Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 12/12/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Τεχνολογίες Internet Υπηρεσίες & Εφαρμογές Τμήμα 1I-ΙΝΠ01 – Web Design / Development Κωνσταντίνος Σαπουντζής.
Advertisements

Β. Μάγκλαρης 07/03/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ.
Next Generation Networking
Εικόνα 4.1: Τμήμα του εθνικού οδικού δικτύου (Αττική οδός)
Microsoft ISA (Internet Security and Acceleration) Server 2004.
Διαχείριση Δικτύων Ευφυή Δίκτυα
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή: Το Internet, Μοντέλο Διαχείρισης FCAPS Β. Μάγκλαρης 02/12/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Ασφάλεια Ηλεκτρονικού Εμπορίου
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
ΤCP/IP Τι είναι; Σύντομο Ιστορικό
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Εθνικό Δίκτυο Έρευνας & Τεχνολογίας Η συνεισφορά των προηγμένων δικτύων έρευνας & εκπαίδευσης στην προώθηση της ευρυζωνικότητας Στέλιος Σαρτζετάκης ΕΔΕΤ.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
ΚΕΝΤΡΟ ΔΙΚΤΥΩΝ - ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ GRNET-TECH, Οκτώβριος 2004 ΝΕΕΣ ΥΠΗΡΕΣΙΕΣ ΔΙΚΤΥΟΥ ΚΟΡΜΟΥ Διαχειριστική Ομάδα ΕΜΠ Παρουσίαση: Δουίτσης Αθανάσιος.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III Β. Μάγκλαρης 18/12/2009.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ INTELLIGENT NETWORKS Β. Μάγκλαρης 15/01/2010.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
Τεχνολογία TCP/IP TCP/IP internet είναι ένα οποιοδήποτε δίκτυο το οποίο χρησιμοποιεί τα πρωτόκολλα TCP/IP. Διαδίκτυο (Internet) είναι το μεγαλύτερο δίκτυο.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ – ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ Β. Μάγκλαρης
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 16/01/2012.
Β. Μάγκλαρης 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΚΤΥΑ EDI Ζητήματα Ασφάλειας 9/5/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
Σύνοψη 1 Αρχές διαδικτύου 1.1 Αναδρομή – εισαγωγή
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
Εργαστήριο NETMODE - Οκτώβριος Μοντέλο κατανεμημένης διαχείρισης δικτύων βασισμένο στην XML Στόχος: μοντελοποίηση.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 2 Β. Μάγκλαρης 10/01/2011.
Διαχείριση Δικτύων - Ευφυή Δίκτυα Διαχείριση Ασφάλειας – 2 ο Μέρος (Β. Μάγκλαρης, Χ. Σιατερλής, Γ. Κουτέπας) 16/1/08.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μέρος Β’ Β. Μάγκλαρης 04/02/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές & Πρωτόκολλα Δρομολόγησης στο Internet (IΙ) Επίπεδο 2: Provider Backbone Bridges (mac-in-mac) Επίπεδο 2.5: Multi-Protocol.
Η Κρυπτογραφία στην ζωή μας. Η Κρυπτογραφία ασχολείται με την μελέτη της ασφαλούς επικοινωνίας. Ο κύριος στόχος της είναι να παρέχει μηχανισμούς για 2.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS ΕΙΚΟΝΙΚΑ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή (III) Το Εμπορικό Παγκόσμιο Internet Tier 1, Tier 2 Internet Service Providers Ακαδημαϊκά Δίκτυα Internet Exchanges Β. Μάγκλαρης.
ΕΝΟΤΗΤΑ 1 – Κεφάλαιο 4: Δίκτυα Υπολογιστών Λέξεις Κλειδιά: Δίκτυο υπολογιστών (Computer Network), πόροι δικτύου, τοπικό δίκτυο (LAN), δίκτυο ευρείας περιοχής.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
Β. Μάγκλαρης 3/10/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή Πρότυπο τριών Διαστάσεων Λειτουργίας Μοντέλο Διαχείρισης.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1)
Προχωρημένα Θέματα Δικτύων
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Β. Μάγκλαρης 28/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ευφυή Δίκτυα (Ι) Εικονικά Ιδιωτικά Δίκτυα - Virtual Private Networks.
Β. Μάγκλαρης 30/11/2015 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές  Firewalls.
Β. Μάγκλαρης 10/10/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονική του Internet Διευθυνσιοδότηση στο Internet Το Παγκόσμιο.
Κεφάλαιο 7 Διαδικτύωση-Internet
Β. Μάγκλαρης 07/12/2015 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ευφυή Δίκτυα (Ι) Εικονικά Ιδιωτικά Δίκτυα - Virtual Private Networks.
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Εικόνα 4.1: Τμήμα του εθνικού οδικού δικτύου (Αττική οδός)
Κεφάλαιο 7: Διαδικτύωση-Internet
Β. Μάγκλαρης 7/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές Επιπέδων MAC και MPLS σε Δίκτυα Κορμού στο Internet.
Κεφάλαιο 1 Διαδίκτυο και παγκόσμιος ιστός Εισαγωγικές έννοιες
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Β. Μάγκλαρης 21/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙI) Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Εικόνα 4.1: Τμήμα του εθνικού οδικού δικτύου (Αττική οδός)
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Μεταγράφημα παρουσίασης:

Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 12/12/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ (VPN) ΑΝΩΝΥΜΙΑ, TOR ΕΝΟΠΟΙΗΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΥΓΚΛΙΣΗ ΕΠΙΚΟΙΝΩΝΙΩΝ: 5G, Future Internet… Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 12/12/2016

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία Πολιτικές Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) Εργαλεία (Access Control Lists – ACLs, Firewalls) Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Παραλήπτης Π Δημόσιο Κλειδί Π Ιδιωτικό Κλειδί Π Μετάδοση Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Αλγόριθμος Αλγόριθμος Μήνυμα Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα

Κατακερματισμού (Hashing Algorithm) ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Αλγόριθμος Κατακερματισμού Αποστολέας Α Παραλήπτης Π Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Να γίνει κάποιο σχήμα Περίληψη Μηνύματος (Hash) Μήνυμα Αλγόριθμος Κρυπτογραφίας Σύγκριση Μετάδοση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Digital Signature Ιδιωτικό Κλειδί Α Δημόσιο Κλειδί Α

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ http://en.wikipedia.org/wiki/Digital_signature

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ. 509 https://technet. microsoft ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 https://technet.microsoft.com/en-us/library/cc962029.aspx Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2ο (ή και 3ο, 4ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 1η Φάση: Handshaking Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS – U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν)  έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)

ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΗ, AAI Single Sign-On, ΠΑΡΟΧΟΙ ΤΑΥΤΟΤΗΤΑΣ IdP AAI – Authentication & Authorization Infrastructure Τρόποι Ταυτοποίησης Χρηστών: Username, Password LDAP Server (Lightweight Directory Access Protocol) RADIUS (Remote Authentication Dial-In User Service) Active Directory (MS Windows) Οι Υποδομές Ταυτοποίησης & Εξουσιοδότησης (ΑΑΙ) επιτρέπουν πρόσβαση Single Sign-On (SSO) σε χρήστες διαδικτυακών πόρων κατανεμημένων σε παρόχους με αμοιβαία εμπιστοσύνη: Ταυτοποίηση (Authentication) μια φορά Εξουσιοδότηση ξεχωριστά με κάθε πάροχο Μεσολάβηση Παρόχου Tαυτότητας (Identity Provider - IdP) π.χ. Facebook, Twitter, Google User Accounts για Εξουσιοδότηση Single Sign-On σε υπηρεσίες με σχετικό security token συνδρομητή από IdP σε Service Providers που το εμπιστεύονται (π.χ. OAuth – Open standard for Authorization, SAML - Security Assertion Markup Language) Επιβεβαίωση Ισχυρισμών Ταυτότητας (Identity Assertion) από WAYF (Where Are You From) servers μέσω πρωτοκόλλου SAML ή από LDAP servers με πιστοποιητικά X509 Συνέργεια IdP σε ομόσπονδα σχήματα AAI (π.χ. US Internet2 Shibboleth, GÉANT eduGAIN)

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2)

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) Σχήμα με IMAP/POP3 Clients (Outlook, Thunderbird, Fedora…) IMAP: Κρατάει αντίγραφα emails και συντηρεί mail folders των users στον server POP3: Δεν κρατάει αντίγραφα emails στον server αφού διώξει τα emails στον client (πρόβλημα για χρήστες που λαμβάνουν email σε πολλαπλούς clients) Παράδειγμα Web Mail

ΠΑΡΑΔΕΙΓΜΑ ΧΡΗΣΗΣ Firewall Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ Intrusion Detection Systems – IDS Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Η απόλυτη (;;;) ασφάλεια: Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο Υπολογιστικό σύστημα (Host based IDS) Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" (signatures) γνωστών περιστατικών ασφαλείας (Misuse Detection) Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους (Anomaly Detection)

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ Παράμετροι Αποτίμησης Ποιότητας IDS ΟΡΙΣΜΟΙ P-Positives: Επιθέσεις N-Negatives: Κανονική λειτουργία TP- True Positives: Ορθώς διαγνωσμένες επιθέσεις TN-True Negatives: Ορθώς μη διαγνωσμένες επιθέσεις FP-False Positives: Λανθασμένες διαγνώσεις επιθέσεων (false alarms) FN-False Negatives: Επιθέσεις που δεν διαγνώστηκαν ΠΑΡΑΜΕΤΡΟΙ ΑΠΟΤΙΜΗΣΗΣ IDS Ευαισθησία: TP/P (συχνότητα ορθών διαγνώσεων επιθέσεων) Ακρίβεια: TN/N (συχνότητα ορθώς μη διαγνωσμένων επιθέσεων) Απόδοση: Ταχύτητα συλλογής στοιχείων και επεξεργασίας αναφορών. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS Ταχύτητα κατάληξης σε συμπεράσματα, ενεργοποίηση αντίμετρων πολιτικών μετριασμού (mitigation policy) σε επιθέσεις (π.χ. firewall rules, incident reporting σε ομάδες CSIRT - Computer Security Incident Response Teams)

ΕΙΚΟΝΙΚΑ ΙΔΙΩΤΙΚΑ ΔΙΚΤΥΑ Virtual Private Networks - VPNs https://en.wikipedia.org/wiki/Virtual_private_network Με τα VPNs χρήστες κοινών κατανεμημένων πόρων διαμοιράζονται δημόσια δίκτυα μεγάλης αποστάσεως (public wide area networks – WANs) όπως το Internet ή δίκτυο IP/MPLS, διασφαλίζοντας: Απομόνωση από άλλες κοινότητες π.χ. μέσω ενθυλάκωσης πακέτων του VPN (μαζί με τους ιδιωτικούς headers) σε πακέτα συμβατά με πρωτόκολλα Δημοσίου Δικτύου (tunneling) Διαχείριση δικτυακών πόρων & υπηρεσιών ανά VPN: Επέκταση πεδίου διευθύνσεων VLAN tags ή IP σε απομακρυσμένες νησίδες ενός VPN Δρομολόγηση με περιορισμούς ασφαλείας και διαμοιρασμού φορτίου – traffic engineering Ασφαλής μετάδοση και σηματοδοσία όπως σε ελεγχόμενο τοπικό δίκτυο (Local Area Network – LAN)

ΕΙΔΗ VPNs & Tunneling Protocols Layer 2 VPN (L2VPN): Επέκταση L2/VLAN over Provider WAN π.χ. Point-to-point L2TP (Layer 2 Tunneling Protocol) πάνω από IP/MPLS Provider Network Point-to-point Επεκτάσεις PW (Pseudo-Wire) πάνω από IP/MPLS Provider Network Multipoint VPLS (Virtual Private LAN Service) πάνω από MPLS Provider Network Επέκταση Mac-in-Mac (IEEE 802.1ah) πάνω από L2 Provider Bridge Network Layer 3 VPN (L3VPN): Επέκταση IP Intranet σε Extranet μέσω Provider WAN π.χ. IP ή MPLS tunnels μεταξύ εικονικών δρομολογητών (Virtual Routing & Forwarding, VRF) ορισμένων στους PE Nodes (Routers) ανά VPN Διαδικασία Ασφαλούς Επικοινωνίας IPsec Tunnels μεταξύ PE’s BGP/IP Provider Network(s) Generic Routing Encapsulation GRE Tunnels μεταξύ PE’s BGP/IP Provider Network(s) Διαδικασία Ασφαλούς Επικοινωνίας OpenVPN Tunnels μεταξύ τερματικών συσκευών χρηστών client - server, hosted σε διαφορετικά διαχειριστικά περιβάλλοντα μέσω SSL/TLS (συνήθως προτιμάται η χρήση πρωτοκόλλων UDP και η προ-εγκατάσταση certificates στον client)

IPsec TUNNELING ECE 454/CS 594, Jinyuan (Stella) Sun, Univ IPsec TUNNELING ECE 454/CS 594, Jinyuan (Stella) Sun, Univ. of Tennessee, Fall 2011 IPsec: Ανεξάρτητο Εφαρμογών ενώ TLS: για Web SSH: για Remote Login Transport Mode Ασφάλεια Περιεχομένου IP header (real dest) IPsec header TCP/UDP header + data Tunnel Mode Ασφάλεια Πακέτου (με το αρχικό IP header) IP header (gateway) IPsec header IP header (real dest) TCP/UDP header + data SA: Security Associations (one way) SPI: Security Parameter Index (Cryptographic algorithms, keys, lifetimes, sequence numbers, mode - transport or tunnel) Εναλλακτικές SA, αποθηκευμένες σε IPsec nodes, ενεργοποιούνται με επιλογή του πακέτου AH: Authentication Header Επιβεβαίωση ταυτότητας αποστολέα (Sender Authentication) & μη παραποίησης μηνύματος (Message Integrity) ESP: Encapsulating Security Payload εμπιστευτικότητα, Confidentiality) IKE: Internet Key Exchange (handshaking protocol για συμφωνία SA)

GENERIC ROUTING ENCAPSULATION (GRE) http://www.juniper.net/documentation/en_US/junos13.2/topics/concept/firewall-filter-tunneling-ipv4-gre-components.html ΔΙΑΔΙΑΚΑΣΙΑ ΕΝΘΥΛΑΚΩΣΗΣ - GRE Tunneling Το payload packet πρέπει να μεταφερθεί από C1 σε C2 όπως σε ευθείας μονοκατευθυντική σύνδεση Το encapsulation filter εισάγει GRE header με μοναδικό κλειδί για πακέτα C1  C2 (δεν ισχύει για C2  C1) Το αποτέλεσμα ενθυλακώνεται με IPv4 header και προωθείται σαν IP datagram από τον encapsulator στον de-encapsulator Το de-encapsulation filter ανακτά το payload packet και το προωθεί στον C2

Anonymity Network - The Onion Router (Tor) http://fossbytes Tor Project: Δεκαετία του 1990! Απαιτείται ειδικός browser στον client Βασίζεται σε υπερκείμενο (overlay) δίκτυο από Tor relays συνδεμένα σε public Internet routers Ο browser του χρήστη ανοίγει encrypted TLS session με Entry Node δημιουργώντας Session Key 1 Το session επεκτείνεται σε Middle Node μέσω Node-to-Node Key και δημιουργείται Session Key 2 Ο Exit Node ανοίγει session με τον Server και μεσολαβεί για Session Key 3 χωρίς να γνωρίζει το IP του χρήστη (anonymity) Η ανταλλαγή data μεταξύ user browser και server περνά από διαδοχικά στρώματα κρυπτογράφησης (εξ’ ου και onion router)

Tor Encrypted Overlay: The Dark Web https://www. quora Deep Web: Sites μη ανοικτής πρόσβασης (not indexed by search engines, π.χ. Google) Dark Web: Υποσύνολο του Deep Web με προστασία ανωνυμίας sites & users μέσω Tor

ΕΝΟΠΟΙΗΜΕΝΗ ΠΛΑΤΦΟΡΜΑ ΔΙΑΧΕΙΡΙΣΗΣ

ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε. Μ. Π. ntua. gr (147. 102 ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε.Μ.Π. ntua.gr (147.102.0.0/16, 2001:648:2000::/48, AS# 3323)

ΤΟ ΔΙΚΤΥΟ ΚΟΡΜΟΥ ΤΟΥ ΕΔΕΤ (GRNET) Εθνικό Δίκτυο Έρευνας & Τεχνολογίας – Greek Research & Technology Network www.grnet.gr Το Οπτικό Δίκτυο (Layer1 Topology) Managed Dark Fibers DWDM - Dense Wavelength Division Multiplexing Ευέλικτοι Πολυπλέκτες - ROADM) Το Υπερκείμενο Δίκτυο IP/MPLS (Layer 2.5, Layer 3 Overlay Topology) 151 Φορείς (ΑΕΙ, ΤΕΙ, Ερευνητικά Κέντρα, Σχολικό Δίκτυο) 400.000 Τελικοί Χρήστες 50 Πόλεις, 340 Σημεία Παρουσίας (PoP’s) 1, 10 (100) Gbps/λ (DWDM 1-10 λ/fiber) Διασύνδεση με GÉANT & Εμπορικό Internet

ΤΟ ΠΑΝΕΥΡΩΠΑΪΚΟ ΑΚΑΔΗΜΑΪΚΟ ΔΙΚΤΥΟ GÉANT http://www.geant.org/ ΔΙΑΣΥΝΔΕΕΙ ΜΕ ΟΠΤΙΚΕΣ ΣΥΝΔΕΣΕΙΣ 10-100 Gbps: 36 NRENs ΤΕΛΙΚΟΙ ΧΡΗΣΤΕΣ 10.000 ++ Ιδρύματα Ερευνητικές υποδομές παγκόσμιας εμβέλειας (CERN/HEP, ITER, ESFRI…) 50 εκ. ++ φοιτητές, μαθητές, εκπαιδευτικό προσωπικό, ερευνητές ΔΙΑΧΕΙΡΙΣΗ DANTE + TERENA  GÉANT Association

ΠΑΓΚΟΣΜΙΟΣ ΡΟΛΟΣ ΤΟΥ GÉANT

ΕΞΕΛΙΞΗ ΚΙΝΗΤΗΣ ΤΗΛΕΦΩΝΙΑΣ Ψηφιακές Γενιές GSM (2G, 1988) - UMTS (3G, 2000) - LTE (4G, 2010) MSC: Mobile Switching Center (Κέντρο Μεταγωγής Κινητής Τηλεφωνίας) PSTN: Public Switched Telephone Network (Δημόσιο Τηλεφωνικό Δίκτυο)

ΕΝΟΠΟΙΗΜΕΝΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ IMS Άποψη της ITU-T & Τηλεπικοινωνιακών Παρόχων (TELCO Operators) για Converged Networking Media Server Internet Application Server ISC Gi Mb SIP phone Cx HSS MRF Mb PS Gi/Mb IMS Mn MGCF TDM IM-MGW ISUP Mb UE GGSN Mb PSTN CPE Gm Go Mp SGSN SIP CSCF P-CSCF Mw Mg Signaling CSCF — Call Session Control Function IM-MGW — IM-Media Gateway MGCF — Media Gateway Control Function MRF — Media Resource Function

5G: Η 5η ΓΕΝΙΑ ΕΝΟΠΟΙΗΜΕΝΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ Το Διαδίκτυο του Μέλλοντος – Future Internet (2020)

SENSOR NETWORKS, IoT - Internet of Things, SMART CITIES & REGIONS Η Ευφυής Πόλη Santander, Β.Δ. Ισπανία Δίκτυα Πρόσβασης με 12.000 Αισθητήρες (Wireless Sensors) Κατανεμημένες Εφαρμογές σε Υπολογιστικά Νέφη (Clouds) http://www.smartsantander.eu/ Ευφυείς Πόλεις: Υποδομές & Εφαρμογές Tsarchopoulos, P. (2006) Evaluating Scenarios for Digital Cities Η εποχή του Διαδικτύου του Μέλλοντος (Future Internet) έχει ξεκινήσει: Οπτικά & Ασύρματα Δίκτυα Κορμού σε παγκόσμια κλίμακα (εξέλιξη του Internet) Ασύρματα Δίκτυα Πρόσβασης Αισθητήρων (Wireless Sensor Networks), 35 δισεκατομμύρια τελικοί κόμβοι (πρόβλεψη για το 2020) Σύγκλιση Δικτυακών Τεχνολογιών: Ευρυζωνικές οπτικές & δορυφορικές ζεύξεις, ασύρματα δίκτυα (GPRS, GSM, LTE), τοπικά δίκτυα Ethernet & WiFi, επικοινωνίες μικρής εμβέλειας Bluetooth, IR, RFID… Νέες Τεχνολογίες Ασύρματων Δικτύων Αισθητήρων χαμηλής ισχύος & κόστους (Zigbee, Bluetooth, SigFox, LoRa, NB-IoT / Narrow Band Internet of Things) Πρόσβαση σε Εικονικά Υπολογιστικά Περιβάλλοντα, private – public clouds ευφυών ψηφιακών εφαρμογών και υπηρεσιών triple play Οι 3 μεγαλύτεροι κατασκευαστές τηλεπικοινωνιακού εξοπλισμού

ΟΙ ΠΑΤΡΙΑΡΧΕΣ ΤΟΥ Internet Paul Baran (1926 –2011): Δίκτυα Υπολογιστών, Μεταγωγή Πακέτου https://en.wikipedia.org/wiki/Paul_Baran Leonard Kleinrock (1934): Δίκτυα Υπολογιστών, Μεταγωγή Πακέτου https://en.wikipedia.org/wiki/Leonard_Kleinrock Larry Roberts (1937): Δίκτυα Υπολογιστών, Μεταγωγή Πακέτου, ARPAnet https://en.wikipedia.org/wiki/Lawrence_Roberts_(scientist) Bob Kahn (1938): Μεταγωγή Πακέτου, ARPAnet, Πρωτόκολλα TCP/IP https://en.wikipedia.org/wiki/Bob_Kahn Vint Cerf (1943): Πρωτόκολλα TCP/IP, Παγκοσμιοποίηση του Internet https://en.wikipedia.org/wiki/Vint_Cerf Bob Metcalfe (1946): Τοπικά Δίκτυα Ethernet https://en.wikipedia.org/wiki/Robert_Metcalfe Tim Berners-Lee (1955): Πρωτόκολλα HTTP, WWW https://en.wikipedia.org/wiki/Tim_Berners-Lee H Νέα Γενιά της Εξάπλωσης του Internet Bill Gates (1973): Microsoft https://en.wikipedia.org/wiki/Bill_Gates Steve Jobs (1955 -2011): Apple https://en.wikipedia.org/wiki/Steve_Jobs Larry Page (1973): Google https://en.wikipedia.org/wiki/Larry_Page Mark Zuckerberg (1984): Facebook https://en.wikipedia.org/wiki/Mark_Zuckerberg