1 / 11

Bezpečnost v Gridech

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince 2006. Proč bezpečnost. Ochrana uživatele citlivá data ochrana výzkumu Ochrana majitele prostředků iniciace dDoS, spamový robot, lokální síť, warez archiv Ochrana virtuální organizace middleware (plánovač, systém souborů, ...)

hue
Download Presentation

Bezpečnost v Gridech

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006

  2. Proč bezpečnost • Ochrana uživatele • citlivá data • ochrana výzkumu • Ochrana majitele prostředků • iniciace dDoS, spamový robot, lokální síť, warez archiv • Ochrana virtuální organizace • middleware (plánovač, systém souborů, ...) • přístup k mnoha CE, SE (viz současný stav EGEE)

  3. Bezpečnostní mechanismy • Autentizace • přihlášení do gridu • Single Sign-On • Autorizace • Ochrana dat • Transparentnost pro uživatele

  4. Bezpečnost v METACentru • Od počátku autentizace heslem • Kerberos • centrální správa hesel • lístky, AFS tokeny • Přihlášení k METACentru, vytvoření lístků • explicitní – kinit, GUI • implicitní – ssh • Ochrana komunikace přes Kerberos • ssh, krb-telnet, pbs, AFS • autorizace přes ~/.k5login, AFS PTS • Nástup PKI, HW tokenů

  5. Infrastruktura veřejných klíčů • Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč • Elektronický podpis, šifrování • asymetrická kryptografie • Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen • Certifikát je svázán s uživatelem: • identifikace uživatele (jméno, příjmení, instituce) • platnost (zpravidla jeden rok) • dodatečné informace (emailová adresa) • veřejný klíč uživatele • elektronický podpis CA

  6. Certifikační autorita • Vydává digitální certifikáty uživatelům • Autentizace uživatele • pomocí digitálního certifikátu a soukromého klíče • Ověřovatel certifikátu důvěřuje CA • podpis CA na certifikátu je dostatečný pro identifikaci • Formální politika CA • popis procedur pro vydávání certifikátů apod. • její kvalita ovlivňuje úroveň akceptování jejich certifikátů • International Grid Trust Federation (IGTF) • vyhodnocování a akreditace CA • základ většiny gridových projektů • certifikát od akreditované CA je zpravidla nutností • CESNET CA

  7. CESNET CA • IGTF akreditovaná CA • certifikáty pro uživatele z českých akademických institucí • on-line vydávání certifikátů přes webové rozhraní a prohlížeč • není potřeba generovat žádosti přes příkazovou řádku • Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci • Dvě registrační místa (Praha a Brno) • ověřování identity uživatele

  8. CESNET CA • Získání digitálního certifikátu: • registrace žádosti o certifikát na https://lai.cesnet.cz/ • potvrzení všech emailových adres uvedených v žádosti • osobní návštěva registrační autority • výsledkem je získání kódů pro generování certifikátu • vygenerování certifikátu přes www.cesnet-ca.cz • vyplnění kódů do formuláře • (výběr úložiště certifikátů a soukromého klíče) • Prodloužení platnosti • elektronicky podepsat notifikační mail • CESNET CA posílá notifikace měsíc před vypršením • CESNET CA vrátí kódy v zašifrovaném mailu • pokračovat bodem 4. výše

  9. PKI v Gridech • PKI je nejčastější autentizační mechanismus v gridech • Proxy certifikáty • podpora SSO a delegování • zobecnění principu CA – uživatel podepisuje další certifikáty • uživatel může vytvořit pouze proxy pro svou identitu • libovolně dlouhý řetěz proxy certifikátů • pouze krátkodobé (8 hodin) • proxy certifikát je uložen na disku nešifrovaně • VOMS • atributová služba, správa skupin a rolí v rámcí VO • atributy jsou ukládány uvnitř proxy certifikátů • Přihlášení do gridu = vytvoření proxy certifikátu

  10. Správa soukromých klíčů • Narozdíl od hesla soukromý klíč je na disku • příslušný soubor bývá zašifrován • Nebezpečí kompromitování • nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor, ... • Úložiště klíčů • on-line credentials repository (MyProxy) • vydávají pouze krátkodobé certifikáty (proxy) • autentizace heslem, OTP, Kerberovským lístkem • Čipové karty • specializovaná HW zařízení s chráněnou pamětí a procesorem • kryptografické operace prování přímo token • soukromý klíč nikdy neopustí paměť tokenu • upravené aplikace

  11. HW tokeny • Distribuce tokenů pro české gridové uživatele • Uživatelům METACentra/EGEE propůjčujeme HW tokeny • vlastní vývoj • GUI, Putty & WinSCP pro Windows • balíčky pro Linux

More Related