Wprowadzenie: zagrożenia, standardy bezpieczeństwa (do przeczytania)

Wielkość: px
Rozpocząć pokaz od strony:

Download "Wprowadzenie: zagrożenia, standardy bezpieczeństwa (do przeczytania)"

Transkrypt

1 Bezpieczeństwo sieci komputerowych. Szyfrowanie z kluczem symetrycznym, szyfrowanie z kluczem publicznym i prywatnym, certyfikaty cyfrowe, podpis elektroniczny. Zagadnienie jest rozległe i obejmuje bezpieczeństwo na poziomie systemów operacyjnych działających na pojedynczych komputerach, sieciowych systemów operacyjnych oraz protokołów i różnych systemów zabezpieczeń. Wykład dotyczy bardziej aspektów związanych z siecią (przesyłaniem danych między komputerami) oraz protokołów sieciowych. Poniższy tekst, zapisany szarą czcionką, stanowi wprowadzenie do tematu i obejmuje zagadnienia nie omawiane w trakcie wykładu (tekst do przeczytania). Pod tym tekstem znajduje się uproszczona notatka z wykładu. Wprowadzenie: zagrożenia, standardy bezpieczeństwa (do przeczytania) Na zagrożenia, jakie wynikają z wykorzystywania sieci komputerowych można patrzeć z różnych stron. Jakie dane mogą być zagrożone? Dane publiczne. Informacje powszechnie dostępne, np. strony WWW. Wiele firm opiera w znacznym stopniu działalność na informacjach publikowanych w Internecie. Zniszczenie, zniekształcenie informacji może spowodować utratę prestiżu, zaufania i dochodów. Dane wewnętrzne. Dane związane z działaniem firmy, normalnie dostępne tylko dla pracowników. Zniszczenie lub utrata tych danych może spowodować trudności w działaniu firmy, wykonanie normalnych operacji może okazać się niemożliwe lub utrudnione. Dane poufne. Dane o dostępie ograniczonym dla pewnej grupy użytkowników, używane wewnątrz firmy, np. listy płac. Dane tajne. Dane handlowe, własność intelektualna. Muszą być bezwzględnie chronione przed każdego rodzaju niepowołanym dostępem. Zagrożenia dla usług (serwisów) Blokowanie dostępu do usług i aplikacji DoS (Denial of Services). Ataki DoS polegają na zalaniu serwera dużą liczbą informacji lub żądania usług tak, że serwer przestaje funkcjonować w ogóle lub pracuje bardzo wolno (z punktu widzenia pojedynczego klienta). W wyniku ataku DoS dostęp do zasobów lub usług zostaje zablokowany, co skutkuje np. obniżeniem dochodów lub/i prestiżu. DoS mogą być wymierzone w takie zasoby, jak: Przestrzeń dyskowa, 1

2 Przepustowość sieci, Bufory portów, CPU DDos Distributed Denial of Services to blokowanie usług poprzez wysyłanie żądań do serwera z wielu komputerów w jednym czasie. Żądania takie mogą być wysyłane np. z tysięcy komputerów zainfekowanych wcześniej programem, który w określonym dniu i o określonym czasie powoduje łączenie z serwerem. Przypomnienie wiadomości z TCP: Przykład ataku klient wysyła dużo segmentów SYN rozpoczynających połączenie, ale nie odpowiada na segmenty SYN,ACK wysyłane przez serwer (tzn. klient nie wysyła segmentów ACK). Serwer przez pewien czas blokuje jednak zasoby na połączenie domniemając, że segment ACK od klienta zaginął. Serwer może zostać zablokowany, jeśli zarezerwuje na te fałszywe połączenia większość dostępnych zasobów. Wybrane kategorie ataków i zagrożeń Atak wewnętrzny (internal attack). Wykonywany przez osoby lub grupy w ramach danej organizacji (firmy). Wykonujący atak mają już dostęp do sieci i pewne prawa do jej zasobów. Często znają implementacje zabezpieczeń w sieci. Social Engineering. Tym terminem określa się ataki, w których osoba atakująca wykorzystuje oszustwo, podstęp (np. podaje się w rozmowie telefonicznej za administratora), nie wykorzystuje techniki komputerowej, ale polega na umiejętności nawiązywania kontaktu w celu otrzymania informacji umożliwiających włamanie do sieci (zasobów). Ataki mogą być realizowane np. po podaniu przez telefon swojego hasła rzekomemu pracownikowi serwisu lub nowemu administratorowi. Atak organizacyjny (organizational attack), ataki przeciwko państwom. Obejmuje akcje podejmowane przez jedną organizację (firmę) przeciw drugiej. Atak może obejmować dostęp do ważnych danych (co może np. dać atakującemu przewagę we współzawodnictwie na rynku), niszczenie danych lub blokowanie serwisów. Tego typu ataki mogą być podejmowane na większą skalę i mogą być prowadzone przez państwa (służby specjalne) przeciwko innym państwom. Przypadkowy wyłom w systemie bezpieczeństwa (accidental security breach). Tak określa się sytuacje, gdy przez niedopatrzenie (przypadek) pewnym użytkownikom przyznaje się zbyt duże prawa w sieci (np. przez omyłkowe dopisanie do pewnej grupy użytkowników). Zautomatyzowany atak (automated attack). Zautomatyzowane ataki wykonywane są z użyciem programów przeznaczonych do łamania haseł lub omijania zabezpieczeń w celu dostępu do sieci. Cel ataku może być z góry określony lub wykorzystywane programy mogą przeszukiwać Internet poszukując niezabezpieczonych komputerów. Często zautomatyzowany atak polega na blokowaniu dostępu do usług i 2

3 zasobów poprzez akcje podejmowane z dużej liczby komputerów (DDoS), których administratorzy świadomie współuczestniczą w ataku lub wręcz przeciwnie w ogóle nie wiedzą o tym, że ich komputer jest uczestnikiem ataku, gdyż kontrolę nad nim przejęli atakujący. Luki w oprogramowaniu Osobne zagadnienie związane z bezpieczeństwem systemu komputerowego to luki w programach (zwłaszcza serwujących jakieś usługi, np. serwer baz danych). Należy instalować aktualizacje oprogramowania. Zagrożenia związane z przesyłaniem danych Podsłuchiwanie i modyfikowanie przesyłanych danych. Podszywanie IP (IP address spoofing) adres źródłowy datagramu jest podmieniany. Man- in- the- middle pośrednictwo atakującego w wymianie danych między klientem i serwerem. Przechwycenie hasła. Skanowanie portów w poszukiwaniu serwisów (samo skanowanie nie jest zagrożeniem, ale może ujawnić serwisy, które dostarczą informacji o komputerze/sieci. Radą na podsłuchiwanie jest szyfrowanie transmisji, radą na modyfikowanie jest podpis cyfrowy lub zastosowanie odpowiedniej funkcji haszującej. Radą na skanowanie portów i niepowołany dostęp do usług TCP/IP jest zastosowanie specjalnego oprogramowania i/lub sprzętu (zapory sieciowej). Powszechnie przyjęte standardy bezpieczeństwa Publiczne i prywatne organizacje zdefiniowały szereg standardów, które pomagają administratorom i projektantom bezpiecznych sieci wybrać bezpieczne produkty i konfiguracje. Standardy te muszą być przestrzegane zwłaszcza w pewnych instytucjach, np. związanych z bezpieczeństwem państwa (wojsko, policja, wywiad itd.) Ewaluacja i certyfikacja Ewaluacja obejmuje ocenę konkretnego produktu programowego (np. wersji systemu operacyjnego) pod względem zapewnienia bezpieczeństwa, jeśli zostanie on prawidłowo zainstalowany i skonfigurowany. Może się zdarzyć, że system operacyjny, który posiada dobrą ewaluację został zaimplementowany i skonfigurowany w taki sposób, że np. sieć nie dostanie certyfikatu bezpieczeństwa. 3

4 Certyfikowanie polega na ocenie konkretnej implementacji systemów bezpieczeństwa, włączając w to sprzęt i konfigurację oprogramowania. Po zmianie konfiguracji systemu (sprzętu, oprogramowania) certyfikat może przestać być ważny. ICSA (http://www.icsa.net) prywatna organizacja, która dokonuje ewaluacji komercyjnych produktów związanych z bezpieczeństwem komputerowym. Poprzednia nazwa NCSA (National Computer Security Association). Ewaluacja ICSA dotyczy różnych rodzajów produktów, np.: Zapory sieciowe, Firewall (ściana ogniowa), Oprogramowanie Internet Security Protocol (IPSec) Oprogramowanie antywirusowe, Oprogramowanie związane z kryptografią. Aby utrzymać ocenę proces ewaluacji musi być powtarzany dla każdego produktu co roku (kryteria oceny zmieniają się wraz z wykrywaniem nowych zagrożeń). Standardy ewaluacji i certyfikacji systemów operacyjnych i instalacji sieciowych Starsze standardy: System C2 opracowany przez NCSC (National Computer Security Center) i NSA (National Security Agency) do użytku w USA. ITSEC odpowiednik europejski (Information Technology Security Evaluation Criteria). Nowy standard: CCITSE Common Criteria for Information Technology Security, znany w skrócie jako Common Criteria, wspólny europejsko amerykański. Zabezpieczenia związane z systemami operacyjnymi W kolejnych podrozdziałach zajmiemy się zabezpieczeniami dotyczącymi bezpośrednio sieci. Warto jednak krótko wymienić zagadnienia związane z zabezpieczeniami systemów operacyjnych. Zabezpieczenia te obejmują m.in. mechanizmy uwierzytelniania (autentykacji), politykę związaną z administrowaniem kontami, zabezpieczenia na poziomie systemów plikowych, zabezpieczanie dostępu do serwerów wydruku, administrowanie bazami danych o zasobach sieci takimi jak Active Directory (MS Windows) lub NDS (NetWare firmy Novell). 4

5 Szyfrowanie, podpis elektroniczny Tę część opisu należy traktować jako uproszczoną notatkę z wykładu. Szyfrowanie z kluczem symetrycznym Klucz jest pewną liczbą, która w zapisie binarnym składa się zwykle z kilkudziesięciu do kilku tysięcy bitów (czasem jeden klucz określany jest przez kilka liczb). To, co zostało zaszyfrowane przy użyciu pewnego klucza, może być odszyfrowane tylko przy pomocy tego samego klucza. Teoretycznie jest możliwe złamanie szyfru metodą brutalnej siły (tj. poprzez sprawdzenie wszystkich kombinacji), jednak wymaga dużych mocy obliczeniowych. Dla odpowiednio dużych kluczy i odpowiednio złożonych metod szyfrowania jest to praktycznie prawie niemożliwe. Są też inne sposoby łamania szyfrów, np. wykorzystujące analizy statystyczne i wiele innych, opierających się na niedoskonałościach samego algorytmu albo jego implementacji. Przykładowe długości kluczy: 64, 128, 256. Nie tylko długość klucza ma znaczenie liczy się również sam algorytm szyfrowania. Przykłady algorytmów z kluczem symetrycznym: DES (Data Encryption Standard), 3DES, RC4 (szyfr strumieniowy wykorzystywany w szyfrowaniu ramek w sieciach bezprzewodowych WiFi WEP oraz WPA). W tej chwili zalecany standard to AES (Advanced Encryption Standard, szyfr blokowy, wykorzystywany np. w WPA2). Uwaga. Szyfrowanie dużych porcji danych przy użyciu jednego klucza ułatwia złamanie szyfru. Dlatego klucz symetryczny powinien być zmieniany (być może wielokrotnie) w przypadku przesyłania jednego dużego pliku. Zmiana klucza wymaga ustalenia jakiegoś bezpiecznego kanału przekazania klucza. Zatem podstawowym problemem związanym z użyciem klucza symetrycznego jest jego uzgodnienie. Nie można go wysłać w wersji niezaszyfrowanej przez sieć, bo mógłby go ktoś przechwycić. Ale jak go zaszyfrować, skoro klucz nie został uzgodniony? Można wprawdzie przekazać klucz np. na dysku zewnętrznym, pendrive, albo nawet przedyktować przez telefon czy przesłać faksem, ale jest lepsza metoda. Klucz może być przesłany zaszyfrowany przy pomocy techniki szyfrowania z kluczem publicznym i prywatnym. Można też generować oddzielne klucze sesji i szyfrować je wcześniej uzgodnionym (np. za pomocą szyfrowania asymetrycznego lub innego bezpiecznego kanału) tajnym kluczem symetrycznym. Klucze symetryczne mogą być też zmieniane co określony czas lub co określoną liczbę bajtów, z użyciem specjalnych protokołów. Szyfrowanie z kluczem asymetrycznym Szyfrowanie i odszyfrowanie jest tu realizowane przy pomocy pary kluczy. Jeden z nich, zwany kluczem prywatnym jest tajny i przechowywany tylko w jednym miejscu (plus ewentualne kopie zapasowe w plikach przechowywanych w bezpiecznym miejscu) i 5

6 powinien być tajny. Drugi zwany kluczem publicznym może być powszechnie znany. Jeśli coś zostanie zaszyfrowane przy pomocy klucza prywatnego, to może być odszyfrowane tylko przy pomocy odpowiadającego mu klucza publicznego. Podobnie jeśli coś zostanie zaszyfrowane przy pomocy klucza publicznego, to może być odszyfrowane tylko przy pomocy odpowiadającego mu klucza prywatnego. Jednak odgadnięcie klucza prywatnego, jeśli znany jest publiczny jest praktycznie niemożliwe w sensownym czasie (przy użyciu współczesnych komputerów). Skąd wziąć parę kluczy? Zajmiemy się tym w punkcie Klucze publiczne i prywatne. Na razie przyjmijmy, że każdy może wygenerować w pewien sposób parę: klucz publiczny i odpowiadający mu klucz prywatny. Jeśli zatem chcemy coś (dane, plik) przekazać innej osobie w wersji zaszyfrowanej, to powinniśmy zaszyfrować to kluczem publicznym tej osoby. Ponieważ nikt poza tą osobą nie zna odpowiadającego klucza prywatnego, nikt przesyłki nie odszyfruje (przynajmniej przy użyciu współczesnych komputerów). Szyfrowanie z kluczem publicznym i prywatnym jest jednak wielokrotnie kosztowniejsze czasowo od szyfrowania z kluczem symetrycznym (przy zachowaniu podobnego stopnia odporności na złamanie szyfru). Stosowane są algorytmy np. RSA (Rivest, Shamin, Adelman), Diffie- Hellman. M.in. ze względu na duży koszt czasowy algorytmów z kluczem publicznym są one często stosowane do wymiany (uzgodnienia) kluczy symetrycznych. Przy transmisji dużych porcji danych między komputerami klucze symetryczne powinny być zmieniane (uzgadniane) co pewien czas. Skrót (hash) Szyfrowanie dużych porcji danych może być kosztowne i czasem niepożądane. W podpisach cyfrowych (patrz niżej) tworzy się tzw. skrót wiadomości (danych) za pomocą funkcji haszującej (hash function). Skrót (hash, digest) jest zazwyczaj 128 (MD5) lub 160 bitowy (SHA- 1). Powszechnie używane algorytmy haszujące to: SHA- 1 (Secure Hash Algorithm), MD5 (obecnie już nie polecany). Cechą charakterystyczną funkcji haszującej jest to, że jeśli w oryginalnej wiadomości (pliku) zmieniony zostanie chociaż jeden bit, to skrót będzie zupełnie inny niż ten, który został utworzony przed zmianą. Algorytmy haszujące są deterministyczne, tzn. dla niezmieniającej się wiadomości (pliku) za każdym razem zostanie utworzony identyczny skrót. Jednak na podstawie skrótu odtworzenie oryginalnej wiadomości (pliku) jest prawie niemożliwe (z wyjątkiem pewnych specjalnych, nietypowych przypadków). Podpis cyfrowy Zaszyfrowanie kluczem prywatnym daje gwarancję (a właściwie bardzo duże prawdopodobieństwo, graniczące z pewnością ), że zaszyfrowana wiadomość pochodzi z odpowiedniego źródła (o ile rzeczywiście znamy jego prawdziwy klucz publiczny a klucz prywatny nie został skradziony). 6

7 Samej podpisywanej wiadomości (danych) nie musi się szyfrować. Generowany jest jej skrót (z użyciem funkcji haszującej) i ten skrót szyfrowany jest z wykorzystaniem klucza prywatnego osoby podpisującej. Zaszyfrowany skrót stanowi podpis cyfrowy. Niezaszyfrowana wiadomość może być przesłana jawnie razem z zaszyfrowanym skrótem (czyli podpisem cyfrowym). Odbiorca wykonuje dwie czynności. Po pierwsze odszyfrowuje skrót używając klucza publicznego nadawcy (klucz ten jest powszechnie znany, a w każdym razie dostępny). Po drugie, odbiorca tworzy skrót wiadomości używając tej samej funkcji haszującej. Jeśli wyniki obu operacji są identyczne, to znaczy, że wiadomość na pewno ( prawie na pewno ) podpisał określony nadawca (bo prawidłowy skrót dało się odszyfrować za pomocą klucza publicznego nadawcy), a ponadto nikt po tej wiadomości nie zmienił już po podpisaniu (gdyż w takim wypadku jej skrót utworzony przez odbiorcę byłby zupełnie inny niż ten przesłany w wersji zaszyfrowanej przez nadawcę). Oczywiście po podpisaniu dodatkowo możemy wiadomość (plik) zaszyfrować, ale to nie należy już do samego podpisu. Jeśli wiadomość (plik, przesyłane dane) jest duża, to najlepiej szyfrować go okresowo zmienianym kluczem symetrycznym, przy czym samo uzgodnienie kluczy jest realizowane przy pomocy szyfrowania z kluczem publicznym i prywatnym. Klucze publiczne i prywatne, infrastruktura kluczy publicznych (Public Key Infrastructure - PKI) Skąd można wziąć klucz prywatny i publiczny? Klucze mogą być generowane na komputerze lokalnym przy pomocy odpowiedniego oprogramowania i powinny być podpisane przez jakieś centrum certyfikacyjne. Centrum certyfikacyjne (inaczej: urząd certyfikacji, ang. CA Certification Authority) wydaje tzw. certyfikaty cyfrowe. Certyfikat zawiera m.in.: Identyfikator osoby/firmy/obiektu Identyfikator Centrum certyfikacyjnego (CA), który wydał certyfikat Numer identyfikacyjny certyfikatu Cel stosowania (np. podpisywanie bezpiecznych stron WWW albo podpisywanie listów elektronicznych) Wartość klucza publicznego Okres ważności Podpis cyfrowy wydawcy (CA) Jest kilka standardów certyfikatów: X.509 (główny standard), PGP, GPG (system darmowy). Jeśli ufamy danemu wydawcy (CA), to ufamy, że zawarty w certyfikacie klucz publiczny (np. pewnej osoby, serwera WWW lub adresu pocztowego) jest rzeczywiście prawdziwy. W systemach operacyjnych oraz różnych programach (np. przeglądarkach internetowych) jest wpisana lista zaufanych tzw. głównych urzędów certyfikacji oraz lista pośrednich urzędów certyfikacji, których certyfikaty są podpisane przez główne urzędy. Poprzez panel sterowania (w opcjach internetowych) można przeglądać i zarządzać listą zaufanych wydawców i dodawać do tej listy certyfikaty swoich zaufanych urzędów certyfikacji. 7

8 W systemie Microsoft Windows w wersji serwerowej wbudowane są mechanizmy tworzenia własnych centrów certyfikacji. Mechanizmy te należy dodatkowo zainstalować jako składnik systemu operacyjnego. Do takiego centrum certyfikacji można się odwołać poprzez stronę WWW o odpowiednim adresie (np. Poprzez tę stronę można zażądać wydania certyfikatu, przy czym można uzyskać certyfikaty, które będą potem wykorzystywane w różnych celach, np. w protokole IPSec, w poczcie elektronicznej itp. Zarządzanie centrum certyfikacyjnym jest realizowane na serwerze przez konsolę MMC z dodatkiem (snap- in) do tego przeznaczonym. Podobnie zarządzanie certyfikatami na komputerze lokalnym jest realizowane przez konsolę MMC. Można budować całą hierarchię centrów certyfikujących, z których jeden jest korzeniem drzewa hierarchii i podpisuje cyfrowo certyfikaty centrów z bezpośrednio niższego poziomu hierarchii, te centra z kolei mogą podpisywać cyfrowo centra niższego poziomu itd. W ten sposób można zbudować w dużej firmie sprawną infrastrukturę kluczy publicznych (PKI Public Key Infrastructure). Darmowy certyfikat w wersji trial (działa 21 dni) do użycia na serwerze WWW (SSL, opisany poniżej): Pod tym adresem można znaleźć również ciekawe informacje na temat wykorzystania certyfikatów i protokołu SSL (opisany niżej). Do niedawna na stronie wydawano też darmowe certyfikaty do poczty elektronicznej. Darmowe certyfikaty tzw. klasy 1 (potwierdzane tylko pocztą) na adresy pocztowe (i nie tylko) są wydawane tu: https://www.startssl.com. System PGP Popularnym niezależnym systemem umożliwiającym tworzenie kluczy i rejestrowanie certyfikatów był PGP (Pretty Good Privacy). Powstał standard Open PGP. Kiedyś system ten był darmowy, jednak od pewnego czasu już taki nie jest. Ostatnio PGP stał się własnością firmy Symantec (2010). Darmowe wersje GNU Privacy Guard GPG: Bezpieczne protokoły: IPSec, SSL, TLS Bezpieczne protokoły powinny zapewniać: Poufność przesyłanych danych (osoby niepowołane nie powinny móc odczytać danych). Autentyczność (dane pochodzą rzeczywiście od określonego źródła). Integralność (nikt danych nie zmienił). Bezpieczne protokoły mogą być wykorzystywane w warstwie aplikacji (szyfrowanie komunikatów HTTPS, protokoły SSL, TLS), między warstwą sieci a transportu (szyfrowanie pakietów IP protokół IPSec), w warstwie łącza danych (szyfrowanie ramek, np. WEP, WPA, WPA2 w sieciahc bezprzewodowych). 8

9 Protokoły szyfrujące przesyłane dane SSL (warstwa aplikacji) Używany do zabezpieczania innych protokołów, wykorzystuje połączenie szyfrowania asymetrycznego z kluczem publicznym i symetrycznego. Często wykorzystywany z HTTP w sieci WWW (HTTPS). TLS (warstwa aplikacji) Podobny do SSL. SMB - Server Message Block Signing, znany też jako Common Internet File System CIFS) do transferu plików, umieszcza cyfrowe podpisy w każdym bloku danych. S/MIME Secure Multpurpose Internet Mail Extensions szyfruje i umieszcza podpisy cyfrowe w wiadomościach pocztowych e- mail. Jest rozszerzeniem MIME, standardu włączania danych binarnych do listów elektronicznych. IPSec (warstwa IP) Protokół IPSec Dodatkowe wyjaśnienia znajdują się w pliku opisującym IPSec (plik w j. angielskim, dołączony do wykładu). IPSec (IP Security) działa w warstwie IP, może szyfrować dane pochodzące z dowolnej aplikacji, proces szyfrowania i deszyfrowania jest niewidoczny dla użytkownika. IPSec jest w zasadzie frameworkiem, umożliwiającym wykorzystanie pewnych protokołów i metod według określonych zasad. Głównymi częściami IPSec są dwa protokoły: AH (Authentication Headers) oraz ESP (Encapsulating Security Payloads). Cechy IPSec: Autentyczność i integralność danych. AH umożliwia sprawdzenie autentyczności komputerów (nie użytkowników) uczestniczących w transmisji, umożliwia też sprawdzenie integralności danych. Nagłówek IP oraz dane są zabezpieczone przed modyfikacją. Szyfrowanie danych. ESP zapewnia szyfrowanie danych oraz autentyczność i integralność danych. ESP może być używany samodzielnie lub z AH. Przed przesyłaniem danych strony komunikujące się uzgadniają szczegóły takie jak sposób uwierzytelniania, wymiana kluczy, algorytmy szyfrowania. Polityki stosowania IPSec w systemach Microsoft Windows ustala się politykę (zasadę, policy) kiedy IPSec ma być automatycznie zastosowany. W wersji Windows XP były trzy predefiniowane polityki: Client (respond only) - transmisje bez IPSec, chyba że druga strona zażąda IPSec 9

10 Server (request security) - żądanie transmisji IPSec, ale jeśli druga strona nie implementuje IPSec, to komunikacja bez IPSec Secure server (require security) - żądanie transmisji IPSec, jeśli druga strona nie implementuje IPSec, to komunikacja nie jest kontynuowana. W kolejnych (po XP) systemach Microsoft Windows nie ma polityk predefiniowanych. Można ustalić swoje polityki stosowania IPSec. W danej chwili może być włączona tylko jedna polityka. Tryby działania IPSec (zarówno AH jak i ESP): Tryb transportu (w sieci lokalnej) między dwoma punktami końcowymi transmisji. Tryb tunelowania szyfrowanie w niezabezpieczonej części sieci (np. dane między biurami przesyłane przez Internet). Metody uwierzytelniania w IPSec: Kerberos, Oparty o certyfikaty cyfrowe, Klucz dzielony (przechowywany we właściwościach napis jednakowy dla obu komunikujących się stron). Filtry IPSec Filtr IPSec pozwala na automatyczne przepuszczenie datagramów IP, blokowanie lub użycie negocjacji (i w konsekwencji użycie IPSec) w zależności od źródła i miejsca docelowego IP, protokołu transportowego, portów źródłowych i docelowych. IPSec w systemach Linux Darmowe rozwiązanie IPSec dostępne w systemach Linux to FreeS/WAN (www.freeswan.org). SSL (Secure Socket Layer) SSL to protokół, którego zadaniem jest zabezpieczanie informacji przesyłanych siecią. Jest wykorzystywany przy przesyłaniu np. danych osobistych, numerów kart kredytowych. W modelu warstwowym TCP/IP SSL jest często prezentowany jako protokół, który leży powyżej warstwy transportu (TCP, UDP) i sieci (IP) a poniżej warstwy aplikacji (np. HTTP, FTP, SMTP, TELNET). W modelu ISO OSI jest przypisany do warstwy prezentacji (zatem do warstwy aplikacji w modelu TCP/IP). 10

11 Warstwa aplikacji Warstwa SSL Program Program Program Program SSL SSL SSL SSL Warstwa transportowa TCP UDP Warstwa sieci ICMP IP SSL został zaprojektowany przez firmę Netscape, jednak jest protokołem otwartym (nie należącym do żadnej firmy). Podstawowe cechy protokołu SSL: Zapewnia autoryzację serwerów internetowych i (opcjonalnie) klientów (utrudnia podszywanie pod autoryzowanych usługodawców i użytkowników) Zapewnia szyfrowanie - poufność przesyłanych informacji. Stosuje sumy kontrolne dla zapewnienia integralności danych. SSL wykorzystuje szyfrowanie symetryczne oraz z kluczem publicznym. Po nawiązaniu połączenia następuje wymiana informacji uwierzytelniających serwera i (opcjonalnie) klienta. Informacje te to certyfikaty wystawiane przez niezależne CA (Certification Authorities). Certyfikaty poza informacjami o charakterze ogólnym zawierają klucze publiczne ich właścicieli. Serwer i klient uzgadniają również algorytmy szyfrowania najsilniejsze dostępne jednocześnie obu stronom. Następnie serwer i klient generują klucze sesji (symetryczne), które są szyfrowane kluczem publicznym drugiej strony. Klucze sesji są odszyfrowywane przy pomocy klucza prywatnego i następnie służą do szyfrowania danych. Protokoły zabezpieczone SSL oznaczane są jako HTTPS (dla HTTP), FTPS (dla FTP) itd. Strony WWW pobierane z serwera oznaczane są https://. Numery portów przy włączeniu SSL: Protokół Port standardowy Port SSL HTTP IMAP POP

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna

Bardziej szczegółowo

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,

Bardziej szczegółowo

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz. Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.pl Zagadnienia związane z bezpieczeństwem Poufność (secrecy)

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych Zarządzanie systemami informatycznymi Bezpieczeństwo przesyłu danych Bezpieczeństwo przesyłu danych Podstawy szyfrowania Szyfrowanie z kluczem prywatnym Szyfrowanie z kluczem publicznym Bezpieczeństwo

Bardziej szczegółowo

Przewodnik użytkownika

Przewodnik użytkownika STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis

Bardziej szczegółowo

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Laboratorium nr 5 Podpis elektroniczny i certyfikaty Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi

Bardziej szczegółowo

Bezpieczna poczta i PGP

Bezpieczna poczta i PGP Bezpieczna poczta i PGP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Poczta elektroniczna zagrożenia Niechciana poczta (spam) Niebezpieczna zawartość poczty Nieuprawniony dostęp (podsłuch)

Bardziej szczegółowo

Wprowadzenie do technologii VPN

Wprowadzenie do technologii VPN Sieci komputerowe są powszechnie wykorzystywane do realizacji transakcji handlowych i prowadzenia działalności gospodarczej. Ich zaletą jest błyskawiczny dostęp do ludzi, którzy potrzebują informacji.

Bardziej szczegółowo

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

Laboratorium nr 4 Sieci VPN

Laboratorium nr 4 Sieci VPN Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Laboratorium nr 3 Podpis elektroniczny i certyfikaty

Laboratorium nr 3 Podpis elektroniczny i certyfikaty Laboratorium nr 3 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi

Bardziej szczegółowo

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja Protokół SSL/TLS Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Algorytmy wymiany klucza motywacja Kryptografia symetryczna efektywna Ale wymagana znajomość tajnego klucza przez obie strony

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z

Bardziej szczegółowo

Technologie informacyjne - wykład 5 -

Technologie informacyjne - wykład 5 - Zakład Fizyki Budowli i Komputerowych Metod Projektowania Instytut Budownictwa Wydział Budownictwa Lądowego i Wodnego Politechnika Wrocławska Technologie informacyjne - wykład 5 - Prowadzący: Dmochowski

Bardziej szczegółowo

Podpis elektroniczny

Podpis elektroniczny Podpis elektroniczny Powszechne stosowanie dokumentu elektronicznego i systemów elektronicznej wymiany danych oprócz wielu korzyści, niesie równieŝ zagroŝenia. Niebezpieczeństwa korzystania z udogodnień

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Laboratorium nr 5 Sieci VPN

Laboratorium nr 5 Sieci VPN Laboratorium nr 5 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Protokół SSL/TLS Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 04 SSL BSK 2009/10 1 / 30 Algorytmy

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11 Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie

Bardziej szczegółowo

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science Systemy internetowe Wykład 5 Architektura WWW Architektura WWW Serwer to program, który: Obsługuje repozytorium dokumentów Udostępnia dokumenty klientom Komunikacja: protokół HTTP Warstwa klienta HTTP

Bardziej szczegółowo

Metody uwierzytelniania klientów WLAN

Metody uwierzytelniania klientów WLAN Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji

Bardziej szczegółowo

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić? Bezpieczeństwo Danych Technologia Informacyjna Uwaga na oszustów! Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe czy hasła mogą być wykorzystane do kradzieŝy! Jak się przed nią

Bardziej szczegółowo

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 9: Elementy kryptografii Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 9 1 / 32 Do tej pory chcieliśmy komunikować się efektywnie,

Bardziej szczegółowo

Mapa wykładu. Ochrona informacji 1

Mapa wykładu. Ochrona informacji 1 Mapa wykładu 7.1 Co to jest ochrona informacji? 7.2 Zasady działania kryptografii 7.3 Uwierzytelnienie 7.4 Integralność 7.5 Dystrybucja kluczy i certyfikacja 7.6 Kontrola dostępu: ściany ogniowe 7.7 Ataki

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x Spis treści Wstęp... 1 Instalacja certyfikatów w programie pocztowym... 1 Instalacja certyfikatów własnych... 1 Instalacja certyfikatów innych osób... 3 Import certyfikatów innych osób przez odebranie

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Zastosowania informatyki w gospodarce Wykład 8

Zastosowania informatyki w gospodarce Wykład 8 Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 8 Protokół SSL dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak Protokoły SSL oraz TLS Określenia

Bardziej szczegółowo

SET (Secure Electronic Transaction)

SET (Secure Electronic Transaction) SET (Secure Electronic Transaction) Krzysztof Maćkowiak Wprowadzenie SET (Secure Electronic Transaction) [1] to protokół bezpiecznych transakcji elektronicznych. Jest standardem umożliwiający bezpieczne

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemów informatycznych Wykład 4 Protokół SSL Tomasz Tyksiński, WSNHiD Rozkład materiału 1. Podstawy kryptografii 2. Kryptografia symetryczna i asymetryczna 3. Podpis elektroniczny i certyfikacja

Bardziej szczegółowo

Kielce, dnia 27.02.2012 roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / 39 25-344 Kielce

Kielce, dnia 27.02.2012 roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / 39 25-344 Kielce Kielce, dnia 27.02.2012 roku HB Technology Hubert Szczukiewicz ul. Kujawska 26 / 39 25-344 Kielce Tytuł Projektu: Wdrożenie innowacyjnego systemu dystrybucji usług cyfrowych, poszerzenie kanałów sprzedaży

Bardziej szczegółowo

Bazy danych i usługi sieciowe

Bazy danych i usługi sieciowe Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje

Bardziej szczegółowo

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd SSL VPN Virtual Private Network with Secure Socket Layer Wirtualne sieci prywatne z bezpieczną warstwą gniazd Autorem niniejszej prezentacji jest Paweł Janicki @ 2007 SSL The Secure Socket Layer Protokół

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Bezpieczeństwo informacji w systemach komputerowych

Bezpieczeństwo informacji w systemach komputerowych Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania

Bardziej szczegółowo

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4 Protokół HTTPS Adam Danecki Informatyka gr. 1.4 Wstęp, czyli małe co nieco, o HTTP HTTP, czyli Hypertext Transfer Protocol, jest protokołem typu klient serwer poziomu warstwy aplikacji, służącym do przesyłania

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds. Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds. CC SEKAP. W dniu dzisiejszym przedstawię Państwu w jaki

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie.

Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie. Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie. 1. Protokół. Protokół - ścisła specyfikacja działań, reguł jakie podejmują urządzenia komunikacyjne aby ustanowić

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP PGP - Pretty Good Privacy Użycie certyfikatów niekwalifikowanych w programie PGP Spis treści: Wstęp...3 Tworzenie klucza prywatnego i certyfikatu...3 Import kluczy z przeglądarki...9 2 Wstęp PGP - to program

Bardziej szczegółowo

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS System operacyjny UNIX Internet Protokół TCP/IP Został stworzony w latach 70-tych XX wieku w DARPA w celu bezpiecznego przesyłania danych. Podstawowym jego założeniem jest rozdzielenie komunikacji sieciowej

Bardziej szczegółowo

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP Marcin Pilarski PuTTY PuTTY emuluje terminal tekstowy łączący się z serwerem za pomocą protokołu Telnet, Rlogin oraz SSH1 i SSH2. Implementuje

Bardziej szczegółowo

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Krajowa Izba Rozliczeniowa S.A. POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Wersja 1.5 Historia dokumentu Numer wersji Status Data wydania 1.0 Dokument zatwierdzony przez Zarząd

Bardziej szczegółowo

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Bezpieczeństwo sieci teleinformatycznych Laboratorium 5 Temat: Polityki bezpieczeństwa FortiGate. Spis treści 2. Cel ćwiczenia...

Bardziej szczegółowo

Bezpieczne protokoły Główne zagadnienia wykładu

Bezpieczne protokoły Główne zagadnienia wykładu Bezpieczne protokoły Główne zagadnienia wykładu Protokół Secure IP IPSec jest standardem stworzonym przez IETF (Internet Engineering Task Force). Jest protokołem warstwy trzeciej (poziom protokołu IP)

Bardziej szczegółowo

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98 Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98 1. Wprowadzenie... 2 2. Podpisywanie i szyfrowanie wiadomości pocztowych... 2 2.1. Wysyłanie wiadomości z podpisem cyfrowym... 3 2.2. Odbieranie

Bardziej szczegółowo

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5 Strona 1 z 5 Połączenia Obsługiwane systemy operacyjne Korzystając z dysku CD Oprogramowanie i dokumentacja, można zainstalować oprogramowanie drukarki w następujących systemach operacyjnych: Windows 8

Bardziej szczegółowo

IPsec bezpieczeństwo sieci komputerowych

IPsec bezpieczeństwo sieci komputerowych IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany

Bardziej szczegółowo

Protokół SSH. Patryk Czarnik

Protokół SSH. Patryk Czarnik Protokół SSH Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja i uwierzytelnienie osoby Uwierzytelnienie serwera Zabezpieczenie

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

WorkshopIT Komputer narzędziem w rękach prawnika

WorkshopIT Komputer narzędziem w rękach prawnika WorkshopIT Komputer narzędziem w rękach prawnika Krzysztof Kamiński, Sąd Okręgowy we Wrocławiu, Wrocław, 16 listopada 2006r. Agenda Bezpieczeństwo przepływu informacji w systemach informatycznych Hasła

Bardziej szczegółowo

Rozdział 5. Bezpieczeństwo komunikacji

Rozdział 5. Bezpieczeństwo komunikacji Moduł 1. Wykorzystanie internetowych technologii komunikacyjnych Rozdział 5. Bezpieczeństwo komunikacji Zajęcia 5. 2 godziny Nauczymy się: Rozróżniać szyfrowanie symetryczne i asymetryczne. Sprawdzać,

Bardziej szczegółowo

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Podstawy systemów kryptograficznych z kluczem jawnym RSA Podstawy systemów kryptograficznych z kluczem jawnym RSA RSA nazwa pochodząca od nazwisk twórców systemu (Rivest, Shamir, Adleman) Systemów z kluczem jawnym można używać do szyfrowania operacji przesyłanych

Bardziej szczegółowo

Brakujące ogniwo w bezpieczeństwie Internetu

Brakujące ogniwo w bezpieczeństwie Internetu XXII Krajowe Sympozjum Telekomunikacji i Teleinformatyki Bydgoszcz, 13-15 września 2006 DNSSEC Brakujące ogniwo w bezpieczeństwie Internetu Krzysztof Olesik e-mail: krzysztof.olesik@nask.pl DNS Domain

Bardziej szczegółowo

Bezpieczeństwo w 802.11

Bezpieczeństwo w 802.11 Bezpieczeństwo w 802.11 WEP (Wired Equivalent Privacy) W standardzie WEP stosuje się algorytm szyfrujący RC4, który jest symetrycznym szyfrem strumieniowym (z kluczem poufnym). Szyfr strumieniowy korzysta

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Szyfrowanie danych w SZBD

Szyfrowanie danych w SZBD Szyfrowanie danych w SZBD dr inż. Maciej Nikodem Instytut Informatyki, Automatyki i Robotyki maciej.nikodem@pwr.wroc.pl 1 Czy potrzebujemy szyfrowania w SZBD? prawo, kontrola dostępu, ochrona przed: administratorem,

Bardziej szczegółowo

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ www.e-awizo.pl BrainSoft sp. z o. o. ul. Bolesława Chrobrego 14/2 65-052 Zielona Góra tel.68 455 77 44 fax 68 455 77 40 e-mail: biuro@brainsoft.pl

Bardziej szczegółowo

BeamYourScreen Bezpieczeństwo

BeamYourScreen Bezpieczeństwo BeamYourScreen Bezpieczeństwo Spis treści Informacje Ogólne 3 Bezpieczeństwo Treści 3 Bezpieczeństwo Interfejsu UŜytkownika 3 Bezpieczeństwo Infrastruktury 3 Opis 4 Aplikacja 4 Kompatybilność z Firewallami

Bardziej szczegółowo

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci WYMAGANIA EDUKACYJNE PRZEDMIOT: Administracja sieciowymi systemami operacyjnymi NUMER PROGRAMU NAUCZANIA (ZAKRES): 351203 1. Lp Dział programu Sieci komputerowe Poziomy wymagań Konieczny K Podstawowy-

Bardziej szczegółowo

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek <dunstan@freebsd.czest.pl> Praktyczne aspekty wykorzystania nowoczesnej kryptografii Wojciech A. Koszek Wprowadzenie Kryptologia Nauka dotycząca przekazywania danych w poufny sposób. W jej skład wchodzi

Bardziej szczegółowo

Bezpieczeństwo korespondencji elektronicznej

Bezpieczeństwo korespondencji elektronicznej Marzec 2012 Bezpieczeństwo korespondencji elektronicznej Ochrona przed modyfikacją (integralność), Uniemożliwienie odczytania (poufność), Upewnienie adresata, iż podpisany nadawca jest faktycznie autorem

Bardziej szczegółowo

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych.

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych. Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2 Instrukcja tworzenia połącze ń szyfrowanych. Grzegorz Łabuzek grzesiek@aba.krakow.pl Pawe ł Krawczyk pawelk@aba.krakow.pl Piotr Leśniak piotrl@aba.krakow.pl

Bardziej szczegółowo

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA Informatyka, studia dzienne, inż. I st. semestr VI Podstawy Kryptografii - laboratorium 2010/2011 Prowadzący: prof. dr hab. Włodzimierz Jemec poniedziałek, 08:30 Data oddania: Ocena: Marcin Piekarski 150972

Bardziej szczegółowo

Bezpieczeństwo danych, zabezpieczanie safety, security

Bezpieczeństwo danych, zabezpieczanie safety, security Bezpieczeństwo danych, zabezpieczanie safety, security Kryptologia Kryptologia, jako nauka ścisła, bazuje na zdobyczach matematyki, a w szczególności teorii liczb i matematyki dyskretnej. Kryptologia(zgr.κρυπτός

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów Przygotował: mgr inż. Jarosław Szybiński 18.12.2004 Studium przypadku Case Study CCNA2-ROUTING Warianty projektów Wariant 1. Adres IP sieci do dyspozycji projektanta: 192.168.1.0 Ilość potrzebnych podsieci:

Bardziej szczegółowo

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA Certyfikat niekwalifikowany zaufany Certum Silver Instalacja i użytkowanie pod Windows Vista wersja 1.0 Spis treści 1. POBRANIE CERTYFIKATU SILVER... 3 2. IMPORT CERTYFIKATU DO PROGRAMU POCZTA SYSTEMU

Bardziej szczegółowo

Microsoft Outlook Express 6.0 PL Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft Outlook Express 6.0 PL. wersja 1.

Microsoft Outlook Express 6.0 PL Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft Outlook Express 6.0 PL. wersja 1. Microsoft Outlook Express 6.0 PL Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Microsoft Outlook Express 6.0 PL wersja 1.0 Spis treści 1. WSTĘP... 3 2. KONFIGURACJA SKRZYNKI POCZTOWEJ

Bardziej szczegółowo

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER Ireneusz Tarnowski Wrocławskie Centrum Sieciowo-Superkomputerowe Poznań, 4 listopada 2009 Plan wystąpienia PKI Infrastruktura

Bardziej szczegółowo

BEZPIECZEOSTWO SYSTEMU OPERO

BEZPIECZEOSTWO SYSTEMU OPERO BEZPIECZEOSTWO SYSTEMU OPERO JAK OPERO ZABEZPIECZA DANE? Bezpieczeostwo danych to priorytet naszej działalności. Powierzając nam swoje dane możesz byd pewny, że z najwyższą starannością podchodzimy do

Bardziej szczegółowo

Bezpieczeństwo poczty elektronicznej

Bezpieczeństwo poczty elektronicznej Bezpieczeństwo poczty elektronicznej Mariusz Goch Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych 1 Plan prezentacji Bezpieczeństwo transportu wiadomości Problemy serwera pocztowego

Bardziej szczegółowo

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak Wykład 3 / Wykład 4 Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak 1 Wprowadzenie do Modułu 3 CCNA-E Funkcje trzech wyższych warstw modelu OSI W jaki sposób ludzie wykorzystują

Bardziej szczegółowo

8. Tunele wirtualne VPN

8. Tunele wirtualne VPN 8. Tunele wirtualne VPN Tunel wirtualny (Virtual Private Network, VPN) jest to kanał komunikacyjny chroniony przez niepowołanym dostępem (odczytem i modyfikacją) poprzez zastosowanie kryptografii. Tunel

Bardziej szczegółowo

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bezpieczeństwo usługi VoIP opartej na systemie Asterisk Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007 Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bydgoszcz,

Bardziej szczegółowo

platforma TotalBackup zbuduj własne środowisko kopii zapasowych online

platforma TotalBackup zbuduj własne środowisko kopii zapasowych online platforma TotalBackup zbuduj własne środowisko kopii zapasowych online updated 02.05.2014 Spis treści Informacje ogólne...3 Komponenty systemu TotalBackup...3 TotalBackup Client:...3 Desktop...3 Funkcjonalności

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Spis treści Konfiguracja Microsoft Outlook 2007... 3 Konfiguracja dla POP3... 7 Konfiguracja dla IMAP... 11 Sprawdzenie poprawności

Bardziej szczegółowo