1 / 43

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

OSNOVE BEZBEDNOSTI I ZAŠTITE IS. -Metodološko tehnološke osnove-. TEMA 8 TEHNOLOGIJE ZAŠTITE RM. CILJ. Razumeti: osnovne razlike i sličnosti tehnologija zaštite RS i RM osnovne alate (mehanizme i protokole) za zaštitu RM infrastrukturne komponente zaštite RM (PKI, smart kartice)

devon
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IS -Metodološko tehnološke osnove- TEMA8 TEHNOLOGIJE ZAŠTITERM

  2. CILJ Razumeti: • osnovne razlike i sličnosti tehnologija zaštite RS i RM • osnovne alate (mehanizme i protokole) za zaštitu RM • infrastrukturne komponente zaštite RM (PKI, smart kartice) • standarde, ograničenja i tehnologije zaštite bežičnih RM

  3. Ključni termini • Autentifikacioni protokoli/serveri/uređaji • Autorizacioni serveri • Biometrijski uređaji • Hardversko-softverski modul: HSM • Infrastruktura sa javnim ključem • Kriptografski akceleratori i protokoli • Mrežne barijere (Firewalls) • Proksiserveri • Server mrežnog pristupa: NAS • Smart kartice,Tokeni

  4. MREŽNA AUTENTIFIKACIJA I AUTORIZACIJA-Autentifikacioni protokoli- • TCP/IP mreža: lako se podaci presreću i analiziraju • autentifikacija pasvordom u otvorenom tekstu (OT) - nije bezbedna u RM • zaštita RM infrastrukture deo rešenja, ali ne obuhvata: • neovlašćenu opremu za pristup RM (skener, npr.) • aktiviranje snifer-a ili sličnog alata za kontrolu saobr u RM • Ne može se verovati u tuđe mere zaštite WLAN ili na Internetu • Neophodno je ugraditi mere zaštite u proces razmene p/i • Uobičajen način - standardni autentifikacioni protokoli • Autentifikacija: • verifikacija identiteta (sistemu, servisu, aplikaciji) • Autorizacija: • ovlašćenje dato korisniku za pristup informacionim objektima sistema u servisu logičke kontrole pristupa

  5. Autentifikacioni protokoli -Primeri- 1.SSL (Secure Socket Layer) protokol obezbeđuje: • unošenje pasvorda preko uspostavljene bezbedne sesije (DES alg.) • često se koristi za pristup web aplikacijama na Internetu • nije stvarni primer autentifikacionog protokola • osnovni protokol za zaštitu pasvorda u prenosu 2. Većina autentifikacionih protokola tipa „upit-odgovor“ (Kerberos): • sistem zahteva dokaz o identitetu • korisnici inicijalno koriste drugi metod za razmenu Kz ključeva • korisnik se za pristup identifikuje sistemu • sistem odgovara sa slučajnim upitom (chalange) • PKI korisnik šifruje upit koristeći svoj tajni ključ • korisnik to šalje nazad sistemu • sistem koristi matematički par (Pk-javni ključ korisnika - sertifikat) istog ključa za dešifrovanje i otkrivanje OT

  6. Autentifikacioni protokoli/uređaji-Ranjivosti- • Protokoli zaštite kompleksni i teški za podele • Autentifikacioni protokoli - oblast za sebe • Ako upit nije slučajna vrednost: • zlonamerni korisnik ga može presresti, • lažno se predstaviti i izdati novu vrednost upita, • primiti transformisani odgovor i obezbediti pristup sistemu Primer:Kerberos (Windows NT 4.0 OS) Needham – Schroeder ima ranjivost-pristup RS korišćenjem starog ključa • Autentifikacioni uređaji: smart kartice, biometrijski uređaji i tokeni

  7. Serveri za autentifikaciju i autorizaciju (SA&A) 1. Autentifikacioni serveri centralizuju upravljanje autentifikacijom identiteta u RM PRIMER: Primarni kontroler domena (PDC) u Windows OS za Win klijente u LANu 2. Autorizacioni serveri pridružuju skup privilegija autentifikovanim entitetima 3. SA&A - za kontrolu udaljenih pristupa, obezbeđuju: • servise za više klijenata u klijent-server arhitekturi • pristupe svim apstraktnim slojevima programa • mogu dodeljivati uloge korisnicima (npr., CISCOA&A)

  8. Tipičan primer SA&A 1.NAS (Network Access Server) – server mrežnog pristupa: • jedna tačka pristupa za udaljeni resurs (Gateway) • uključuje udaljenog korisnika preko javne telefonske mreže (PSTN) • šalje identifikaciju zahtevanom serveru koji verifikuje identitet • primenjuje restrikcije i dopušta konekciju • može koristiti lokalnu b/p ili češće, servise namenjene za SA&A

  9. Serverska konfiguracija NAS • posrednik između korisnika i servera (p/i, servisa) • prenosi svaki zahtev za informacijama od servera prema klijentu i vraća odgovor serveru • server sa dovoljno informacija prihvata/odbija zahtev klijenta • server šalje odgovor NAS-u • NAS izvršava odluku prema skupu predefinisanih pravila

  10. Protokoli za razmenu između NAS i Servera RADIUS (Remote Authentication Dial In User Service) TACACS + (Terminal Access Controller Access Control Service) • Vrlo su sličnih funkcionalnosti, osnovne razlike: • RADIUS- preko UDP (User Datagram Protocol) • TACACS+ - preko TCP protokola • RADIUS-korisnički profil sa autentifikacijom, definiše sve parametre korisnika • TACACS+ - razdvaja provere A&A • RADIUS-koriste računari i drugi mrežni uređaji • TACACS+ - uglavnom za RM uređaje (ruteri i svičevi)

  11. Funkcionalni model RADIUS protokola

  12. Bezbednost SA&A • Značajno povećava bezbednost pristupa udaljenih k. • Stvarni nivo bezbednosti zavisi od metoda A&A: • pasvord ne obezbeđuje visoku bezbednost • Kz mehanizam upit-odgovor tipa – viši nivo zaštite • jednokratni pasvord (šifarski alg. – smart kartica) najviši nivo zaštite • Tehnika A&A ne štite podatke između korisnika i hosta • Zaštitni protokol između korisnika i terminala iza NAS štiti poverljivost podataka i integritet same sesije • Za web aplikacije EAM (Extranet Access Management) obezbeđuje servise A&A u Internet okruženju (suprotno udaljenom pristupu)

  13. Integritet RM -Skeneri zaštite RM- • Kao skeneri zaštite RS, otkrivaju ranjivosti RM: 1. Najjednostavniji skener RM mapira uređaje u RM pingovanjem – korišćenjemICMP (Internet Control Message Protocol) protokola - ICMP: koristi ga OS RM za slanje grešaka u IP datagramu, oslanja se na IP; šalje eho zahtev (ping), sluša eho odgovor 2. Na višem nivou - mapiraju portove, pingujući TCP/UDP 3. Mogu mapirati RM i identifikovati operativne servise (vulnarability scaners) 4. Komercijalni alati sadrže b/p sa poznatim ranjivostima (slično host orijentisanom skeneru): • upoređuju aktuelnu konfiguraciju RM sa predefinisanom • izveštavaju više vrsta informacija sa manje detalja

  14. Arhitektura skenera ranjivosti RM

  15. Skeneri telefonskih veza • Razvijeni iz hakerskih sw alata tzv. war dialing za identifikovanje ranjivosti IS preko telefonske linije • Rade slično skenerima ranjivosti RM • Konstruišu bezbednosnu mapu tel. sistema org. • Detektuju neovlašćene i nepoznate modeme u LAN • Kombinuju pingovanja i prompts o ranjivostima OS • Automatizacijom značajno povećavaju stopu detekcije neovlašćenih modema

  16. Skeneri telefonskih veza -1 • Sofisticirani su i omogućavaju operatoru: • specifikaciju brojeva koje treba skenirati, (pojedinačnih ili grupnih) • programiranje rada (vreme, zaustavljanje biranja posle određenog broja pokušaja, definisanje perioda između dva biranja) • Postoje rešenja za distribuirano skeniranje • U većini slučajeva poseduju jednostavan GUI • Proizvode nekoliko različitih tipova izveštaja

  17. Kontrola pristupa RM-Mrežne barijere (Firewalls)- • Koncept AC u RS u toj formi ne postoji u RM • Za AC između dve RM koriste se tehnike: • filtriranja paketa u TCP/IP okruženju • uspostavljanje zatvorenih grupa korisnika u X.25 okruženju • Nameću politiku AC između segmenata RM • Kontrolišu mrežni pristup dolaznog/odlaznog saobraćaja na bazi skupa pravila na mrežnom, transportnom i aplikativnom sloju OSI modela • Dopuštaju/odbijaju konekcije dve RM • Generalno rade na aplikativnom nivou, ne prepoznaju protokole koji nisu TCP/IP i moraju biti konfigurisane za druge protokole • Koriste ograničeni skup podataka za rad i vrše ograničenu mrežnu zaštitu po dubini

  18. Tipovi barijera(Firewalls) 1. Sa potpunom kontrolom „stanja“ konekcija: • filtriraju rutirane IP pakete između interfejsa 2 RM • analiziraju protokole slojeva 3 – 7 i „stanje“ konekcije 2. Na aplikativnom sloju (gateway) iliproksibarijere: • ne rutiraju pakete - procesiraju komun. programom • prenose pakete aplikaciji koja analizira protokol • većina savremenih protokola nemaju proksi barijere • uglavnom se koriste za kontrolu std. Internet protokola (FTP, HTTP) • proizvođači često kombinuju obe barijere

  19. Principi rada filterskih i aplikativnih barijera

  20. Proksi serveri • slično aplikativnim gateway barijerama • kontrolišu konekcije koje dolaze iz interne RM • zahtevaju autentifikaciju krajnjeg korisnika • redukuju AC i veze na definisani skup protokola • loguju kontrolne tragove • najčešći tip: web proksi server samo za zaštitu • striktno nisu mehanizmi za zaštitu RM • pre su višefunkcionalni mehanizmi koji imaju važnu bezbednosnu funkcionalnost

  21. Web filteri • Kontrolišu pristup internih korisnika web lokacijama na bazi lokalne politike zaštite • Kontrolišu rad zaposlenih i rizik sa Interneta • Povećavaju bezbednosti web lokacije • Odlučuju - konsultovanjem instalirane b/p o potencijalno problematičnim web lokacijama • Blokiraju sadržaje sa web za neki period dana • Nadziru pokušaje pristupa, izveštavaju i prate ponašanja korisnika

  22. Monitoring mrežne zaštite-NIDS • Uglavnom rade na 2. sloju OSI modela • Stavljaju mrežnu karticu (NIC) u promiskuitetni mod • Slično rade i analizatori mreže i sniferi • Komplementarni su HIDS sistemima • Detektuju sisteme nezavisno od OS • Štite veliki broj krajnjih platformi PRILOG I 9A - strategija centr. i dist. Upravljanja Vežba GI P9A - izbor lokacije NIDS u RM

  23. Mogućnosti aplikacije NIDS

  24. Poverljivost i integritet mrežnih podataka • Kriptografski mehanizmi i protokoli: • Autentifikacija, zaštita poverljivosti, zaštita integriteta i neporecivost Primeri:SSL (Secure Socket Layer), TLS (Transport Layer Security), IPsec protokol za implementaciju VPN 1. Protokoli za autentifikaciju: • više su vezani za korisnike i uređaje nego za podatke • koriste se DS i MAC (Message Authentication Codes)

  25. Zaštita poverljivostimrežnih podataka • Koriste PKI za razmenu simetričnog (sesijskog) ključa, a simetrični ključ za šifrovanje podataka • Tehnike za sporazumevanje o sesijskom ključu: • korišćenje Kz protokola, sa npr., Diffie – Hellman algoritmom • generisanje simetričnog ključa i transfer sa PKI • VPN (Virtual Private Network)- za zaštitu veze 2 poverljive RM u nepoverljivom Internet okruženju • VPN konekcija: 2 VPN servera, šifrovana (IPsec), VPN klijent i VPN server

  26. Zaštita integriteta u mrežnom okruženju 1.Integriteta podataka lako je razumljiv: • tehnike bezbednog heširanja (MD4, MD5, SHA-1, 256, 384, 512) 2. Integritet sesije: • Obezbeđuje integritet komunikacione sesije • Uključuju brojeve sekvenci/vremenski pečat u Kz poruci • Koriste asimetrične algoritme u kombinaciji sa heš funkcijama i DS (digitalnim potpisom)

  27. Zaštita neporecivosti • Namenjen za zaštitu učesnika u transakciji od kasnijeg poricanja izvršenih akcija • Sprečiti primaoca da porekne prijem poruke: • zahtevati da pošiljalac sistematski digitalno potpisuje (DS) poruke 2. Sprečiti pošiljaoca da porekne slanje poruke: • zahtevati DS potvrde o prijemu poruke

  28. Infrastruktura sa javnim ključem • PKI(Public Key Infrastructure): • infrastrukturna komponentamrežne zaštite • lakše obuhvata veći broj korisnika od simetrične Kz • delimično rešava problem distribucije ključa • obezbeđuje okvir za protokole zaštite transakcija • implementira servise DS, zaštite integriteta i neporecivosti • Glavni nedostatak - poverenje u vezu javnog ključa (Pk) i vlasnika ključa • CA (Certification Authority): • garantuje ovaj odnos pomoću digitalnog sertifikata

  29. Ključni moduli PKI sistema -PRILOG I 9B-

  30. Smart kartice i kriptografski moduli • Za visoku bezbednost IS: • smart kartice i kriptografski moduli za zaštitu kriptografskih tajni • Tri glavne klase smart kartica: • kontaktne,beskontaktne, kombinovane • bezbedne za skladištenje Kz ključeva korisnika Napadi: diferencijalnom analizom snage i optičkom indukcijom greške i dr.

  31. Smart kartice i kriptografski moduli -1 • Kriptografske aplikacije koriste smart kartice • Memorijske: • za skladištenje ključa, • kriptografske operacije - u aplikaciji na hostu 2. Mikroprocesorske (kriptokartice): • izvršavaju bezbedno skladištenje ključa • omogućavaju kriptografske operacije na kartici preko API (Application Programming Interface) interfejsa npr. PKCS#11, PC/SC, OCF i CDSA

  32. Korišćenje kriptokartice sa eksternim čitačem kartica PIN ne sme prolaziti kroz OS! - ? +

  33. Kriptografski moduli HSM (Hardware Security/Storage Module) • HSM na serverskoj strani bolja opcija: • važan standard - NIST FIPS 140- 1 i 2 • pokriva ukupno 11 oblasti dizajna i implementacije • rangira nivoe bezbednosti: • 1. nivo - najmanje zaštite • 4. nivo – najveći nivo zaštite • Kriptografski akceleratori – specijalizovani HSM : • za e-biznis, opslužuje neograničen broj klijenata • ima veću skalabilnost aplikacija i Kz rešenja

  34. Autentifikacioni uređaji 1. Smart kartice (opisane u prethodnoj sekciji) 2. Biometrijski uređaji: otisak prsta, geometrija ruke, skeniranje mrežnjače, prepoznavanje govora, prepoznavanje lica, facijalna termografija, DNK otisak 3. Tokeni: skladištenje Kz informacija,priručni uređaj • Kriterijumi za izbor: performanse i pouzdanost, pogodnost za primenu, sposobnosti korisnika, korisnička prihvatljivost i troškovi nabavke

  35. Autentifikacioni protokoli 1.Vremenski sinhronizovani: • oslanjaju se na sinhronizaciju časovnika • na tokenu i autentifikacionom serveru, 2.Asinhroni protokoli: • koriste protokole tipa upit-odgovor za identifikaciju korisnika (tipa Kerberos) • nisu osetljivi na nesinhronizaciju časovnika

  36. Zaštita WLAN • Klasičan EthernetLAN bez kablovske infrastrukture • Velika ušteda komunikacione infrastrukture • Lakoća implementacije, velika praktična primena • Svi tipovi WLAN -iste osnovne bezb. probleme: • koriste radio frekvencije za prenos informacija • laka kompromitacija informacija na prenosnom putu • IEEE 802.11b standard u SAD • GSM (Groupe Spécial Mobile) standard u EU

  37. WLAN uređaji IEEE 802.11b standarda • Karakteristike: • rad na 2,4 GHz, maksimalni propusni kapacitet 11Mb/s • rmplementiran WEP (Wireless Equivalent Protocol) za zaštitu: raspoloživosti, poverljivosti i integriteta p/i na prenosnom putu • Faktori rizika: • insertion attacks, Jamming (MT pećnica), Encryption Attacs, izviđanje/intercep. (war driving), kolaborativni rad, rekonfiguracija i napad brutalnom silom • 2001. - proboj WEP (RC4 algoritama) • brojne ranjivosti GSM: SIM kartice, SMS servisa, GPRS servisa i WAP(Wireless Application Protocol) • Zaštita: • redukovanje rizika sa politikom zaštite i najboljom praksom zaštite WLAN

  38. GSM 3-G - zaštita- • Povećana brzina prenosa sa 9,5 Kbps na 2 Mbps • Povećana frekvencija prenosa na 5,1 GHz • Povećana zaštita GSM standarda sa izmenama: • onemogućen napad na baznu st., duži Kz ključ • jači Kz algoritam, zaštita u svičerima ne u baznoj st. • podržava smart kartice i izbor autentif. algoritma • Potencijalne slabosti3-G WLAN: • logovanje na lažnoj baznoj stanici • forsiranje komunikacije bez kriptozaštite

  39. ZAKLJUČAK 1. Alati za mrežnu zaštitu obuhvataju: • A&A serveri za autent. i autori. pristupa RM • NIDS i skeneri RM za zaštitu integriteta RM • Barijere (firewals) za kontrolu pristupa RM (filtriranja rutiranih IP paketa i proksi barijere) • NIDS za monitoring RM 2. Zaštitni protokoli i Kz meh. za poverljivost i integritet p/i u RM(SSL, TLS i IPsec za implementaciju VPN servisa, WEP, WAP, 3-G ... ) 3. PKI Infrastrukturnu komponentu mrežne zaštite dopunjavaju smart kartice, tokeni, biometrijski uređaji, HSM i Kz akceleratori

  40. Pitanja za ponavljanje • Organizacija želi da za pristup administrativnim nalozima za RM uvede sistem jake autentifikacije. Navedite tri metode koje se mogu primeniti. • Koje su najveće razlike između detektora za upade na mrežu (NIDS), verifikatora integriteta sistema (SIV) i monitora log datoteka (LFM). • Koji se bezbednosni kvalitet dobija upotrebom NIDS sistema? • Navedite neke probleme vezane za upotrebu NIDS sistema. • Koje su prednosti HIDS i IDS sistema zasnovanih na aplikacijama nad NIDS sistemima.

  41. Pitanja za ponavljanje • Autentifikacioni i autorizacioni serveri u sistemu zaštite RM (Zaokružite tačne odgovore): • koriste se za decentralizovano upravljanje procesom autentifikacije u RM • obuhvataju skup privilegija ili prava pristupa korisnika (ljudi, programa) • obavezni su u sistemima za kontrolu pristupa sa udaljenih mrežnih lokacija • obezbeđuju odgovarajuće servise za više klijenata u klijent-server arhitekturi • mogu dodeljivati uloge korisnicima • ne povećavaju značajno bezbednost pristupa udaljenih korisnika, bez obzira na primenjeni metod A&A (mehanizam pasvorda, kriptografski mehanizam upit-odgovor tipa) • ne štite podatke koji se izmenjuju između korisnika i internog sistema (hosta) kada se konekcija jednom uspostavi. 7. Koje ključne module sadrži arhitektura tipičnih skenera ranjivosti RM? 8. Koji je glavni alat za kontrolu pristupa računarskoj mreži?

  42. Pitanja za ponavljanje 9. Proksi serveri su (Zaokružite tačne odgovore): • po funkcionisanju slični aplikativnim gateway • namenjeni uglavnom za kontrolu konekcija koje dolaze iz interne RM • namenjeni uglavnom za kontrolu konekcija koje dolaze sa Intraneta • ne zahtevaju autentifikaciju krajnjeg korisnika • ograničavaju dopuštene komunikacije na definisani skup protokola • primenjuju restrikciju kontrola pristupa i loguju kontrolne tragove • najčešći tip u praksi su web proksi serveri, koji se koriste samo za zaštitu • višefunkcionalni alati koji implementiraju važnu bezbednosnu funkcionalnost 10. Servis zaštita integriteta u mrežnom okruženju obuhvata dva tipa intgriteta: integritet podataka i integritet sesije komunikacije. (Tačno ili netačno).

  43. Pitanja za ponavljanje 11. Navedite najmanje tri razloga zašto je asimetrična infrastruktura sa javnim ključem (PKI-Public Key Infrastructure) jedna je od najbitnijih komponenti zaštite savremenih RM? 12. Glavni nedostatak PKI sistema - poverenje korisnika u povezanost javnog ključa i nominalnog vlasnika, prevazilazi se uspostavljanjem poverljivog provajdera zaštite (TTP), poznatog kao sertifikaciono telo - CA (Certificatio Authority), koji učesnicima izdaje digitalni sertifikat i garantuje povezanost javnog ključa sa imenom vlasnika na poverljiv i bezbedan način. (Tačno i netačno). 13. Osnovni standard za bežične mreže WLAN (IEEE 802.11b) ima implementiran WEP (Wireless Equivalent Protocol) protokol za zaštitu prenosa, dizajniran da obezbedi zaštitu raspoloživosti, poverljivosti i integritet koji do sada nije kompromitovan. (Tačno ili netačno)

More Related