Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation 2002-11-13.



Relevanta dokument
Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Säkerhet. Olika former av säkerhet (företagsperspektiv [1])

Föreläsning 10. Definitioner. Utveckling. T Introduktion till modern telekommunikation Bengt Sahlin 1

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Krypteringteknologier. Sidorna ( ) i boken

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Modul 3 Föreläsningsinnehåll

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Introduktion till protokoll för nätverkssäkerhet

Kryptering. Krypteringsmetoder

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

Metoder för sekretess, integritet och autenticering

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Grundläggande krypto och kryptering

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Grundfrågor för kryptosystem

Säker e-kommunikation

Probably the best PKI in the world

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Remote Access Services Security Architecture Notes

19/5-05 Datakommunikation - Jonny Pettersson, UmU 2. 19/5-05 Datakommunikation - Jonny Pettersson, UmU 4

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

SSEK Säkra webbtjänster för affärskritisk kommunikation

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Förra gången. Dagens föreläsning. Digitala Certifikat. Vilka man litar på! X.509. Nyckeldistribution. Säkerhetsprotokoll

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

256bit Security AB Offentligt dokument

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Datasäkerhet. Petter Ericson

Förra gången. Dagens föreläsning. Digitala Certifikat. Nyckeldistribution. Säkerhetsprotokoll

Datasäkerhet och integritet

Ett säkert Internet. Betalningsformer för säkra transaktioner över Internet. Författare: Anders Frånberg. Examensarbete I, 10p Vårterminen - 00

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Bredband och VPN. Vad är bredband? Krav på bredband. 2IT.ICT.KTH Stefan

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Din manual NOKIA C111

5. Internet, TCP/IP tillämpningar och säkerhet

What Is IPSec? Security Architecture for IP

PGP & S/MIME En översikt

Elektroniska signaturer - säker identifiering?

SSL/TLS-protokollet och

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Praktisk datasäkerhet (SäkB)

Skydd för känsliga data

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Säker lagring av krypteringsnycklar

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Datasäkerhet och integritet

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

5. Internet, TCP/IP och Applikationer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin

Kryptografi: en blandning av datavetenskap, matematik och tillämpningar

Datasäkerhet. Sidorna i kursboken

Moderna krypteringssystem

SSL. Kristoffer Silverhav Robin Silverhav

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

PGP håller posten hemlig

Spanning Tree Network Management Säkerhet. Jens A Andersson

Säkra trådlösa nät - praktiska råd och erfarenheter

Dagens föreläsning. Datasäkerhet. Tidig historik. Kryptografi

DNSSec. Garanterar ett säkert internet

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Praktisk datasäkerhet (SäkA)

Grundläggande datavetenskap, 4p

Försättsblad till skriftlig tentamen vid Linköpings Universitet

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Kryptoteknik. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Kryptografiska mekanismer och valutor

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Förra gången. Dagens föreläsning. De vanligaste attackerna

Driftsättning av DKIM med DNSSEC. Rickard Bondesson Examensarbete

Kryptografiska mekanismer och valutor

Internetdagarna NIC-SE Network Information Centre Sweden AB

Stödja och uppmuntra en bred användning av Bitcoin i Sverige

Practical WLAN Security

Protokollbeskrivning av OKI

Vad man vill kunna göra. Lagra och skicka krypterad information Säkerställa att information inte manipuleras Signera sådant som man står för

DNSSEC och säkerheten på Internet

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Introduktion. 1DV425 Nätverkssäkerhet. Patrik Brandt

Grundläggande kryptering & chiffer

WEB SERVICES-FÖRBINDELSE

Kryptering. Kryptering Hashar Digitala signaturer, PKI Krypto FS Lösenord. Repetition to slide 29

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Virtuella privata nätverk

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Virtuellt privat nätverk: Utredning av begrepp med konfigurationsexempel

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Trådlösa nätverk. Säkerhetsprotokoll WEP och WPA. I den här rapporten går vi igenom säkerheten i trådlösa nätverk, i synnerhet krypteringsprocess

En syn på säkerhet. Per Lejontand

Jakob Schlyter

Transkript:

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet Säkerhetsstandarder och program brandväggar IPSEC SSH PGP SSL 2002-11-13 Bengt Sahlin 1 Säkerhet Olika former av säkerhet (företagsperspektiv [1]) Säkerhetsmanagement Fysisk säkerhet: tillträdeskontroll, skydd mot olyckor Personalsäkerhet (t. ex. bakgrundskontroll) Försäkringar Förberedelser för nödlägen Brandsäkerhet Miljöskydd Säkerhet för utlandsverksamhet Säkerhet för resande Skydd mot brott Arbetssäkerhet Säkerhet inom produktion och andra operationer Datasäkerhet 2002-11-13 Bengt Sahlin 2 Grundbegrepp (1/5) Datasäkerhet skydd av värdefull information mot icke-auktoriserad avslöjande, modifikation eller förstörelse, samt att garantera tillgängligheten till information 2002-11-13 Bengt Sahlin 3 Bengt Sahlin 1

Grundbegrepp (2/5) Hot (threat) en potentiell händelse som kan ha en oönskad effekt på resurserna i en dator konfidentiell information avslöjas (disclosure threat) integritet (integrity threat) betjäningsvägran (denial of service) Svaghet (vulnerability) en oönskad egenskap i en dator som möjliggör att ett hot (mot säkerheten) möjligen förverkligas 2002-11-13 Bengt Sahlin 4 Grundbegrepp (3/5) attacker en åtgärd gjord av en elak part som strävar till att utnyttja svagheter för att förverkliga ett hot mot systemet exempel: Maskering (masquerade) Tjuvlyssning (eavesdropping) modifikation av meddelanden Återuppspelning (replay) digital pest (trojanska hästar, virus, maskar, etc.) social engineering 2002-11-13 Bengt Sahlin 5 Grundbegrepp (4/5) Tre huvudaspekter i säkerhet sekretess integritet tillgänglighet säkerhetspolitik ett skrivet dokument av organisationens ledning vad som är tillåten och otillåten användning av information inom organisationen kan beskriva t. ex. vem som har tillgång till en viss information, hurdana lösenord bör användas, etc. varje organisation bör ha en säkerhetspolitik 2002-11-13 Bengt Sahlin 6 Bengt Sahlin 2

Grundbegrepp (5/5) Protokoll en serie steg, mellan två eller flera deltagare, för att sköta en uppgift exempel: man lyfter pengar från en bank enligt ett visst bestämt protokoll Kryptografiskt protokoll ett protokoll som använder kryptografiska metoder 2002-11-13 Bengt Sahlin 7 Konflikter Säkerhet mot användbarhet Säkerhet mot kostnad 2002-11-13 Bengt Sahlin 8 Säkerhetsstrategier Förebyggande Skydda sig mot hot preventivt Detektering Man upptäcker en attack Reaktion 2002-11-13 Bengt Sahlin 9 Bengt Sahlin 3

Datasäkerhet i nätet Enklaste sättet att garantera säkerhet är att isolera systemet öppna system (open system) innebär möjligheten för två system att samarbeta I ett öppet nätverk är kryptografi enda sättet att garantera säkerhet säkerhetstjänster (IETF) autentikation (Authentication) integritet (integrity) sekretess (confidentiality) tillträdeskontroll (access control) tillgänglighet (availability) obestridbarhet (non-repudiation) 2002-11-13 Bengt Sahlin 10 Säkerhetstjänsterna (1/2) Sekretess the security service that protects data from unauthorized disclosure Integritet a security service that ensures that modifications to data are detectable Tillgänglighet addresses the security concerns engendered by attacks against networks that deny or degrade service. 2002-11-13 Bengt Sahlin 11 Säkerhetstjänsterna (2/2) Tillträdeskontroll is a security service that prevents unauthorized use of a resource, including the prevention of use of a resource in an unauthorized manner Autentikation Data origin authentication a security service that verifies the identity of the claimed source of data. Obestridbarhet a security property that ensures that a participant in a communication cannot later deny having participated in the communication 2002-11-13 Bengt Sahlin 12 Bengt Sahlin 4

Kryptologi (1/2) kryptologi (cryptology) kryptografi (cryptography) vetenskap för att skydda meddelanden kryptanalys (cryptanalysis) vetenskapen för att lösa chiffer steganografi (steganography) metoder för att gömma meddelanden i andra meddelanden historiska tricks: t. ex. osynligt bläck i datorer: gömma meddelanden t. ex. i en bild klartext (plaintext) - chiffer (ciphertext) kryptering (från klartext till chiffer) dekryptering (från chiffer till klartext) 2002-11-13 Bengt Sahlin 13 Kryptologi (2/2) kryptering symmetrisk samma nyckel används för att kryptera och dekryptera asymmetrisk (public key cryptography) olika nycklar används för att kryptera och dekryptera publik nyckel och privat nyckel vem som helst kan kryptera med den publika nyckeln den privata nyckeln behövs för att dekryptera elliptiska kurvor (elliptic curve cryptography) envägs- och tvåvägsfunktioner digital signatur: elektronisk signering garanterar dokumentets integritet 2002-11-13 Bengt Sahlin 14 Algoritmer symmetriska Data Encryption Standard (DES), 3DES IDEA, Blowfish AES (Rijndael) asymmetriska RSA (Ron Rivest, Adi Shamir, Leonard Adleman) Digital Signature Algorithm (DSA) algoritmer för nyckelutbyte Diffie-Hellman envägsalgoritmer MD5 (Message Digest 5) Secure Hash Algorithm (SHA) 2002-11-13 Bengt Sahlin 15 Bengt Sahlin 5

Public Key Infrastructure (PKI) (1/2) Hur kan man distribuera hemligheter (nycklar)? Symmetrisk kryptering skalar inte asymmetrisk kryptering skalar sig, men är mera ineffektivt PKI för att distribuera publika nycklar Hur kan man vara säker på att man har en valid publik nyckel? Nyckeln signeras av en TTP (Trusted Third Party) - certifikat 2002-11-13 Bengt Sahlin 16 PKI (2/2) i grunden är det fråga om förtroende (trust) är ett certifikat absolut pålitligt? Nej det är viktigt att skydda sin hemlighet (privata nyckel) en nyckel kan bli avslöjad (compromised) CRL - Certificate Revocation List nycklar har en livstid avslöjade nycklar leder till att certifikat måste expireras 2002-11-13 Bengt Sahlin 17 säkerhet på grundnivå brandväggar säkerhetsfunktioner i väljare planering och dokumentation av nätverket autentikering av dial-up -användare välvalda lösenord motivation, träning och skolning av personal tillräcklig fysisk säkerhet 2002-11-13 Bengt Sahlin 18 Bengt Sahlin 6

Ökad säkerhet krypterade tunnlar säker elpost (PGP) säker WWW säkra fjärrförbindelser (SSH) säker IP (IPSEC) 2002-11-13 Bengt Sahlin 19 Brandväggar Filtrering (minneslös inspektion) varje IP paket inspekteras IP adresser portar Protokolltyp Stateful inspection Uppföljning av sessioner, kräver minne för att spara tillståndsinformation brandväggar på tillämpningsnivå tillämpningen måste ta kontakt till brandväggen ex. HTTP proxy brandväggen kan kontrollera information ex. skanna för virus 2002-11-13 Bengt Sahlin 20 Intrusionsdetektering Intrusion Detection System (IDS) Detektera attacker Med hjälp av attacksignaturer Upptäck onormalt beteende Nätverks-IDS (Network based IDS) och Nod-IDS (Host Based IDS) Trend: samarbete med brandvägg för att reagera mot attacken Ny teknik, inte ännu helt mogen 2002-11-13 Bengt Sahlin 21 Bengt Sahlin 7

Internet Protocol Security (IPSEC) (1/2) Fördelar av säkerhet på nätverksnivå: standard tjänst åt alla tillämpningar komplexiteten i ett kryptografiskt system en orsak för en tillämpning att använda en färdig komponent vissa attacker kan man skydda sig emot endast på nätverksnivå IPSEC erbjuder: tillträdeskontroll autentikation integritet sekretess begränsad sekretess för trafikflöden skydd mot återuppspelning 2002-11-13 Bengt Sahlin 22 IPSEC (2/2) Två mekanismer: Authentication Header (AH) Encapsulated Security Payload (ESP) nyckelhantering behövs automatisk nyckelhantering Internet Key Exhange (IKE) Internet Security Association and Key Management Protocol (ISAKMP) Oakley Virtual Private Networks (VPN) IPSEC används idag i de flesta VPN-tillämpningarna 2002-11-13 Bengt Sahlin 23 IPSec och NAT Network Adress Translators (NAT) orsakar problem för IPSec NAT ändrar IP adresserna AH skyddar även IP huvudet IETF jobbar på förslag för att få IPSec att fungera genom en NAT 2002-11-13 Bengt Sahlin 24 Bengt Sahlin 8

Secure Shell (ssh) Ursprungligen finsk mjukvara erbjuder säkra fjärrförbindelser Autentikering med asymmetrisk kryptering (RSA, DSA), integritet och sekretess med symmetrisk kryptering tillgänglig på många system icke-kommersiell användning gratis i UNIX användarvänligt gränssnitt 2002-11-13 Bengt Sahlin 25 Pretty Good Privacy (PGP) Phil Zimmermann kan användas för att kryptera och signera filer (samt även för kompression före kryptering) exempel - kryptering av filer: pgp -c stöder generering av nycklar nyckelhantering GPG 2002-11-13 Bengt Sahlin 26 Transport Layer Security (TLS) WWW Baserar sig på SSL (Secure Socket Layer) IETF autentikering, integritet och sekretess säker med stark kryptering Hur kan man vara säker på att man tagit kontakt till rätt tjänst i WWW? Kolla certifikaten! 2002-11-13 Bengt Sahlin 27 Bengt Sahlin 9

elektronisk kommers olika system överföring av kreditkorsinformation SET (Secure Electronic Transactions) verklig digital valuta (ecash) krav på bit-pengar säkerhet små transaktionskostnader anonymitet måste gå att växla till verkliga pengar Idag dominerar kreditkortsbetalningar 2002-11-13 Bengt Sahlin 28 Intressant information [1] Juha E Miettinen, Yritysturvallisuuden käsikirja, Kauppakaari, 2002 IETF (www.ietf.org) CERT (www.cert.org) Bruce Schneier: Applied Cryptography www.counterpane.com WWW-site för Bruce Schneier s firma bl a publikationer och monthly newsletter (Crypto-Gram) 2002-11-13 Bengt Sahlin 29 Bengt Sahlin 10