Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια."— Μεταγράφημα παρουσίασης:

1 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια & Ιδιωτικά Κλειδιά, Έλεγχος Πρόσβασης, ΑΑΙ (Authentication & Authorization Infrastructure) Β. Μάγκλαρης 10/11/2014

2 2 ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε.Μ.Π. ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε.Μ.Π. ntua.gr ( /16, ASN 3323) ΠΡΟΣΟΧΗ Οι πίνακες δρομολόγησης στο Internet για λόγους ομοιομορφίας είναι της μορφής: Prefix Δικτύου Τελικού Προορισμού :: IP Interface Εισόδου Επόμενου Κόμβου ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π βρίσκει τον δρομολογητή του ΕΚΠΑ σαν μέλος του υποδικτύου: /30 (παροχή διευθύνσεων από Ε.Μ.Π.) Η γραμμή Ε.Μ.Π. – ΕΚΠΑ (όπως όλες οι γραμμές σε Δίκτυα Internet) ορίζεται σαν υποδίκτυο (prefix) με 4 τουλάχιστον διευθύνσεις IP: Υποδίκτυο: Άκρο Ε.Μ.Π.: Άκρο ΕΚΠΑ: Broadcast: ΑΝΤΙ-ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π βρίσκει τον δρομολογητή του ΕΔΕΤ σαν μέλος του υποδικτύου: /31 (παροχή διευθύνσεων από ΕΔΕΤ)

3 ΕΠΑΝΑΛΗΨΗ: ΑΛΓΟΡΙΘΜΟΙ ΕΥΡΕΣΗΣ ΔΡΟΜΩΝ ΣΤΟ ΕΠΙΠΕΔΟ 3 ΤΟΥ INTERNET DV: Distance Vector (αλγόριθμος Bellman-Ford) –EGP: BGP (Border Gateway Protocol) e-BGP: External BGP (μεταξύ AS’s) i-BGP: Internal BGP (μεταξύ δρομολογητών κορμού ενός AS) LS: Link State (αλγόριθμος Dijkstra) –IGP: OSPF (Open Shortest Path First): Link State Data Base + αλγόριθμος Dijkstra στον κορμό Αυτόνομου Δικτύου (Core of an Autonomous System, OSPF Area 0) –Κατάσταση (τοπολογία, κόστος) γραμμών δικτύου: Κόστος ανάλογο με την ταχύτητα ή οριζόμενα από τον Διαχειριστή Σε δρομολογητές κορμού (OSPF Area 0): Ανανέωση κατάστασης γραμμών μέσω LSA (Link State Advertisements) Στα περιφερειακά υποδίκτυα (OSPF Stub Areas): Default G/W Για δίκτυα εκτός AS: Ανακοινώσεις εντός AS μέσω i-BGP

4 4 ΔΡΟΜΟΛΟΓΙΣΗ ΕΠΙΠΕΔΟΥ 2 - LINK LAYER ΕΙΚΟΝΙΚΑ ΤΟΠΙΚΑ ΔΙΚΤΥΑ VLANs (IEEE 802.1Q) VLAN “Red” (VID 00d) Switch Ports 1 & 9 Subnet /24 Default Gateway VLAN “Blue” (VID 003) Switch Ports 4 & 12 IP Subnet /24 Default Gateway Trunk Switch Port 5 ETHERNET SWITCH IP ROUTER warp.core.ntua.gr ΦΥΣΙΚΗ ΣΥΝΔΕΣΗ: ΛΟΓΙΚΗ ΔΙΑΣΥΝΔΕΣΗ: matrix.netmode.ntua.gr :13:a9:34:dd:aa DG: :08:7c:63:e4: :13:72:f6:5f:83 DG: :08:7c:63:e4: :50:da:51:95:10 DG: :08:7c:63:e4: :16:17:72:72:76 DG: :08:7c:63:e4: TPIDPCPCFIVID 16 bits3 bits1 bit12 bits MAC Address ETHERNET II IP, TCP/UDP, Data 802.1Q Framing Add-On’s TPID: Tag Protocol ID PCP: Priority Code Point CFI: Canonical Format Identifier VID: VLAN ID (< 4096) 00:08:7c:63:e4:00 ARP DNS

5 5 ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (1/2) Spanning Tree Protocol - STP, IEEE 802.1D Εξέλιξη των Αλγορίθμων Διάρθρωσης Διαφανών Γεφυρών Spanning Tree Protocol (STP) for Transparent Ethernet Bridges Radia Perlman, DEC & MIT Αναδιαμόρφωση Spanning Tree Χρόνος Αντίδρασης σε Βλάβη: ~ 60 sec Γέφυρες (Bridges, Switches): 3 (Root), 24, 92, 4, 5, 7, 12 Τοπικά δίκτυα Ethernet: a, b, c, d, e, f RP: Root Port DP: Designated Port BP: Blocking Port

6 6 ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (2/2) Spanning Tree Protocol - STP, IEEE 802.1D SWITCH 1: Root Bridge SWITCH 3SWITCH 2 SWITCH 4 RP DP BP RP: Root Port DP: Designated Port BP: Blocked Port PC_4 PC_3PC_6 PC_5 PC_8 PC_7 PC_2 PC_1 Layer 2 Manager PC_10PC_9 PORT STATES Listening: Ακούει τα BPDU’s Learning: Μαθαίνει τις διευθύνσεις MAC πίσω της & δημιουργεί την filtering ή switching data base. Blocking: Ακούει τα BPDU’s αλλά δεν ενεργοποιεί προώθηση πακέτων εκτός να αντιληφθεί ότι το επικαλύπτον δένδρο έχει διασπαστεί Forwarding: Ακούει τα BPDU’s και προωθεί κανονικά τα πακέτα Disabled: Μη ενεργή Bridge Protocol Data Units (BPDUs) Περιοδικά μηνύματα πρωτοκόλλου STP κάθε 2 sec (default) Forwarding Data Base per Switch Port Forward MAC frames to known destinations, e.g.. PC_6, PC_7, PC_2, PC_3, PC_5 to port from which it last heard them prior to aging, e.g. RP Forward to PC_10 only MAC frames addressed to it & broadcasts Broadcast unknown destination MAC frames (promiscuous mode) Γνωστό στο Switch 4 Άγνωστο στο Switch 4 Aging: 300 sec (default) Ενεργή σύνδεση Ανενεργή σύνδεση

7 7 PE: Provider Edge Bridge CE: Customer Edge Bridge RB: Regular Bridge Provider Network CE PE Regular bridges Customer Network RB ΕΠΕΚΤΑΣΗ ΓΕΦΥΡΩΜΕΝΩΝ ETHERNET ΣΕ ΔΙΚΤΥΑ ΠΑΡΟΧΩΝ Provider Backbone Bridges - PBB PBB, IEEE 802.1ah (2007): Επέκταση Ethernet (GigE, 10 Gig) σε Μητροπολιτικά Δίκτυα (MAN’s) & WANs – Τυποποίηση πρωτοκόλλων VPLS, MAC-in-MAC και Q-in-Q για επέκταση VLAN’s μεταξύ τοπικών δικτύων LAN’s με διαχείριση ποιότητας υπηρεσίας – Προς συρρίκνωση τοπολογίας επιπέδου 3  collapsed backbone με μηχανισμούς μεταφοράς επιπέδου 2: 10 Gig point-to-point Ethernet transport

8 ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία –Πολιτικές –Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) –Εργαλεία (Access Control Lists – ACLs, Firewalls) –Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

9 ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)

10 ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά , αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

11 Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ malware

12 ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman –Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 –Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά –Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

13 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self- signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) –Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π –Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π

14 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature

15 ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ 15

16 ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

17 ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα : Φάση hand-shaking (αρχική φάση) –Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography –Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο- μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) –Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet –Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP –Secure Sockets Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ- εγκατεστημένο client S/W)


Κατέβασμα ppt "ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google