Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

27/09/2002 1 Sieci komputerowe Piotr Górczyński Bezpieczeństwo sieci komputerowych.

Podobne prezentacje


Prezentacja na temat: "27/09/2002 1 Sieci komputerowe Piotr Górczyński Bezpieczeństwo sieci komputerowych."— Zapis prezentacji:

1 27/09/ Sieci komputerowe Piotr Górczyński Bezpieczeństwo sieci komputerowych

2 27/09/ Plan Podstawowe pojęcia Podstawowe usługi zabezpieczające Ochrona Wirusy, robaki, konie trojańskie Statystyki Systemy operacyjne Hasła Firewalle Programy antywirusowe Kryptografia Podpis cyfrowy SSL Integralność danych Poczta WWW

3 27/09/ Podstawowe pojęcia Atak na bezpieczeństwo danych ataki aktywne ataki pasywne Usługi ochrony danych Mechanizmy zabezpieczające szyfrowanie uwierzytelnianie ochrona antywirusowa Typy możliwych ataków przerwanie (interruption) modyfikacja (modification) przychwycenie (interception) podrobienie (fabrication)

4 27/09/ Podstawowe usługi zabezpieczające Identyfikacja (ID) Uwierzytelnianie (ID, Hasło, Dowód osobisty, prawdziwa placówka banku) Autoryzacja (przydzielanie praw dostępu) Kontrola dostępu (nadzorowanie praw dostępu) Poufność (utajnienie danych) Integralność danych (wykrywanie zmian danych) Niezaprzeczalność (potwierdzenie dostarczenia danych, podpis cyfrowy)

5 27/09/ Waga usługi uwierzytelniania [5]

6 27/09/ Ochrona Polityka bezpieczeństwa określa co i w jaki sposób chronić. Z polityki bezpieczeństwa wynika: ochrona danych ochrona konta użytkowników zapobieganie przechwytywaniu danych transmitowanych przez sieć usuwanie błędów w oprogramowaniu systemowym filtrowanie pakietów w sieci

7 27/09/ Wirusy, robaki i konie trojańskie W najgorszym przypadku programy mogą spowodować utratę danych i uszkodzenie komputera Ochrona: programy antywirusowe (sprawdzić pożyczony dysk) firewalle niski poziom zaufania (nie otwierać załączników, nie uruchamiać makr)

8 27/09/ Statystyki (CERT NASK 1999)CERT NASK Cele włamań: wprowadzenie zmian w systemie (modyfikacja plików haseł, podmiana oprogramowania systemowego) instalowanie koni trojańskich lub snifferów (podsłuchiwanie pakietów TCP/IP) czytanie cudzej poczty elektronicznej zmiana zawartości stron WWW Typy ataków: skanowanie hostów i sieci ataki typu blokowanie usługi (DoS - Denial of Service) typowe włamania do systemu spam

9 27/09/ Statystyki [...]Podobnie, nie poprawiony w porę błąd w popularnym serwerze WWW Internet Information Server (IIS) firmy Microsoft pozwolił na błyskawiczne kilkakrotne rozprzestrzenianie się robaka internetowego Code Red w drugiej połowie 2001 roku, w rezultacie czego zainfekowanych zostało kilkaset tysięcy komputerów i spowolniona została praca całego Internetu, a szacowane straty sięgnęły kilku miliardów dolarów.[...] [6]

10 27/09/ Systemy operacyjne Mały poziom zabezpieczeń Windows 95/98 Wysoki poziom zabezpieczeń Windows NT/2000/XP Każdy system ma dziury, przez które może się dostać włamywacz. Aby się zabezpieczyć należy instalować łaty (patch, service pack).

11 27/09/ Bezpieczeństwo haseł Sposoby zdobycia hasła karteczki w szafce kosze na śmieci podszywanie się po pracownika HelpDesk konie trojańskie podsłuchiwanie w sieci Polityka zabezpieczeń haseł okresowe wymuszanie zmiany hasła pamiętanie ostatnich n-haseł (np. pięciu) wymuszanie długości haseł

12 27/09/ Dobre hasła Cechy dobrego hasła: hasło powinno mieć minimum 6 znaków powinno być kombinacją dużych i małych liter, cyfr oraz znaków specjalnych nie może być słowem, które znajduje się w słowniku jakiegokolwiek języka nie powinno się używać tego samego hasła do różnych kont, programów, itp Przykład: ToJestMoje2hasło #WlazłKotNa#

13 27/09/ Firewalle Firewall (ściana ogniowa) to urządzenie lub program, którego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób włamania. Najbardziej popularne typy firewalli: statyczny filtr pakietów, dynamiczny filtr pakietów, proxy Profesjonalne CheckPoint FireWall-1 Pics Domowe i do małych biur

14 27/09/ Diagram sieci z firewall [2]

15 27/09/ Statyczny filtr pakietów Statyczny filtr pakietów jest nieinteligentnym urządzeniem filtrującym. Ruch w sieci jest kontrolowany przy użyciu informacji zapisanych w nagłówkach pakietów. Zgodność nagłówka z listą dostępu decyduje o tym, czy pakiet jest przepuszczany lub odrzucany.

16 27/09/ Dynamiczny filtr pakietów Dynamiczny filtr pakietów kontroluje ruch na postawie atrybutów pakietu oraz tabeli stanów. Tabela stanów pozwala na zapamiętanie poprzedniej wymiany pakietów. Odpowiedź zdalnej maszyny sprawdzana jest z tabelą stanów w poszukiwaniu: czy chroniona maszyna wysłała jakieś zapytanie czy port źródłowy informacji zgadza się z odpowiedzią czy port docelowy informacji zgadza się z odpowiedzią

17 27/09/ Proxy Proxy jest aplikacją, która przekazuje ruch między dwoma segmentami sieci (separacja sieci, tłumaczenie adresów NAT) Transmisja poprzez proxy: 1.Żądanie przez komputer klienta usługi na zdalnym serwerze kierowane jest do proxy. Proxy identyfikuje jaki rodzaj usługi jest żądany i weryfikuje żądanie z listą dostępu. 2.Proxy formułuje nowe zapytanie do zdalnego serwera i podaje siebie jako źródło. 3.Zdalny serwer odpowiada i przesyła dane do proxy. Proxy otrzymuje odpowiedź i sprawdza czy informacje w odpowiedzi są akceptowalne 4.Prozy kieruje informacje do komputera klienta.

18 27/09/ Firewalle domowe i małych sieci Programy rezydujące w pamięci komputera. Proste w obsłudze. Brak zaawansowanych usług (translacja adresów, kontrola zintegrowana z domeną, itd.) Avirt Soho ConSeal PC Firewall Jammer LockDown 2000 Norton Internet Security Sybergen Personal Firewall WinGate Winroute Zone Alarm

19 27/09/ Programy antywirusowe McAfee Virus Scan - shareware, komercyjny McAfee Virus Scan AntiViral Toolkit - shareware (ograniczony czas działania) AntiViral Toolkit Panda Antivirus - shareware Panda Antivirus eSafe Protect - shareware, komercyjny eSafe Protect Norton Antivirus - darmowa wersja 30-dniowa, komercyjny Norton Antivirus Mks_Vir - darmowa wersja, komercyjny Mks_Vir

20 27/09/ Kryptosystemy Kryptosystemy służą do szyfrowania informacji. Przykład: CEZAR Atakiem brutalnym nazywamy sprawdzenie wszystkich kluczy. Kryptosystem jest poprawny jeżeli każdy atak jest atakiem brutalnym. Kryptosystem jest skuteczny jeżeli czas odszyfrowania jest dłuższy niż czas poufności informacji.

21 27/09/ Moc szyfru Moc szyfru zależy od długości kluczy (w bitach). Im większa moc szyfru tym więcej czasu potrzeba na jego złamanie.

22 27/09/ Klucz symetryczny RC3,3DES Nie zapewniają niezaprzeczalności Mogą być szybko złamane Konieczność bezpiecznego dostarczenia klucza Bezpieczne przy częstej zmianie kluczy i krótkim czasie szyfrowania. [1]

23 27/09/ Klucz asymetryczny RSA, DSS Zapewniają niezaprzeczalność Dla kluczy>1024 bity nie do złamania Długi czas odszyfrowywania [1]

24 27/09/ Szyfrowanie kluczami symetrycznymi i asymetrycznymi 1.Za pomocą szyfrowania asymetrycznego RSA prześlij klucz. 2.Szyfruj metodą 3DES za pomocą przesłanego klucza.

25 27/09/ Integralność danych Do zapewnienia integralności danych służą funkcje skrótu (hash functions) MD2, MD4, SHA. Funkcje skrótu są nieodwracalne. skrot=f(wiad), ale nie istnieje F=f -1, żeby wiad=F(skrot) Algorytm: 1.Nadawca oprócz wiadomości przesyła jej skrót (zaszyfrowany kluczem prywatnym). 2.Odbiorca tworzy sam skrót z odebranej wiadomości i porównuje z odszyfrowanym skrótem nadawcy. 3.Jeśli skróty się nie zgadzają – wiadomość została zmieniona.

26 27/09/ Popis cyfrowy Niezaprzeczalność (autor), integralność, data Nie zapewnia poufności (trzeba szyfrować) Podpis jest skojarzony z certyfikatem [1]

27 27/09/ Certyfikat Certyfikat jest to związany z kluczem zbiór informacji opisujący, do kogo ten klucz należy. Certyfikat jest wystawiany przez Centrum Certyfikacji (Certificate Agency - CA), które poświadcza prawdziwość informacji w certyfikacie. Certyfikat można też wystawiać poza Centrum Certyfikacji, ale certyfikat jest wtedy nie potwierdzony (not validated). Na podstawie certyfikatu otrzymanego od CA, nazwijmy go B, można wystawić inny certyfikat, nazwijmy go D. Wtedy za prawdziwość informacji na certyfikacie D odpowiada B. Ścieżkę CA-B-D nazywamy ścieżką certyfikacji. Centra Certyfikacji

28 27/09/ Certyfikaty w Internet Explorer W menu Narzedzia (Tools) kliknij polecenie menu Opcje internetu (Internet Options). Wejdź na zakładkę Zawartość (Content) i kliknij guzik Certyfikaty... (Certificates...) CA znajdują się na zakładce Zaufane Centra Certyfikacji (Trusted Root Certification Authorities) Wszystkie certyfikaty, których ścieżka będzie zawierała certyfikaty wymienione na tej zakładce będą mogły być zweryfikowane (validated) Aby obejrzeć szczegóły dotyczące certyfikatu kliknij go dwukrotnie

29 27/09/ Przykłady ścieżki certyfikacji

30 27/09/ SSL SSL (Secure Socket Layer) jest protokołem umożliwiającym uwierzytelnianie, poufność i integralność danych pomiędzy dwoma aplikacjami. Pozwala na negocjację algorytmu szyfrującego oraz kluczy kryptograficznych. Jest niezależny od protokołu aplikacji. (można zabezpieczyć inne protokoły). Dla protokołów z wyższej warstwy SSL jest przeźroczysty.

31 27/09/ Kryptosystemy w SSL SSL może używać kryptosystemów: symetrycznych (DES, RC4) asymetrycznych (RSA,DSS)

32 27/09/ WWW Transmisja między przeglądarką a serwerem jest szyfrowana tylko wtedy, gdy jest kłódka. Jeśli wpisujemy numer karty kredytowej na stronie, która pokazuje się bez kłódki, istnieje niebezpieczeństwo podsłuchu. Kliknij na kłódkę, aby podejrzeć szczegóły certyfikatu Bezpieczeństwo transakcji realizowanych poprzez PekaoInternet jest dla nas bardzo ważne. Z tego względu przed każdym zalogowaniem do serwisu prosimy o sprawdzenie, czy: - w pasku adresowym przeglądarki jest wpisany adres https://www.pekao24.pl - czy w prawej dolnej części ekranu znajduje się symbol kłódki oznaczający połączenie szyfrowane - po kliknięciu na kłódkę sprawdź, czy certyfikat bezpieczeństwa został wydany dla adresu przez firmę Thawte SGC CA i czy jest on ważny.

33 27/09/ Pytanie Pytanie: Po wejściu na stronę banku wyskakuje komunikat, że Certyfikat nie może być zweryfikowany, ale kłódka jest wyświetlona i wszystko wygląda tak jak zawsze. Czy jest to strona banku?

34 27/09/ Poczta Poczta dostępna przez przeglądarki internetowe jest nieszyfrowana (można podsłuchać). Szyfrowanie można włączyć w programach pocztowych. Domyślnie przesyłana poczta jest nieszyfrowana. 1.Menu Narzędzia/Konta. 2.W oknie Konta internetowe zakładka Poczta. 3.Zaznaczyć konto, którego transmisja ma być szyfrowana. 4.W oknie właściwości wybrać zakładkę Zaawansowane. 5.Zaznaczyć pole Ten serwer wymaga bezpiecznego połączenia SSL. 6.Nacisnąć OK.

35 27/09/ Literatura 1.Piotr Dębiec, Sieci komputerowe 2.www.isaserver.orgwww.isaserver.org 3.www.ucts.uni.torun.pl/Pracownie/PSS/bezpieczenstwowww.ucts.uni.torun.pl/Pracownie/PSS/bezpieczenstwo 4.http://boran.linuxsecurity.com/security/http://boran.linuxsecurity.com/security/ 5.Marek Rybarczyk, Złodzieje e piszą, Newsweek 43/ http://www.egov.pl/teksty/cyber_ochrona/dokument.phphttp://www.egov.pl/teksty/cyber_ochrona/dokument.php


Pobierz ppt "27/09/2002 1 Sieci komputerowe Piotr Górczyński Bezpieczeństwo sieci komputerowych."

Podobne prezentacje


Reklamy Google