Προχωρημένα Θέματα Δικτύων

Παρουσίαση με θέμα: "Προχωρημένα Θέματα Δικτύων"— Μεταγράφημα παρουσίασης:

1 Προχωρημένα Θέματα Δικτύων
Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής ΑΠΘ Μάθημα: 5 – Κρυπτογραφία για δίκτυα

2 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
Τα πρωτόκολλα του application layer (SMTP, HTTP) δεν παρέχουν καμιά ασφάλεια To SSL δημιουργήθηκε για να καλύψει την ανάγκη κρυπτογράφησης των πρωτοκόλλων του application layer και αντικαταστάθηκε από το TLS (Transport Layer Security) TLS → Συμμετρική κρυπτογράφηση για απόρρητο επικοινωνίας και MAC (Message Authentication Code) για προστασία από ΜitM επιθέσεις Αρχικά server & client διαπραγματεύονται τις παραμέτρους ασφαλείας σύνδεσης (αλγόριθμος κρυπτογράφησης/hash function) O server στέλνει το ψηφιακό πιστοποιητικό του (όνομα server/εταιρείας + CA + δημόσιο κλειδί υπογεγραμμένο από την CA) Παραγωγη session key για χρήση στη συμμετρική κρυπτογράφηση → O client κρυπτογραφεί ένα τυχαίο μεγάλο αριθμό (RN) και τον κρυπτογραφεί με το δημόσιο κλειδί του server (PbK) - Ακολούθως τον στέλνει στον server ο οποίος τον αποκρυπτογραφεί με το ιδιωτικό του κλειδί. O RN είναι πλέον το συμμετρικό κλειδί για την περαιτέρω επικοινωνία LIVE DEMO! Ο client γιατί εμπιστεύτηκε το public key του server; Αν κάποιος MitM είχε υποκλέψει την σύνδεση και την είχε οδηγήσει στον δικό του server;

3 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
Σημαντική λεπτομέρεια σχεδίασης του TLS: Χρησιμοποιεί ταυτόχρονα δυο hash functions (MD5 & SHA) με XOR Πρέπει να “σπάσουν” και τα δυο hash functions για να κινδυνεύει ένα μήνυμα από τροποποίηση e06723d4961a0a3f950e7786f !!!

4 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
Σημαντική λεπτομέρεια σχεδίασης του TLS: Χρησιμοποιεί ταυτόχρονα δυο hash functions (MD5 & SHA) με XOR Πρέπει να “σπάσουν” και τα δυο hash functions για να κινδυνεύει ένα μήνυμα από τροποποίηση A + Β + Γ B MD5 A Πληρωμή: 500€ HASH Συμμετρική Κρυπτογράφηση Γ SHA ΑLICE BOB

5 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
CA

6 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
trusted CA

7 Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία
SMTP IMAP

8 Γιατί αργεί να εφαρμοστεί το DNSSEC
DNS → Η πιο κρίσιμη υποδομή του Internet – Ιεραρχική σχεδίαση → DEMO Στον αρχικό σχεδιασμό του DNS δεν υπήρξε καμιά πρόβλεψη για ασφάλεια Κύριο πρόβλημα: DNS cache poisoning → Ο επιτιθέμενος τροποποιεί τις απαντήσεις του DNS server ανακατευθύνοντας τους clients σε server της επιλογής του DNSSEC → Domain Name System Security Extensions DNSSEC → Επιβεβαίωση ταυτότητας DNS server, Aσφάλεια από τροποποίηση δεδομένων Στην ιεραρχική δομή του DNS, το DNSSEC προβλέπει ψηφιακή υπογραφή κάθε απάντησης μεταξύ επιπέδων με χρήση κρυπτογραφίας δημοσίου κλειδιού Γιατί αργεί να εφαρμοστεί το DNSSEC Πολιτική & Εξουσία: Ποιος θα έχει τα DNS root keys; Πως θα λειτουργεί ταυτόχρονα με το απλό DNS για την περίοδο μετάβασης; Απαιτείται γράψιμο από την αρχή DNS server & client software

9 Ενότητα: Ασφάλεια Δικτύων IPsec
To Internet Protocol (IP) όπως και το DNS δεν σχεδιάστηκε με έμφαση στην ασφάλεια Οποιοσδήποτε μπορεί να στείλει ένα πακέτο αλλάζοντας την IP του (όπως και οποιοσδήποτε μπορεί να στείλει ένα αλλάζοντας τους headers του mail ώστε να φαίνεται άλλος αποστολέας) Είδαμε πριν το TLS/SSL που παρέχει ασφάλεια στις επικοινωνίες, όμως πρέπει η χρήση του να γίνει σε επίπεδο εφαρμογής· άρα development To IPsec λειτουργεί στο IP layer και χρησιμοποιείται είτε για ασφαλή host-to-host επικοινωνία, είτε για network-to-network, είτε για host-network IPsec Αρχιτεκτονική Κλειδιά: ΙΚΕ (Internet Key Exchange) ή manual ανταλλαγή (shared keys) Προστασία από αλλαγές (authentication): Authentication Header (AH) Προστασία από διαρροή και αλλαγές (encryption + authentication): Encapsulating Security Payload (ESP)

10 Ενότητα: Ασφάλεια Δικτύων IPsec
Modes λειτουργίας Tunnel Mode → To IP πακέτο κρυπτογραφείται μαζί με τον header του και ενθυλακώνεται σε ένα άλλο IP πακέτο → Έτσι υλοποιούνται τα IPsec VPNs Payload IP header new IP header Encrypted IP Packet → Κρυπτογραφείται μόνο το payload → Ο IP header παραμένει ανέπαφος για να μπορεί να γίνει το routing χωρίς αλλαγές → Eάν χρησιμοποιείται authentication του IP header, τότε οι IP δεν μπορούν να γίνουν translate (NAT), γιατί θα άλλαζε το header checksum Transport Mode Payload IP header Encrypted Payload IP header

11 Ενότητα: Ασφάλεια Δικτύων IPsec
Case study: Κίνηση εταιρικών παραρτημάτων πάνω από untrusted φορέα Shared key Frame Relay Point to point untrusted link IPsec Tunnel Προσομοιωτής:

12 Ενότητα: Ασφάλεια Δικτύων IPsec
Εργασία Case study: Κίνηση εταιρικών παραρτημάτων πάνω από untrusted φορέα Cisco IPsec Configuration: crypto isakmp policy 1 encr aes authentication pre-share group 2 lifetime 3600 ! crypto isakmp key MyKey address crypto ipsec transform-set TR-AES esp-aes esp-sha-hmac crypto map toRemoteSite 10 ipsec-isakmp set peer set transform-set TR-AES match address 102 interface FastEthernet0/0 ip address duplex auto speed auto crypto map toRemoteSite ip route FastEthernet0/0 ! access-list 102 permit ip access-list 102 permit ip Συμπληρώστε όπου χρειάζεται το config των συσκευών. Εξηγείστε τι κάνει η εντολή ip route... και τι συμβαίνει αν αφαιρεθεί. Δείξτε ότι λειτουργεί το IPsec tunnel με την εντολή show crypto map Τρέξτε ένα ping και επιβεβαιώστε με τον προσομειωτή του Packet Tracer ότι όντως τα πακέτα κρυπτογραφούνται

13 QuiZ #2 Σε κάποια θύρα του 155.207.113.227, σας περιμένει ένας γρίφος.
Το σύστημα είναι αυτοματοποιημένο – ΌΧΙ απαντήσεις στο mail μου Διορία: Δεν υπάρχει Έπαθλο: Αύξηση του τελικού βαθμού στο μάθημα κατά 0.7n-1 για την n-οστή απάντηση