1 / 44

Bezpečnosť IS

Bezpečnosť IS. Kerberos protokol Single Sign On služba Intrusion Detection System XML - bezpečnostné štandardy Viktor Kujaník, 2004. Kerberos autentifikačný protokol. Predstavenie: v ytvoren ý na Massachusetts Institute of Technology (198 8 )

missy
Download Presentation

Bezpečnosť IS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnosť IS Kerberos protokol Single Sign On služba Intrusion Detection System XML - bezpečnostné štandardy Viktor Kujaník, 2004

  2. Kerberosautentifikačný protokol

  3. Predstavenie: • vytvorený na Massachusetts Institute of Technology (1988) • Kerberos – meno trojhlavého psa, ktorý strážil Hades-a • Je voľne dostupný na stránkach Massachusetts Institute of Technology • Je dostupný aj ako komerčný produkt viacerých spoločností

  4. Kerberos • je sieťový autentifikačný protokol • je navrhnutý na poskytovanie silnej autentifikácie používaním „secret-key“ šifrovania Použitie: • client/server aplikácie • web aplikácie Hlavné úlohy: • zabezpečiť autentifikáciu – každý klient vie dokázať svoju identitu serveru (a naopak) • šifrovať celú komunikáciu klient – server – dáta nemôžu byť prečítané treťou osobou • zabezpečiť, aby dáta nemohli byť zmenené treťou osobou

  5. Základné pojmy • Security Service Provider (SSP) • Security Support Provider Interface (SSPI) • Secret Key šifrovanie • Key Distribution Center (KDC) • Data Encryption Standard (DES), RC4 • Kerberos Ticket

  6. Kerberos Ticket • názov domény a používateľa • rôzne príznaky • „encryption key“ – používaný na kryptovanie komunikácie medzi konkrétnym klientom a servrom • kryptované kópie názvov domény a používateľa • začiatočný a koncový čas platnosti daného ticketu • IP adresa identifikujúca klienta • autorizačné dáta – používané servrom na určenie privilégií používateľa

  7. Prihlasovanie • Prihlasovanie do Windows 2000 domény - login meno - heslo - názov domény • Ticket – Granting Ticket (TGT) • Kc – kľúč – hashované prihlasovacie heslo klienta (pozná ho len klient a KDS) • Kc,k – kľúč, ktorý vygeneruje KDC pre danú „session“ • Kk – kľúč, ktorý pozná len KDC

  8. Autentifikácia klienta vzdialenej službe • Požadovanie „ticketu“ pre konkrétnu službu • Predstavme si, že klient chce získať prístup k aplikácii, bežiacej na serveri S • Ks – kľúč, ktorý pozná len KDC s server S • Kc,s – kľúč, ktorý vygeneruje KCD na komunikáciu klienta so serverom S • Spätná autentifikácia servera klientovi

  9. Poskytovanie integrity a privátnosti dát Integrita: • počítanie „checksum-u“ každého packetu a jeho posielanie spolu s packetom • kryptovanie „checksum-u“ pomocou „session key“ – Kc,s, ktorý pozná len klient a server poskytujúci danú službu Privátnosť: • kryptovanie vzájomnej komunikácie medzi serverom a klientom použitím „session key“ – Kc,s • Aplikácie používajúce Kerberos nemusia využívať tieto služby integrity a privátnosti dát.

  10. Ďalšie možnosti Kerberosu Delegácia: • potrebná v prípade, že server, ktorý je používaný klientom, požaduje prístup na iný server v prospech daného klienta • klient poskytne svoj TGT serveru S s nastaveným príznakom na „FORWARDABLE“ • server S požiada KDC o nový ticket na server T v prospech klienta

  11. Autentifikácia medzi klientom a serverom v rozdielnych doménach: • potrebná v prípade, že klient požaduje o prístup na server, ktorý je v inej Windows doméne • doména klienta a doména žiadaného servera musia mať medzi sebou „trust“ vzťah • medzi doménami existuje tranzitívna dôvera

  12. Výhody Kerberos autentifikácie • efektívnejšia autentifikácia na server • vzájomná autentifikácia klienta a servera • delegovateľná autentifikácia • zjednodušený „trust“ manažment

  13. Slabosti protokolu Kerberos • Replay útoky • Synchronizácia času medzi klientmi a serverom • Útoky zamerané na uhádnutie hesla • Získanie hesla falošným login-om • Vystavenie „session“ kľúča

  14. Single Sign Onslužba

  15. Potreba prihlasovania sa do viacerých domén • Rozdielne bezpečnostné pravidlá • Voľba jednoduchých, ľahko uhádnuteľných hesiel • Zapisovanie si týchto hesiel • Strata času pri opakovanom prihlasovaní

  16. Viacnásobné prihlasovanie

  17. Single Sign On prihlasovanie

  18. Poskytovanie informácií na druhotné prihlasovanie • priamo • nepriamo • okamžite • uchovanie v cache pamäti

  19. Bezpečnostné aspekty SSO • Primárna doména správne overila totožnosť používateľa. • Autentifikačné informácie používané pri sekundárnom logine sú bezpečne uložené v primárnej doméne • Autentifikačné informácie sú chránené počas prenosu medzi primárnou a sekundárnou doménou

  20. Čo je Single Sign On Čo Single Sign On nie je • proxy pre používateľa • synchronizácia hesiel • identity manažment systém • provisioning systém

  21. Výhody Single Sign On • redukovanie času potrebného na prihlasovanie sa do jednotlivých domén a zároveň redukovanie časových strát pri neúspešných prihláseniach • zvýšená bezpečnosť vďaka zníženiu počtu potrebných autentifikačných informácií, ktoré si musí používateľ pamätať

  22. Ako Single Sign On pracuje? • inštalácia Single Sign On (SSO) systému • povolenie SSO na aplikáciach a databázach • pri prvom spustení – SSO si nahrá údaje potrebné pri prihlasovaní (prihlasovacie meno, heslo ...) • pri ďalších spusteniach – SSO vkladá potrebné údaje automaticky

  23. Single Sign On je vhodný, ak: • máme viacero aplikácií, do ktorých je nutné sa prihlasovať • veľké percento volaní na HelpDesk sa týka obsluhy hesiel • požadujeme pravidelné zmeny prístupových hesiel • nemôže nastať stav, že používatelia sa nemôžu prihlásiť do potrebnej aplikácia kvôli problémom s heslom • viacero aplikácií používa rozdielne pravidlá pre používanie hesiel • potrebujeme odľahčiť používateľov od častého zadávania hesiel

  24. XSSO – Open Single Sign On Standard Základné bezpečnostné požiadavky XSSO: • XSSO nemôže nepriaznivo ovplyvniť pružnosť systému • XSSO nemôže nepriaznivo ovplyvniť prístupnosť individuálnych systémových služieb • XSSO nemôže povoliť používateľom prístup k tajným informáciám používateľského účtu • XSSO má kontrolovať všetky bezpečnostné udalosti, ktoré sa vyskytnú v súvislosti s činnosťou XSSO • XSSO implementácia má chrániť všetky bezpečnostne relevantné informácie, aby bola zachovaná integrita loginov

  25. „Nevýhoda“ SSO • jedinou nevýhodou SSO je skutočnosť, že ak útočník získa prihlasovacie meno a heslo do SSO, automaticky získa prístup ku všetkým aplikácia a databázam, ktoré používajú SSO • táto nevýhoda však stráca svoj zmysel, ak si uvedomíme, že jedno dobre zvolené heslo je výrazne bezpečnejšie ako veľa jednoduchých hesiel, ktoré je možné ľahko uhádnuť alebo nájsť napísané na papieri

  26. Intrusion Detection System

  27. Čo je to IDS? • Intrusion detection system je technolódia vytvorená za účelom odhaľovania bezpečnostných narušení v počítačových sietach. • Je to akýsi alarm systém, ktorý poukazuje na určitú škodlivú aktivitu, ktorá sa deje. • Sám osebe neposkytuje bezpečnostné opatrenia, iba upozorňuje na prebiehajúci pokus o narušenie. (Novšie verzie, ako IPS už dokážu aj zabrániť narušeniu)

  28. Rozdelenie IDS (1) – podľa umiestnenia • Network Based IDS (NIDS) • Host Based IDS (HIDS) • Stack Based IDS (SIDS)

  29. Výhody NIDS • náklady na vlastníctvo • analýza packetov • nemožnosť zmazania dát • real-time detekcia • detekovanie útočných pokusov • nezávislosť od operačného systému

  30. Výhody HIDS • overenie útoku • monitorovanie špecifickej aktivity systému • monitorovanie kľúčových komponentov • plne funkčný aj na šifrovaných alebo switchovaných sieťach • nepotrebuje dodatočný HW

  31. Rozdelenie IDS (2) – podľa spôsobu detekcie útokov • Signature – based IDS • Statistical – based IDS

  32. Metódy analýzy packetov • vzorové porovnávanie • stavové vzorové porovnávanie • analýza dekódovaním protokolu • heuristická analýza • analýza zisťovania anomálií

  33. Možné reakcie IDS

  34. XML bezpečnostné štandardy

  35. Bezpečnostné schémy založené na XML • WS-Security (Bezpečnosť Webových služieb) • XML digitálny podpis • XML šifrovanie • SAML (Bezpečnostný Assertion Markup jazyk) • XKMS (XML špecifikácia pre správu kľúčov) • XACML (Extensible Access Control Markup jazyk) • ebXML Message Service

  36. WS-Security - Bezpečnosť Webových služieb Poskytuje: • integritu • utajenie • autentifikáciu Využíva: • XML digitálny podpis • XML šifrovanie

  37. XML digitálny podpis Poskytuje: • autentifikáciu • integritu • nepopierateľnosť Výhoda: • podpis iba určitej časti dokumentu Nevýhoda: • potreba zdrojov z internetu na zakódovanie a dekódovanie

  38. XML šifrovanie Umožňuje: • šifrovať len určitú časť dokumentu • kontrolu dešifrovania - ak je časť dokumentu najprv zašifrovaná a potom podpísaná, pri dešifrovaní sa nedešifruje - ak je časť dokumentu najprv podpísaná a potom zašifrovaná, pri dešifrovaní sa dešifruje • šifrovať buď celý element alebo obsah elementu

  39. Špecifikácie nadväzujúce na WS - Security • WS – Policy • WS – Trust • WS – Privacy • WS – Secure Conversation • WS – Federation • WS – Authorization

  40. SAML - Bezpečnostný Assertion Markup jazyk Definuje rámec na výmenu autentifikačných a autorizačných informácií cez internet Obsahuje 3 časti: • syntax a sémantika správ obsahujúcich tvrdenia (assertion) • protokoly žiadostí a odpovedí na výmenu bezpečnostných informácií • pravidlá pre používanie tvrdení v rámcoch správ

  41. Možnosti využitia SAML • Single Sign On • distribuovaná transakcia • autorizačná služba • autentifikácia • atribút • rozhodnutie o autorizácií Tvrdenia používané v SAML

  42. XKMS - XML špecifikácia pre správu kľúčov Skladá sa z dvoch častí: • X – KISS – XML Key Information Service Specification - špecifikácia služby informácií o kľúči • X – KRSS - XML Key Registration Service Specification - špecifikácia služby registrácie kľúča

  43. XACML - Extensible Access Control Markup jazyk • jeho úlohou je štandardizovať jazyk na popísanie autentifikácie a prístupových práv v XML • definuje, ako bezpečne a spoľahlivo posielať a prijímať správy pri elektronickom obchodovaní bez ohľadu na používaný komunikačný protokol ebXML Message Service

  44. Zdroje • http://www.cybersafe.ltd.uk/ • http://web.mit.edu/Kerberos/advisories/ • http://www.microsoft.com/windows2000/docs/Kerbinterop.doc • http://www.opengroup.org/security/sso/ • http://www.protocom.com/html/whitepapers/ • http://www.cisco.com/en/US/netsol/ • http://www.securitytechnet.com/rsc-center/vendor-wp/l-n.html • http://www106.ibm.com/developerworks/webservices/library/

More Related