1 / 18

Sigurnost Ra č unala i Podataka

Sigurnost Ra č unala i Podataka. Administrativne informacije. O predava ču Dr. sc. Mario Č agalj, docent Doktorirao na EPFL, Švicarska (2006) Više informacija na http://www.fesb.hr/~mcagalj Assistent: Toni Perkovi ć , dipl. ing. Web stranica http://www.fesb.hr/~mcagalj/SRP_09

rollin
Download Presentation

Sigurnost Ra č unala i Podataka

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sigurnost Računala i Podataka

  2. Administrativne informacije • O predavaču • Dr. sc. MarioČagalj, docent • Doktorirao na EPFL, Švicarska (2006) • Više informacija na http://www.fesb.hr/~mcagalj • Assistent: Toni Perković, dipl. ing. • Web stranica http://www.fesb.hr/~mcagalj/SRP_09 • Prezentacije sa predavanja • Opis vježbi i eventualnih domaćih radova • Linkovi na “on-line” knjige i druge zanimljive reference • Razne obavijesti (uz e-learning portal) • Konzultacije • Po dogovoru, obavezno me kontaktirajte putem e-maila • E-mail: mario.cagalj@fesb.hr • Soba: A503

  3. Vaše zadaće i ocjenjivanje • Zadaci u sklopu predmeta • Seminarski rad (prezentacija, kratak izvještaj) • Laboratorijske vježbe (pismeni izvještaji) • Prisutnost na nastavi (vježbama, moguća ispitna pitanja) • Ocjenjivanje • A - Prisustvo na predavanjima i lab. vježbama = 5%B - Seminarski rad = 10%C - Pismeni izvještaj sa lab. Vježbi = 15% D - “Midterm” (pismeni) - sredina predavanja = 25%E - Usmeni ispit - kraj predavanja = 45% • Konačna ocjena Zaokruži[ 0.05*A + 0.1*B + 0.15*C + 0.25*D + 0.45*E ]

  4. Format predavanja • Interaktivan • Slobodno postavljajte pitanja • Ako vam se učini da sam napisao ili rekao nešto netočno ili pogrešno, možda i jesam (slobodno me upozorite) • Slide-ove sa predavanja ću postavljati različitom dinamikom na web stranice predmeta • Uoči ili nakon predavanja

  5. Literatura • Osnovna literatura • “Computer Security: Art and Science”. Matt Bishop • “Cryptography and Network Security, 4th Edition”. William Stallings • “Network Security: Private Communication in a Public World, 2nd Edition”. Charlie Kaufman, Radia Perlman and Mike Speciner • Vezane knjige dostupne “on-line” • “Handbook of Applied Cryptography”. Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone • http://www.cacr.math.uwaterloo.ca/hac • “Security Engineering”. Ross Anderson • http://www.cl.cam.ac.uk/~rja14/book.html • “Firewalls and Internet Security:Repelling the Wily Hacker, 1st Edition”. William R. Cheswick and Steven M. Bellovin • http://www.wilyhacker.com/1e • Znanstveni radovi (seminari) • Lista zanimljivih radova biti će dostupna na web stranici predmeta

  6. Neke teme koje pokriva predmet • Uvod u kriptografiju i kriptografske primitive • Hash functions, Diffie-Hellman, public key cryptography, signatures, etc. • Kriptografija tajnog i javnog ključa • Autentikacija (izvora informacije i osoba) • Password, Certificates, Public keys • System security • “Buffer overflow” napadi, viruses, worms • Network security • IPsec, SSL, Secure E-mail (PEM), Kerberos, firewalls • Web security • Web autentikacija • Cookies, https, ... • Wireless security • IEEE 802.11, IEEE 802.1x, WPA, WPA2

  7. Uvod u Računalnu Sigurnost Mario Čagalj mario.cagalj@fesb.hr FESB Sveučilište u Splitu 7/10/2008.

  8. Osnovni koncepti • Računalna sigurnost počiva na slijedećim aspektima • Povjerljivost (Confidentiality) • Integritet (Integrity) • Dostupnost (Availability) • Točna interpretacija ovih aspekata ovisi o kontekstu u kojem ih koristimo

  9. Povjerljivost (Confidentiality) • Skrivanje povjerljivih informacija ili resursa • Povjerljivost se realizira mehanizmima kontrole pristupa (Access Control Mechanisms): • Primjer 1: Kontrola pristupa putem lozinki • Primjer 2: Kontrola pristupa enkripcijom (npr., tajnim ključem) • Q: Je li možete navesti razliku između dvije navedene kontrole pristupa?

  10. Integritet (Integrity) • Aspekt integriteta se odnosi na vjerodostojnost informacija ili resursa i uključuje • Integritet podataka (data integrity) • Integritet izvora podataka (origin integrity, authentication) • Primjer: Novine objave informaciju dobivenu od “pouzdanog izvora” iz Banskih dvora ali kao izvor objave “izmišljeno” ime. Integritet podataka očuvan, ali ne i integritet izvora. • Mehanizmi za zaštitu integriteta • Prevencijski • Zaštita integriteta podataka na način da se blokira bilo kakav neautoriziran pokušaj promjene podataka • Detekcijski • Ne štite integritet, već ukazuju na činjenicu da podatak više nije vjerodostojan (da je promjenjen) • Q: Je li “confidentiality” osigurava “integrity”?

  11. Dostupnost (Availability) • Odnosi se na mogućnost korištenja željene informacije ili resursa • Aspekt dostupnosti koji je relevantan za sigurnost je da netko može namjerno onemogućit pristup informaciji ili usluzi • Pokušaji da se blokira (onemogući) dostupnost se nazivaju Denial-of-Service (DoS) napadi • Kod dizajna sustava, ovaj aspekt se često zanemaruje • Kao rezultat sustav postaje podložan DoS napadima • Q: Je li možete dati primjer DoS napada u kontekstu bežičnih pristupnih mreža?

  12. Sigurnosne prijetnje (Threats) • Potencijalno ugrožavanje sigurnosti • Ne treba se uistinu realizirati u praksi • Akcije koje ugrožavaju sigurnost su napadi (attacks) • Prisluškivanje (snooping, wiretapping) • Pasivna radnja • Confidentiality usluge ograničavaju prostor za ovu prijetnju • Modifikacija • Neautorizirane promjene podataka • Aktivna radnja • Man-In-The-Middle (MITM) Internet S1 S2 MITM attacker

  13. Threats: ARP Request 08:00:20:03:F6:42 00:00:C0:C2:9B:26 .1 .2 .3 .4 .5 140.252.13 arp req | target IP: 140.252.13.5 | target eth: ? Reply 08:00:20:03:F6:42 00:00:C0:C2:9B:26 .1 .2 .3 .4 .5 140.252.13 arp rep | sender IP: 140.252.13.5 | sender eth: 00:00:C0:C2:9B:26 • Impersonacija (masquerading, spoofing) • Primjer: ARP (Address Resolution Protocol) spoofing • ARP mapira IP u MAC (Medium Access Control) adrese

  14. Threats: ARP spoofing Request 08:00:20:03:F6:42 00:00:C0:C2:9B:26 .1 .2 .3 .4 .5 140.252.13 arp req | target IP: 140.252.13.5 | target eth: ? arp rep | sender IP: 140.252.13.5 | sender eth: 00:34:CD:C2:9F:A0 • Neko drugo računalo može odgovoriti na ARP request Reply 00:34:CD:C2:9F:A0 08:00:20:03:F6:42 00:00:C0:C2:9B:26 .1 .2 .3 .4 .5 140.252.13

  15. Threats: Examples • Repudiation of origin (hr. ver. Nijekanje?) • Nijekanje entiteta koji je poslao ili kreirao nešto, da je to on/ona/ono kreirao • Kašnjenje (Delay) • Primjer: tipično, isporuka poruke se događa unutar vremena T; napadač presretne poruku i isporuči je u vremenu T1 >> T. • MITM napad • Q: Primjer iz bežičnih pristupnih mreža? • Denial-of-Service (DoS) • Onemogućavanje pristupa ili korištenja usluge ili resursa na duže vrijeme • Ovaj problem je nemoguće rješiti (pomoću sigurnosnih mehanizama); obično se nastoji umanjiti negativne konzekvence DoS napada (npr. kroz redundacije) • Primjer: MITM napad, Distributed DoS (DDoS)

  16. Sigurnosna politika i mehanizmi (1/2) • Sigurnosna politika (security policy) • Izjava o tome sto je dozvoljeno a sto nije • Matematickim rjecnikom: Sigurnosna politika je izjava koja dijeli stanja promatranog sustava u skup autoriziranih (sigurnih) stanja i skup neautoroziranih (nesigurnih) stanja. • Siguran sustav je onaj koji se inicijalno nalazi u autoroziranom (sigurnom) stanju i ne moze uci i neautorizirano stanje. • Q: Je li slijedeci sustav siguran za A={s1, s2}, NA={s3, s4}? • Sigurnosni mehanizam • Entitet, metoda, alat ili procedura koja osigurava da se sigurnosna politika (njen dio) provede. t1 t4 t5 s1 s2 s3 s4 t2 t3

  17. Sigurnosna politika i mehanizmi (2/2) • Primjer 1: • Sveuciliste ne dozvoljava prepisivanje domacih radovima. Studenti su duzni pohraniti rjesenje na isto (zavodsko) racunalo. • Politika: Izjava da nijedan student ne smije prepisati (kopirati) rjesenja drugog studenta. • Mehanizam 1: Kontrola pristupa datotekama na zavodskom racunalu; svaki student zastiti svoj rad nekakvom sifrom. • Mehanizam 2: Oba studenta dobivaju negativnu ocjenu. • Primjer 2: University E-Mail Policy • Opisuje sto je dozvoljeno a sto ne kod pristupa i koristenja elektronicke poste: • Korisnik ne smije interferirati sa ostalim korisnicima e-poste • Promisli dvaput prije slanja poste, privatna posta nije dozvoljena,… • Posjetilac je takodjer vezan ovom sigurnosnom politikom • E-mail se moze prosljediti (forwarding), e-mail nije zasticen (ne osigurava povjerljivost ni integritet)… • Sigurnosna politika se tice svih relevantnih sigurnosnih aspekata • Povjerljivosti, integriteta i dostupnosti (confidentiality, integrity and availability)

  18. Ostali čimbenici relevantni za sigurnost • Povjerenje (trust) i pretpostavke (assumptions) • Bez povjerenja i pretpostavki nemoguće definirati sigurna ili autorizirana stanja sustava (prilikom definiranja sigurnosne politike) • Prepostavka: Microsoft-ova implementacija datog enkripcijskog algoritama štiti povjerljivost • Povjerenje: Microsoft je pouzdan (trustworthy) • “Cost-Benefit” analiza • Prednosti računalne sigurnosti se uvijek uspoređuju (važu) sa ukupnim troškovima sigurnosnog rješenja • Npr. ako je nekakav resurs jeftin, onda ga nije vrijedno stititi • Čovjek • Social engineering (npr. Phishing napadi) • Redovito najslabija “karika” sigurnosnog sustava • Sustav je siguran sam onoliko koliko je siguran njegov najslabiji element • “User-friendliness” izuzetno važan aspekt

More Related