Maciej Wierzchowski Mariusz Sołtysiak. Założenia  Autentykacja użytkownia  Autentykacja dostawcy  Zapewnienie bezpiecznego połączenia.

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

Systemy uwierzytelniania w serwisach internetowych
Programowanie wizualne PW – LAB5 Wojciech Pieprzyca.
Użytkowanie Sieci Marcin KORZEB WSTI - Użytkowanie Sieci.
Decyzje projektowe w .NET Framework
Sieci komputerowe Usługi sieciowe Piotr Górczyński 27/09/2002.
Bezpieczeństwo aplikacji WWW
Autor Roman Jędras Prowadzący: dr inż. Antoni Izworski Przedmiot:
Uwierzytelnianie i autoryzacja dostępu do portali
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
Internet Communication Engine
SSL - protokół bezpiecznych transmisji internetowych
Obsługa serwera zdalnego przez klienta FTP
Protokoły sieciowe.
Proxy WWW cache Prowadzący: mgr Marek Kopel
Proxy (WWW cache) Sieci Komputerowe
Longhorn - Usługi terminalowe
Information Bridge Framework platforma integracji Microsoft Office 2003 z aplikacjami Line of Business Krzysztof Michalski10/01/2005.
Artur Szmigiel Paweł Zarębski Kl. III i
Systemy zarządzania treścią CMS
Internet Sieci komputerowe.
Elementy informatyki w kształceniu zintegrowanym.
Architektura systemów wykorzystujących bazy danych (systemów bazodanowych) Wykład S. Kozielski.
Inżynieria Oprogramowania
Novell Account Management 3.0
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Konfiguracja kont w programie Adobe Dreamweaver
Zarządzanie użytkownikami i praca w sieci lokalnej
Protokół Komunikacyjny
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
BUDOWA I DZIAŁANIE SIECI KOMPUTEROWYCH
Lokalne serwery www Serwer WWW - ang. Web server jest to oprogramowanie zainstalowane na serwerze podłączonym do sieci Internet. Używające technologii.
Metody zabezpieczania transmisji w sieci Ethernet
SYSTEM REJESTRACJI UŻYTKOWNIKÓW W SERWISIE INTERNETOWYM Bezpieczny i scentralizowany system uwierzytelniania, autoryzacji oraz zarządzania użytkownikami.
Prezentacja i szkolenie
Sieci komputerowe.
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Sieciowe Systemy Operacyjne
Internetowe surfowanie
Podstawy teleinformatyki
Sieci komputerowe.
Rozdział V: Globalne sieci komputerowe
Narzędzie wspierające zarządzanie organizacj Parentis Sp. z o. o
Dziennik.
Konfiguracja VPN Klienta – Windows 7
Jednym z podstawowych celów tworzenia sieci komputerowych jest współdzielenie zasobów, takich jak pliki lub drukarki. Każdy z takich zasobów musi być udostępniony,
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Treści multimedialne - kodowanie, przetwarzanie, prezentacjaOdtwarzanie treści multimedialnych Andrzej Majkowski informatyka +
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
FTP i www Informatyka Zakres podstawowy 1 Zebrał i opracował : Maciej Belcarz 11.
Active Directory Federation Services w Windows Server 2012 R2
Podstawy języka skryptów
1. Logowanie z usługą Active Directory. a) logowanie do domeny Windows 2003 Server odbywa się znacznie szybciej niż w poprzednich wersjach. b) nie ma odwołania.
Sposoby zdalnego sterowania pulpitem
Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP Jerzy Szymański.
Połączenia aplikacji Klient/Serwer
PROGRAMOWANIE W JAVA Informatyka Stosowana – ROK II / III Laboratoria mgr inż. Krzysztof Bzowski.
INTERNET jako „ocean informacji”
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
Instalacja certyfikatu Dostęp do Rachunku przez Internet BS Pawłowice dla przeglądarki Mozilla Firefox.
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl.
SQL Server Analysis Services Action!
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Sieci komputerowe Usługi sieciowe 27/09/2002.
Aplikacje i usługi internetowe
Zapis prezentacji:

Maciej Wierzchowski Mariusz Sołtysiak

Założenia  Autentykacja użytkownia  Autentykacja dostawcy  Zapewnienie bezpiecznego połączenia

Rodzaje  Plain text Bez szyfrowania Szyfrowanie w trakcie autentykacji Całkowite szyfrowanie połączenia  HMAC  DIGEST  NTML  Open ID

Plain Text Bez szyfrowania Klient Rządanie zasobu 401 Unauthorized Nazwa użytkownika i hasło Rządany zasób Źródło: Opracowanie własne.

Plain Text Bez szyfrowania  Nazwa użytkownika i hasło enkodowane do Basic64 w postaci: Użytkownik:Hasło  Nie zapewnia żadnego bezpieczeństwa  Łatwo przechwycić nazwę użytkownika i hasło

Plain Text Szyfrowanie w trakcie autentykacji  Połączenie szyfrowane tylko w trakcie autentykacji  Po udanej autentykacji użytkownik dostaje swój identyfikator sesji.  Nazwa użytkownika i hasło są bezpieczne, jednak łatwo przechwycić sesje.

Plain text Połączenie szyfrowane  Cała komunikacja pomiędzy serwerem a klientem jest szyfrowana.  Wysokie bezpieczeństwo, jednak jak każde inne- nie daje 100% bezpieczeństwa. (np. Man in the middle)

HMAC Zasada działania Źródło:

HMAC  Zapewnia integralność i autentyczność wiadomości  W niektórych środowiskach bywa trudna w implementacji

DIGEST Autoryzacja Digest  Sposób autoryzacji działający w oparciu o mechanizm challenge/respons  Wzmocniona wersja uwierzytelniania podstawowego  Stosowana przez serwery sieci Web do uwierzytelniania przy dostępie do stron  Wykorzystywane przez min. Internet Information Services (IIS) na platformach Microsoft Windows Server, open source Apache Web Server, serwer WWW, Jigsaw opracowane przez W3C i innych platformach

DIGEST  Podstawowe elementy uwierzytelnienia digest Nazwa użytkownika Nazwa obszaru np. ‘Administrative Area’ Skrót MD5 nazwy użytkownika, hasła, oddzielonych dwukropkami  Przykład: someUser:Some Realm:fde17b91c3a510ecbaf7db d37f59d4f8

DIGEST Schemat autoryzacji DIGEST Źródło:

NTML Pakiet uwierzytelnienia NTLM (NT LAN Manager) dostarczany z Microsoft Windows zawiera implementacje trzech protokołów uwierzytelnienia:  LAN Manager, oraz jego wersje rozwojowe  NT LAN Manager v1 (Windows NT 4.0),  NT LAN Manager v2 (Windows NT 4.0 SP4).

NTML Kiedy klient próbuje uzyskać dostęp do zasobu umieszczonego na serwerze:  serwer wysyła do klienta losowy ciąg oktetów – challenge.  Klient (przeglądarka) w oparciu o challenge tworzy odpowiedź do serwera poprzez wyliczenie skrótu od challenge połączonego z hasłem, który jest przesyłany do serwera.  Po stronie serwera wykonywana jest dokładnie ta sama operacja.  Jeśli wynikowy ciąg znaków odpowiada zawartości komunikatu przesłanego przez klienta, tożsamość klienta jest pozytywnie zweryfikowana.

NTML Jak wygląda autoryzacja z wykorzystaniem NTLM  Nawiązanie połączenia HTTP serwer klient (ważne: w trybie keep-alive)  Przeglądarka IE prosi o zasób HTTP, przedstawiając przy tym swoją wersję w nagłówku User-Agent  Serwer WWW rozpoznaje przeglądarkę IE i informuje ją, że do obejrzenia zasobu potrzebne jest uwierzytelnianie NTLM lub Basic  IE wysyła do serwera komunikat inicjujący uwierzytelnianie oraz negocjujący właściwości połączenia (wiadomość typu 1)

NTML  Serwer odsyła wiadomość w której znajduje się challenge code oraz wynegocjowane opcje połączenia (wiadomość typu 2)  IE odsyła ostatnią wiadomość uwierzytelniającą, zawiera ona w sobie dane logowania, takie jak login, nazwę stacji roboczej, nazwę domeny oraz skrót hasła wygenerowanego przy pomocy challenge code otrzymanego w poprzedniej wiadomości (jest to wiadomość typu 3)  Po zweryfikowaniu danych serwer zwraca zawartość zasobu HTTP

NTML  Schemat Autoryzacji NTLM

NTML Ważną informacją jest też to, że ani serwer WWW, ani przeglądarka klienta, nie sprawdzają w żaden sposób, czy nie padły ofiarą ataku Man-in-the-middle. Za:  Może zostać użyte z połączeniu z Kerberos, dzięki czemu istnieje możliwość delegowania poświadczeń bezpieczeństwa;  Najlepszy mechanizm dla aplikacji działających w środowisku Intranetowym; Przeciw:  Nie obsługuje poświadczenia zintegrowanego systemu Windows dla zewnętrznych źródeł danych.

Open ID  W momencie logowania do pożądanego serwisu użytkownik podaje identyfikator OpenID, który ma postać adresu URL będącego równocześnie adresem serwera OpenID i wskazaniem konkretnego użytkownika (np. user.openid.pl albo  Serwis przekierowuje użytkownika na stronę serwera OpenID z żądaniem określonych danych użytkownika. Serwer OpenID udostępnia je przez przekierowanie z powrotem do serwisu, który ich zażądał. Udostępnienie danych wymaga zwykle interakcji użytkownika, by udostępnić tylko te dane, na których udostępnienie godzi się użytkownik i tylko temu serwisowi, który użytkownik akceptuje. Użytkownik dokonuje więc logowania i wyboru zakresu danych. Możliwe jest też ustalenie, że pewne dane będą udostępniane serwisowi bez konieczności każdorazowego logowania np. przez pewien czas. Udostępniane dane mogą być użyte np. do podpisywania komentarzy użytkownika na forach dyskusyjnych czy w blogach.  W wersji 2.0 protokołu OpenID identyfikatorem użytkownika może być także XRI.XRI

Open ID Źródło:

Open ID- Zagrożenia  Kradzież tożsamości  Koncentracja danych