Zarządzanie bezpieczeństwem i poziomem usług systemów informatycznych Cz. 2
|
|
- Michał Kania
- 6 lat temu
- Przeglądów:
Transkrypt
1 Zarządzanie bezpieczeństwem i poziomem usług systemów informatycznych Cz. 2 Szymon Sokół <Szymon.Sokol@agh.edu.pl>
2 Klasyfikacja zagrożeń Rodzaje zagrożeń: Utrata funkcjonalności systemu (Denial of Service) Utrata (zniszczenie) danych Utrata integralności (nieautoryzowana modyfikacja) danych Utrata poufności (wyciek) danych Źródła zagrożeń: klęski żywiołowe, kradzież, sabotaż awarie sprzętu błędy oprogramowania błędy personelu infekcje wirusami włamywacze komputerowi inne - niesklasyfikowane
3 Kompleksowość Nie ma zabezpieczeń skutecznych w 100% Asymetria: atakującemu wystarczy jedna podatność zabezpieczający musi usunąć wszystkie Zasada spójności pionowej i poziomej ten sam poziom bezpieczeństwa dla wszystkich warstw i komponentów systemu Komplementarność zabezpieczeń: Redundancja chroni przed utratą, ale nie przed wyciekiem danych Szyfrowanie chroni przed wyciekiem, ale nie przed utratą danych
4 Komplementarność Utrata funkcjonalności systemu (Denial of Service) Utrata (zniszczenie) danych Utrata integralności (nieautoryzowana modyfikacja) danych Utrata poufności (wyciek) danych Redundancja Kryptografia
5 Nienaruszalność (integralność) danych Jest to ochrona danych przed ich nieautoryzowanym zmodyfikowaniem. Zagrożenia: celowa lub przypadkowa modyfikacja danych przez nieuprawnione osoby bądź złośliwe oprogramowanie (malware), ale także przez błędy sprzętu lub oprogramowania. Mechanizmy obrony obejmują w szczególności: kontrolę dostępu do danych m.in. mechanizmy list kontroli dostępu (Access Control Lists, ACL); rejestrację operacji na danych (auditing); kontrolę antywirusową; sumy kontrolne (w tym kryptograficzne) i podpis elektroniczny.
6 Redundancja Redundancja na poziomie danych Kopie zapasowe Replikacja baz danych Systemy kontroli wersji Redundancja na poziomie infrastruktury Fault-Tolerant Systems Macierze RAID Urządzenia z redundantnymi komponentami Klastry HA (High Availability) Zapasowe urządzenia (standby, hot standby), łącza, źródła zasilania Zapasowe centra przetwarzania danych Redundancja na poziomie organizacyjnym Nie ma ludzi niezastąpionych Kompletna dokumentacja
7 Redundancja infrastruktury
8 RAID Redundant Array of Inexpensive/Independent Disks RAID nie zastępuje backupu! Typowe warianty RAID: RAID-0 RAID-1 RAID-1+0 (RAID-10) RAID-5 RAID-6 RAID-5+0 (RAID-50) i RAID-6+1 (RAID-60)
9 RAID-0 RAID-0 (striping) nie zapewnia redundancji! całkowita pojemność n*d (gdzie D jest pojemnością jednego dysku) wydajność wyższa niż pojedynczego dysku
10 RAID-1 RAID-1 (n-way mirroring) Odporny na awarię n1 dysków (zwykle n=2) Całkowita pojemność D Odczyt szybszy niż pojedynczego dysku Wariant HD+SSD
11 RAID-5 RAID-5 (striping with distributed parity) Odporny na awarię pojedynczego dysku Całkowita pojemność X*(n-1) Wydajność przy zapisie zwykle niższa niż RAID-1
12 RAID-6 RAID-6 (striping with dual distributed parity) odporny na awarię do dwóch dysków całkowita pojemność X*(n-2) wydajność zbliżona do RAID-5
13 RAID-N+0 RAID-1+0 (RAID-10), RAID-5+0 (RAID-50), RAID-6+0 (RAID-60) RAID-0 zbudowany odpowiednio z RAID1, RAID-5 lub RAID-6 Sposób na zwiększenie pojemności i niezawodności
14 RAID Implementacje: software'owe Linux MD (metadevice), Solaris, OpenSolaris: 0, 1, 5, 6, N+0 MacOS X: 0, 1, 10 MS Windows 7: 0, 1 MS Windows Server, 8.1, 10: 0, 1, 5 hardware'owe kontroler w serwerze kontroler w macierzy firmware'owe (FakeRAID)
15 Kopie zapasowe Kopie zapasowe (kopie awaryjne, backup copy) służą do odtworzenia danych po awarii Ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą robić backupy 2/3 użytkowników Internetu utraciło kiedyś istotne dane Co kopiujemy? nośniki instalacyjne obrazy dysków pliki systemowe i/lub użytkownika bazy danych inne
16 Kopie zapasowe Jak kopiujemy? kopie pełne (full backup) kopie różnicowe (differential) kopie przyrostowe (incremental) Kopie wielopoziomowe (multilevel) obrazy systemu plików (snapshot) Kiedy i jak często? virgin image kopie dzienne / tygodniowe / itd. backup window Jak ograniczamy rozmiar? deduplikacja kompresja
17 Kopie zapasowe Na jaki nośnik? taśmy magnetyczne dyski magnetyczne nośniki optyczne inne nośniki pośrednie (staging) Czas dostępu vs. pojemność Automatyzacja procesu Wiarygodność kopii kompletność odtwarzalność autentyczność
18 Gęstość informacji Nośnik Pojemność (GB) Rozmiary (mm) Gęstość (MB/mm3) CD 0,7 120 x 1,2 0,05 DVD 4,7 120 x 1,2 0,35 Blu-ray x 1,2 11 Archival Disc x 1,2 73 LTO-7 Ultrium x 105,4 x 21,5 26 HD 3, ,6 x 146 x 25,4 26 SSD 2, x 100 x SDXC x 24 x 2,1 341 microsdxc x 11 x
19 Kopie zapasowe Jak chronimy? redundancja kopii off-site backup sposób transferu szyfrowanie Jak długo przechowujemy? częstotliwość vs. czas przechowywania rotacja nośników trwałość nośników kopia awaryjna vs. kopia archiwalna
20 Szyfrowanie zarys historyczny Szyfry przestawieniowe Scytale Transpozycja kolumnowa
21 Szyfrowanie zarys historyczny Szyfry podstawieniowe Szyfr Cezara (z przesunięciem 3): A D, B E, C F, ROT-13 szyfr Cezara z przesunięciem 13 jest inwolucją Alfabet tajny może być różny od jawnego: Tańczące sylwetki Szachownica Polibiusza
22 Szyfrowanie zarys historyczny Szyfry polialfabetyczne jednej literze alfabetu jawnego odpowiada więcej niż jedna litera alfabetu tajnego Szyfr książkowy Szyfr Vigenère'a (Bellaso 1553) Kasiski Enigma Rejewski, Różycki, Zygalski
23 Kryptografia współczesna Zasada Kerckhoffsa system kryptograficzny powinien być bezpieczny nawet wtedy, gdy wszystkie szczegóły jego działania oprócz klucza są znane Szyfry symetryczne (z kluczem tajnym) i asymetryczne (z kluczem prywatnym/ publicznym) Operują na poziomie bitów, a nie znaków Nie są podatne na proste metody kryptoanalityczne Funkcje skrótu kryptograficznego Generatory liczb losowych
24 Kryptografia współczesna Strict Avalanche Criterion (SAC) zmiana jednego bitu na wejściu powoduje zmianę dowolnego bitu na wyjściu z prawdopodobieństwem 50% Ataki: brute force (przez przeszukanie przestrzeni kluczy) kryptoanalityczne (przez znalezienie wad algorytmu)
25 Szyfry symetryczne Szyfry strumieniowe (Vernama) i blokowe W szyfrach strumieniowych tekst jawny jest sumowany z kluczem (keystream) bit po bicie (suma modulo 2) lub bajt po bajcie (suma modulo 256) W szyfrach blokowych tekst jawny jest dzielony na stałej długości bloki szyfrowane indywidualnie - tryb ECB (Electronic Code Book) lub CBC (Cipher Block Chaining) rozróżnienie coraz mniej oczywiste tryby CFB (Cipher Feedback), OFB (Output Feedback) i CTR (Counter) szyfrów blokowych efektywnie są szyframi strumieniowymi
26 Tryb ECB versus CBC
27 Tryb ECB versus CBC
28 Szyfry strumieniowe One-Time Pads (OTP) szyfr z losowym kluczem o długości identycznej z tekstem jawnym jedyny całkowicie niełamalny szyfr symetryczny Klucz pseudolosowy wymaga dobrego generatora o długim okresie trudno przewidywalnego stąd wykorzystanie szyfrów blokowych w odpowiednich trybach RC4 (Ron's Code 4, Rivest Cipher 4, ARCFOUR) szyfr strumieniowy z kluczem pseudolosowym Salsa20, ChaCha20 (Daniel J. Bernstein) A5/1, A5/2 używane w GSM
29 Szyfry blokowe Szyfrowane dane są dzielone na stałej długości bloki Typowa długość bloku 64, 128, 256 bitów Typowa długość klucza 40, 56, 64, 80, 128, 192, 256 bitów Przedstawiciele: DES, 3DES, IDEA, Blowfish, Twofish, RC5, RC6, A5/3, GOST , Serpent, Rijndael/AES
30 Sieć podstawieniowo-przestawieniowa
31 DES Data Encryption Standard (1974) Opracowany w IBM na podstawie szyfru Lucifer Horsta Feistela Od 1976 standard federalny w USA Długość bloku: 64 bity, klucza: 56 bitów Złamany metodą brute force: w 1997, 96 dni z użyciem komputerów w 1998, 9 dni, EFF DES cracker (~250 k$) w 2008, 6 dni, COPACOBANA, Bochum Univ. (<10 k$)
32 Triple DES Triple DES, 3DES (1998) standard federalny od 1999 ciphertext = EK3(DK2(EK1(plaintext))) klucz K = (K1, K2, K3) wariant 168-bitowy: K1, K2 i K3 wzajemnie różne wariant 112-bitowy: K1 = K3 K2 Uważany za bezpieczny do roku 2030
33 AES Advanced Encryption Standard Konkurs na następcę DES zakończony w 2001 kandydaci: CAST-256, CRYPTON, DEAL, DFC, E2, FROG, HPC, LOKI97, MAGENTA, MARS, RC6, Rijndael, SAFER+, Serpent, Twofish ostateczna specyfikacja to Rijndael (1999, Vincent Rijmen i Joan Daemen) ograniczony do bloków 128bitowych i kluczy o długości 128, 192, 256 bitów (AES-128, AES-192, AES-256) standard federalny od 2002 sprzętowo implementowany w nowszych (2011 i później) procesorach Intel/AMD
34 Szyfry asymetryczne Podstawowy problem szyfrów symetrycznych: bezpieczne uzgodnienie klucza Szyfry asymetryczne para kluczy: szyfrowanie klucz jawny (publiczny) deszyfrowanie klucz tajny (prywatny) Nie da się w łatwy sposób odtworzyć klucza prywatnego znając publiczny klucz publiczny można przesyłać otwartym kanałem Pozostaje problem modyfikacji klucza jawnego podczas przekazywania drugiej stronie ( man-inthe-middle attack )
35 Szyfry asymetryczne W praktyce: szyfrujemy wiadomość algorytmem symetrycznym z losowym kluczem jednorazowego użytku (klucz sesyjny); klucz sesyjny zaszyfrowany algorytmem asymetrycznym dołączamy do wiadomości Popularne algorytmy asymetryczne: DH (Whitfield Diffie, Martin Hellman 1976) ElGamal (Taher ElGamal 1985) RSA (Ron Rivest, Adi Shamir, Leonard Adleman 1978) ECC (Elliptic Curve Cryptosystem, ~1985)
36 Algorytm RSA Rivest, Shamir, Adleman (1978; w 2000 wygasł patent) Wykorzystuje fakt, że dla dużych liczb pierwszych p i q znajomość iloczynu p*q nie pozwala na łatwe znalezienie czynników p i q (faktoryzację): p i q - liczby pierwsze; n = p*q losujemy e względnie pierwsze z (p-1)*(q-1) wyliczamy d takie, że d*e mod (p-1)*(q-1) = 1 klucz prywatny: d klucz publiczny: (e, n) szyfrowanie: c = me mod n odszyfrowanie: cd mod n = med mod n = m nie znając p i q nie da się z e i n uzyskać d Długość klucza: liczba bitów p*q
37 Skrót kryptograficzny Funkcja skrótu funkcja przyporządkowująca dowolnemu ciągowi bitów/bajtów ciąg bitów o stałej długości (np. 128 bitów) Nie są bijektywne! Funkcja skrótu kryptograficznego H: jednokierunkowa ustalenie m takiego, że dla danego h H(m)=h (odwrócenie funkcji) powinno być trudne (mieć niewielomianową złożoność obliczeniową) odporna na kolizje również trudne jest znalezienie pary m1, m2 takiej, że H(m1) = H(m2) spełniająca SAC zmiana jednego bitu m zmienia każdy bit H(m) z prawdopodobieństwem 50%
38 Skrót kryptograficzny Są używane m.in. jako sumy kontrolne, do identyfikacji plików i innych obiektów, przy przechowywaniu haseł i do weryfikacji integralności wiadomości Popularne funkcje skrótu kryptograficznego: MD5 (Message Digest 5, Rivest 1992), 128 bitów nie jest już uznawana za bezpieczną SHA-1 (Secure Hash Algorithm 1, NSA 1995), 160 bitów, jw. RIPE-MD160, 160 bitów SHA-2 (NSA 2001): SHA-224, SHA-256, SHA-384, SHA512 WHIRLPOOL (Rijmen & Barreto 2000), 512 bitów SHA-3: standard NIST z 2015, oparty o algorytm Keccak, dowolna długość (w praktyce: jak dla SHA-2)
39 Podpis cyfrowy Jak zapewnić autentyczność (została wysłana przez właściwego nadawcę) i integralność (nie została zmanipulowana przez osoby trzecie) wiadomości? w przypadku szyfrów symetrycznych tylko osoby znające klucz mogą być autorami wiadomości ale co, jeśli jest wielu nadawców i odbiorców używających tego samego klucza? w przypadku szyfrów asymetrycznych nadawcą może być dowolna osoba klucz publiczny odbiorcy może poznać każdy Jeśli możemy zweryfikować skrót kryptograficzny wiadomości, pozwala to wnioskować o jej integralności ale jak zabezpieczyć przed manipulacją skrót?
40 Podpis cyfrowy Algorytm RSA posiada własność przemienności: D(kpriv, E(kpub, m)) = m E(kpub, D(kpriv, m)) = m Dzięki temu: szyfrowanie: E(kpub, m) = m' deszyfrowanie: D(kpriv, m') = m podpis: D(kpriv, m) = m' weryfikacja: E(kpub, m') = m Przy podpisie używamy klucza prywatnego, a przy weryfikacji klucza publicznego nadawcy W praktyce: podpisujemy skrót kryptograficzny wiadomości
41 Podpis cyfrowy Popularne algorytmy podpisu cyfrowego: RSA (Rivest, Shamir, Adleman 1978) ElGamal (Taher ElGamal, 1984) wykorzystuje problem logarytmów dyskretnych (podobnie jak algorytm DH) DSA/DSS (Digital Signature Algorithm/Standard, 1991) stanowi modyfikację algorytmu ElGamala ECDSA (Elliptic Curve DSA, 2001) wykorzystuje ECC
42 Dystrybucja kluczy publicznych Sposoby dystrybucji kluczy: bezpośrednio od właściciela (osoby, serwera) repozytoria kluczy/certyfikatów (key servers) Jak upewnić się, że dany klucz publiczny faktycznie należy do właściwej osoby (adresata kryptogramu lub autora podpisanej wiadomości)? Certyfikat klucza publicznego: (klucz; dane osobowe właściciela; ew. data ważności) podpis cyfrowy certyfikującego Sposoby certyfikowania klucza: scentralizowany/hierarchiczny: PKI (Public Key Infrastructure) wykorzystujące CA (Certificate Authority) (najczęściej zgodne ze standardem X.509) rozproszony: web of trust
43 Atak na szyfry asymetryczne Typowe długości klucza dla RSA i DSA/DH/ElGamal: 512 łamalne w ciągu tygodni na sprzęcie domowym 768 łamalne (2009) 1024 wycofywane od , 3072, 4096 bezpieczne na długo, o ile nie nastąpi radykalny przełom (komputery kwantowe? nowe algorytmy?) Ataki niekryptograficzne: social engineering rubberhose cryptanalysis
44 Długość klucza a moc kryptograficzna Wybór algorytmu nie ma istotnego wpływu na czas łamania brute force, liczy się jedynie długość klucza Długości klucza dające porównywalny czas łamania brute force: Symetryczny ECC RSA/DSA/ElGamal
45 Co możemy szyfrować? Dane przechowywane Na poziomie plików Na poziomie systemów plików (dysków, partycji) Na poziomie urządzeń fizycznych Dane przesyłane Warstwa łącza danych (sprzętowe szyfratory łącza) Warstwa sieciowa/transportowa/sesji (IPSEC, VPN, SSL) Warstwa aplikacji (sesja terminalowa, , VoIP) Przy przechowywaniu danych nie występuje problem bezpiecznego przekazania klucza możliwe wykorzystanie szyfrów symetrycznych Przy przesyłaniu danych wskazane wykorzystanie szyfrów asymetrycznych
46 Szyfrowanie danych przechowywanych Programy archiwizujące (pakujące) z szyfrowaniem: PKZIP (DES, 3DES) WinZip (AES-128, AES-256) WinRAR (AES-128) Dedykowane programy do szyfrowania plików: bcrypt (Blowfish), ccrypt (Rijndael) mcrypt (AES, Blowfish, Twofish, 3DES i in.) OpenSSL enc (Blowfish, 3DES, IDEA i in.) PalCrypt (AES, Blowfish, IDEA) PGP / GPG
47 Szyfrowanie danych przechowywanych Szyfrowane filesystemy na dysku/partycji lub napędzie wirtualnym (w pliku): BestCrypt (AES, Blowfish, Twofish, CAST) komercyjny, Windows FileVault 2 (AES-256) wbudowany, OSX dm-crypt (AES, Blowfish, Twofish, Serpent, 3DES) freeware, Linux TrueCrypt/VeraCrypt (AES, Twofish, Serpent i ich kombinacje) freeware, Windows, Linux, OSX Sprzętowe szyfratory (AES-256) wbudowane w: kontrolery: Addonics CipherChain dyski twarde: Seagate, Samsung, Toshiba, WD dyski flash USB (pendrive): Kingston DataTraveller, SanDisk Cruzer Professional/Enterprise, Ironkey i in.
48 Szyfrowanie danych przesyłanych Szyfratory sprzętowe w warstwie łącza danych Szyfrowanie GSM: A5/1, A5/2, A5/3 (KASUMI), SNOW Szyfrowanie w sieciach WiFi WEP (Wired Equivalent Privacy) ~1997 (RC4) RC4 ma znane słabości (Fluhrer, Mantin, Shamir 2001, Klein 2005) Aircrack WEP2, WEPplus, WEP256 próby ratowania sytuacji WPA (Wi-Fi Protected Access) ~2002 nadal RC4 WPA2 (standard IEEE i) ~2004 (AES-128) od 2006 obligatoryjny dla nowych urządzeń WiFi WPA2-PSK (Pre-Shared Key) dla małych sieci WPA2-Enterprise EAP (Extensible Authentication Protocol), np x/RADIUS
49 Szyfrowanie danych przesyłanych Wirtualne sieci prywatne (Virtual Private Networks, VPN) host-to-host (software) network-to-network, host-to-network (dedykowane routery, tzw. terminatory VPN) Popularne implementacje: PPTP/MPEE (Point-to-Point Tunneling Protocol, Microsoft Point-to-Point Encryption; Microsoft) L2TP (Layer 2 Tunneling Protocol; Cisco) DTLS (Datagram Transport Layer Security; Cisco) GRE (Generic Routing Encapsulation; Cisco) IPsec (opcjonalny w IPv4, obligatoryjny w IPv6) SSL VPNs, np. OpenVPN
50 SSL/TLS SSL (Secure Socket Layer) Netscape ~1995 SSL v TLS (Transport Layer Security) 1999 (RFC 2246) TLS v (RFC 5246), dodano m.in. AES w odróżnieniu od SSL, TLS pozwala na uwierzytelnienie dwustronne może być negocjowany (STARTTLS) Zastosowanie: do tunelowania konkretnego protokołu: HTTP, FTP, SMTP, IMAP4, POP3, NNTP, XMPP implementacja: wbudowana w aplikację (przeglądarkę, program pocztowy) samodzielna (Stunnel) zewnętrzna biblioteka (OpenSSL, GnuTLS) do tworzenia VPN
51 HTTPS HTTP over SSL/TLS na porcie (domyślnie) 443 Wyparł SHTTP (Secure HTTP) ~1995 dzięki wsparciu w Netscape Navigator i Microsoft Internet Explorer Obsługiwany przez wszystkie popularne przeglądarki Zastosowanie m.in. w e-commerce, bankowości online itd. miliony użytkowników Sprzętowe akceleratory/terminatory HTTPS Certyfikaty komercyjne
52 X.509 Format certyfikatu: DER binarny PEM tekstowy (DER kodowany Base64) rozszerzenia.crt,.cer,.der,.pem Certyfikaty popularnych CA (root CA) są wbudowane w oprogramowanie (przeglądarki, programy pocztowe itd.): Verisign, Thawte, GlobalSign, Network Solutions, GeoTrust, DigiCert, Entrust, Comodo, itd. (np. Certum/UniZETO) Inne certyfikaty CA mogą być dodane ręcznie przez użytkownika Certyfikaty pośrednie (intermediate CA) podpisane przez root CA, same mogą służyć do podpisywania kolejnych certyfikatów (CA chaining)
53 X.509 Certificate: Data: Version: 3 (0x2) Serial Number: 05:92:8a:1a:92:f2:81:83:9e:62:f8:c9:67:e9:81:fd Signature Algorithm: sha256withrsaencryption Issuer: C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3 Validity Not Before: Nov 26 00:00: GMT Not After : Nov 30 12:00: GMT Subject: C=PL, ST=ma\xC5\x82opolskie, L=Krak\xC3\xB3w, O=Akademia G\xC3\xB3rniczo-Hutnicza w Krakowie, OU=Uczelniane Centrum Informatyki, CN=*.agh.edu.pl Subject Public Key Info: Public Key Algorithm: rsaencryption Public-Key: (2048 bit)
54 SSH Secure SHell (SSH) , Tatu Ylönen jako substytut protokołów Telnet i rlogin/rsh w wersji 1 RSA, DES/3DES/Blowfish w wersji 2 RSA/DH, 3DES/Blowfish/RC4/CAST/AES uwierzytelnienie hasłem lub kluczem RSA/DSA/ECC OpenSSH 1999, otwarta implementacja SSH SCP i SFTP protokoły transferu plików SSHFS zdalny system plików z szyfrowaniem ruchu możliwość tunelowania poszczególnych portów możliwość tunelowania ruchu IP (OpenSSH VPN) popularne implementacje: PuTTY, Xshell, TeraTerm, MobaXterm, JuiceSSH, WinSCP, FileZilla
55 S/MIME Multipurpose Internet Mail Extensions (MIME) standard kodowania wiadomości zawierających dane nietekstowe (RFC ) Secure MIME standard przesyłania wiadomości zaszyfrowanych (RFC 3851) Wykorzystuje Cryptographic Message Syntax (PKCS#7) Bazuje na Certificate Authority certyfikaty użytkowników są wystawiane przez publiczne lub prywatne (np. wewnątrzfirmowe) CA Wbudowany w wiele programów pocztowych (np. Outlook, Thunderbird)
56 Pretty Good Privacy 1991, Philip Zimmermann Wykorzystuje web of trust PGP 2 IDEA (128bit), RSA, MD5 Śledztwo z 1992 w sprawie złamania przepisów eksportowych (zakończone 1996) Wersja eksportowa (PGP International) Problemy z patentami (RSA do 2000, IDEA do 2011) PGP 5 RSA (tylko w wersji komercyjnej!), DSA/ElGamal, CAST5, 3DES, IDEA, SHA-1 PGP 6 szyfrowane dyski wirtualne (PGPdisk) PGP 7 Twofish, AES
57 OpenPGP Standard OpenPGP (RFC 4880) Implementacje: PGP Desktop 10.x PGP Corporation Symantec (2010) GNU Privacy Guard (GnuPG, GPG) , Free Software Foundation Wykorzystuje: Szyfry asymetryczne: RSA, DSA, ElGamal, ECC Funkcje skrótu: MD5, SHA-1, SHA-256, SHA-512, RIPEMD-160, Tiger Symetryczne: CAST5, 3DES, AES, Blowfish, Twofish, opcjonalnie IDEA interfejs command-line nakładki graficzne (KGPG, MacGPG, gpg4win) pluginy do popularnych programów (FireGPG, Enigmail) może być używane do szyfrowania symetrycznego plików Inne: Hushmail, McAfee E-Business Server
58 Formy ataku elektronicznego (cyberataku) Pasywne/aktywne: pasywne - atakujący ma dostęp do danych (komunikacji) w systemie, mogąc je odczytać, lecz ich nie modyfikuje przykład: podsłuch komunikacji pomiędzy użytkownikami systemu aktywne - atakujący pośredniczy w przetwarzaniu danych (komunikacji) w systemie, mogąc je nie tylko odczytać, lecz również sfałszować czy spreparować z premedytacją, tak by uzyskać zamierzony cel ataku Lokalne/zdalne: lokalne - atakujący już ma dostęp do systemu i próbuje zwiększyć swe uprawnienia zdalne - atakujący nie posiada jeszcze żadnych uprawnień w systemie atakowanym za pośrednictwem sieci 58
59 Przykładowe rodzaje cyberataków podszywanie - atakujący (osoba, program) udaje inny podmiot, w domyśle zaufany dla systemu atakowanego, np. fałszywy serwer WWW podszywa się pod znaną witrynę internetową; podsłuch - pozyskanie danych przetwarzanych lub transmitowanych w systemie (np. przechwycenie hasła przesyłanego w formie jawnej do serwera); odtwarzanie - ponowne użycie przechwyconych wcześniej danych, np. hasła; manipulacja - modyfikacja danych w celu zrekonfigurowania systemu lub doprowadzenia go do stanu, z którego atakujący może osiągnąć bezpośrednio lub pośrednio korzyść; wykorzystanie błędów systemowych (posłużenie się wiedzą o znanej luce, błędzie w systemie). 59
60 Ataki na poufność informacji Poufność, rozumiana jako ochrona przed nieautoryzowanym dostępem do informacji, narażona jest na ataki poprzez: nieuprawniony dostęp do danych w miejscu składowania, np. w bazie danych, nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika, podsłuchanie danych przesyłanych. Podsłuch dotyczy nie tylko oczywistego przypadku transmisji danych (np. w sieci komputerowej). Należy podkreślić techniczną możliwość podsłuchu zdalnego większości elementów systemu komputerowego. Dotyczy to urządzeń emitujących promieniowanie elektromagnetyczne, jak np. klawiatury czy monitory ekranowe, szczególnie starszego typu (CRT). 60
61 Typowy atak zdalny Typowe fazy ataku zdalnego: skanowanie (poszukiwanie słabości) wyznaczenie celu (np. niezabezpieczona usługa, znany błąd) uzyskanie dostępu eskalacja uprawnień modyfikacje systemu umożliwiające późniejszy powrót (backdoor) usuwanie śladów (modyfikacja logów) propagacja ataku na inne systemy/części systemu 61
62 Skaning Network scanning, port scanning nie jest atakiem per se, ale może być przygotowaniem do ataku; jest też stosowany w diagnostyce sieci nmap - Gordon Lyon ( Fyodor ), 1997 skaning pojedynczych adresów IP lub całych zakresów skaning wybranych lub wszystkich portów odgadywanie wersji OS i/lub aplikacji stealth scanning SATAN/SANTA (Security Administrators Tool for Analyzing Networks) D. Farmer, W. Venema 1995 SAINT (Security Administrator's Integrated Network Tool) następca SATAN-a, 1998 Inne: Nessus, OpenVAS, Pentoo
63 Ataki na infrastrukturę sieciową pasywny podsłuch (sniffing) także jako część diagnostyki sieci narzędzia: Ettercap, tcpdump, Wireshark i in. podsłuch sieci WiFi (WEP cracking): airsnort aktywny podsłuch MAC flooding ARP spoofing IP spoofing session hijacking ataki na protokoły routingu (ICMP spoofing, BGP poisoning) ataki na DNS (DNS cache poisoning)
64 Zapora sieciowa (firewall) Firewalle sprzętowe Cisco ASA Juniper NetScreen FortiNet FortiGate Check Point FireWall-1 Zyxel ZyWall i, w jakimś stopniu, niemal każdy router z obsługą ACL (Access Control Lists)
65 Zapora sieciowa (firewall) Typy firewalli: filtry pakietów (packet filters) stateless filters stateful filters (SPI Stateful Packet Inspection) analiza protokołów wyższej warstwy (application layer firewalls, DPI Deep Packet Inspection) proxy servers Dwa ostatnie rodzaje mogą być wykorzystane do filtrowania treści (zapobieganie wyciekom danych, ochrona praw autorskich, ale także cenzura) NAT (Network Address Translation), masquerade w przypadku wykorzystania w sieci wewnętrznej prywatnych adresów IP (wg RFC 1918)
66 Unified Threat Management (UTM) Nazywane też Next Generation Firewalls Integracja funkcji firewalla, IDS/IPS (Intrusion Detection/Prevention System), a często także antywirusa i filtra treści niepożądanych/spamu: Komercyjne: Juniper SSG Cisco ASA Fortinet FortiGate Check Point UTM-1 Open Source: snort Suricata Untangle
67 Zapora sieciowa (firewall) Strefa zdemilitaryzowana podsieć, w której znajdują się serwery dostępne z zewnątrz z trójnogim firewallem z podwójnym firewallem
68 Zapora sieciowa (firewall) Potencjalne sposoby obejścia firewalla: połączenie jest inicjowane z wnętrza sieci, np. przez trojana modem lub inny dodatkowy punkt wejścia do sieci słabo chroniona sieć bezprzewodowa jako część sieci wewnętrznej
69 Bezpieczeństwo aplikacji Nie ma bezpiecznych aplikacji, są tylko niedokładnie przetestowane Bezpieczeństwa nie da się osiągnąć poprzez zainstalowanie zabezpieczeń Firewall nie zawsze chroni przed atakami na aplikację Testy penetracyjne nie wykrywają wszystkiego Bezpieczne aplikacje stają się niebezpieczne Poziom bezpieczeństwa można utrzymać jedynie przy stałym nakładzie środków
70 Ataki na usługi sieciowe Odgadywanie haseł do usług (SSH, FTP, POP3 itd.) atak słownikowy Błędy oprogramowania serwerów Zbyt szerokie uprawnienia Przepełnienie bufora (buffer overflow) Code injection PHP injection SQL injection
71 SQL injection $query = SELECT id FROM users WHERE ; $query.= login = '. $login. ' AND password = '. $pass. ' ; Login: admin Hasło: ' OR 1==1;' SELECT id FROM users WHERE login = 'admin' AND password = '' OR 1==1 ;'' ' OR 1==1;' - warunek logiczny zawsze spełniony
72 SQL injection
73 Ataki DoS (Denial of Service) Polegają na zablokowaniu zasobów ofiary mocy procesora, pamięci, przepustowości łącza Wykorzystujące specyfikę protokołów: SYN flood lub ich implementacji: Teardrop błąd w obsłudze pakietów fragmentowanych ping of death błąd w obsłudze dużych (64kB) pakietów ICMP (m.in. w Windows) LAND (Local Area Network Denial) odpowiadanie na pakiety z fałszywym adresem nadawcy równym adresowi odbiorcy/ofiary (stare Unixy, Windows XP, 2003)
74 Ataki DDoS (Distributed DoS) smurf obsługa broadcast ICMP Z użyciem botnetu (komputerów-zombie zarażonych trojanem, np. Stacheldraht, Trinoo, TFN2K, Conficker) sterowane (Command & Control) np. przez IRC największe botnety po >1 mln zombie (głównie Windows, ale też MacOS, Linux, Symbian) DDoS przypadkowy (Slashdot effect)
75 Malware (malicious software) Wirus ( self-replicating program, Fred Cohen 1983) dokleja się do programów i jest przenoszony z systemu do systemu przez użytkowników Robak (worm, John Brunner 1975) samodzielnie propaguje się przez sieć (przypadek graniczny: robak rozsyłający się em) Trojan (koń trojański, Trojan horse) nie replikuje się samodzielnie, jest instalowany przez użytkownika w 2009 stanowiły >80% malware Backdoor (Ken Thompson Reflections on Trusting Trust, 1984) Rootkit
76 Malware (malicious software) Exploit program, którego jedyną funkcją jest wykorzystanie luki lub przełamanie zabezpieczenia systemu Spyware malware, którego celem jest gromadzenie i przesyłanie informacji o użytkowniku (haseł etc.); często zawiera keylogger Adware oprogramowanie wyświetlające reklamy, często zawiera elementy spyware (reklama kontekstowa)
77 Przełomowe wirusy Creeper (1971, PDP-10) Brain/Lahore (1986, MS-DOS) nvir (1987, MacOS) Michelangelo (1992) spowodował histerię mediów Concept (1995, makrowirus infekujący.doc) Staog (1996, Linux) Commwarrior (2005, Symbian) rozsyła się w MMS Stuxnet (2010) cyberatak na program jądrowy Iranu Flame (2012) hybryda wirus/robak
78 Najbardziej znane robaki The Internet Worm Roberta T. Morrisa, Code Red (2001) Nimda (2001) Klez (2001) Blaster (2003) SQL Slammer (2003) Sobig (2003) Sasser (2004) Conficker (2008)
79 Zwalczanie malware Popularne programy antywirusowe Microsoft Windows Defender BitDefender Antivirus Kaspersky Anti-virus ESET NOD32 Avira Avast Linux: McAfee LinuxShield, Sophos AV, ClamAV
80 Zwalczanie malware Popularne firewalle programowe (często zintegrowane z programem antywirusowym) Zone Alarm Internet Security Suite Kaspersky Internet Security Comodo Internet Security Outpost Firewall Pro Norman Personal Firewall Norton Internet Security Linux: Netfilter/iptables, Shorewall Rankingi antywirusów i firewalli:
81 Social engineering Social engineering ogół metod polegających na wykorzystaniu naiwności użytkownika (np. wyłudzeniu hasła, skłonieniu do instalacji malware itd.); Kevin Mitnick The Art of Deception Phishing wykorzystanie a lub strony WWW do podszycia się pod zaufaną instytucję w celu wyłudzenia danych Wykorzystanie homografów < składni URL <http//: opisów w HTML różnych od faktycznego URL Pharming odmiana phishingu oparta o przekierowanie przeglądarki WWW (np. poprzez DNS poisoning, rekonfigurację lokalnego routera, tabnabbing itd.)
Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna
Bardziej szczegółowoWSIZ Copernicus we Wrocławiu
Bezpieczeństwo sieci komputerowych Wykład 4. Robert Wójcik Wyższa Szkoła Informatyki i Zarządzania Copernicus we Wrocławiu Plan wykładu Sylabus - punkty: 4. Usługi ochrony: poufność, integralność, dostępność,
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoZamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.
Spis treści: Czym jest szyfrowanie Po co nam szyfrowanie Szyfrowanie symetryczne Szyfrowanie asymetryczne Szyfrowanie DES Szyfrowanie 3DES Szyfrowanie IDEA Szyfrowanie RSA Podpis cyfrowy Szyfrowanie MD5
Bardziej szczegółowoBezpieczna poczta i PGP
Bezpieczna poczta i PGP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Poczta elektroniczna zagrożenia Niechciana poczta (spam) Niebezpieczna zawartość poczty Nieuprawniony dostęp (podsłuch)
Bardziej szczegółowoBezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.
Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą
Bardziej szczegółowoBezpieczne sieci TCP/IP
Bezpieczne sieci TCP/IP Marek Kozłowski Wydział Matematyki i Nauk Informacyjnych Politechnika Warszawska Warszawa 2014/2015 Plan wykładu 1 Wprowadzenie 2 Kryptografia symetryczna 3 Kryptografia asymetryczna
Bardziej szczegółowoPuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna
PuTTY Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP Marcin Pilarski PuTTY emuluje terminal tekstowy łączący się z serwerem za pomocą protokołu Telnet, Rlogin oraz SSH1 i SSH2. Implementuje
Bardziej szczegółowoZarządzanie bezpieczeństwem i poziomem usług systemów informatycznych. Cz. 2. Szymon Sokół <Szymon.Sokol@agh.edu.pl>
Zarządzanie bezpieczeństwem i poziomem usług systemów informatycznych Cz. 2 Szymon Sokół http://home.agh.edu.pl/szymon/pbi/ Klasyfikacja zagrożeń Rodzaje zagrożeń: Utrata funkcjonalności
Bardziej szczegółowoZastosowania informatyki w gospodarce Wykład 5
Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 5 Podstawowe mechanizmy bezpieczeństwa transakcji dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak
Bardziej szczegółowo2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)
Dr inż. Robert Wójcik, p. 313, C-3, tel. 320-27-40 Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska E-mail: Strona internetowa: robert.wojcik@pwr.edu.pl google: Wójcik
Bardziej szczegółowoMarcin Szeliga marcin@wss.pl. Sieć
Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoPraktyczne aspekty stosowania kryptografii w systemach komputerowych
Kod szkolenia: Tytuł szkolenia: KRYPT/F Praktyczne aspekty stosowania kryptografii w systemach komputerowych Dni: 5 Opis: Adresaci szkolenia Szkolenie adresowane jest do osób pragnących poznać zagadnienia
Bardziej szczegółowoZarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych
Zarządzanie systemami informatycznymi Bezpieczeństwo przesyłu danych Bezpieczeństwo przesyłu danych Podstawy szyfrowania Szyfrowanie z kluczem prywatnym Szyfrowanie z kluczem publicznym Bezpieczeństwo
Bardziej szczegółowoClient-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl
Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne
Bardziej szczegółowoStos TCP/IP. Warstwa aplikacji cz.2
aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie
Bardziej szczegółowoBezpieczna poczta i PGP
Bezpieczna poczta i PGP Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 06 PGP BSK 2009/10 1 / 24
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoSerwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami
Serwer SSH Serwer SSH Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami Serwer SSH - Wprowadzenie do serwera SSH Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja
Bardziej szczegółowoBezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowo2 Kryptografia: algorytmy symetryczne
1 Kryptografia: wstęp Wyróżniamy algorytmy: Kodowanie i kompresja Streszczenie Wieczorowe Studia Licencjackie Wykład 14, 12.06.2007 symetryczne: ten sam klucz jest stosowany do szyfrowania i deszyfrowania;
Bardziej szczegółowoWykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
Bardziej szczegółowoKryptografia ogranicza się do przekształcania informacji za pomocą jednego lub więcej tajnych parametrów
Marzec 2009 Kryptografia dziedzina wiedzy zajmująca się zasadami, narzędziami i metodami przekształcania danych w celu ukrycia zawartych w nich informacji, zapobiegania możliwości tajnego ich modyfikowania
Bardziej szczegółowoWprowadzenie do technologii VPN
Sieci komputerowe są powszechnie wykorzystywane do realizacji transakcji handlowych i prowadzenia działalności gospodarczej. Ich zaletą jest błyskawiczny dostęp do ludzi, którzy potrzebują informacji.
Bardziej szczegółowoInternetowe BD 2007. P.Skrobanek 1. INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV. Paweł Skrobanek PLAN NA DZIŚ :
Wrocław 2006(07) INTERNETOWE BAZY DANYCH materiały pomocnicze wykład IV Paweł Skrobanek C3, pok. 323 email: pawel.skrobanek@pwr.wroc.pl PLAN NA DZIŚ : 1. Wprowadzenie bezpieczeństwo 2. Umiejscowienie bazy
Bardziej szczegółowoSystemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski
Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP Marcin Pilarski PuTTY PuTTY emuluje terminal tekstowy łączący się z serwerem za pomocą protokołu Telnet, Rlogin oraz SSH1 i SSH2. Implementuje
Bardziej szczegółowoRobaki sieciowe. + systemy IDS/IPS
Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoWykład I. Oprogramowanie kryptograficzne. dr inż. Janusz Słupik. Gliwice, 2015. Wydział Matematyki Stosowanej Politechniki Śląskiej
Wykład I Wydział Matematyki Stosowanej Politechniki Śląskiej Gliwice, 2015 c Copyright 2015 Janusz Słupik Zaliczenie przedmiotu Do zaliczenia przedmiotu niezbędne jest osiągnięcie łącznie 41 punktów, w
Bardziej szczegółowoSSL (Secure Socket Layer)
SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoBezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006
Bezpieczeństwo w sieciach bezprzewodowych WiFi Krystian Baniak Seminarium Doktoranckie Październik 2006 Wprowadzenie Agenda Problemy sieci bezprzewodowych WiFi Architektura rozwiązań WiFi Mechanizmy bezpieczeństwa
Bardziej szczegółowoProtokół SSH. Patryk Czarnik
Protokół SSH Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja i uwierzytelnienie osoby Uwierzytelnienie serwera Zabezpieczenie
Bardziej szczegółowokorporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.
Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny
Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows
Bardziej szczegółowoBazy danych i usługi sieciowe
Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje
Bardziej szczegółowoWykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoAudyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)
Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan
Bardziej szczegółowoMarcin Szeliga Dane
Marcin Szeliga marcin@wss.pl Dane Agenda Kryptologia Szyfrowanie symetryczne Tryby szyfrów blokowych Szyfrowanie asymetryczne Systemy hybrydowe Podpis cyfrowy Kontrola dostępu do danych Kryptologia Model
Bardziej szczegółowoMetody uwierzytelniania klientów WLAN
Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji
Bardziej szczegółowosystemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)
Maciej Zakrzewicz Platformy softwarowe dla rozwoju systemów intra- i internetowych Architektura Internetu (1) Internet jest zbiorem komputerów podłączonych do wspólnej, ogólnoświatowej sieci komputerowej
Bardziej szczegółowoBezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda
Bezpieczeństwo aplikacji typu software token Mariusz Burdach, Prevenity Agenda 1. Bezpieczeństwo bankowości internetowej w Polsce 2. Główne funkcje aplikacji typu software token 3. Na co zwrócić uwagę
Bardziej szczegółowoSieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.
Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.pl Zagadnienia związane z bezpieczeństwem Poufność (secrecy)
Bardziej szczegółowon = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.
Wykład 2 Temat: Algorytm kryptograficzny RSA: schemat i opis algorytmu, procedura szyfrowania i odszyfrowania, aspekty bezpieczeństwa, stosowanie RSA jest algorytmem z kluczem publicznym i został opracowany
Bardziej szczegółowo3.3. Bezpieczeństwo systemów sieciowych wprowadzenie
3.3. Bezpieczeństwo systemów sieciowych wprowadzenie Zagadnienia bezpieczeństwa odgrywają ważną rolę w codziennej pracy każdego systemu sieciowego, poczynając od pojedynczych komputerów osobistych aż do
Bardziej szczegółowoKryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11
Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie
Bardziej szczegółowoLaboratorium nr 3 Podpis elektroniczny i certyfikaty
Laboratorium nr 3 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi
Bardziej szczegółowoMetody ataków sieciowych
Metody ataków sieciowych Podstawowy podział ataków sieciowych: Ataki pasywne Ataki aktywne Ataki pasywne (passive attacks) Polegają na śledzeniu oraz podsłuchiwaniu w celu pozyskiwania informacji lub dokonania
Bardziej szczegółowoPodstawy bezpieczeństwa
Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów
Bardziej szczegółowoSSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd
SSL VPN Virtual Private Network with Secure Socket Layer Wirtualne sieci prywatne z bezpieczną warstwą gniazd Autorem niniejszej prezentacji jest Paweł Janicki @ 2007 SSL The Secure Socket Layer Protokół
Bardziej szczegółowoWprowadzenie: zagrożenia, standardy bezpieczeństwa (do przeczytania)
Bezpieczeństwo sieci komputerowych. Szyfrowanie z kluczem symetrycznym, szyfrowanie z kluczem publicznym i prywatnym, certyfikaty cyfrowe, podpis elektroniczny. Zagadnienie jest rozległe i obejmuje bezpieczeństwo
Bardziej szczegółowoZastosowania informatyki w gospodarce Wykład 8
Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 8 Protokół SSL dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak Protokoły SSL oraz TLS Określenia
Bardziej szczegółowoVPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.
VPN dla CEPIK 2.0 (wirtualna sieć prywatna dla CEPIK 2.0) Józef Gawron Radom, 2 lipiec 2016 r. CEPIK 2.0 (co się zmieni w SKP) Dostosowanie sprzętu do komunikacji z systemem CEPiK 2.0 Data publikacji 17.06.2016
Bardziej szczegółowoBezpieczeństwo kart elektronicznych
Bezpieczeństwo kart elektronicznych Krzysztof Maćkowiak Karty elektroniczne wprowadzane od drugiej połowy lat 70-tych znalazły szerokie zastosowanie w wielu dziedzinach naszego życia: bankowości, telekomunikacji,
Bardziej szczegółowoBEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)
Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres
Bardziej szczegółowoSzyfrowanie danych w SZBD
Szyfrowanie danych w SZBD dr inż. Maciej Nikodem Instytut Informatyki, Automatyki i Robotyki maciej.nikodem@pwr.wroc.pl 1 Czy potrzebujemy szyfrowania w SZBD? prawo, kontrola dostępu, ochrona przed: administratorem,
Bardziej szczegółowoSystemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność
Systemy Mobilne i Bezprzewodowe laboratorium 12 Bezpieczeństwo i prywatność Plan laboratorium Szyfrowanie, Uwierzytelnianie, Bezpieczeństwo systemów bezprzewodowych. na podstawie : D. P. Agrawal, Q.-A.
Bardziej szczegółowoMetody zabezpieczania transmisji w sieci Ethernet
Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć
Bardziej szczegółowoWykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowo1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.
1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych
Bardziej szczegółowoSeminarium Ochrony Danych
Opole, dn. 15 listopada 2005 Politechnika Opolska Wydział Elektrotechniki i Automatyki Kierunek: Informatyka Seminarium Ochrony Danych Temat: Nowoczesne metody kryptograficzne Autor: Prowadzący: Nitner
Bardziej szczegółowoWykorzystanie protokołu T=CL w systemach kontroli dostępu
Wykorzystanie protokołu T=CL w systemach kontroli dostępu Agenda Obecne systemy kontroli dostępu Technologia MIFARE Tożsamość cyfrowa i PKI Protokół T=CL w systemach KD Aplikacje PKI w KD Wykorzystanie
Bardziej szczegółowoProtokół SSL/TLS. Algorytmy wymiany klucza motywacja
Protokół SSL/TLS Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Algorytmy wymiany klucza motywacja Kryptografia symetryczna efektywna Ale wymagana znajomość tajnego klucza przez obie strony
Bardziej szczegółowoWYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH
Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne
Bardziej szczegółowoProtokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski
Protokół SSL/TLS Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 04 SSL BSK 2009/10 1 / 30 Algorytmy
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoBezpieczeństwo w Internecie
Elektroniczne Przetwarzanie Informacji Konsultacje: czw. 14.00-15.30, pokój 3.211 Plan prezentacji Szyfrowanie Cechy bezpiecznej komunikacji Infrastruktura klucza publicznego Plan prezentacji Szyfrowanie
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoBezpieczeństwo danych i systemów. Technologia informacyjna
Bezpieczeństwo danych i systemów Technologia informacyjna Bezpieczeństwo danych Ochrona poufnych danych przed nieautoryzowanym dostępem Zabezpieczenie przed utratą danych Ochrona danych przed zewnętrznymi
Bardziej szczegółowoSieci komputerowe. Wykład dr inż. Łukasz Graczykowski
Sieci komputerowe Wykład 6 10.04.2019 dr inż. Łukasz Graczykowski lukasz.graczykowski@pw.edu.pl Semestr letni 2018/2019 Warstwa aplikacji Usługi sieciowe źródło: Helion Warstwa aplikacji W modelu ISO/OSI
Bardziej szczegółowoZastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA
Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA Grzegorz Bobiński Uniwersytet Mikołaja Kopernika Toruń, 22.05.2010 Kodowanie a szyfrowanie kodowanie sposoby przesyłania danych tak, aby
Bardziej szczegółowoBezpieczeństwo w 802.11
Bezpieczeństwo w 802.11 WEP (Wired Equivalent Privacy) W standardzie WEP stosuje się algorytm szyfrujący RC4, który jest symetrycznym szyfrem strumieniowym (z kluczem poufnym). Szyfr strumieniowy korzysta
Bardziej szczegółowoPodstawy bezpieczeństwa w sieciach bezprzewodowych
1 Podstawy bezpieczeństwa w sieciach bezprzewodowych Protokół WEP - sposób działania, możliwe ataki, możliwe usprawnienia, następcy Filip Piękniewski, Wydział Matematyki i Informatyki UMK, członek IEEE
Bardziej szczegółowoLaboratorium nr 1 Szyfrowanie i kontrola integralności
Laboratorium nr 1 Szyfrowanie i kontrola integralności Wprowadzenie Jedną z podstawowych metod bezpieczeństwa stosowaną we współczesnych systemach teleinformatycznych jest poufność danych. Poufność danych
Bardziej szczegółowoElementy kryptografii
Elementy kryptografii Marek Zachara http://marek.zachara.name 1/24 Kodowanie a szyfrowanie Kodowanie na poziomie semantycznym dotyczy zwykle liter lub bajtów ma za zadanie zamianę komunikatu z postaci
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Wprowadzenie do kryptologii Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 16 listopada 2016 Jak ta dziedzina powinna się nazywać?
Bardziej szczegółowoProblemy z bezpieczeństwem w sieci lokalnej
Problemy z bezpieczeństwem w sieci lokalnej Sieć lokalna Urządzenia w sieci LAN hub (sieć nieprzełączana) switch W sieci z hubem przy wysłaniu pakietu do wybranego komputera tak naprawdę zostaje on dostarczony
Bardziej szczegółowoWykład VI. Programowanie III - semestr III Kierunek Informatyka. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej
Wykład VI - semestr III Kierunek Informatyka Wydział Matematyki Stosowanej Politechniki Śląskiej Gliwice, 2013 c Copyright 2013 Janusz Słupik Podstawowe zasady bezpieczeństwa danych Bezpieczeństwo Obszary:
Bardziej szczegółowoLaboratorium nr 5 Podpis elektroniczny i certyfikaty
Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi
Bardziej szczegółowoKryptografia na Usługach Dewelopera. Cezary Kujawa
Kryptografia na Usługach Dewelopera Cezary Kujawa Cel: Uporządkowanie i pogłębienie wiedzy Zainteresowanie fascynującą dziedziną Kryptologia (z gr. κρυπτός kryptos ukryty i λόγος logos rozum, słowo ) dziedzina
Bardziej szczegółowoAgenda. Rys historyczny Mobilne systemy operacyjne
Mobilne zagrożenia Artur Maj, Prevenity Agenda Telefony komórkowe Rys historyczny Mobilne systemy operacyjne Bezpieczeństwo urządzeń smartphone Smartphone w bankowości Zagrożenia dla bankowości Demonstracja
Bardziej szczegółowoBezpieczeństwo usług oraz informacje o certyfikatach
Bezpieczeństwo usług oraz informacje o certyfikatach Klienci banku powinni stosować się do poniższych zaleceń: nie przechowywać danych dotyczących swojego konta w jawnej postaci w miejscu, z którego mogą
Bardziej szczegółowoPlan wykładu. OpenPGP. Tożsamość i prywatność Po co szyfrować/uwierzytelniać dane?
Plan wykładu Ideologia Kryptologii Tożsamość i prywatność Po co szyfrować/uwierzytelniać dane? ABC kryptografii Szyfrowanie symetryczne i asymetryczne Moc kluczy -- popularne algorytmy OpenPGP Standard
Bardziej szczegółowoUrządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS konkurs@prevenity.com
Urządzenia mobilne Nowe szanse, nowe zagrożenia Artur Maj, Prevenity FWZQJAEHEPQABIRQS konkurs@prevenity.com 1 Agenda Telefony komórkowe Rys historyczny Mobilne systemy operacyjne Bezpieczeństwo urządzeń
Bardziej szczegółowoBezpieczeństwo informacji w systemach komputerowych
Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania
Bardziej szczegółowoSieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych
Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na
Bardziej szczegółowoWykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego
Bardziej szczegółowoBezpieczeństwo systemów komputerowych. Algorytmy kryptograficzne (1) Algorytmy kryptograficzne. Algorytmy kryptograficzne BSK_2003
Bezpieczeństwo systemów komputerowych Algorytmy kryptograficzne (1) mgr Katarzyna Trybicka-Francik kasiat@zeus.polsl.gliwice.pl pok. 503 Algorytmy kryptograficzne Przestawieniowe zmieniają porządek znaków
Bardziej szczegółowoPARAMETRY TECHNICZNE I FUNKCJONALNE
Załącznik nr 5 do SIWZ PARAMETRY TECHNICZNE I FUNKCJONALNE Uwagi i objaśnienia: 1) Należy wypełnić wszystkie pozycje tabeli. 2) Parametry określone przez Zamawiającego jako Wymagane są parametrami, którymi
Bardziej szczegółowoSieci VPN SSL czy IPSec?
Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych
Bardziej szczegółowoBezpieczeństwo danych, zabezpieczanie safety, security
Bezpieczeństwo danych, zabezpieczanie safety, security Kryptologia Kryptologia, jako nauka ścisła, bazuje na zdobyczach matematyki, a w szczególności teorii liczb i matematyki dyskretnej. Kryptologia(zgr.κρυπτός
Bardziej szczegółowoBezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych
Podsłuchiwanie sieci - prezentacja na potrzeby Systemów operacyjnych Wydział Matematyki, Informatyki i Mechaniaki Uniwersytet Warszawski Warszawa, 16 stycznia 2007 Podsłuchiwanie sieci Pakiety - wszystko
Bardziej szczegółowoSSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH
SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoPROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall
Bardziej szczegółowoWykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński
Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994
Bardziej szczegółowoAuthenticated Encryption
Authenticated Inż. Kamil Zarychta Opiekun: dr Ryszard Kossowski 1 Plan prezentacji Wprowadzenie Wymagania Opis wybranych algorytmów Porównanie mechanizmów Implementacja systemu Plany na przyszłość 2 Plan
Bardziej szczegółowoWEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania
WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania Mateusz Kwaśnicki Politechnika Wrocławska Wykład habilitacyjny Warszawa, 25 października 2012 Plan wykładu: Słabości standardu
Bardziej szczegółowoTechnologie informacyjne - wykład 5 -
Zakład Fizyki Budowli i Komputerowych Metod Projektowania Instytut Budownictwa Wydział Budownictwa Lądowego i Wodnego Politechnika Wrocławska Technologie informacyjne - wykład 5 - Prowadzący: Dmochowski
Bardziej szczegółowo