1 / 22

Authentication and Inbound Services

Authentication and Inbound Services. AUTHENTICATION and INBOUND SERVICES. Indice. - Inbound Services - Tipi di servizio - Rischi. - Autenticazione - Cos’è l’autenticazione - Meccanismi di autenticazione - One-Time Password - Time Based Password

mayes
Download Presentation

Authentication and Inbound Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Authentication and Inbound Services AUTHENTICATION and INBOUND SERVICES

  2. Indice - Inbound Services - Tipi di servizio - Rischi - Autenticazione - Cos’è l’autenticazione - Meccanismi di autenticazione - One-Time Password - Time Based Password - Challenge-Response - Criptazione - Cosiderazioni - A che livello criptare ? - Cosa criptare ?

  3. Introduzione Tipi di servizio • Servizi senza autenticazione : • proteggere i server (ftp, http...) rendendo disponibile solo le informazioni desiderate e niente altro. • Servizi con autenticazione : • l’utente che desidera informazioni deve farsi riconoscere e il server deve decidere se è autorizzato ad avere ciò che chiede.

  4. Servizi con autenticazione Rischi • Hijacking : rubare la connessione di un utente che si è autenticato con il sistema. • Packet sniffing : leggere dati segreti che passano sulla rete senza necessariamente interferire con la connessione. • False authentication : convincere il sistema di essere un utente valido, pur non essendolo.

  5. Rischi Hijacking • Un attaccante dirotta la connessione di un utente valido al proprio computer remoto. - Soluzioni - Packet filtering

  6. Rischi Packet sniffing • Un attaccante, tramite programmi automatizzati, legge i pacchetti sulla rete. Può quindi intercetta-re passwords o dati. - Soluzioni - Utilizzo di password non riusabili. - Criptare i dati.

  7. Rischi False authentication • Un attaccante riesce ad autenticarsi pur non essendo un utente valido. - Soluzioni - Utilizzo di password non riusabili. N.B. : É inutile criptare le passwords.

  8. Autenticazione Cos’è l’autenticazione La verifica di ... • Qualcosa che sei : caratteristiche biometriche ( impronte digitali, retina, voce... ) • Qualcosa che sai : la password tradizionale • Qualcosa che hai : smart cards

  9. Meccanismi di autenticazione Sistemi con passwords non riusabili • Encrypted time stamp System. • - problemi : sapere come criptare il time stamp. • sincronizzare client e server. •  utilizzo di hardware sofisticato. • Challenge-Response System. • - problema : ricordare troppe risposte.  algoritmo a partire dal challenge.

  10. Meccanismi di autenticazione One-Time Passwords: S/Key - TIS FWTK - Permette di autenticare un utente senza che il sistema mantenga informazioni che compromet-tano la sicurezza. - Utilizza MD4, un algoritmo crittografico che utilizza una funzione hash a partire da un valore iniziale (seed ) generato casualmente o fornito dall’utente.

  11. Meccanismi di autenticazione S/Key - TIS FWTK : ESEMPIO seed foobar MD4 key 1 LOS GIL PET EBEL SAUL JUNK MD4 key 2 MOAN DUEL SALE JOBS AREA TOAD key 97 GALE DEER MOVE TIDE MARY FARM MD4 key 98 YET FUR TAP MINT SLY TROY

  12. Meccanismi di autenticazione S/Key - TIS FWTK : ESEMPIO Attacco Forza Bruta • Si può tentare di indovinare la chiave richiesta, ma il successo è improbabile: • Alto numero di chiavi possibili. • Complessità dell’algoritmo MD4. • Questo approccio è considerato computazional-mente irrealizzabile, se non per attaccanti con enormi possibilità.

  13. Meccanismi di autenticazione S/Key - TIS FWTK : ESEMPIO Attacco del dizionario • Questo approccio è molto più realizzabile se il seed iniziale viene fornito dall’utente. Infatti tale seed ha gli stessi punti deboli di una password. • É pertanto preferibile che il seed sia generato casualmente dal sistema.

  14. Meccanismi di autenticazione S/Key - TIS FWTK : ESEMPIO Attacco con sniffing • Un attaccante può leggere l’inizio di una chiave e tentare di modificare il resto esaustivamente prima che sia terminata l’autenticazione. • Il tempo a dispozione di un’attaccante è estremamente limitato. • Es: connessione Telnet - l’input giunge lettera per lettera e questo rende l’operazione possibile.

  15. Meccanismi di autenticazione Time Based Passwords: Security Dynamics - In alcuni sistemi la password cambia nell’ordine del minuto, secondo un’algoritmo conosciuto dal sistema e da un device dell’utente. - In genere questo device è una carta in cui è memorizzata la chiave con cui criptare il current time. - Problemi di sincronizzazione costringono ad utilizzare hardware particolari.

  16. Meccanismi di autenticazione Time Based Password : ESEMPIO User System Login(Joe) Request Password Encript Current Time with JoeKey Checking Password & Current Time Send Password + JoeKey(Current Time) Authentication Ok

  17. Meccanismi di autenticazione Challenge-Response: SNK-004 - TIS FWTK 1) L’utente digita una login. 2) Il sistema risponde con un challenge. 3) L’utente sblocca la carta SNK-004 con un PIN di quattro cifre ( 5 tentativi ). 4) L’utente inserisce il challenge, riceve la risposta criptando il challenge ( DES ) e la invia al sistema. 5) Il sistema cripta il challenge e lo confronta con la risposta.

  18. Meccanismi di autenticazione FKN-004 - TIS FWTK : ESEMPIO User System Login(Joe) Challenge (332784) Unlock FKN-004 with PIN DES-encript challenge Response (42573624) Checking (42573624) Authentication Ok

  19. Criptazione: considerazioni Considerazioni sulla criptazione • Privacy : è ovvio che se si inviano dei dati criptati rimarranno segreti anche su un canale insicuro. • Autenticazione : se si riesce a decriptare dei dati criptati si è anche a conoscenza di chi li ha criptati, assumendo che mantenga segreta la sua chiave.

  20. Criptazione: considerazioni A che livello criptare ? • Application-Level : richiede un supporto nelle applicazioni che si usano. • - Applicazioni utilizzate frequemtemente. • - Limitato numero di macchine coinvolte. • (es: PGP per le e-mail ) • Network-Level : criptare i dati prima che entrino nella rete insicura e decriptarli alla destinazione. • (es: uso di firewalls )

  21. Criptazione: considerazioni Network-Level : ESEMPIO server firewall dati criptati firewall server

  22. Criptazione: considerazioni Cosa criptare ? • Segmento dati TCP, UDP, ICMP : • - Proteggere solo i dati. • - Rendere semplici le operazioni di packet filtering. • Segmento dati IP : • - Proteggere i dati e il tipo di protocollo usato. • - Decriptazione prima del packet filtering. • Intero pacchetto IP : • - Proteggere anche gli indirizzi. • - Creazione di un “tunnel” fra i due siti.

More Related