Ασφάλεια Ηλεκτρονικού Εμπορίου

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Απόστολος Πλεξίδας Περιφέρεια Κεντρικής Μακεδονίας
Advertisements

Ιστορία του Ιντερνετ.
Διαχείριση Δικτύων Ευφυή Δίκτυα
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ  Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.
Κρυπτογραφία: Βασικά θέματα και εφαρμογές
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Δ.Π.Θ. Συνδέοντας έγγραφα - 1 Συνδέοντας έγγραφα Μια σύνδεση στο Web (link) αποτελείται από δύο μέρη : Aυτό που βλέπουμε στη σελίδα και λέγεται άγκυρα.
Ενότητα Β: Εισαγωγή στο Διαδίκτυο Κουμπή Βασιλάντα, Ph.D, MSc.
Παρουσίαση Αποτελεσμάτων Έργου “Υποδομή Δημοσίου Κλειδιού” Κυπριακό Ερευνητικό και Ακαδημαϊκό Δίκτυο 9 Φεβρουαρίου 2006.
ΜΟΝΤΕΛΟ ΕΞΥΠΗΡΕΤΟΥΜΕΝΟΥ – ΕΞΥΠΗΡΕΤΗΤΗ ( CLIENT – SERVER )
ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
Ζητήματα Κρυπτογραφίας- Κέρβερος
Υπηρεσίες δικτύων επικοινωνίας
CST-245 Εισαγωγή στις τεχνολογίες Διαδικτύου. 2 Αναζήτηση στο Διαδίκτυο Πριν την εξάπλωση των πρωτοκόλλων του Παγκόσμιου Ιστού μία ποικιλία από μεθόδους.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Το Διαδίκτυο Τι πρέπει να ξέρετε για το Διαδίκτυο.
Διαδίκτυο Κίκα Χρυσοστόμου. Πρωτόκολλο https: HyperText Transfer Protocol Secure Χρησιμοποιείται για ασφαλή επικοινωνία Π.χ μια ασφαλή ιστοσελίδα που.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18
1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18 TΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ Ασφάλεια Πληροφοριών.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 16/01/2012.
Β. Μάγκλαρης 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΚΤΥΑ EDI Ζητήματα Ασφάλειας 9/5/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET – SNMP, ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 2 Β. Μάγκλαρης 10/01/2011.
Διαχείριση Δικτύων - Ευφυή Δίκτυα Διαχείριση Ασφάλειας – 2 ο Μέρος (Β. Μάγκλαρης, Χ. Σιατερλής, Γ. Κουτέπας) 16/1/08.
Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μέρος Β’ Β. Μάγκλαρης 04/02/2009.
Aσφάλεια. Περιεχόμενα Πλευρές Ασφάλειας Ιδιωτικό Απόρρητο – Μέθοδος Μυστικού Κλειδιού (Συμμετρική Κρυπτογράφηση) – Μέθοδος Δημόσιου Κλειδιού (Ασύμμετρη.
Η Κρυπτογραφία στην ζωή μας. Η Κρυπτογραφία ασχολείται με την μελέτη της ασφαλούς επικοινωνίας. Ο κύριος στόχος της είναι να παρέχει μηχανισμούς για 2.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Εισαγωγή στην Επιστήμη των Υπολογιστών Κωδικός Μαθήματος: 2895 Κωδικός Διαφανειών: MKT110 Γεωπονικό Πανεπιστήμιο Αθηνών Γενικό Τμήμα Εργαστήριο Πληροφορικής.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Προχωρημένα Θέματα Δικτύων
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Κεφάλαιο 10: Υπηρεσίες και εφαρμογές Διαδικτύου
Κεφάλαιο 7 Διαδικτύωση-Internet
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Κεφάλαιο 7: Διαδικτύωση-Internet
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Κεφάλαιο 7:Διαδικτύωση-Internet
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Μεταγράφημα παρουσίασης:

Ασφάλεια Ηλεκτρονικού Εμπορίου Δρ. Μαίρη Γραμματικού Ιούλιος 2014 NETMODE Network Management & Optimal Design Lab

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: Port Scanning Fingerprinting Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών Λάθος διαμορφώσεις (ανοικτά συστήματα) Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών Packet sniffing "Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) Ιοί, Δούρειοι ίπποι (trojans) Αυτόματα διαδιδόμενοι ιοί (worms)

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις Χρήση κρυπτογραφίας Αντικατάσταση του telnet με SSH (Secure Shell) Κρυπτογραφημένη έκδοση του IMAP για e-mail Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) Χρήση ψηφιακών πιστοποιητικών (certificates) Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) Προσοχή στην επιλογή των σημείων σύνδεσης: Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA-Wi-Fi Protected Access, WEP-Wired Equivalent Privacy) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password Access Lists εξουσιοδοτημένων διευθύνσεων MAC Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

Ενδεικτικά Πρωτόκολλα Ασφαλείας στο Internet SSL(υποστηρίζεται από Netscape & Internet Explorer) : Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP, χρησιμοποιώντας ιδιωτικό κλειδί για την κρυπτογράφηση των δεδομένων πάνω από SSL connection. Τα URLs ζητούν συνδέσεις SSL που αρχίζουν με https αντί http S/HTTP : Secure/HyperΤext Transfer Protocol, το SSL δημιουργεί κανάλι ασφαλούς επικοινωνίας μεταξύ client – server, πάνω από όπου μεταφέρονται τα δεδομένα με ασφάλεια HL7-Health Level Seven : Πρωτόκολλο στο Internet για τη μεταφορά μηνυμάτων ιατρικού περιεχομένου (χρησιμοποιεί το EDI Πρότυπο για την περιγραφή των μηνυμάτων)

Η Κρυπτογραφία δίνει λύση στα εξής προβλήματα : Ασφαλή επικοινωνία Ταυτοποίηση και πιστοποίηση Κοινοποίηση μυστικής πληροφορίας Ηλεκτρονικό Εμπόριο Ψηφιακά πιστοποιητικά Ασφαλή πρόσβαση σε υπολογιστικά συστήματα

Είδη Κρυπτογραφίας Συμμετρική (Ιδιωτικού κλειδιού) Μη Συμμετρική (Δημόσιου κλειδιού) Περιλήψεις μηνυμάτων (Hash Functions)

Συμμετρική Κρυπτογραφία key Παραλήπτη Αποστολέας Enctrypt Internet Encrypted data Παραλήπτης Dectrypt Encrypted data key Παραλήπτη

Ασύμμετρη Κρυπτογραφία Αποστολέας Enctrypt Internet Encrypted data Παραλήπτης Dectrypt Encrypted data Private key Παραλήπτη

Ψηφιακές Υπογραφές (1) Ένα μήνυμα υπογράφεται ως εξής: Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος. Η σειρά χαρακτήρων Α κρυπτογραφείται με το Ιδιωτικό κλειδί του Αποστολέα σε Α’. Το Α’ (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).

Ψηφιακές Υπογραφές (2) Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α’. Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β. Με το Δημόσιο κλειδί του Αποστολέα αποκρυπτογραφεί την Α’ σε Α. Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.

Ψηφιακή Υπογραφή Enctrypt Internet Dectrypt Dig. sign Private key Αποστολέας Αλγόριθμος Internet Hash Dig. sign Παραλήπτης Αλγόριθμος Hash 1 Public key Dig. sign Dectrypt Hash 2

Χρήση Ψηφιακής Υπογραφής 2. Signing 3. Transmission Private Key B Public Key B Public Key A Private Key A 4. Decryption 1 4 3 Message 2 Digital Signature

PKI Οι οντότητες του PKI, όπως ορίζονται στο PKIX Working Group της IETF είναι : Αρχή Πιστοποίησης (CA – Certification Authority) Αρχή Εγγραφής (RA – Registration Authority) Οι πελάτες (Clients) Η αποθήκη πιστοποιητικών και λιστών ανάκλησης πιστοποιητικών (Repository/Certificate Revocation Lists). Παράδειγμα Αρχής Πιστοποίησης : http://www.verisigninc.com/

Υπηρεσίες που προσφέρονται σε ένα σύστημα PKI Καταγραφή δημοσίου κλειδιού (Key Registration): έκδοση νέου πιστοποιητικού για ένα δημόσιο κλειδί. Ακύρωση Πιστοποιητικού (Certificate Revocation): ακύρωση εκδοθέντος πιστοποιητικού. Επιλογή κλειδιού (Key Selection): απόκτηση δημοσίου κλειδιού της άλλης οντότητας (χρήστης ή υπηρεσία). Εκτίμηση εμπιστοσύνης (Trust Evaluation): αποφασίζεται εάν ένα πιστοποιητικό είναι έγκυρο και τι υπηρεσίες επιτρέπει.

Ψηφιακά Πιστοποιητικά Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: Πληροφοριακά στοιχεία για το χρήστη Το δημόσιο κλειδί του χρήστη Το όνομα μιας Αρχής Πιστοποίησης Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης

Αρχές Πιστοποίησης Για την επιλογή της Αρχής Πιστοποίησης ελέγχετε : Το προϊόν, η τιμή, τα χαρακτηριστικά πιστοποιητικού, τα επίπεδα ικανοποίησης πελατών Αυτά μπορεί να διαπιστωθούν και στο: http://www.sslshopper.com/certificate- authority-reviews.html

Αρχές Πιστοποίησης Comodo DigiCert (Amazon uses it) Entrust GeoTrust GlobalSign GoDaddy Network Solutions SSL.com StartCom SwissSign Symantec Thawte Trustwave