związanych z niedozwolonym dostępem do systemu Podstawowa motywacja działania intruzów to chęć korzyści finansowych Podstawowe zabezpieczenie obecnie stosowane to hasła, ale coraz większe znaczenie zyskuje biometria Systemy praw dostępu do zasobów są w większości systemów implementowane w postaci listy ACL


Pobierz ppt "Sterowanie dostępem do systemów informatycznych. Plan wykładu Wprowadzenie Zagrożenia niedozwolonego dostępu Wirusy Phishing Ochrona haseł Metody biometryczne."

Podobne prezentacje


Reklamy Google