19/5-05 Datakommunikation - Jonny Pettersson, UmU 2. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 4



Relevanta dokument
Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Förra gången. Dagens föreläsning. Digitala Certifikat. Vilka man litar på! X.509. Nyckeldistribution. Säkerhetsprotokoll

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.

Förra gången. Dagens föreläsning. De vanligaste attackerna

Förra gången. Dagens föreläsning. Digitala Certifikat. Nyckeldistribution. Säkerhetsprotokoll

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

Krypteringteknologier. Sidorna ( ) i boken

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

SSL/TLS-protokollet och

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Datasäkerhet och integritet

Probably the best PKI in the world

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Modul 3 Föreläsningsinnehåll

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

Säker e-kommunikation

Föreläsning 7. DD2390 Internetprogrammering 6 hp

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Introduktion till protokoll för nätverkssäkerhet

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation

Försättsblad till skriftlig tentamen vid Linköpings Universitet

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Din manual NOKIA C111

SSH-protokollet. Niels Möller

IT för personligt arbete F2

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Säkerhet. Olika former av säkerhet (företagsperspektiv [1])

Remote Access Services Security Architecture Notes

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Avancerad SSL-programmering III

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Introduktion. 1DV425 Nätverkssäkerhet. Patrik Brandt

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

SSEK Säkra webbtjänster för affärskritisk kommunikation

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Bredband och VPN. Vad är bredband? Krav på bredband. 2IT.ICT.KTH Stefan

Skydd för känsliga data

Datasäkerhet. Petter Ericson

F6 Exchange EC Utbildning AB

Practical WLAN Security

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Grundläggande datavetenskap, 4p

256bit Security AB Offentligt dokument

Ver Guide. Nätverk

SSL. Kristoffer Silverhav Robin Silverhav

What Is IPSec? Security Architecture for IP

1 Internal. Internetdagarna

F2 Exchange EC Utbildning AB

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Internetdagarna NIC-SE Network Information Centre Sweden AB

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Kryptering. Krypteringsmetoder

Säker lagring av krypteringsnycklar

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Virtuell Server Tjänstebeskrivning

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Självkörande bilar. Alvin Karlsson TE14A 9/3-2015

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Namn: (Ifylles av student) Personnummer: Tentamensdatum: Tid: Hjälpmedel: Inga hjälpmedel

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Tidigare. Säkerhet på kursen. Intro. Middleware Klockor Globala tillstånd Koordinering Multicast Konsensus Replikering Transaktioner

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

DNSSec. Garanterar ett säkert internet

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

Beijer Electronics AB 2000, MA00336A,

OFTP2: Secure transfer over the Internet

Sectra Critical Security Services. Fel bild

Objektorienterad Programkonstruktion. Föreläsning 10 7 dec 2015

5 Internet, TCP/IP och Tillämpningar

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Nätverkslagret - Intro

2D1395 Datasäkerhet Lösningar till tentamen

Instuderingsfrågor ETS052 Datorkommuniktion

Jakob Schlyter

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

CanCom Bluetooth BLUETOOTH V5.6. Specifikation Specification LED. transceiver

KUNDREGISTER Sid 2(7) Teknisk specifikation

Att Säkra Internet Backbone

DNSSEC-grunder. Rickard Bellgrim [ ]

En lösenordsfri värld utopi eller verklighet

Transkript:

Säkerhet Förra gången Introduktion till säkerhet och nätverkssäkerhet Kryptografi Grunder Kryptografiska verktygslådan Symmetriska algoritmer Envägs hashfunktioner Asymmetriska algoritmer Digitala signaturer Slumptalsgeneratorer I dag Autenticering Nyckelhantering Brandväggar Säker kommunikation på olika nivåer Helhetssyn på säkerhet Application UDP Link Physical Kryptografi i sitt sammanhang Varför är inte kryptografi svaret på allt? Kryptografi hör till matematiken och matematik är teori och logik. Den verkliga världen är ej logisk Regler följs ej av mjukvara, maskiner och människor Nyckellängden har oftast inte med säkerheten att göra Är den tillräckligt lång räcker det Två problem Kvalitén på nyckeln Kvalitén på algoritmen 19/5-05 Datakommunikation - Jonny Pettersson, UmU 1 19/5-05 Datakommunikation - Jonny Pettersson, UmU 2 Autenticering Password guessing Användaridentifiering Kunskap - Något man känner till Tillhörighet - Något man har Egenskap-Någotman är För säkrare kombinera 2 eller 3 Säkrare Humans are incapable of securely storing highquality cryptographic keys, and they have unacceptable speed and accuracy when performing cryptographic operations. They are also large, expensive to maintain, difficult to manage, and they pollute the environment. It is astonishing that these devices continue to be manufactured and deployed, but they are sufficiently pervasive that we must design our protocols around their limitations Network Security: Private Communication in a Public World 19/5-05 Datakommunikation - Jonny Pettersson, UmU 3 19/5-05 Datakommunikation - Jonny Pettersson, UmU 4 Authentication Goal: Bob wants Alice to prove her identity to him Protocol ap1.0: Alice says I am Alice Authentication: another try Protocol ap2.0: Alice says I am Alice and sends her address along to prove it. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 5 19/5-05 Datakommunikation - Jonny Pettersson, UmU 6 1

Authentication: another try Protocol ap3.0: Alice says I am Alice and sends her secret password to prove it. Authentication: yet another try Protocol ap3.1: Alice says I am Alice and sends her encrypted secret password to prove it. I am Alice encrypt(password) 19/5-05 Datakommunikation - Jonny Pettersson, UmU 7 19/5-05 Datakommunikation - Jonny Pettersson, UmU 8 Authentication: yet another try Goal: avoid playback attack Nonce: number (R) used only once in a lifetime ap4.0: to prove Alice live, Bob sends Alice a nonce, R. Alice must return R, encrypted with shared secret key Authentication: ap5.0 ap4.0 requires shared symmetric key problem: how do Bob, Alice agree on key can we authenticate using public key techniques? ap5.0: use nonce, public key cryptography Figure 7.11 goes here Figure 7.12 goes here Failures, drawbacks? 19/5-05 Datakommunikation - Jonny Pettersson, UmU 9 19/5-05 Datakommunikation - Jonny Pettersson, UmU 10 ap5.0: security hole Man (woman) in the middle attack: Trudy poses as Alice (to Bob) and as Bob (to Alice) Need certified public keys Figure 7.14 goes here 19/5-05 Datakommunikation - Jonny Pettersson, UmU 11 Distribution av symm. nycklar Tänk om det finns flera miljoner av användare och flera tusen servrar n 2 symmetriska nycklar Bättre att använda en central tjänst KDC - Key Distribution Center Alla har en nyckel till KDC n KDC n känner alla KDC n tilldelar en nyckel till varje par som vill kommunicera 19/5-05 Datakommunikation - Jonny Pettersson, UmU 12 2

KDC realms (världar) Kerberos - Distribuerad autent. KDCs skalar upp till några hundra klienter, ej miljoner Det finns ingen som alla litar på med deras hemligheter KDCs kan arrangeras i hierarkier så att förtroendet är lokalt Distribuerad autenticering à la Kerberos: Klient X 1. Request for TGS ticket 2. Ticket for TGS 6 3. Request for Server ticket 4. Ticket for Server 5. Request for service 6. Authenticate Server (optional) 1 2 3 4 5 Authetication service Ticket granting service Server Key Distribution Centre 19/5-05 Datakommunikation - Jonny Pettersson, UmU 13 19/5-05 Datakommunikation - Jonny Pettersson, UmU 14 Public Key - Digitala Certifikat Cetification Authority (CA) signerar certifikat Certifikat = ett signerat meddelande som säger Jag, CA n, garanterar att 823457345 är Jonnys publika nyckel Om alla har ett certifikat, en privat nyckel och CA s publika nyckel så kan autenticering ske 19/5-05 Datakommunikation - Jonny Pettersson, UmU 15 Nycklar - CA Vad är en CA? En tredje part som man litar på Exempel är statliga myndigheter, finansiella institut och företag som jobbar med detta, tex VeriSign Viktigt att få tag på CA s publika nyckel på ett säkert sätt Kedjor av CA s PKI - Public Key Infrastructure 19/5-05 Datakommunikation - Jonny Pettersson, UmU 16 Vilka man litar på! Nycklar - Innehåll i certifikat Subject Issuer Period of validity Administrative information Extended Information Distinguished Name, Public Key Distinguished Name, Signature Not Before Date, Not After Date Version, Serial Number Alla certifikat har en giltighetstid Varje CA har en återkallningslista (revocation list) Problem med återkallning 19/5-05 Datakommunikation - Jonny Pettersson, UmU 17 19/5-05 Datakommunikation - Jonny Pettersson, UmU 18 3

Brandväggar Brandväggar - Nivå? Information system Computing resources (processor, memory, I/O) Data Processes Software Internal security controls En gatekeeper Gatekeeper function Access channel Ett skydd mot ej önskad trafik Opponent Human Software men också en begränsning för önskad trafik En brandvägg filtrerar på något/några/alla protokollnivåer På transportnivån Packetfiltrerande router På applikationsnivån Proxy server För utgående trafik Relay host För inkommande trafik Oftast kallar man båda typerna för proxy /UDP Ethernet fråga x svar y src port x dest port y src x dest y protocol z src addr xxxx dest addr yyyy 19/5-05 Datakommunikation - Jonny Pettersson, UmU 19 19/5-05 Datakommunikation - Jonny Pettersson, UmU 20 Brandväggar - Proxy Klient K En proxy Fil x? Port z Skicka fil Fil x Proxy P på port 21, och dynamiskt på port z Fil x? Port y Skicka fil Fil x En gateway på applikationsnivån En klient ser den som en server En server ser den som en klient Säkerhet på applikationsnivån, bryter kommunikationslänken FTP-server S på port 21 Dynamisk server på port y 19/5-05 Datakommunikation - Jonny Pettersson, UmU 21 Brandväggar Möjligheter 1. Single point of defense - Förenklar 2. Ett bra övervakningsställe - Loggar och larm 3. VPN - Virtual Private Network (4. Plattform för annat, tex nätverksövervakning, adressöversättning) Begränsningar 1. Kan endast skydda mot attacker som går genom brandväggen 2. Skyddar endast mot externa hot 3. Kan ej skydda mot malicious programs och virusinfekterade filer 19/5-05 Datakommunikation - Jonny Pettersson, UmU 22 Attacker Mapping Undersök terrängen Packet sniffing Broadcast media spoofing Ingress filtering Denial of service (DOS) DDOS Sammanfattning - Verktyg Ett verktyg ger inte ett säkert system Alla verktyg har styrkor och svagheter Det finns gränser för vad de klarar och vad de ska klara Viktigt att förstå detta!!! 19/5-05 Datakommunikation - Jonny Pettersson, UmU 23 19/5-05 Datakommunikation - Jonny Pettersson, UmU 24 4

Säker kommunikation - Nivå Secure e-mail HTTP FTP SMTP /Sec (a) Network level HTTP FTP SMTP SSL or TLS (b) Transport level Alice wants to send secret e-mail message, m, to Bob. Kerberos UDP S/MIME PGP SMTP (c) Application level SET HTTP generates random symmetric private key, K S. encrypts message with K S also encrypts K S with Bob s public key. sends both K S (m) and e B (K S ) to Bob. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 25 19/5-05 Datakommunikation - Jonny Pettersson, UmU 26 Secure e-mail (continued) Alice wants to provide sender authentication and message integrity. Secure e-mail (continued) Alice wants to provide secrecy, sender authentication, message integrity. Alice digitally signs message. sends both message (in the clear) and digital signature. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 27 Note: Alice uses both her private key, Bob s public key and a symmetric session key. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 28 Pretty good privacy (PGP) SSL - Secure Socket Layer Internet e-mail encryption scheme, a de-facto standard. Uses symmetric key cryptography, public key cryptography, hash function, and digital signature as described. Provides secrecy, sender authentication, integrity. Inventor, Phil Zimmerman, was target of 3-year federal investigation. A PGP signed message: ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhhjrhhgjghgg/12epj+lo8ge4vb3mqj hfevzp9t6n7g6m5gw2 ---END PGP SIGNATURE--- Ett protokoll utvecklat av Netscape för kommunikation mellan två parter SSL Skapar en ny gränsyta för programmeraren. Lägger på ett nytt socketlager på existerande, uppkopplade, sockets 19/5-05 Datakommunikation - Jonny Pettersson, UmU 29 19/5-05 Datakommunikation - Jonny Pettersson, UmU 30 5

SSL SSL utnyttjar asymmetrisk kryptering för att överföra en symmetrisk sessionsnyckel Antingen klienten eller servern, eller båda, eller ingen, kan ha ett certifikat Ett servercertifikat försäkrar klienten att den talar med rätt server Ett klientcertifikat försäkrar servern att den talar med rätt klient SSL utan certifikat skyddar mot avlyssning, men ej mot impersonation 19/5-05 Datakommunikation - Jonny Pettersson, UmU 31 SSL - Protokoll SSL består av fyra olika protokoll ordnade i två lager SSL Handshake Protocol SSL Change Cipher Spec Protocol SSL Record Protocol 19/5-05 Datakommunikation - Jonny Pettersson, UmU 32 SSL Alert Protocol HTTP SSL - Slutord Hur får man tag på SSL? OpenSSL (fritt): www2.psy.uq.edu.au/~ftp/crypto/ HTTP + SSL = HTTPS Exakt samma protokoll, men ett nytt transportlager Slutligen: SSL -> TLS SSL befinner sig nu i v3.0 TLS (Transport Layer Security) v3.1 (RFC 3546) Ej helt kompatibla Sec Ramverk för krypterad Kryptering på -nivå Överallt, istället för SSL, SSH, kryptering i applikation Bland annat för VPN (Virtual Private Network) Sec Sec 19/5-05 Datakommunikation - Jonny Pettersson, UmU 33 19/5-05 Datakommunikation - Jonny Pettersson, UmU 34 Sec - Består av vad? Inte en standard - utan en uppsättning standards Bland annat: Authentication Header(AH) Integritet och autenticering av data Encapsulation Security Payload (ESP) Konfidentialitet, integritet och autenticering av data Internet Key Exchange (IKE) Nyckelhantering Internet Security Association and Key Management Protocol (ISKMP) Procedurer för att sätta upp/riva ned säkerhetskopplingar Algoritmer för autenticering och kryptering Sec - Implementation Hur kan man implementera Sec? Antingen i värddatorn (host:en) eller i routern (secure gateway) Transprort och/eller tunnling Sec aware Sec aware 19/5-05 Datakommunikation - Jonny Pettersson, UmU 35 19/5-05 Datakommunikation - Jonny Pettersson, UmU 36 6

Sec - Operation modes Helhetssyn på säkerhet Transport: Modifiera -Paket HDR UDP/ + DATA HDR Sec HDR UDP/ + DATA Encrypted Tunnling: Paketera -paket HDR UDP/ + DATA New HDR Sec HDR HDR UDP/ + DATA Hotanalys Hitta alla risker Skydda mot största riskerna Säkerhetspolicy Implementation av säkerhetspolicyn Försvar - Flöde Framtiden Säkerhet som process Encrypted 19/5-05 Datakommunikation - Jonny Pettersson, UmU 37 19/5-05 Datakommunikation - Jonny Pettersson, UmU 38 Hotanalys - Lyckad attack Säkerhetspolicy 1. Identifiera mål och samla information 2. Analysera informationen och hitta en svaghet 3. Uppnå tillräcklig access till målet 4. Utför attacken 5. Sudda ut spåren och undvik vedergällning Det räcker oftast att stoppa ett steg Syfte och mål Annars blir det ett lapptäcke med hål mellan Grund för val av verktyg Det ska framgå vem som ansvarar för vad Vad man får och inte får göra i nätverket Varför policyn är som den är - VIKTIGT!!! 19/5-05 Datakommunikation - Jonny Pettersson, UmU 39 19/5-05 Datakommunikation - Jonny Pettersson, UmU 40 Implementation av policyn Val av säkerhetsprodukter/verktyg Test och verifikation av produkter Säkerhetshål kan finnas överallt Ett hål kan sänka hela produkten Hittas ej via beta-testning Inga garantier Kräver experter Rätt åtgärd på rätt ställe Överlappande säkerhetssystem Flera lager av åtgärder Säkerhet som en kedja 19/5-05 Datakommunikation - Jonny Pettersson, UmU 41 Försvar - Flöde Protection Fysisk säkerhet Virtuell säkerhet Trust model Vilka kan man lita på och hur mycket Ett systems livscykel Skydda alla delar i livscykeln Detection Ständig uppmärksamhet Watch the watchers Reaction Någon form av reaktion Recover Counterattack Analysera, diagnosticera, implementera 19/5-05 Datakommunikation - Jonny Pettersson, UmU 42 7

Framtiden Ökad komplexitet leder till ökade risker Lära sig av misstag? Buffer-overflow (60- ) Krypteringsalgoritmer Patchar Nya versioner Garantier? Lagar - Brott och straff Outsourcing Säkerhet som process Det kommer alltid vara osäkert!!! Detgårinteattgöradetheltsäkert Viktigt välja rätt skydd Vktigt att hela tiden övervaka och uppdatera Risk management 19/5-05 Datakommunikation - Jonny Pettersson, UmU 43 19/5-05 Datakommunikation - Jonny Pettersson, UmU 44 Säkerhet Introduktion till säkerhet och nätverkssäkerhet Kryptografi Grunder Kryptografiska verktygslådan Symmetriska algoritmer Envägs hashfunktioner Asymmetriska algoritmer Digitala signaturer Slumptalsgeneratorer Autenticering Nyckelhantering Brandväggar Säker kommunikation på olika nivåer Helhetssyn på säkerhet Application UDP Link Physical Nästa gång Trådlöshet och mobilitet, samt återblick 19/5-05 Datakommunikation - Jonny Pettersson, UmU 45 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss