Docstoc

download_SieKom_Piotr_Gorczynski_SK-Bezpieczenstwo sieci komputerowych

Document Sample
download_SieKom_Piotr_Gorczynski_SK-Bezpieczenstwo sieci komputerowych Powered By Docstoc
					Sieci komputerowe




     Bezpieczeństwo sieci
       komputerowych
                  Piotr Górczyński

     27/09/2002          1
Plan

   Podstawowe pojęcia
   Podstawowe usługi zabezpieczające
   Ochrona
   Wirusy, robaki, konie trojańskie
   Statystyki
   Systemy operacyjne
   Hasła
   Firewalle
   Programy antywirusowe
   Kryptografia
   Podpis cyfrowy
   SSL
   Integralność danych
   Poczta
   WWW


            27/09/2002             2
Podstawowe pojęcia

 Atak na bezpieczeństwo danych
   ataki aktywne
   ataki pasywne
 Usługi ochrony danych
 Mechanizmy zabezpieczające
   szyfrowanie
   uwierzytelnianie
   ochrona antywirusowa
 Typy możliwych ataków
   przerwanie (interruption)
   modyfikacja (modification)
   przychwycenie (interception)
   podrobienie (fabrication)


         27/09/2002           3
Podstawowe usługi zabezpieczające

 Identyfikacja (ID)
 Uwierzytelnianie (ID, Hasło, Dowód osobisty,
  prawdziwa placówka banku)
 Autoryzacja (przydzielanie praw dostępu)
 Kontrola dostępu (nadzorowanie praw dostępu)
 Poufność (utajnienie danych)
 Integralność danych (wykrywanie zmian danych)
 Niezaprzeczalność (potwierdzenie dostarczenia
  danych, podpis cyfrowy)




        27/09/2002       4
Waga usługi uwierzytelniania

                               [5]




      27/09/2002     5
Ochrona

 Polityka bezpieczeństwa określa co i w jaki sposób
  chronić.
 Z polityki bezpieczeństwa wynika:
   ochrona danych
   ochrona konta użytkowników
   zapobieganie przechwytywaniu danych transmitowanych
    przez sieć
   usuwanie błędów w oprogramowaniu systemowym
   filtrowanie pakietów w sieci




         27/09/2002          6
Wirusy, robaki i konie trojańskie

 W najgorszym przypadku programy mogą
  spowodować utratę danych i uszkodzenie komputera
 Ochrona:
   programy antywirusowe (sprawdzić pożyczony dysk)
   firewalle
   niski poziom zaufania (nie otwierać załączników, nie
    uruchamiać makr)




         27/09/2002            7
Statystyki
(CERT NASK 1999)




 Cele włamań:
     wprowadzenie zmian w systemie (modyfikacja plików haseł,
      podmiana oprogramowania systemowego)
     instalowanie koni trojańskich lub snifferów (podsłuchiwanie
      pakietów TCP/IP)
     czytanie cudzej poczty elektronicznej
      zmiana zawartości stron WWW
 Typy ataków:
     skanowanie hostów i sieci
     ataki typu blokowanie usługi (DoS - Denial of Service)
     typowe włamania do systemu
     spam



                   27/09/2002     8
Statystyki

 „[...]Podobnie, nie poprawiony w porę błąd w
 popularnym serwerze WWW Internet Information
 Server (IIS) firmy Microsoft pozwolił na błyskawiczne
 kilkakrotne rozprzestrzenianie się robaka
 internetowego Code Red w drugiej połowie 2001
 roku, w rezultacie czego zainfekowanych zostało
 kilkaset tysięcy komputerów i spowolniona została
 praca całego Internetu, a szacowane straty sięgnęły
 kilku miliardów dolarów.[...]”
 [6]




       27/09/2002          9
Systemy operacyjne

 Mały poziom zabezpieczeń
   Windows 95/98
 Wysoki poziom zabezpieczeń
   Windows NT/2000/XP
 Każdy system ma „dziury”, przez które może się
  dostać włamywacz.
 Aby się zabezpieczyć należy instalować łaty (patch,
  service pack).




        27/09/2002         10
Bezpieczeństwo haseł

 Sposoby zdobycia hasła
   karteczki w szafce
   kosze na śmieci
   podszywanie się po pracownika HelpDesk
   konie trojańskie
   podsłuchiwanie w sieci
 Polityka zabezpieczeń haseł
   okresowe wymuszanie zmiany hasła
   pamiętanie ostatnich n-haseł (np. pięciu)
   wymuszanie długości haseł




         27/09/2002            11
Dobre hasła

 Cechy dobrego hasła:
   hasło powinno mieć minimum 6 znaków
   powinno być kombinacją dużych i małych liter, cyfr oraz
    znaków specjalnych
   nie może być słowem, które znajduje się w słowniku
    jakiegokolwiek języka
   nie powinno się używać tego samego hasła do różnych kont,
    programów, itp
 Przykład:
   ToJestMoje2hasło
   #WlazłKotNa#




         27/09/2002          12
Firewalle

 Firewall (ściana ogniowa) to urządzenie lub program,
  którego zadaniem jest zapewnienie bezpieczeństwa
  sieci w przypadku prób włamania.
 Najbardziej popularne typy firewalli:
   statyczny filtr pakietów,
   dynamiczny filtr pakietów,
   proxy
 Profesjonalne
   CheckPoint FireWall-1
   Pics
 Domowe i do małych biur



         27/09/2002              13
Diagram sieci z firewall

                           [2]




       27/09/2002     14
Statyczny filtr pakietów

 Statyczny filtr pakietów jest nieinteligentnym
  urządzeniem filtrującym.
 Ruch w sieci jest kontrolowany przy użyciu informacji
  zapisanych w nagłówkach pakietów.
 Zgodność nagłówka z listą dostępu decyduje o tym,
  czy pakiet jest przepuszczany lub odrzucany.




         27/09/2002        15
Dynamiczny filtr pakietów

 Dynamiczny filtr pakietów kontroluje ruch na postawie
  atrybutów pakietu oraz tabeli stanów.
 Tabela stanów pozwala na zapamiętanie poprzedniej
  wymiany pakietów.
 Odpowiedź zdalnej maszyny sprawdzana jest z
  tabelą stanów w poszukiwaniu:
   czy chroniona maszyna wysłała jakieś zapytanie
   czy port źródłowy informacji zgadza się z odpowiedzią
   czy port docelowy informacji zgadza się z odpowiedzią




         27/09/2002           16
Proxy

 Proxy jest aplikacją, która przekazuje ruch między
  dwoma segmentami sieci (separacja sieci,
  tłumaczenie adresów NAT)
 Transmisja poprzez proxy:
      1. Żądanie przez komputer klienta usługi na zdalnym serwerze
         kierowane jest do proxy. Proxy identyfikuje jaki rodzaj usługi
         jest żądany i weryfikuje żądanie z listą dostępu.
      2. Proxy formułuje nowe zapytanie do zdalnego serwera i podaje
         siebie jako źródło.
      3. Zdalny serwer odpowiada i przesyła dane do proxy. Proxy
         otrzymuje odpowiedź i sprawdza czy informacje w odpowiedzi
         są akceptowalne
      4. Prozy kieruje informacje do komputera klienta.




        27/09/2002               17
Firewalle domowe i małych sieci

    Programy rezydujące w pamięci komputera. Proste w obsłudze.
    Brak zaawansowanych usług (translacja adresów, kontrola
    zintegrowana z domeną, itd.)
   Avirt Soho
   ConSeal PC Firewall
   Jammer
   LockDown 2000
   Norton Internet Security
   Sybergen Personal Firewall
   WinGate
   Winroute
   Zone Alarm



           27/09/2002           18
Programy antywirusowe

 McAfee Virus Scan - shareware, komercyjny
 AntiViral Toolkit - shareware (ograniczony czas
  działania)
 Panda Antivirus - shareware
 eSafe Protect - shareware, komercyjny
 Norton Antivirus - darmowa wersja 30-dniowa,
  komercyjny
 Mks_Vir - darmowa wersja, komercyjny




         27/09/2002        19
Kryptosystemy

 Kryptosystemy służą do szyfrowania informacji.
 Przykład: CEZAR
 Atakiem brutalnym nazywamy sprawdzenie
  wszystkich kluczy.
 Kryptosystem jest poprawny jeżeli każdy atak jest
  atakiem brutalnym.
 Kryptosystem jest skuteczny jeżeli czas
  odszyfrowania jest dłuższy niż czas poufności
  informacji.




        27/09/2002         20
Moc szyfru

 Moc szyfru zależy od długości kluczy (w bitach).
 Im większa moc szyfru tym więcej czasu potrzeba na
  jego złamanie.




        27/09/2002       21
Klucz symetryczny

 RC3,3DES
 Nie zapewniają niezaprzeczalności
 Mogą być szybko złamane
 Konieczność bezpiecznego dostarczenia klucza
 Bezpieczne przy częstej zmianie kluczy i krótkim
  czasie szyfrowania.




 [1]



        27/09/2002         22                        [1]
Klucz asymetryczny

 RSA, DSS
 Zapewniają niezaprzeczalność
 Dla kluczy>1024 bity nie do złamania
 Długi czas odszyfrowywania




                                     [1]

        27/09/2002        23
Szyfrowanie kluczami symetrycznymi i
asymetrycznymi
1.   Za pomocą szyfrowania asymetrycznego RSA
     prześlij klucz.
2.   Szyfruj metodą 3DES za pomocą przesłanego
     klucza.




         27/09/2002      24
Integralność danych

 Do zapewnienia integralności danych służą funkcje
  skrótu (hash functions)
 MD2, MD4, SHA.
 Funkcje skrótu są nieodwracalne.
      skrot=f(wiad), ale nie istnieje F=f-1, żeby wiad=F(skrot)
 Algorytm:
   1. Nadawca oprócz wiadomości przesyła jej skrót
      (zaszyfrowany kluczem prywatnym).
   2. Odbiorca tworzy sam skrót z odebranej wiadomości i
      porównuje z odszyfrowanym skrótem nadawcy.
   3. Jeśli skróty się nie zgadzają – wiadomość została
      zmieniona.



         27/09/2002             25
Popis cyfrowy

 Niezaprzeczalność (autor), integralność, data
 Nie zapewnia poufności (trzeba szyfrować)
 Podpis jest skojarzony z certyfikatem




                             [1]

          27/09/2002               26
Certyfikat

 Certyfikat jest to związany z kluczem zbiór informacji opisujący,
  do kogo ten klucz należy.
 Certyfikat jest wystawiany przez Centrum Certyfikacji (Certificate
  Agency - CA), które poświadcza prawdziwość informacji w
  certyfikacie.
 Certyfikat można też wystawiać poza Centrum Certyfikacji, ale
  certyfikat jest wtedy nie potwierdzony (not validated).
 Na podstawie certyfikatu otrzymanego od CA, nazwijmy go B,
  można wystawić inny certyfikat, nazwijmy go D. Wtedy za
  prawdziwość informacji na certyfikacie D odpowiada B. Ścieżkę
  CA-B-D nazywamy ścieżką certyfikacji.
 Centra Certyfikacji
     http://www.verisign.com/
     http://www.unizeto.pl/



           27/09/2002            27
   Certyfikaty w Internet Explorer

 W menu Narzedzia (Tools)
  kliknij polecenie menu Opcje
  internetu (Internet Options).
  Wejdź na zakładkę
  Zawartość (Content) i kliknij
  guzik Certyfikaty...
  (Certificates...)
 CA znajdują się na zakładce
  Zaufane Centra Certyfikacji
  (Trusted Root Certification
  Authorities)
 Wszystkie certyfikaty, których
  ścieżka będzie zawierała
  certyfikaty wymienione na tej
  zakładce będą mogły być
  zweryfikowane (validated)
 Aby obejrzeć szczegóły
  dotyczące certyfikatu kliknij go
  dwukrotnie
              27/09/2002             28
Przykłady ścieżki certyfikacji




       27/09/2002     29
SSL

 SSL (Secure Socket Layer) jest protokołem
  umożliwiającym uwierzytelnianie, poufność i
  integralność danych pomiędzy dwoma aplikacjami.
 Pozwala na negocjację algorytmu szyfrującego oraz
  kluczy kryptograficznych.
 Jest niezależny od protokołu aplikacji. (można
  zabezpieczyć inne protokoły).
 Dla protokołów z wyższej warstwy SSL jest
  przeźroczysty.




        27/09/2002       30
Kryptosystemy w SSL

  SSL może używać kryptosystemów:
 symetrycznych (DES, RC4)
 asymetrycznych (RSA,DSS)




       27/09/2002      31
WWW

Transmisja między przeglądarką          Bezpieczeństwo transakcji realizowanych
a serwerem jest szyfrowana tylko         poprzez PekaoInternet jest dla
wtedy, gdy jest kłódka.                  nas bardzo ważne. Z tego względu przed
Jeśli wpisujemy numer karty             każdym zalogowaniem
kredytowej na stronie, która             do serwisu prosimy o sprawdzenie,
pokazuje się bez kłódki, istnieje        czy:
niebezpieczeństwo podsłuchu.             - w pasku adresowym przeglądarki jest
                                         wpisany adres
Kliknij na kłódkę, aby podejrzeć           https://www.pekao24.pl
szczegóły certyfikatu                    - czy w prawej dolnej części ekranu
                                         znajduje się symbol kłódki oznaczający
                                            połączenie szyfrowane
                                         - po kliknięciu na kłódkę sprawdź, czy
                                         certyfikat bezpieczeństwa został
                                            wydany dla adresu www.pekao24.pl
                                         przez firmę Thawte SGC CA
                                            i czy jest on ważny.




           27/09/2002               32
Pytanie

 Pytanie: Po wejściu na
  stronę banku wyskakuje
  komunikat, że Certyfikat
  nie może być
  zweryfikowany, ale kłódka
  jest wyświetlona i
  wszystko wygląda tak jak
  zawsze. Czy jest to strona
  banku?




        27/09/2002         33
Poczta

   Poczta dostępna przez przeglądarki internetowe
    jest nieszyfrowana (można podsłuchać).
   Szyfrowanie można włączyć w programach
    pocztowych. Domyślnie przesyłana poczta jest
    nieszyfrowana.
           1.    Menu Narzędzia/Konta.
           2.    W oknie Konta internetowe zakładka Poczta.
           3.    Zaznaczyć konto, którego transmisja ma być szyfrowana.
           4.    W oknie właściwości wybrać zakładkę Zaawansowane.
           5.    Zaznaczyć pole Ten serwer wymaga bezpiecznego
                 połączenia SSL.
           6.    Nacisnąć OK.




         27/09/2002                  34
Literatura

1.   Piotr Dębiec, „Sieci komputerowe”
2.   www.isaserver.org
3.   www.ucts.uni.torun.pl/Pracownie/PSS/bezpieczenstwo
4.   http://boran.linuxsecurity.com/security/
5.   Marek Rybarczyk, Złodzieje e-maile piszą, Newsweek 43/2003
6.   http://www.egov.pl/teksty/cyber_ochrona/dokument.php




             27/09/2002                  35

				
DOCUMENT INFO
Shared By:
Categories:
Stats:
views:16
posted:4/3/2010
language:Polish
pages:35