ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Διαχείριση Δικτύων Ευφυή Δίκτυα
Advertisements

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ  Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
Ολοκληρωμένα Εργαλεία Διαχείρισης Εργαστήριο Διαχείρισης Δικτύων.
Β. Μάγκλαρης 10/02/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΠΙΝΑΚΩΝ ΣΤΟ SNMP ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΩΝ ΤΗΛΕΜΑΤΙΚΗΣ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
Ενότητα Β: Εισαγωγή στο Διαδίκτυο Κουμπή Βασιλάντα, Ph.D, MSc.
Ασφάλεια Ηλεκτρονικού Εμπορίου
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
Ζητήματα Κρυπτογραφίας- Κέρβερος
Θέματα Ασφαλείας στο IPv6 Γιώργος Κουτέπας, ΕΜΠ Ημερίδα "Τεχνολογία IPv6 και Προηγμένες Υπηρεσίες" 19 Οκτωβρίου 2004.
Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.
Β. Μάγκλαρης 22/12/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΟΓΡΑΜΜΑΤΙΖΟΜΕΝΑ ΕΥΦΥΗ ΔΙΚΤΥΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΩΝ ΤΗΛΕΜΑΤΙΚΗΣ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III Β. Μάγκλαρης 18/12/2009.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET Β. Μάγκλαρης 14/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 16/01/2012.
Β. Μάγκλαρης 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΚΤΥΑ EDI Ζητήματα Ασφάλειας 9/5/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
Ολοκληρωμένα Εργαλεία Διαχείρισης (6 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο, ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET – SNMP, ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 2 Β. Μάγκλαρης 10/01/2011.
Διαχείριση Δικτύων - Ευφυή Δίκτυα Διαχείριση Ασφάλειας – 2 ο Μέρος (Β. Μάγκλαρης, Χ. Σιατερλής, Γ. Κουτέπας) 16/1/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ Β. Μάγκλαρης 18 / 02 /200 9.
Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Β. Μάγκλαρης 22/10/2008.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μέρος Β’ Β. Μάγκλαρης 04/02/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ολοκληρωμένες Πλατφόρμες Διαχείρισης Κατανεμημένων Εφαρμογών στο Internet Ενοποιημένη Πλατφόρμα Διαχείρισης Ολοκληρωμένα Εργαλεία Διαχείρισης.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Πανεπιστήμιο Πειραιώς Τμήμα Διδακτικής της Τεχνολογίας & Ψηφιακών Συστημάτων Ζητήματα ασφάλειας στις εφαρμογές της ψηφιακής τηλεόρασης Σωκράτης Κ. Κάτσικας.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Προχωρημένα Θέματα Δικτύων
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Κεφάλαιο 7: Διαδικτύωση-Internet
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Ολοκληρωμένα Εργαλεία Διαχείρισης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ολοκληρωμένες Πλατφόρμες Διαχείρισης Κατανεμημένων Εφαρμογών στο Internet Ενοποιημένη Πλατφόρμα Διαχείρισης Ολοκληρωμένα Εργαλεία Διαχείρισης.
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Ολοκληρωμένα Εργαλεία Διαχείρισης
Β. Μάγκλαρης 21/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙI) Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Ολοκληρωμένα Εργαλεία Διαχείρισης
Ολοκληρωμένα Εργαλεία Διαχείρισης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ
Πληροφοριακά Συστήματα Διοίκησης 4ο Μάθημα - Ασφάλεια
Μεταγράφημα παρουσίασης:

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010

ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ •ICMP: ping, traceroute •tcpdump •net-snmp –snmp_get –snmp_walk –trap –snmp_set •MRTG –RRDtool •Transmission (DWDM, SDH tools): CMIP, TMN, Proprietary –TL1, Q3, Corba

INTEGRATED NETWORK MANAGEMENT

ΟΛΟΚΛΗΡΩΜΕΝΑ ΕΡΓΑΛΕΙΑ •Αυτοματοποιούν διαδικασίες •Ομαδοποιούν λειτουργίες •Open Source –Nagios – Service Monitoring –OpenNMS – Network Monitoring –Ganglia – Cluster Management •Commercial –HP Openview –IBM Tivoli

MANAGEMENT PLATFORMS

NAGIOS PLUGINS Plugin Return CodeService StateHost State 0OKUP 1WARNING UP or DOWN/UNREACHABLE 2CRITICALDOWN/UNREACHABLE 3UNKNOWNDOWN/UNREACHABLE RETURN CODE | TEXT OUTPUT | OPTIONAL PERFDATA | LONG TEXT LINE … | PERFDATA … 0 | PING OK - Packet loss = 0%, RTA = 0.15 ms 0 | DISK OK - free space: / 3326 MB (56%); | /=2643MB;5948;5958;0;5968

ΠΑΡΑΔΕΙΓΜΑΤΑ NAGIOS PLUGINS •check_http •check_snmp •check_icmp •check_ntp •check_ifoperstatus •check_mrtg •check_ssh •check_ifstatus • check_ntp_time •check_imap •check_ups •check_ftp Παράδειγμα: Command Line Interface (CLI) check_ping -H -w, % -c, % Web Interface Login: netmg Password: netmg

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ •Είδη Απειλών και Επιθέσεων •Προστασία –Πολιτικές –Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) –Εργαλεία (Access Control Lists – ACL’s, Firewalls) –Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) •Κρυπτογραφία •Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ •Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting •Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) •Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) •Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks •Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)

ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗ Μη Εξουσιοδοτημένη Πρόσβαση •Ταυτότητα χρήστη (user Global ID – GID): –Μία ταυτότητα αντιστοιχεί σε ένα χρήστη –Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχους …. –Ταυτοποίηση χρήστη: •Με μόνο •Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή αποθηκευμένο σε κατάλογο χρηστών LDAP στο home organization ενός χρήστη) –Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization & Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming) του user_profile –Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations) •Κίνδυνοι υποκλοπής –"Αδύναμοι" κωδικοί & πρωτόκολλα - one time passwords? –Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση, ανεπαρκώς φυλασσόμενες εγκαταστάσέις) –Φυσική απώλεια (PDA κλπ.) –«Social Engineering»

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1) Denial of Service Attacks - DoS •Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματος από όλους –Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή εφαρμογές εξυπηρετητών) - Software Exploits –Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο δίκτυο •Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες –Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα –Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων –Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα στο πακέτο •Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2) Denial of Service Attacks - DoS •Επιθέσεις εξάντλησης πόρων –Εξάντληση υπολογιστικών ή δικτυακών πόρων –Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων –Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός συστημάτων επίθεσης – Επιθέσεις Ενίσχυσης (Amplification Attacks) •Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS –Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο •Bots •"Αυτόματη" παραβίαση και έλεγχος τους •Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται διαφορά –Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf" Επιτιθέμενος Μη ασφαλισμένο δίκτυο ICMP Echo request Destination: LAN broadcast Source: victim.host Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast Στόχος (web Server) victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host

ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS) Διαχειριστικό Πρόβλημα: Λειτουργία κακόβουλου λογισμικού Δίκτυο Στόχος " Ζόμπι" ή "bots" Attack Agents X Attack Master Attack Master Επιτιθέμενος Διαχειριστικό Πρόβλημα 2: Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) •Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί •Telnet passwords •Web passwords •Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά , αριθμοί πιστωτικών καρτών κ.λπ.) •"Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας •ARP "poisoning" •TCP "session hijacking" •DNS "poisoning" – URL redirection

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2) Λύσεις –Χρήση κρυπτογραφίας •Αντικατάσταση του telnet με SSH (Secure Shell) •Κρυπτογραφημένη έκδοση του IMAP για •Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) –Χρήση ψηφιακών πιστοποιητικών (certificates) •Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) –Προσοχή στην επιλογή των σημείων σύνδεσης: •Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης •Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: –Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password –Access Lists εξουσιοδοτημένων διευθύνσεων MAC –Πρωτόκολλο X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ •Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation •Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman –Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 –Ισχυρά σημεία: •Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά –Αδύνατα σημεία: •Αργή στην εκτέλεση •Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (1) •Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά (π.χ. μέσω SSL ή –Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη –Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη Μήνυμα Δημόσιο Κλειδί Π Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (2) •Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής (non-repudiation) –Επιβεβαίωση ταυτότητας αποστολέα (ψηφιακή υπογραφή, digital signature) –Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών Μήνυμα Δημόσιο Κλειδί Α Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμο ύ Περίληψη Μηνύματος Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφί ας Αλγόριθμος Κατακερματισμ ού Σύγκριση

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα : •Φάση hand-shaking (αρχική φάση) –Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography –Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο- μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography •Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) –Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο •Κυρίαρχο σχήμα στο Internet –Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP –Secure Socket Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ- εγκατεστημένο client S/W)

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (1) •Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού. •Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party, TTP) – Αρχή Πιστοποίησης (Certification Authority, CA) στο πλαίσιο σχήματος Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure, PKI) •Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το πρότυπο X.509. •Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: –Κάποια πληροφοριακά στοιχεία για το χρήστη του –Το δημόσιο κλειδί του χρήστη –Το όνομα μιας Αρχής Πιστοποίησης (CA Name) –Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης (CA Digital Signature)

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (2) •Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης (CA)