Ασφάλεια Δικτύων

“Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι

Ιδιοκτησία - Χρήση Ο ιδιοκτήτης:  Καθορίζει ποιος μπορεί να έχει χρησιμοποιήσει, να μεταβάλλει, ή να διαθέσει το αγαθό Ο χρήστης:  Έχει διαφορετικό βαθμό πρόσβασης στα “αγαθά”, ανάλογα με τα δικαιώματα που του έχουν παραχωρηθεί

Εξουσιοδότηση Ως εξουσιοδότηση μπορούμε να ορίσουμε την άδεια που παρέχει ο ιδιοκτήτης για συγκεκριμένο σκοπό, όπως για παράδειγμα, την άδεια για χρήση κάποιων υπολογιστικών πόρων ή την πρόσβαση σε συγκεκριμένο σύνολο δεδομένων βάσης δεδομένων. Έτσι, για την πρόσβαση σε κάποια μέσα ή πληροφορίες υπάρχει η έννοια του εξουσιοδοτημένου ή του μη εξουσιοδοτημένου.

Ζητούμενα πολιτικής ασφαλείας Αυθεντικότητα (authentication) Ακεραιότητα (Integrity) Εμπιστευτικότητα (Confidentiality) Μη άρνηση ταυτότητας (non repudiation) Εγκυρότητα (Validity) Διαθεσιμότητα πληροφοριών (Information availability) Ασφάλεια (Security) Ασφάλεια Πληροφοριών (Information Security) Παραβίαση (Violation)

Κίνδυνοι πληροφοριακών συστημάτων  Απειλές (Threats) Με τον όρο απειλές αναφερόμαστε σε ενέργειες ή γεγονότα, που μπορούν να οδηγήσουν στην κατάρρευση κάποιου από τα χαρακτηριστικά ασφάλειας πληροφοριών  Αδυναμίες (vulnerabilities) Με τον όρο αδυναμίες αναφερόμαστε στα σημεία του πληροφοριακού συστήματος, που αφήνουν περιθώρια για παραβιάσεις.

Επεξήγηση Ορολογίας Κρυπτογράφηση (Encryption) Αποκρυπτογράφηση (Decryption) Κλειδί (Key) Δημόσιο Κλειδί (Public Key) Ιδιωτικό Κλειδί (Private Key) Μυστικό Κλειδί (Secret Key) Λειτουργία (Συνάρτηση) Κατατεμαχισμού (Hash Function) Σύνοψη Μηνύματος (Message Digest) Ψηφιακή Υπογραφή (Digital Signature)

Εκτίμηση πλαισίου ασφαλείας Eντοπίζουμε ποια αγαθά πραγματικά χρήζουν ανάγκης προστασίας Σχεδιασμός της αρχιτεκτονικής ασφάλειας και υπολογισμό του κόστους υλοποίησής της.  Συμπεριλαμβάνεται το κόστος των υλικών που απαιτούνται για την υλοποίηση της λύσης, το κόστος του ανθρώπινου δυναμικού, που θα κληθεί να πραγματοποιήσει την εγκατάσταση, καθώς και το μόνιμο λειτουργικό κόστος για τη συντήρηση πλαισίου ασφάλειας στο πληροφοριακό σύστημα. Σε περίπτωση που το κόστος για τα μέτρα προστασίας, που πρέπει να ληφθούν, ξεπερνά τα προβλεπόμενα όρια, προβαίνουμε σε νέες παραδοχές ή και συμβιβασμούς στο τι πραγματικά θα καλύπτει και σε ποιο βαθμό η πολιτική ασφάλειας, θα υλοποιηθεί.

Μέθοδοι παραβίασης Επιθέσεις στους κωδικούς πρόσβασης (Passwοrd attacks). Παρακολούθηση Δικτύου (Network Monitoring η Network Packet Sniffing) Μεταμφίεση (Masquerade) Άρνηση Παροχής Υπηρεσίας (Denial of Service) Επιθέσεις στο επίπεδο των Εφαρμογών (Application-Layer Attacks)

Password Attacks Τα είδη των password είναι:  Τα επαναχρησιμοποιούμενα password  Τα password μιας χρήσης.

Τρόποι παραβίασης προγράμματα, που σε μικρό χρονικό διάστημα μπορούν να δοκιμάσουν πολλούς συνδυασμούς χαρακτήρων και αριθμών (brute force attack) παρακολούθηση των πλήκτρων (keystroke mοnitοring) παρακολούθηση της ακτινοβολίας της οθόνης Μέθοδος της sοcial engineering Χρήση εξωτερικής ή εσωτερικής βία.

Παρακολούθηση Δικτύου (Network Monitoring ή Network Packet Sniffing)

Μεταμφίεση (Masquerade) IP Spoofing

Άρνηση Παροχής Υπηρεσίας (Denial of Service) έχει ως στόχο την διαθεσιμότητα των δεδομένων μας Σκοπός μιας τέτοιας επίθεσης είναι να φτάσει το δικτυακό εξοπλισμό (ή την υπολογιστική ισχύ) στα όρια, ώστε να μην μπορούν να εξυπηρετηθούν πλέον οι νόμιμοι χρήστες του δικτύου

Επιθέσεις στο Επίπεδο Εφαρμογών (Application-Layer Attacks) Εκμετάλλευση αδυναμιών εφαρμογών όπως HTTP, ActiveX, Telnet, Ftp, κ.λ.π., προκειμένου κάποιοι να αποκτήσουν πρόσβαση στο σύστημα, με απώτερο σκοπό την δημιουργία σε αυτό προβλημάτων ή τη συλλογή πληροφοριών.

Τεχνικές ασφάλειας συμμετρική κρυπτογράφηση

Αλγόριθμοι συμμετρικής κρυπτογράφησης Πρότυπο Κρυπτογράφησης Δεδομένων (Data Encryption Standard, DES), 3DES (triple DES) και, Διεθνής Αλγόριθμος Κρυπτογράφησης Δεδομένων (International Data Encryption Algorithm, IDEA). Οι αλγόριθμοι αυτοί δέχονται ως είσοδο μηνύματα των 64 bits. Εάν το μήνυμα έχει μεγαλύτερο μήκος, θα πρέπει να σπάσει σε τμήματα των 64 bits.

Ασυμμετρική κρυπτογράφηση βασίζεται στην χρήση δύο κλειδιών, ενός δημόσιου και ενός ιδιωτικού Μερικές από τις πιο κοινές χρήσεις της ασυμμετρικής κρυπτογράφησης είναι:  Η εξασφάλιση εμπιστευτικότητας στη μεταδιδόμενη πληροφορία.  Η εξασφάλιση αυθεντικότητας.

Ασυμμετρική κρυπτογράφηση για να στείλει η Alice ένα κρυπτογραφημένο μήνυμα στον Bob θα πρέπει:  Να ανακτήσει το δημόσιο κλειδί του Bob  Να χρησιμοποιήσει το δημόσιο κλειδί του Bob για να κρυπτογραφήσει το μήνυμα που θέλει να στείλει Από τη μεριά του, ο Bob θα πρέπει:  Να λάβει το κρυπτογραφημένο μήνυμα από την Alice.  Να χρησιμοποιήσει το ιδιωτικό του κλειδί για να το αποκρυπτογραφήσει.

αλγόριθμοι ασυμμετρικής κρυπτογράφησης RSA (Rivest, Shamir, Adelman) ElGamal

Ψηφιακές Υπογραφές