Ochrona danych i bezpieczeństwo informacji



Podobne dokumenty
Bezpieczeństwo danych i systemów informatycznych. Wykład 3

Bezpieczeństwo danych i systemów informatycznych. Wykład 2

WorkshopIT Komputer narzędziem w rękach prawnika

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Przewodnik technologii ActivCard

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Jednym z najważniejszych zagadnień, z którym może się zetknąć twórca

Sieciowe Systemy Operacyjne

Pierwsze kroki w systemie

KONFIGURACJA TERMINALA GPON ONT HG8245

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Poszczególne kroki wymagane przez normę ISO celem weryfikacji tożsamości użytkownika

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

WSIZ Copernicus we Wrocławiu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

System kontroli kosztów oraz dostępu do urządzeń

Bezpieczeństwo systemów komputerowych

11. Autoryzacja użytkowników

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Zdalne logowanie do serwerów

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Silne czy słabe? h=log2(b), a potem h*l

Eduroam - swobodny dostęp do Internetu

Metody uwierzytelniania klientów WLAN

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Ochrona danych i bezpieczeństwo informacji

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Wersja dokumentu: Data: 17 listopada 2016 r.

SSL (Secure Socket Layer)

Protokoły zdalnego logowania Telnet i SSH

Sieciowa instalacja Sekafi 3 SQL

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Kontrola dostępu, System zarządzania

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Skrócona karta informacyjna nt. rejestracji dla pracowników/użytkowników

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Wersja dokumentu: Data: 28 kwietnia 2015r.

System Kancelaris. Zdalny dostęp do danych

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

elektroniczna Platforma Usług Administracji Publicznej

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Bezpieczeństwo systemów komputerowych.

Wprowadzenie do Active Directory. Udostępnianie katalogów

elektroniczna Platforma Usług Administracji Publicznej

Jak bezpiecznie korzystać z usług świadczonych przez Uczelnię. Jak się zabezpieczać oraz na co zwracać szczególną uwagę.

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Warsztaty ASP.NET. Wprowadzenie do identyfikacji i autoryzacji użytkowników. Tomasz Janczyszyn WE, Informatyka, Rok III

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Problemy z bezpieczeństwem w sieci lokalnej

Dokumentacja SMS przez FTP

Szyfrowanie WEP. Szyfrowanie WPA

Bezpieczeństwo informacji w systemach komputerowych

Polityka prywatności dla

Koncepcja rozwoju oprogramowania ORPPD

Szczegółowy opis przedmiotu zamówienia:

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

BEZPIECZEOSTWO SYSTEMU OPERO

Zarządzanie lokalnymi kontami użytkowników

INSTRUKCJA INSTALACJI SYSTEMU

Gatesms.eu Mobilne Rozwiązania dla biznesu

SYSTEM KONTROLI DOSTĘPU. XChronos

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Xesar. Pierwsze kroki

Technologia informacyjna

Bankowość internetowa

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Podręcznik Wi-Fi Direct

Wskazane jest przygotowanie minimum10 indywidualnych stanowisk egzaminacyjnych.

Zakres wymagań dotyczących Dokumentacji Systemu

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

WNIOSEK. Siedziba 8. Ulica 9. Numer domu 10. Numer lokalu. CZĘŚĆ NR 2 C. Dane składu podatkowego 13. Numer akcyzowy 14.

elektroniczna Platforma Usług Administracji Publicznej

OCHRONA DANYCH OSOBOWYCH

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Marcin Szeliga Sieć

NetIQ SecureLogin. Broszura informacyjna

Budowa i konfiguracja sieci komputerowej cz.2

Profesjonalne Zarządzanie Drukiem

PLAN ZARZĄDZANIA KONFIGURACJĄ OPROGRAMOWANIA PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

POLITYKA BEZPIECZEŃSTWA

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Transkrypt:

Ochrona danych i bezpieczeństwo informacji Elementarne operacje systemu bezpieczeństwa UWIERZYTELNIANIE I KONTROLA DOSTĘPU Bezpieczenstwo informacyjne w 4 1

Podstawowe elementy ochrony zasada naturalnego styku z użytkownikiem zasada spójności poziomej i pionowej zasada minimalnego przywileju zasada domyślnej odmowy dostępu Podstawowe elementy ochrony zasada naturalnego styku z użytkownikiem Zabezpieczenie nie może być postrzegane przez użytkowników jako nienaturalny element systemu, stanowiący utrudnienie w ich pracy. zasada spójności poziomej i pionowej Stosowanie zabezpieczeń w systemie musi być kompletne, tzn spójne w poziomie (wszystkie komponenty w danej warstwie systemu powinny zostać zabezpieczone na jednakowym poziomie i w pionie. jak zabezpieczona jest jedna warstwa przez którą istnieje dostęp do systemu, to każda i inna, w której niezależnie taki dostęp też jest możliwy. Bezpieczenstwo informacyjne w 4 2

Podstawowe elementy ochrony zasada minimalnego przywileju Użytkownikom należy udzielać uprawnień tylko i wyłącznie takich, które są niezbędne do zrealizowania ich pracy. zasada domyślnej odmowy dostępu Jeśli na podstawie zdefiniowanych reguł postępowania mechanizmy obrony nie potrafią rozstrzygnąć, jaka decyzje podjąć wobec analizowanej operacji, to decyzja ostateczna powinna być odmowa dostępu. Np. powinien zostać odrzucony pakiet co do którego istnieją jakiekolwiek wątpliwości co do zgodności z protokołem. Elementarne operacje systemu bezpieczeństwa Definicje Identyfikacja (identification)możliwość rozróżnienia użytkowników (użytkownicy sa identyfikowani w systemie operacyjnym za pomocą UID (user identifier)). Uwierzytelnianie (ang. authentication) proces weryfikacji tożsamości użytkownika procedura najczęściej oparta na: Wiedzy użytkownika (proof by knowledge) (np. zna hasło) Pewnych elementach, które użytkownik posiada (proof by possession) (np. elektroniczną kartę identyfikacyjną). Autoryzacja (ang. authorization) funkcja systemu bezpieczeństwa polegająca na stwierdzeniu, czy żądający dostępu do zasobu ma do tego prawo. Najpierw konieczne jest potwierdzenie tożsamości, patrz 2 powyższe punkty. Kontrola dostępu (ang. access control) procedura nadzorowania przestrzegania praw (dostępu do zasobów), obejmuje wszystkie 3 powyższe punkty Bezpieczenstwo informacyjne w 4 3

UWIERZYTELNIANIE Uwierzytelnianie UWIERZYTELNIANIE - USTALENIE TOŻSAMOŚCI OSOBY REALIZOWANA POPRZEZ USTALENIE PEWNEJ INFORMACJI ZWIĄZANEJ JEDNOZNACZNIE Z OSOBĄ co ktoś wie: hasło, PIN; co ktoś posiada: kartę magnetyczną, kartę inteligentną (smart card), klucz fizyczny; cechy biometryczne: głos, odcisk palca, wzór siatkówki, wzór wnętrza dłoni; jak ktoś się zachowuje: tempo pisania na maszynie, nacisk pióra przy podpisie; gdzie ktoś się znajduje: terminal komputerowy, telefon (numer). Bezpieczenstwo informacyjne w 4 4

Uwierzytelnianie Uwierzytelnianie - proces, w którym jedna strona jest zapewniana poprzez nabytą wiedzę o materiale dowodowym o autentyczności drugiej strony biorącej udział w protokole a druga strona jest aktywna w czasie lub przed czasem, gdy wymagany jest materiał dowodowy Typy uwierzytelniania: uwierzytelnianie słabe (hasła, piny itp.) uwierzytelnianie silne zastosowanie protokołów typu hasło - odzew Uwierzytelnianie W systemach informatycznych stosujemy: uwierzytelnianie w oparciu o wiedze użytkownika uwierzytelnianie w oparciu o stan posiadania użytkownika uwierzytelnianie z udziałem zaufanej trzeciej strony biorącej na siebie weryfikację danych uwierzytelniających podmiotu uwierzytelnianego; po pomyślnej weryfikacji podmiot uwierzytelniany otrzymuje poświadczenie przedstawiane zarządcy zasobu, do którego dostępu żąda. Bezpieczenstwo informacyjne w 4 5

Uwierzytelnianie Uwierzytelnianie Mechanizm klasyczny - uwierzytelnianie poprzez hasło. Proces uwierzytelniania rozpoczyna klient żądając zarejestrowania w systemie (login). Serwer pyta o identyfikator (nazwę) użytkownika, a następnie o hasło. W większości przypadków nazwa użytkownika i hasło są przesyłane tekstem jawnym, co stanowić może kolejny problem zapewnienia poufności, jaką właśnie mamy osiągnąć stosując opisywany mechanizm. Stąd też takie klasyczne podejście nadaje się do wykorzystania jedynie w ograniczonej liczbie przypadków, kiedy np. mamy uzasadnioną skądinąd pewność wykluczenia możliwości podsłuchu danych uwierzytelniających. Bezpieczenstwo informacyjne w 4 6

Problem hasła hasło można złamać odgadnąć (metodą przeszukiwania wyczerpującego (brute-force attack) lub słownikową (dictionary attack)) podsłuchać wykraść z systemowej bazy haseł użytkowników pozyskać inną metodą (np. kupić) hasła się starzeją w niektórych środowiskach aplikacyjnych stosuje się predefiniowane konta użytkowników i przypisuje się im powszechnie znane hasła domyślne. Problem hasła Raport Kleina* 13797 kont Szybkość sprawdzania 4 stacje x 750 haseł/s 25% haseł złamanych po 12 miesiącach pracy 21% po tygodniu, 2,7% po 15 minutach nazwa użytkownika 2,7 nazwy pospolite 4 imiona żeńskie 1,2 imiona męskie 1 mity i legendy 0,5 Sport 0,2 słownik środowiska korekty językowej (/usr/dict/words 7,4 Ogółem 24,2 znaków % odgadniętych haseł 1 0,1 2 0,2 3 2 4 5,7 5 9,5 6 34,7 7 24,4 8 23,4 *Klein, D. V.; "Foiling the Cracker; A Survey of, and Improvements to Unix Password Security", (revised paper with new data) Proceedings of the 14th DoE Computer Security Group, May 1991 Bezpieczenstwo informacyjne w 4 7

Problem hasła Prawdopodobieństwo złamania hasła p L R S L czas obowiązywania hasła R liczba prób/ jednostkę czasu S przestrzeń haseł Dla haseł o długości k ze zbioru znaków o mocy N k S N Problem hasła Słowniki dla łamaczy haseł Wykaz nazw użytkowników, ich inicjałów, nazw kont i innej informacji związanej z użytkownikiem. Wykaz słów z różnych słowników: imiona i ich permutacje, nazwy miejsc, tytuły filmów i książek i postaci w nich występujących. Różne przekształcenia słów z kroku poprzedniego. Dowolne zamiany liter małych na duże i odwrotnie. Słowa w obcych językach dla użytkowników obcokrajowców. Bezpieczenstwo informacyjne w 4 8

Problem hasła Narzędzia* Aircrack zestaw narzędzi dla łamania haseł w 802.11a/b/g WEP i WPA Cain and Abel Narzędzie do odzyskiwania haseł poprzez sniffing sieci, łamanie słownikowe, brute-force i ataki kryptoanalityczne, nagrywanie rozmów VoIP i inne John the Ripper Szybki łamacz haseł THC Hydra przeprowadza ataki słownikowe przeciwko ponad 30 protokołom, w tym telnetowi, ftp, http, https, smb, bazom danych itp.. Ophcrack Narzedzie do łamania haseł Windowsów z użyciem tęczowych tablic Medusa Szybki, on-line owy łamacz haseł dostępowych *http://sectools.org: Top 125 Network Security Tools Nadzorowanie haseł (wybór, korzystanie, pielęgnacja i zmiana): Komunikaty systemowe (wyłącz). Wprowadzanie hasła (tajne). Ograniczanie ilości prób rejestracji (limit) Starzenie się haseł (wymuszanie zmiany) Systemy z dwoma hasłami (dostęp do tajnych danych) Minimalna długość hasła (6 lub 8 znaków) Blokowanie konta użytkownika (brak zmiany lub niepowodzenie) Ochrona hasła administratora. Generowanie hasła przez system zamiast przez użytkownika Bezpieczenstwo informacyjne w 4 9

Minimalna długość hasła (6 lub 8 znaków) Router(config)# security passwords min-length length Ograniczanie ilości prób rejestracji (limit) Blokowanie konta użytkownika (brak zmiany lub niepowodzenie) Router(config)# login block-for seconds attempts tries within seconds Router(config)# login quiet-mode access-class {acl-name acl-number} Router(config)# login delay seconds Router(config)# login on-failure log [every login] Router(config)# login on-success log [every login] Windows XP - Lokalne zasady konta Bezpieczenstwo informacyjne w 4 10

Zabezpieczanie przed odgadnięciem poprzez odrzucanie zbyt łatwych haseł. Sprawdzanie bierne (w momencie użycia). Sprawdzanie czynne (w momencie rejestracji) Bezpieczne przechowywanie haseł Hasła w Windows począwszy od NT 3.51 są haszowane metodą LM hash lub/i NTLM hash. Zakodowane hasła są przechowywane w \windows\system32\config\sam. Hasło w systemie UNIX przechowywane jest w dostępnym tylko dla administratora pliku /ect/shadows Dane o użytkowniku mają format: nazwa: hasło: ostatnia_zmiana: minimum: maksimum: ostrzeżenie: brak_efektywności: termin_ważności:rezerwa. Przykład: heniek:e6rx4c.t8iahc:9905:2:30:4::9942 1 2 3 4 5 6 8 1. nazwa użytkownika, 2. jego hasło w postaci zaszyfrowanej 3. liczba dni od lub data ostatniej aktualizacji 4. minimalna liczbę dni, przed upływem których hasła nie można zmienić 5. maksymalna liczbę dni, po upływie których hasło musi być zmienione 6. moment, od którego system wysyła ostrzeżenie o konieczności zmiany hasła. (data lub liczba dni) 7. liczba dni dozwolonego braku aktywności użytkownika w systemie 8. ostateczny termin ważności hasła Bezpieczenstwo informacyjne w 4 11

Zapamiętywanie hasła w systemie z użyciem hashowania Zapamiętywanie hasła w systemie Unix Bezpieczenstwo informacyjne w 4 12

Autoryzacja w systemie Unix Hasła jednorazowe Hasła jednorazowe generowane są przy pomocy listy haseł, synchronizacji czasu lub metody zawołanie-odzew. Dostępne są najczęściej w następujących postaciach: listy papierowe, listy-zdrapki, tokeny programowe i tokeny sprzętowe. listy haseł to rozwiązanie najprostsze Bezpieczenstwo informacyjne w 4 13

Hasła jednorazowe Hasła jednorazowe generowane są przy pomocy listy haseł, synchronizacji czasu lub metody zawołanie-odzew. Dostępne są najczęściej w następujących postaciach: listy papierowe, listy-zdrapki, tokeny programowe i tokeny sprzętowe. listy haseł to rozwiązanie najprostsze W metodzie z synchronizacją czasu klient generuje unikalny kod w funkcji pewnego parametru X użytkownika (identyfikatora, kodu PIN, hasła, numeru seryjnego karty identyfikacyjnej) oraz bieżącego czasu Hasła jednorazowe Bezpieczenstwo informacyjne w 4 14

Uwierzytelnianie typu hasło-odzew Hasła jednorazowe generowane są przy pomocy listy haseł, synchronizacji czasu lub metody zawołanie-odzew. w metodzie zawołanie-odzew serwer pyta o nazwę użytkownika, a następnie przesyła unikalny ciąg ( zawołanie - challenge ). Klient koduje otrzymany ciąg (np. swoim hasłem lub innym tajnym parametrem pełniącym rolę klucza) i odsyła jako odzew. Uwierzytelnianie typu hasło-odzew Bezpieczenstwo informacyjne w 4 15

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres