Ochrona danych i bezpieczeństwo informacji

Podobne dokumenty
ZiMSK. Konsola, TELNET, SSH 1

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

SSL (Secure Socket Layer)

Bezpieczeństwo systemów informatycznych

Protokół SSH. Patryk Czarnik

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Stos TCP/IP. Warstwa aplikacji cz.2

Protokoły zdalnego logowania Telnet i SSH

Zdalne logowanie do serwerów

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Protokół SSH. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Podstawy Secure Sockets Layer

Zastosowania informatyki w gospodarce Wykład 8

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Sieci VPN SSL czy IPSec?

Bezpieczeństwo systemów komputerowych

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

Bezpieczne protokoły Materiały pomocnicze do wykładu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Bezpieczeństwo systemów informatycznych

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

SSH. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Laboratorium nr 6 VPN i PKI

Protokoły internetowe

Zastosowania PKI dla wirtualnych sieci prywatnych

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Laboratorium nr 4 Sieci VPN

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

SMB protokół udostępniania plików i drukarek

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Laboratorium nr 5 Sieci VPN

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Problemy z bezpieczeństwem w sieci lokalnej

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Sieci wirtualne VLAN cz. I

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Bezpieczeństwo systemów informatycznych

Technologie zapewniajace bezpieczeństwo w systemach operacyjnych (PKI, Smart Cards, SSL, SSH)

8. Tunele wirtualne VPN

Tunelowanie, VPN i elementy kryptografii

Tunelowanie, VPN i elementy kryptografii

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

MODEL WARSTWOWY PROTOKOŁY TCP/IP

SET (Secure Electronic Transaction)

Bezpieczne protokoły Główne zagadnienia wykładu

Marcin Szeliga Sieć

Protokół IPsec. Patryk Czarnik

BRINET Sp. z o. o.

WSIZ Copernicus we Wrocławiu

Protokoły warstwy aplikacji

BEZPIECZEŃSTWO W SIECIACH

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Problemy z bezpieczeństwem w sieci lokalnej

IPsec bezpieczeństwo sieci komputerowych

Usługi sieciowe systemu Linux

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Sieci komputerowe i bazy danych

Tunelowanie, VPN i elementy kryptografii

BeamYourScreen Bezpieczeństwo

Adresy w sieciach komputerowych

Tworzenie połączeń VPN.

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Jak bezpieczne są Twoje dane w Internecie?

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

12. Wirtualne sieci prywatne (VPN)

Protokoły sieciowe - TCP/IP

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Bezpieczna poczta i PGP

Instalacja i konfiguracja serwera SSH.

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Metody zabezpieczania transmisji w sieci Ethernet

Konfiguracja aplikacji ZyXEL Remote Security Client:


VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski

Bezpieczeństwo usług oraz informacje o certyfikatach

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Transkrypt:

Ochrona danych i bezpieczeństwo informacji Ochrona danych w sieci. (1) Business Partner Mobile Worker CSA SOHO with a DSL Router Internet Firewall Corporate Network WAN Regional branch Odbi 10 1

(wirtualna sieć prywatna) jest siecią transmisji danych korzystającą z publicznej infrastruktury telekomunikacyjnej Dzięki stosowaniu protokołów tunelowania i procedur bezpieczeństwa w zachowana jest poufność danych Klasyfikacja kryteria: Rodzaj sieci, Warstwa architektury logicznej, Sposób realizacji sieci wirtualnej Odbi 10 2

dwa podstawowe rodzaje sieci : Site-Site wirtualna sieć prywatna między odległymi sieciami LAN, kanały są otwierane pomiędzy urządzeniami brzegowymi, Client-Site wirtualna sieć prywatna między siecią LAN i pojedynczą stacją PC, kanały są otwierane pomiędzy urządzeniem brzegowym a programem klienta CSA Site-Site Szyfrowana może być cała transmisja wychodząca z sieci LAN lub tylko wybrane usługi. Transmisja wewnątrz poszczególnych sieci nie jest szyfrowana. Odbi 10 3

Client-Site Jednym z końców tunelu jest pojedyncze stanowisko robocze, które uzyskuje dostęp do zasobów pewnej sieci, np. korporacyjnej. Cała komunikacja lub wybrane usługi poddawane są szyfrowaniu. model typowy dla pracy zdalnej Mobile Worker with a Client WAN Internet Corporate Network W zależności od miejsca w architekturze logicznej sieci wyróżnia się: warstwy fizycznej warstwy łącza danych (np. protokoły PPTP oraz L2TP); warstwy sieciowej (IPSec, IP/ MPLS, ); warstwy transportowej (protokoły TLS i SSL); warstwy aplikacji (protokoły HTTPS, PGP, SSH) Odbi 10 4

Realizacja tunele w warstwach 1 i 2 realizowane za pomocą specjalizowanego sprzętu, w warstwie 2 - Serwery dostępu zdalnego, w warstwach 2 lub 3 - routery z wbudowanymi funkcjami w warstwach 2, 3 lub 5 (ISO) Firewalle z funkcjami, Specjalizowane oprogramowanie zwykle do realizacji kanałów w warstwie 5 Business Partner Mobile Worker Client CSA SOHO with a DSL Router Internet Firewall Corporate Network WAN Regional branch a enabled ISR router Odbi 10 5

(SSH) to protokół powstały jako bezpieczna alternatywa telneta. Umożliwia bezpieczny terminalowy dostęp do komputerów i zasobów informatycznych na mnich zgromadzonych. Wykorzystuje szyfrowanie transmisji oraz kilka metod bezpiecznej autoryzacji. Cechy SSH działa warstwie sesji modelu ISO/OSI, a w warstwie aplikacji modelu TCP/IP. Korzysta z transportu TCP Odbi 10 6

Cechy SSH działa warstwie sesji modelu ISO/OSI, a w warstwie aplikacji modelu TCP/IP. Korzysta z transportu TCP Zapewnia negocjację algorytmów kryptograficznych. Stosuje silne szyfrowanie (AES, Blowfish, 3DES) Silne metody uwierzytelniania (PKI, One-timePass, Kerberos) Zapewnia integralność danych transmitowanych tunelowanie sesji X11 SFTP - transmisja plików Kompresja transmisji Zastosowania SSH Zdalna praca na terminalu tekstowym lub graficznym (tunelowanie X11). logowanie do powłoki na zdalnym hoście (zastępując telnet i rlogin) wykonanie jednego polecenia na zdalnym hoscie (zastępując rsh) automatyczne (pozbawione hasła) logowanie do serwera zdalnego (na przykład za pomocą OpenSSH ) X forwarding ze zdalnego hosta (możliwe przez wiele hostów pośrednich) Bezpieczny transfer plików bezpieczny montaż katalogu na zdalnym serwerze do systemiu plików na komputerze lokalnym z wykorzystaniem SSHFS. W połączeniu z rsync do backupowania, kopiowania i mirrorowania zbiorów w sposób sprawny i bezpieczny. Odbi 10 7

Zastosowania SSH Tunelowanie dowolnych połączeń TCP: zabezpieczenie niezabezpieczonych protokołów (alternatywa dla TLS), pokonanie firewalli, dostęp do maszyn w wewnętrznej sieci. Forwardowanie lub tunelowania portu (nie mylić z, które rutują pakiety między różnymi sieciami lub łączą dwie domeny brodkastowe w jedną). Do stosowania jako pełnoprawny szyfrowany. (tylko OpenSSH obsługuje tę funkcję.) Do automatycznego zdalnego monitorowania i zarządzania serwerami przez jeden lub więcej mechanizmów omówionych powyżej. SSH przeznaczony jest dla sieci IP. Architektura klient serwer. Serwer nasłuchuje na porcie 22/TCP Odbi 10 8

Architektura SSH2 3 warstwy protokołu: Transportowa (uzgadnianie algorytmów i kluczy). Zapewnia uwierzytelnienie serwera, poufność danych i ich integralność, opcjonalnie obsługuje kompresję. Perfect Forward Secrecy (własność zapewniająca, że klucz sesji nie zostanie skompromitowany w przypadku ujawnienia jednego z kluczy prywatnych) Autentykacji (zapewnia uwierzytelnienie klienta) Połączenia (Multipleksuje różne połączenia) Architektura SSH2 Warstwa transportowa Przeprowadza wstępną wymianę kluczy i uwierzytelnienie serwera Szyfruje, kompresuje i przeprowadza weryfikację integralności Dostarcza wyższym warstwom interfejsu dla transferu do pakietów (otwarty tekst) do 32768B każdy. Realizuje okresową wymianę kluczy co 1GB danych lub co godzinę połączenia, Odbi 10 9

Architektura SSH2 Warstwa autentykacji Obsługuje uwierzytelnienie klienta Dostarcza szeregu metod uwierzytelnienia Password wprowadzenie hasła logowania klienta Publickey wykorzystuje prę kluczy klienta (DSA lub RSA) lub jego certyfikat X.509 Keyboard-interactive metoda pozwalajaca wykorzystać klucze typu CecurID lub S/Key GSSAPI uwierzytelnianie z wykorzystaniem Kerberosa lub podobnych Architektura SSH2 Warstwa połączenia Dzieli jeden kanał szyfrowany na kanały logiczne przeznaczone dla różnych aplikacji. Odbi 10 10

Security Mechanisms Uwierzytelnienie serwera Serwer uwierzytelniania się w warstwie transportowej, wykorzystując posiadane klucze publiczne z pary kluczy asymetrycznych. Jeżeli serwer korzysta z certyfikatów z infrastruktury PKI istnieje łatwość weryfikacji. Rozwiązanie z bazą kluczy na kliencie klient pobiera klucz publiczny z serwera przy pierwszym połączeniu Weryfikacja w oparciu o fingerprint pobrany z serwera innym kanałem RSA key fingerprint is.. Are you sure you want to continue connecting (yes/no)? Zweryfikowany klucz zapisywany jest w lokalnej bazie. Security Mechanisms Uwierzytelnienie klienta Uwierzytelnianie klienta następuje po zakończeniu procedury nawiązywania polaczenia TCP i procedury wymiany kluczy. Odbi 10 11

Security Mechanisms Zapewnienie poufnej transmisji danych Składa się na to: Uzgodnienie algorytmów kryptograficznych Wymiana kluczy algorytmu symetrycznego Ustanowienie szyfrowanego kanału transmisji Security Mechanisms SSH Transport Layer Protocol Sekwencja kroków po zainicjowaniu połączenia Odbi 10 12

Security Mechanisms Stosowane algorytmy szyfrowania 3des-cbc* blowfish-cbc twofish256-cbc twofish256-cbc twofish192-cbc twofish128-cbc aes256-cbc aes192-cbc aes128-cbc** Serpent256-cbc Serpent192-cbc Serpent128-cbc arcfour cast128-cbc Three-key Triple Digital Encryption Standard (3DES) in Cipher-Block- Chaining (CBC) mode Blowfish in CBC mode Twofish in CBC mode with a 256-bit key Twofish in CBC mode with a 256-bit key Twofish with a 192-bit key Twofish with a 128-bit key Advanced Encryption Standard (AES) in CBC mode with a 256-bit key AES with a 192-bit key AES with a 128-bit key Serpent in CBC mode with a 256-bit key Serpent with a 192-bit key Serpent with a 128-bit key RC4 with a 128-bit key CAST-128 in CBC mode Security Mechanisms Transport pakietów Wypełnieni (padding) jest dodawane po wynegocjowaniu algorytmu funkcji haszującej. Szyfrowanie jest włączane po zakończeniu wymiany kluczy. Szyfrowanie najczęściej algorytm blokowy Integralność MAC(K,S Pakiet) K- klucz, S nr pakietu Odbi 10 13

Przebieg polaczenia 1. Zestawienie połączenia. 2. Wymiana wersji oprogramowania. 3. Wymiana listy obsługiwanych algorytmów i protokołów. 4. Uzgodnienie algorytmów 5. Uzgodnienie kluczy. 6. Wygenerowanie kluczy sesji. 7. Uwierzytelnienie użytkownika. 8. Żądanie usługi. 9. Transmisja danych Connection Protocol. Wymiana danych. Odbi 10 14

Zastosowania login do powłoki na odległym hoście (zastępuje Telnet i rlogin) Wykonanie pojedynczej komendy na odległym hoście (w zastępstwie rsh) Do ustanowienia automatycznego loginy (bez hasła) na odległym hoście Do zapewnienia bezpiecznego dołączenia kartoteki ze zdalnego hosta jako lokalnego dysku Automatyczne monitorowanie i zarządzanie zdalnym hostem Bezpieczny transfer plików (SFTP) On December 28, 2014 Der Spiegel published classified information leaked by whistleblower Edward Snowden which suggests that the National Security Agency may be able to decrypt some SSH traffic. Odbi 10 15

SSL - SECURE SOCKET LAYER SSL SSL (Secure Socket Layer): działa w warstwie aplikacji modelu TCP/IP warstwy sesji (5) i prezentacji (6) modelu ISO/OSI, dwupunktowy tunel kryptograficzny z certyfikatami, ochrona poufności, integralności i autentyczności, zaprojektowany przez Netscape z myślą o ochronie protokołów aplikacyjnych, początkowo jako standard szyfrowania dla WWW Wersje popularnych protokołów korzystające z tunelu SSL: HTTPS port 443, SMTPS port 465, TELNETS port 992, IMAPS port 993, IRCS port 994, POP3S port 995. SSL potrafi tunelować dowolny ruch (stunnel, Open). Następca SSL w wersji 3.0 został protokół TLS (Transport Layer Security) w wersji 1.0, aktualna wersja TLS to 1.2. Odbi 10 16

SSL Zarówno SSL w wersji 2.0 jak i w ciągle używanej wersji 3.0* nie jest bezpieczny! *Bodo Möller, Thai Duong and Krzysztof Kotowicz. "This POODLE Bites: Exploiting The SSL 3.0 Fallback (Google, wrzesień 2014) SSL STOS PROTOKOŁÓW cztery protokoły: record protocol, handshake protocol, Alert protocol, cipher change protocol. Odbi 10 17

SSL zbudowany z czterech podprotokołów: record protocol, definiuje format używany do transmisji danych. Rekord może być skompresowany, zaszyfrowany, opatrzony kodem MAC handshake protocol, wymiany serii komunikatów miedzy klientem a serwerem zaraz po nawiązaniu połączenia w celu Uwierzytelnienia serwera Uzgodnienia szyfrowania transmisji Wymiany kluczy sesji Alert protocol, Ustanowienia szyfrowanego połączenia protokół powiadamiania o błędach. cipher change protocol. zmiana ustalonych parametrów kryptograficznych SSL SSL Record Protocol Długość komunikatu +MAC +padding nie przekracza 16kB Odbi 10 18

SSL Działanie SSL Serwer czeka na porcie TCP 443. Klient łączy się z gniazdem TCP i wiadomością ClientHello rozpoczyna fazę Handshake. wiadomości protokołu Handshake wymieniane są zgodnie z Record Protocol (w rekordach z typem zawartości 22). Faza Handshake kończy sie ustaleniem parametrów protokołem Change Cipher Spec. wymieniane są zaszyfrowane komunikaty warstwy wyższej. (Record Protocol ) W razie potrzeby może nastąpić wymiana wiadomości Change Cipher Spec lub Alert SSL Dostępne algorytmy kryptograficzne Szyfrowanie: RC2, RC4, DES, 3DES, DES40, IDEA, Camellia. Hasz: MD2, MD4, MD5, SHA-1. Odbi 10 19

SSL negocjacja połączenia SSL negocjacja połączenia Sprawdzanie wiarygodności serwerów Certyfikaty serwera podpisane przez CA znane przeglądarce: Przeglądarka weryfikuje certyfikat korzystając z klucza publicznego CA Certyfikaty podpisane przez serwer: przeglądarka pyta użytkownika czy wierzyć certyfikatowi Odbi 10 20

SSL negocjacja połączenia Zaufanie do certyfikatów Serwera: publicznie dostępne serwery powinny posiadać certyfikaty podpisane przez niezależne instytucje, aby zapewnić że są tymi, za kogo się podaja, samocertyfikacja (firma podpisuje certyfikaty swoim serwerom) powinna wystarczyć pracownikom firmy. Klienta: szyfrowanie i uwierzytelnianie serwera nie ogranicza użytkownikom dostępu do serwera; czasem może więc być potrzebne uwierzytelnianie klientów, dostępne w SSL/TLS, ale rzadko wykorzystywane. Odbi 10 21

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres