Polityka bezpieczeństwa. Marcin Szeliga

Podobne dokumenty
Wykład X. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Bezpieczeństwo systemów komputerowych

SMB protokół udostępniania plików i drukarek

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

System Użytkowników Wirtualnych

WorkshopIT Komputer narzędziem w rękach prawnika

Ochrona danych i bezpieczeństwo informacji

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Program szkolenia: Bezpieczny kod - podstawy

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Bezpieczeństwo usług oraz informacje o certyfikatach

Poniżej znajduje się instrukcja konfiguracji najpopularniejszych programów do obsługi poczty.

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional)

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Bezpieczeństwo systemów komputerowych.

Mechanizmy dostępu do bazy danych Palladion / Ulisses. I. Uwierzytelnianie i przyznawanie uprawnień dostępu do aplikacji Palladion

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

System Kerberos. Użytkownicy i usługi. Usługa. Użytkownik. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

SSL (Secure Socket Layer)

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Podstawy Secure Sockets Layer

PORADNIKI. Atak SMB Man-In-The-Middle

Authenticated Encryption

Memeo Instant Backup Podręcznik Szybkiego Startu

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

Problemy z bezpieczeństwem w sieci lokalnej

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

- w firmie AGD, w komputerze używanym przez sekretarkę oraz trzech akwizytorów stwierdzono usterkę systemu komputerowego,

Krótka instrukcja instalacji

Bringing privacy back

Sprawozdanie nr 4. Ewa Wojtanowska

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

System Kerberos. Patryk Czarnik. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

INSTRUKCJA INSTALACJI SYSTEMU

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczeństwo informacji w systemach komputerowych

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Klient poczty elektronicznej - Thunderbird

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

11. Autoryzacja użytkowników

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Zdalne logowanie do serwerów

Outlook Instrukcja podpisywania i szyfrowania wiadomości certyfikatem niekwalifikowanym.

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

ZESTAW PLATINUM. - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2

Aplikacja formularza internetowego R-ZW-S

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

elektroniczna Platforma Usług Administracji Publicznej

Systemy operacyjne. Tworzenie i zarządzanie kontami użytkowników

Laboratorium Programowania Kart Elektronicznych

epuap Archiwizacja w Osobistym Składzie Dokumentów

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

PODRĘCZNIK OBSŁUGI BUSINESSNET

Ćwiczenie 8 Implementacja podpisu cyfrowego opartego na standardzie X.509

- zawierających ogólnie dostępne informacje, takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp.

Instrukcja obsługi aplikacji

Usuwanie ustawień sieci eduroam

INSTRUKCJA OBSŁUGI DLA SIECI

1. Bezpieczne logowanie i przechowywanie hasła

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Ustalanie dostępu do plików - Windows XP Home/Professional

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Lekcja 8, 9 i 10. Konspekt lekcji Poczta elektroniczna. Materiał z podręcznika: Rozdział 5. Poczta elektroniczna

MikroTik Serwer OpenVPN

Sieciowa instalacja Sekafi 3 SQL

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

POLITYKA PLIKÓW COOKIE

Szczegółowy opis przedmiotu zamówienia:

Certyfikat. 1 Jak zbieramy dane?

Infrastruktura klucza publicznego w sieci PIONIER

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

OCHRONA PRZED RANSOMWARE

Konfiguracja programu pocztowego dla kont w domenie spcsk.pl

Praca w sieci z serwerem

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Transkrypt:

Polityka bezpieczeństwa Marcin Szeliga marcin@wss.pl

Agenda Dlaczego polityka bezpieczeństwa jest nieskuteczna? Bezpieczeństwo jako proces Socjotechnika Uwierzytelnianie Autoryzacja

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Zabezpieczenia przeszkadzają użytkownikom

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Zabezpieczenia w najlepszym wypadku odbierane są przez użytkowników jak niepotrzebny bagaż, w najgorszym jako przeszkoda w wykonywaniu codziennej pracy Nic nie wnoszą Utrudniają wymianę informacji Użytkownicy nie chcą czekać na program W którymś momencie nasza cierpliwość się kończy Użytkownicy nie chcą powtarzać nudnych, podatnych na błędy operacji Ile razy w ciągu godziny można wpisywać hasło?

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Zasady bezpieczeństwa w świecie IT nie są wrodzone

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Użytkownicy muszą opanować zasady używania systemów komputerowych, nie zasady ich działania Jak mają się nauczyć unikać nieznanych zagrożeń? Jak mogą ocienić ryzyko? Te reguły są bez sensu To samo dotyczy kierowników i dyrektorów

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Startujemy z trudnej pozycji

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Musimy obronić się przed inteligentnym atakującym: Któremu wystarczy znaleźć jeden słaby punkt I który może zautomatyzować atak, tak że będą go mogli przeprowadzić mniej inteligentni atakujący Codziennie należy spodziewać się niespodziewanego: Jeżeli nic się nie dzieje, to znaczy, że czegoś nie zauważyliśmy Administrator musi być na bieżąco: Szkolenia, listy mailingowe, subskrypcje

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Nie ma zabezpieczeń absolutnych

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Nawet wyłączony komputer nie jest w 100% bezpieczny Bezpieczeństwo wymaga ciągłej pracy Zmieniają się technologie Pojawiają się nowe zagrożenia Polityka bezpieczeństwa musi być na bieżąco aktualizowana

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Zabezpieczenia są obchodzone przez użytkowników

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Niepraktyczna, rygorystyczna polityka bezpieczeństwa przynosi odwrotny skutek od zamierzonego Uwzględnienie informacje od użytkowników Użytkownicy powinni wiedzieć, czemu służy polityka bezpieczeństwa I wiedzieć, czym może grozić jej nieprzestrzeganie Przestrzeganie polityki musi być ciągle monitorowane Polityka bezpieczeństwa często jest podstawą do wniesienia oskarżenia

Dlaczego polityka bezpieczeństwa jest nieskuteczna? Zachęca do jej nieprzestrzegania

Socjotechnika Przekonanie osoby, żeby zrobiła dla nas to, co chcemy Ale co nie odbiega zbytnio od jej codziennych obowiązków Atak wymierzony w ludzi Omija wszystkie zabezpieczenia Ludzie są podatni na manipulację!

Socjotechnika Nie potrafimy właściwie ocenić ryzyka

Socjotechnika Przeceniamy ryzyko związane z: Zjawiskami i rzeczami których nie rozumiemy lub które są poza naszą kontrolą Które są rozpowszechniane w mediach Nie doceniamy ryzyka związanego z: Rzeczami codziennymi i przyziemnymi Regularnie wykonywanymi operacjami Zdarzeniami przytrafiającymi się naw w dobrze znanym otoczeniu

Socjotechnika Jesteśmy pewni, że nic nam nie grozi Ten nowy album jest świetny! No nie znowu Musimy naprawić ten alarm Heniu zaraz go wyłączy, jak zwykle

Socjotechnika Działamy rutynowo Przyzwyczailiśmy się do tego, że komputery są niezawodne: Za to ludzie często się mylą Zareagowanie na alarm wymaga wiedzy, czasu i zaangażowania najprościej jest go wyłączyć Polityka bezpieczeństwa często nie zawiera informacji, jak się zachować w nietypowych sytuacjach

Socjotechnika Ufamy komputerom

Socjotechnika To programy, a nie ludzie podpisują cyfrowo lub szyfrują dokumenty Przeniesienie zaufania z komputera na użytkownika i odwrotnie jest nadużyciem Jeden z najtrudniejszych problemów specjalistów od bezpieczeństwa systemów komputerowych Komputer (i zapisane w nim hasła lub certyfikaty) może wpaść w niepowołane ręce Na komputerze może działać (bez wiedzy użytkownika) wrogie oprogramowanie

Socjotechnika Rozmycie odpowiedzialności Kowalski powiedział, że bierze wszystko na siebie Chęć zysku Możesz na tym nieźle wyjść! Nadużycie zaufania To swój człowiek, czemu nie miałbym mu pomóc? Presja moralna Musisz mi pomóc!

Socjotechnika Poczucie winy Nawet tego nie możesz dla mnie zrobić Poczucie wspólnoty Tylko Ty mnie rozumiesz Gotowość do pomocy Proszę, pomóż mi Gotowość do współpracy Zróbmy to razem!

Socjotechnika

Uwierzytelnianie Uwierzytelnianie = potwierdzanie tożsamości Użytkownika (np. za pomocą sprawdzenia loginu i hasła) Programu (np. za pomocą kluczy) Informacji (np. za pomocą sprawdzenia dołączonej do niej sygnatury)

Uwierzytelnianie Protokoły uwierzytelniania: LM Używany tylko systemach MS-DOS Hasła LM dzielone są na dwie części, po siedem znaków każda. Następnie wszystkie litery obu części hasła konwertowane są na duże litery i tak zmodyfikowane hasło zostaje zaszyfrowane algorytmem DES

Uwierzytelnianie Protokoły uwierzytelniania: NTLM W ogóle nie powinien być używany Hasła NTLM zostają zaszyfrowane algorytmem MD4 i zapisane w chronionym obszarze rejestru lokalnego systemu (maks. dł. 14 znaków)

Uwierzytelnianie Protokoły uwierzytelniania: NTLMv2 Używany tylko w systemach Windows 9x i NT Hasła NTv2 zostają zaszyfrowane algorytmem MD5 przy użyciu klucza o długości 128 bitów i zapisane w chronionym obszarze rejestru lokalnego systemu

Uwierzytelnianie Wymiana komunikatów wyzwania i odpowiedzi: Użytkownik próbuje uzyskać dostęp do zasobów serwera. Serwer wysyła do klienta pseudolosowy, ośmiobajtowy komunikat wyzwania. Klient szyfruje odebrany komunikat przy użyciu hasła LM i NT i odsyła szyfrogram odpowiedzi do serwera. Serwer deszyfruje odebrany komunikat odpowiedzi przy użyciu hasła LM/NT i porównuje wynik z wysłanym komunikatem wyzwania.

Uwierzytelnianie Przesyłanie hasła LM, czyli jak tego robić nie należy Klient wysyła do serwera losowy, 8 bajtowy komunikat wyzwania 0001020304050607. Serwer odczytuje hasło LM użytkownika i uzupełnia je pięcioma zerami 4EFC971E2C6A11F0AAD3B435B51404EE0000000000 Otrzymany ciąg jest dzielony na trzy grupy po 7 bajtów: 4EFC971E2C6A11, F0AAD3B435B514 i 04EE0000000000

Uwierzytelnianie Przesyłanie hasła LM, czyli jak tego robić nie należy c.d. Otrzymane w ten sposób klucze wykorzystane są, po dodaniu bajtu parzystości, do zaszyfrowania algorytmem DES otrzymanego komunikatu wyzwania: Tekst 0001020304050607, klucz 4EFC971E2C6A11, szyfrogram AAAAAAAAAAAAAAAA, tekst 0001020304050607, klucz F0AAD3B435B514, szyfrogram BBBBBBBBBBBBBBBB, tekst 304050607, klucz 04EE0000000000, szyfrogram CCCCCCCCCCCCCCCC. Otrzymane szyfrogramy są łączone (AAAAAAAABBBBBBBBCCCCCCCC) i wysyłane jako komunikat odpowiedzi do komputera klienckiego

Uwierzytelnianie Przesyłanie hasła LM, czyli jak tego robić nie należy c.d. Komputer kliencki w taki sam sposób wylicza wartość komunikatu odpowiedzi i porównuje ją z odpowiedzią otrzymaną z serwera

Uwierzytelnianie Kerberos został zdefiniowany w RFC 1510 i RFC 1964 Do uwierzytelniania używane są: Wyprowadzone z hasła klucze długoterminowe lub certyfikaty Tożsamość potwierdza bilet Bilet może być używany wielokrotnie, aż utraci ważność Centrum dystrybucji kluczy (KDC): Przechowuje klucze długoterminowe i certyfikaty Wydaje bilety TGT i bilety usług

Uwierzytelnianie Wstępne uwierzytelnienie Problem: przechowywanie, wybór i wymiana klucza Rozwiązanie: zaufany serwer KDC przechowujący długoterminowe, wyprowadzone np. z hasła klucze

Uwierzytelnianie Proces uwierzytelniania Kerberos: Klient żąda przepustki (biletu usługi) do serwera Otrzymany bilet jest zapisywany buforze Jeśli klient żąda dostępu do serwera, wysyła mu bilet sesji i poświadczenie tożsamości

Uwierzytelnianie Protokoły wymiany kluczy: Logowanie - Authentication Service (AS) Exchange Dystrybucja tickets - Ticket-Granting Service (TGS) Exchange Dostęp do usługi - Client/Server (CS) Exchange

Uwierzytelnianie Ataki na hasła: Sniffing Man-in-the-Middle Zgadywanie Sprawdzenie wszystkich możliwych skrótów (Off-line, On-line) Atak słownikowy i hybrydowy Atak z użyciem przygotowanej listy skrótów (terabajty danych) Keylogger, obserwacja Ogólnie dostępne narzędzia (L0pthcrack, )

Autoryzacja Autoryzacja = sprawdzanie, czy uwierzytelnione principium ma uprawnienia do wykonania operacji Główne rodzaje kontroli dostępu: Obowiązkowa (MAC) obiekty są sklasyfikowane w hierarchii zabezpieczeń (tajne, poufne, publiczne) a użytkownicy otrzymują pewien poziom uprawnień Uznaniowa (DAC) uprawniania do obiektu nadaje jego właściciel Przez role (RBAC) uprawnienia są przyznawana rolą

Autoryzacja Zasady przepływu informacji w modelu Bella-LaPaduli: Podmiot może odczytywać informacje z obiektu, jeżeli jego poziom uprawnień zdominuje (będzie co najmniej taki sam) poziom uprawnień obiektu. Podmiot może zapisać dane w obiekcie, jeżeli poziom uprawnień tego podmiotu jest zdominowany przez poziom zabezpieczeń obiektu

Autoryzacja Obowiązkowa kontrola integralności Windows Vista Każdy proces (program lub usługa systemowa) działa na określonym poziomie zaufania, a każdy obiekt (na przykład plik) jest sklasyfikowany na pewnym poziomie zaufania. Ponieważ obowiązuje zasada zezwalająca jedynie na modyfikowanie zdominowanych obiektów, proces działający na niższym poziomie zaufania, nawet jeżeli został uruchomiony przez administratora, nie zmodyfikuje zaufanych (czyli systemowych) obiektów Utworzony przez proces obiekt dziedziczy jego poziom zaufania

Podsumowanie 1 2 3 4 5 6 7 8 9 Używać skomplikowanych haseł* Chronić hasła Blokować nienadzorowane komputery* Nie logować się za pomocą uprzywilejowanych kont* Uruchamiać jedynie zaufane programy* Nie otwierać podejrzanych załączników* Nie ulegać inżynierii społecznej Przeglądać zasady zabezpieczeń swojej organizacji Nie próbować omijać ustawień zabezpieczeń* 10 Zgłaszać podejrzane incydenty *Te wskazówki można częściowo wdrożyć za pośrednictwem scentralizowanych zasad

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres