1 / 35

Sieci komputerowe

Sieci komputerowe. Piotr Górczyński. Bezpieczeństwo sieci komputerowych. Plan. Podstawowe pojęcia Podstawowe usługi zabezpieczające Ochrona Wirusy, robaki, konie trojańskie Statystyki Systemy operacyjne Hasła Firewalle Programy antywirusowe Kryptografia Podpis cyfrowy SSL

shadow
Download Presentation

Sieci komputerowe

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sieci komputerowe Piotr Górczyński Bezpieczeństwo sieci komputerowych

  2. Plan • Podstawowe pojęcia • Podstawowe usługi zabezpieczające • Ochrona • Wirusy, robaki, konie trojańskie • Statystyki • Systemy operacyjne • Hasła • Firewalle • Programy antywirusowe • Kryptografia • Podpis cyfrowy • SSL • Integralność danych • Poczta • WWW

  3. Podstawowe pojęcia • Atak na bezpieczeństwo danych • ataki aktywne • ataki pasywne • Usługi ochrony danych • Mechanizmy zabezpieczające • szyfrowanie • uwierzytelnianie • ochrona antywirusowa • Typy możliwych ataków • przerwanie (interruption) • modyfikacja (modification) • przychwycenie (interception) • podrobienie (fabrication)

  4. Podstawowe usługi zabezpieczające • Identyfikacja (ID) • Uwierzytelnianie (ID, Hasło, Dowód osobisty, prawdziwa placówka banku) • Autoryzacja (przydzielanie praw dostępu) • Kontrola dostępu (nadzorowanie praw dostępu) • Poufność (utajnienie danych) • Integralność danych (wykrywanie zmian danych) • Niezaprzeczalność (potwierdzenie dostarczenia danych, podpis cyfrowy)

  5. Waga usługi uwierzytelniania [5]

  6. Ochrona • Polityka bezpieczeństwa określa co i w jaki sposób chronić. • Z polityki bezpieczeństwa wynika: • ochrona danych • ochrona konta użytkowników • zapobieganie przechwytywaniu danych transmitowanych przez sieć • usuwanie błędów w oprogramowaniu systemowym • filtrowanie pakietów w sieci

  7. Wirusy, robaki i konie trojańskie • W najgorszym przypadku programy mogą spowodować utratę danych i uszkodzenie komputera • Ochrona: • programy antywirusowe (sprawdzić pożyczony dysk) • firewalle • niski poziom zaufania (nie otwierać załączników, nie uruchamiać makr)

  8. Statystyki (CERT NASK 1999) • Cele włamań: • wprowadzenie zmian w systemie (modyfikacja plików haseł, podmiana oprogramowania systemowego) • instalowanie koni trojańskich lub snifferów (podsłuchiwanie pakietów TCP/IP) • czytanie cudzej poczty elektronicznej • zmiana zawartości stron WWW • Typy ataków: • skanowanie hostów i sieci • ataki typu blokowanie usługi (DoS - Denial of Service) • typowe włamania do systemu • spam

  9. Statystyki „[...]Podobnie, nie poprawiony w porę błąd w popularnym serwerze WWW Internet Information Server (IIS) firmy Microsoft pozwolił na błyskawiczne kilkakrotne rozprzestrzenianie się robaka internetowego Code Red w drugiej połowie 2001 roku, w rezultacie czego zainfekowanych zostało kilkaset tysięcy komputerów i spowolniona została praca całego Internetu, a szacowane straty sięgnęły kilku miliardów dolarów.[...]” [6]

  10. Systemy operacyjne • Mały poziom zabezpieczeń • Windows 95/98 • Wysoki poziom zabezpieczeń • Windows NT/2000/XP • Każdy system ma „dziury”, przez które może się dostać włamywacz. • Aby się zabezpieczyć należy instalować łaty (patch, service pack).

  11. Bezpieczeństwo haseł • Sposoby zdobycia hasła • karteczki w szafce • kosze na śmieci • podszywanie się po pracownika HelpDesk • konie trojańskie • podsłuchiwanie w sieci • Polityka zabezpieczeń haseł • okresowe wymuszanie zmiany hasła • pamiętanie ostatnich n-haseł (np. pięciu) • wymuszanie długości haseł

  12. Dobre hasła • Cechy dobrego hasła: • hasło powinno mieć minimum 6 znaków • powinno być kombinacją dużych i małych liter, cyfr oraz znaków specjalnych • nie może być słowem, które znajduje się w słowniku jakiegokolwiek języka • nie powinno się używać tego samego hasła do różnych kont, programów, itp • Przykład: • ToJestMoje2hasło • #WlazłKotNa#

  13. Firewalle • Firewall (ściana ogniowa) to urządzenie lub program, którego zadaniem jest zapewnienie bezpieczeństwa sieci w przypadku prób włamania. • Najbardziej popularne typy firewalli: • statyczny filtr pakietów, • dynamiczny filtr pakietów, • proxy • Profesjonalne • CheckPoint FireWall-1 • Pics • Domowe i do małych biur

  14. Diagram sieci z firewall [2]

  15. Statyczny filtr pakietów • Statyczny filtr pakietów jest nieinteligentnym urządzeniem filtrującym. • Ruch w sieci jest kontrolowany przy użyciu informacji zapisanych w nagłówkach pakietów. • Zgodność nagłówka z listą dostępu decyduje o tym, czy pakiet jest przepuszczany lub odrzucany.

  16. Dynamiczny filtr pakietów • Dynamiczny filtr pakietów kontroluje ruch na postawie atrybutów pakietu oraz tabeli stanów. • Tabela stanów pozwala na zapamiętanie poprzedniej wymiany pakietów. • Odpowiedź zdalnej maszyny sprawdzana jest z tabelą stanów w poszukiwaniu: • czy chroniona maszyna wysłała jakieś zapytanie • czy port źródłowy informacji zgadza się z odpowiedzią • czy port docelowy informacji zgadza się z odpowiedzią

  17. Proxy • Proxy jest aplikacją, która przekazuje ruch między dwoma segmentami sieci (separacja sieci, tłumaczenie adresów NAT) • Transmisja poprzez proxy: • Żądanie przez komputer klienta usługi na zdalnym serwerze kierowane jest do proxy. Proxy identyfikuje jaki rodzaj usługi jest żądany i weryfikuje żądanie z listą dostępu. • Proxy formułuje nowe zapytanie do zdalnego serwera i podaje siebie jako źródło. • Zdalny serwer odpowiada i przesyła dane do proxy. Proxy otrzymuje odpowiedź i sprawdza czy informacje w odpowiedzi są akceptowalne • Prozy kieruje informacje do komputera klienta.

  18. Firewalle domowe i małych sieci Programy rezydujące w pamięci komputera. Proste w obsłudze. Brak zaawansowanych usług (translacja adresów, kontrola zintegrowana z domeną, itd.) • Avirt Soho • ConSeal PC Firewall • Jammer • LockDown 2000 • Norton Internet Security • Sybergen Personal Firewall • WinGate • Winroute • Zone Alarm

  19. Programy antywirusowe • McAfee Virus Scan - shareware, komercyjny • AntiViral Toolkit - shareware (ograniczony czas działania) • Panda Antivirus - shareware • eSafe Protect - shareware, komercyjny • Norton Antivirus - darmowa wersja 30-dniowa, komercyjny • Mks_Vir - darmowa wersja, komercyjny

  20. Kryptosystemy • Kryptosystemy służą do szyfrowania informacji. • Przykład: CEZAR • Atakiem brutalnym nazywamy sprawdzenie wszystkich kluczy. • Kryptosystem jest poprawny jeżeli każdy atak jest atakiem brutalnym. • Kryptosystem jest skuteczny jeżeli czas odszyfrowania jest dłuższy niż czas poufności informacji.

  21. Moc szyfru • Moc szyfru zależy od długości kluczy (w bitach). • Im większa moc szyfru tym więcej czasu potrzeba na jego złamanie.

  22. Klucz symetryczny • RC3,3DES • Nie zapewniają niezaprzeczalności • Mogą być szybko złamane • Konieczność bezpiecznego dostarczenia klucza • Bezpieczne przy częstej zmianie kluczy i krótkim czasie szyfrowania. [1] [1]

  23. Klucz asymetryczny • RSA, DSS • Zapewniają niezaprzeczalność • Dla kluczy>1024 bity nie do złamania • Długi czas odszyfrowywania [1]

  24. Szyfrowanie kluczami symetrycznymi i asymetrycznymi • Za pomocą szyfrowania asymetrycznego RSA prześlij klucz. • Szyfruj metodą 3DES za pomocą przesłanego klucza.

  25. Integralność danych • Do zapewnienia integralności danych służą funkcje skrótu (hash functions) • MD2, MD4, SHA. • Funkcje skrótu są nieodwracalne. skrot=f(wiad), ale nie istnieje F=f-1, żeby wiad=F(skrot) • Algorytm: • Nadawca oprócz wiadomości przesyła jej skrót (zaszyfrowany kluczem prywatnym). • Odbiorca tworzy sam skrót z odebranej wiadomości i porównuje z odszyfrowanym skrótem nadawcy. • Jeśli skróty się nie zgadzają – wiadomość została zmieniona.

  26. Popis cyfrowy • Niezaprzeczalność (autor), integralność, data • Nie zapewnia poufności (trzeba szyfrować) • Podpis jest skojarzony z certyfikatem [1]

  27. Certyfikat • Certyfikat jest to związany z kluczem zbiór informacji opisujący, do kogo ten klucz należy. • Certyfikat jest wystawiany przez Centrum Certyfikacji (Certificate Agency - CA), które poświadcza prawdziwość informacji w certyfikacie. • Certyfikat można też wystawiać poza Centrum Certyfikacji, ale certyfikat jest wtedy nie potwierdzony (not validated). • Na podstawie certyfikatu otrzymanego od CA, nazwijmy go B, można wystawić inny certyfikat, nazwijmy go D. Wtedy za prawdziwość informacji na certyfikacie D odpowiada B. Ścieżkę CA-B-D nazywamy ścieżką certyfikacji. • Centra Certyfikacji • http://www.verisign.com/ • http://www.unizeto.pl/

  28. Certyfikaty w Internet Explorer • W menu Narzedzia (Tools) kliknij polecenie menu Opcje internetu (Internet Options). Wejdź na zakładkę Zawartość (Content) i kliknij guzik Certyfikaty... (Certificates...) • CA znajdują się na zakładce Zaufane Centra Certyfikacji (Trusted Root Certification Authorities) • Wszystkie certyfikaty, których ścieżka będzie zawierała certyfikaty wymienione na tej zakładce będą mogły być zweryfikowane (validated) • Aby obejrzeć szczegóły dotyczące certyfikatu kliknij go dwukrotnie

  29. Przykłady ścieżki certyfikacji

  30. SSL • SSL (Secure Socket Layer) jest protokołem umożliwiającym uwierzytelnianie, poufność i integralność danych pomiędzy dwoma aplikacjami. • Pozwala na negocjację algorytmu szyfrującego oraz kluczy kryptograficznych. • Jest niezależny od protokołu aplikacji. (można zabezpieczyć inne protokoły). • Dla protokołów z wyższej warstwy SSL jest przeźroczysty.

  31. Kryptosystemy w SSL SSL może używać kryptosystemów: • symetrycznych (DES, RC4) • asymetrycznych (RSA,DSS)

  32. Transmisja między przeglądarką a serwerem jest szyfrowana tylko wtedy, gdy jest kłódka. Jeśli wpisujemy numer karty kredytowej na stronie, która pokazuje się bez kłódki, istnieje niebezpieczeństwo podsłuchu. Kliknij na kłódkę, aby podejrzeć szczegóły certyfikatu Bezpieczeństwo transakcji realizowanych poprzez PekaoInternet jest dlanas bardzo ważne. Z tego względu przed każdym zalogowaniemdo serwisu prosimy o sprawdzenie, czy:- w pasku adresowym przeglądarki jest wpisany adres   https://www.pekao24.pl- czy w prawej dolnej części ekranu znajduje się symbol kłódki oznaczający   połączenie szyfrowane- po kliknięciu na kłódkę sprawdź, czy certyfikat bezpieczeństwa został   wydany dla adresu www.pekao24.pl przez firmę Thawte SGC CA   i czy jest on ważny. WWW

  33. Pytanie • Pytanie: Po wejściu na stronę banku wyskakuje komunikat, że Certyfikat nie może być zweryfikowany, ale kłódka jest wyświetlona i wszystko wygląda tak jak zawsze. Czy jest to strona banku?

  34. Poczta • Poczta dostępna przez przeglądarki internetowe jest nieszyfrowana (można podsłuchać). • Szyfrowanie można włączyć w programach pocztowych. Domyślnie przesyłana poczta jest nieszyfrowana. • Menu Narzędzia/Konta. • W oknie Konta internetowe zakładka Poczta. • Zaznaczyć konto, którego transmisja ma być szyfrowana. • W oknie właściwości wybrać zakładkę Zaawansowane. • Zaznaczyć pole Ten serwer wymaga bezpiecznego połączenia SSL. • Nacisnąć OK.

  35. Literatura • Piotr Dębiec, „Sieci komputerowe” • www.isaserver.org • www.ucts.uni.torun.pl/Pracownie/PSS/bezpieczenstwo • http://boran.linuxsecurity.com/security/ • Marek Rybarczyk, Złodzieje e-maile piszą, Newsweek 43/2003 • http://www.egov.pl/teksty/cyber_ochrona/dokument.php

More Related