Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo sieci komputerowych

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo sieci komputerowych"— Zapis prezentacji:

1 Bezpieczeństwo sieci komputerowych
Sieci komputerowe Bezpieczeństwo sieci komputerowych Piotr Górczyński 27/09/2002

2 Plan Podstawowe pojęcia Podstawowe usługi zabezpieczające Ochrona
Wirusy, robaki, konie trojańskie Statystyki Systemy operacyjne Hasła Firewalle Programy antywirusowe Kryptografia Podpis cyfrowy SSL Integralność danych Poczta WWW 27/09/2002

3 Podstawowe pojęcia Atak na bezpieczeństwo danych Usługi ochrony danych
ataki aktywne ataki pasywne Usługi ochrony danych Mechanizmy zabezpieczające szyfrowanie uwierzytelnianie ochrona antywirusowa Typy możliwych ataków przerwanie (interruption) modyfikacja (modification) przychwycenie (interception) podrobienie (fabrication) 27/09/2002

4 Podstawowe usługi zabezpieczające
Identyfikacja (ID) Uwierzytelnianie (ID, Hasło, Dowód osobisty, prawdziwa placówka banku) Autoryzacja (przydzielanie praw dostępu) Kontrola dostępu (nadzorowanie praw dostępu) Poufność (utajnienie danych) Integralność danych (wykrywanie zmian danych) Niezaprzeczalność (potwierdzenie dostarczenia danych, podpis cyfrowy) 27/09/2002

5 Waga usługi uwierzytelniania
[5] 27/09/2002

6 Ochrona Polityka bezpieczeństwa określa co i w jaki sposób chronić.
Z polityki bezpieczeństwa wynika: ochrona danych ochrona konta użytkowników zapobieganie przechwytywaniu danych transmitowanych przez sieć usuwanie błędów w oprogramowaniu systemowym filtrowanie pakietów w sieci 27/09/2002

7 Wirusy, robaki i konie trojańskie
W najgorszym przypadku programy mogą spowodować utratę danych i uszkodzenie komputera Ochrona: programy antywirusowe (sprawdzić pożyczony dysk) firewalle niski poziom zaufania (nie otwierać załączników, nie uruchamiać makr) 27/09/2002

8 Statystyki (CERT NASK 1999)
Cele włamań: wprowadzenie zmian w systemie (modyfikacja plików haseł, podmiana oprogramowania systemowego) instalowanie koni trojańskich lub snifferów (podsłuchiwanie pakietów TCP/IP) czytanie cudzej poczty elektronicznej zmiana zawartości stron WWW Typy ataków: skanowanie hostów i sieci ataki typu blokowanie usługi (DoS - Denial of Service) typowe włamania do systemu spam 27/09/2002

9 Statystyki „[...]Podobnie, nie poprawiony w porę błąd w popularnym serwerze WWW Internet Information Server (IIS) firmy Microsoft pozwolił na błyskawiczne kilkakrotne rozprzestrzenianie się robaka internetowego Code Red w drugiej połowie 2001 roku, w rezultacie czego zainfekowanych zostało kilkaset tysięcy komputerów i spowolniona została praca całego Internetu, a szacowane straty sięgnęły kilku miliardów dolarów.[...]” [6] 27/09/2002

10 Systemy operacyjne Mały poziom zabezpieczeń Wysoki poziom zabezpieczeń
Windows 95/98 Wysoki poziom zabezpieczeń Windows NT/2000/XP Każdy system ma „dziury”, przez które może się dostać włamywacz. Aby się zabezpieczyć należy instalować łaty (patch, service pack). 27/09/2002

11 Bezpieczeństwo haseł Sposoby zdobycia hasła
karteczki w szafce kosze na śmieci podszywanie się po pracownika HelpDesk konie trojańskie podsłuchiwanie w sieci Polityka zabezpieczeń haseł okresowe wymuszanie zmiany hasła pamiętanie ostatnich n-haseł (np. pięciu) wymuszanie długości haseł 27/09/2002

12 Dobre hasła Cechy dobrego hasła: Przykład:
hasło powinno mieć minimum 6 znaków powinno być kombinacją dużych i małych liter, cyfr oraz znaków specjalnych nie może być słowem, które znajduje się w słowniku jakiegokolwiek języka nie powinno się używać tego samego hasła do różnych kont, programów, itp Przykład: ToJestMoje2hasło #WlazłKotNa# 27/09/2002

13 Firewalle Firewall (ściana ogniowa) to urządzenie lub program, którego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób włamania. Najbardziej popularne typy firewalli: statyczny filtr pakietów, dynamiczny filtr pakietów, proxy Profesjonalne CheckPoint FireWall-1 Pics Domowe i do małych biur 27/09/2002

14 Diagram sieci z firewall
[2] 27/09/2002

15 Statyczny filtr pakietów
Statyczny filtr pakietów jest nieinteligentnym urządzeniem filtrującym. Ruch w sieci jest kontrolowany przy użyciu informacji zapisanych w nagłówkach pakietów. Zgodność nagłówka z listą dostępu decyduje o tym, czy pakiet jest przepuszczany lub odrzucany. 27/09/2002

16 Dynamiczny filtr pakietów
Dynamiczny filtr pakietów kontroluje ruch na postawie atrybutów pakietu oraz tabeli stanów. Tabela stanów pozwala na zapamiętanie poprzedniej wymiany pakietów. Odpowiedź zdalnej maszyny sprawdzana jest z tabelą stanów w poszukiwaniu: czy chroniona maszyna wysłała jakieś zapytanie czy port źródłowy informacji zgadza się z odpowiedzią czy port docelowy informacji zgadza się z odpowiedzią 27/09/2002

17 Proxy Proxy jest aplikacją, która przekazuje ruch między dwoma segmentami sieci (separacja sieci, tłumaczenie adresów NAT) Transmisja poprzez proxy: Żądanie przez komputer klienta usługi na zdalnym serwerze kierowane jest do proxy. Proxy identyfikuje jaki rodzaj usługi jest żądany i weryfikuje żądanie z listą dostępu. Proxy formułuje nowe zapytanie do zdalnego serwera i podaje siebie jako źródło. Zdalny serwer odpowiada i przesyła dane do proxy. Proxy otrzymuje odpowiedź i sprawdza czy informacje w odpowiedzi są akceptowalne Prozy kieruje informacje do komputera klienta. 27/09/2002

18 Firewalle domowe i małych sieci
Programy rezydujące w pamięci komputera. Proste w obsłudze. Brak zaawansowanych usług (translacja adresów, kontrola zintegrowana z domeną, itd.) Avirt Soho ConSeal PC Firewall Jammer LockDown 2000 Norton Internet Security Sybergen Personal Firewall WinGate Winroute Zone Alarm 27/09/2002

19 Programy antywirusowe
McAfee Virus Scan - shareware, komercyjny AntiViral Toolkit - shareware (ograniczony czas działania) Panda Antivirus - shareware eSafe Protect - shareware, komercyjny Norton Antivirus - darmowa wersja 30-dniowa, komercyjny Mks_Vir - darmowa wersja, komercyjny 27/09/2002

20 Kryptosystemy Kryptosystemy służą do szyfrowania informacji.
Przykład: CEZAR Atakiem brutalnym nazywamy sprawdzenie wszystkich kluczy. Kryptosystem jest poprawny jeżeli każdy atak jest atakiem brutalnym. Kryptosystem jest skuteczny jeżeli czas odszyfrowania jest dłuższy niż czas poufności informacji. 27/09/2002

21 Moc szyfru Moc szyfru zależy od długości kluczy (w bitach).
Im większa moc szyfru tym więcej czasu potrzeba na jego złamanie. 27/09/2002

22 Klucz symetryczny RC3,3DES Nie zapewniają niezaprzeczalności
Mogą być szybko złamane Konieczność bezpiecznego dostarczenia klucza Bezpieczne przy częstej zmianie kluczy i krótkim czasie szyfrowania. [1] 27/09/2002 [1]

23 Klucz asymetryczny RSA, DSS Zapewniają niezaprzeczalność
Dla kluczy>1024 bity nie do złamania Długi czas odszyfrowywania [1] 27/09/2002

24 Szyfrowanie kluczami symetrycznymi i asymetrycznymi
Za pomocą szyfrowania asymetrycznego RSA prześlij klucz. Szyfruj metodą 3DES za pomocą przesłanego klucza. 27/09/2002

25 Integralność danych Do zapewnienia integralności danych służą funkcje skrótu (hash functions) MD2, MD4, SHA. Funkcje skrótu są nieodwracalne. skrot=f(wiad), ale nie istnieje F=f-1, żeby wiad=F(skrot) Algorytm: Nadawca oprócz wiadomości przesyła jej skrót (zaszyfrowany kluczem prywatnym). Odbiorca tworzy sam skrót z odebranej wiadomości i porównuje z odszyfrowanym skrótem nadawcy. Jeśli skróty się nie zgadzają – wiadomość została zmieniona. 27/09/2002

26 Popis cyfrowy Niezaprzeczalność (autor), integralność, data
Nie zapewnia poufności (trzeba szyfrować) Podpis jest skojarzony z certyfikatem [1] 27/09/2002

27 Certyfikat Certyfikat jest to związany z kluczem zbiór informacji opisujący, do kogo ten klucz należy. Certyfikat jest wystawiany przez Centrum Certyfikacji (Certificate Agency - CA), które poświadcza prawdziwość informacji w certyfikacie. Certyfikat można też wystawiać poza Centrum Certyfikacji, ale certyfikat jest wtedy nie potwierdzony (not validated). Na podstawie certyfikatu otrzymanego od CA, nazwijmy go B, można wystawić inny certyfikat, nazwijmy go D. Wtedy za prawdziwość informacji na certyfikacie D odpowiada B. Ścieżkę CA-B-D nazywamy ścieżką certyfikacji. Centra Certyfikacji 27/09/2002

28 Certyfikaty w Internet Explorer
W menu Narzedzia (Tools) kliknij polecenie menu Opcje internetu (Internet Options). Wejdź na zakładkę Zawartość (Content) i kliknij guzik Certyfikaty... (Certificates...) CA znajdują się na zakładce Zaufane Centra Certyfikacji (Trusted Root Certification Authorities) Wszystkie certyfikaty, których ścieżka będzie zawierała certyfikaty wymienione na tej zakładce będą mogły być zweryfikowane (validated) Aby obejrzeć szczegóły dotyczące certyfikatu kliknij go dwukrotnie 27/09/2002

29 Przykłady ścieżki certyfikacji
27/09/2002

30 SSL SSL (Secure Socket Layer) jest protokołem umożliwiającym uwierzytelnianie, poufność i integralność danych pomiędzy dwoma aplikacjami. Pozwala na negocjację algorytmu szyfrującego oraz kluczy kryptograficznych. Jest niezależny od protokołu aplikacji. (można zabezpieczyć inne protokoły). Dla protokołów z wyższej warstwy SSL jest przeźroczysty. 27/09/2002

31 Kryptosystemy w SSL SSL może używać kryptosystemów:
symetrycznych (DES, RC4) asymetrycznych (RSA,DSS) 27/09/2002

32 WWW Transmisja między przeglądarką a serwerem jest szyfrowana tylko wtedy, gdy jest kłódka. Jeśli wpisujemy numer karty kredytowej na stronie, która pokazuje się bez kłódki, istnieje niebezpieczeństwo podsłuchu. Kliknij na kłódkę, aby podejrzeć szczegóły certyfikatu Bezpieczeństwo transakcji realizowanych poprzez PekaoInternet jest dla nas bardzo ważne. Z tego względu przed każdym zalogowaniem do serwisu prosimy o sprawdzenie, czy: - w pasku adresowym przeglądarki jest wpisany adres    https://www.pekao24.pl - czy w prawej dolnej części ekranu znajduje się symbol kłódki oznaczający    połączenie szyfrowane - po kliknięciu na kłódkę sprawdź, czy certyfikat bezpieczeństwa został    wydany dla adresu przez firmę Thawte SGC CA    i czy jest on ważny. 27/09/2002

33 Pytanie Pytanie: Po wejściu na stronę banku wyskakuje komunikat, że Certyfikat nie może być zweryfikowany, ale kłódka jest wyświetlona i wszystko wygląda tak jak zawsze. Czy jest to strona banku? 27/09/2002

34 Poczta Poczta dostępna przez przeglądarki internetowe jest nieszyfrowana (można podsłuchać). Szyfrowanie można włączyć w programach pocztowych. Domyślnie przesyłana poczta jest nieszyfrowana. Menu Narzędzia/Konta. W oknie Konta internetowe zakładka Poczta. Zaznaczyć konto, którego transmisja ma być szyfrowana. W oknie właściwości wybrać zakładkę Zaawansowane. Zaznaczyć pole Ten serwer wymaga bezpiecznego połączenia SSL. Nacisnąć OK. 27/09/2002

35 Literatura www.isaserver.org
Piotr Dębiec, „Sieci komputerowe” Marek Rybarczyk, Złodzieje e piszą, Newsweek 43/2003 27/09/2002


Pobierz ppt "Bezpieczeństwo sieci komputerowych"

Podobne prezentacje


Reklamy Google