Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
ΔημοσίευσεΕιδοθεα Μελετόπουλος Τροποποιήθηκε πριν 6 χρόνια
1
Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7
Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7 Διδάσκων: Δρ. Γενειατάκης Δημήτρης Πανεπιστήμιο Πελοποννήσου 4/12/2018
2
Πανεπιστήμιο Πελοποννήσου
Περιεχόμενα Ασφαλές Πρωτόκολλο IP Ασφάλεια σε επίπεδο εφαρμογής 4/12/2018 Πανεπιστήμιο Πελοποννήσου
3
Ασφάλεια στο Διαδίκτυο
Φυσικό Δικτύου Μεταφοράς Εφαρμογών HTTPS, SSH,SMIME, Συνθ. TLS/SSL IP Security 4/12/2018 Πανεπιστήμιο Πελοποννήσου
4
Ασφαλές IP (IP Securirty)
4/12/2018 Πανεπιστήμιο Πελοποννήσου
5
Ασφαλές IP (IP Securirty)
Παρεχόμενες Υπηρεσίες Αυθεντικοποίησης Εμπιστευτικότητας Διαχείρισης κλειδιών Παρέχει προστασία από αναξιόπιστες συνδέσεις Πιστοποίηση της εισερχόμενης κίνησης Πηγής Παρέχει διαφάνεια στα υπερ-άνω από αυτό πρωτόκολλα 4/12/2018 Πανεπιστήμιο Πελοποννήσου
6
Πανεπιστήμιο Πελοποννήσου
Security IPSec Προδιαγραφές IPSec RFC 2401, Γενική περιγραφή αρχιτεκτονική ασφαλείας RFC 2402, Περιγραφή της διαδικασίας πιστοποίησης RFC 2406, Περιγραφή της διαδικασίας κρυπτογράφησης RFC 2408, Προδιαγραφές λειτουργιών διαχείρισης κλειδιών 4/12/2018 Πανεπιστήμιο Πελοποννήσου
7
Πανεπιστήμιο Πελοποννήσου
Μηχανισμοί Ασφάλειας Μηχανισμός Αυθεντικοποίσης Κεφαλίδας (Authentication Header) Μηχανισμός Κρυπτογράφησης (Encapsulating Security Payload) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
8
Πανεπιστήμιο Πελοποννήσου
Τρόποι Χρήσης Κατάσταση Λειτουργίας Μεταφοράς(Transport Mode) Παρέχει κυρίως προστασία σε πρωτόκολλα ανωτέρου επιπέδου δε λαμβάνεται υπόψη η κεφαλίδα του IP πακέτου Kατάσταση Λειτουργίας Σήραγγας (Tunnel Mode) Παρέχει προστασία σε ολόκληρο το πακέτο IP Απαιτείται η δημιουργία μιας νέας κεφαλίδας IP To ωφέλιμο φορτίο θεωρείται το προστατευμένο πακέτο IP 4/12/2018 Πανεπιστήμιο Πελοποννήσου
9
Δομικά Στοιχεία IPSec IPSec AH ESP Διαχ. Κλειδιών
Αλγόριθμος Αυθεντικοποίησης Αλγόριθμος Κρυπτογράφησης 4/12/2018 Πανεπιστήμιο Πελοποννήσου
10
Συσχετισμός Ασφάλειας-Security Association
Ο Συσχετισμός Ασφάλειας (ΣΑ) αναφέρεται σε μια συμφωνία μεταξύ δύο ή περισσοτέρων μερών σε υπηρεσίες ασφάλειας Ο ΣΑ προσδιορίζεται: Δεικτη Παραμέτρων Ασφάλειας (Security Parameters Index) Διεύθυνση IP Προορισμού Αναγνωριστικό πρωτοκόλλου ασφαλείας 4/12/2018 Πανεπιστήμιο Πελοποννήσου
11
Παράμετροι Συσχέτισης Ασφαλείας
Sequence Number Counter Anti-Replay Window Πληροφορίες AH Πληροφορίες ESP Διάρκεια ζωής του ΣΑ Maximum Transmission Unit Τρόπος λειτουργίας 4/12/2018 Πανεπιστήμιο Πελοποννήσου
12
IPSec & Συσχετισμοί Ασφάλειας
Ένα πακέτο μπορεί να αυθεντικοποιείται/κρυπτογραφείται μόνο εάν γίνει η κατάλληλη σύνδεση με το ΣΑ Security Parameters Index 4/12/2018 Πανεπιστήμιο Πελοποννήσου
13
Μηχανισμός Authentication Header
Παρέχει αυθεντικοποίηση προέλευσης δεδομένων ακεραιότητα στα IP πακέτα Προστασία από επιθέσεις επανάληψης Δε λαμβάνει υπόψη του τα τμήματα του IP πακέτου που τροποποιούνται στην κατάσταση λειτουργιάς μεταφοράς Στην κατάσταση σήραγγας δημιουργεί μια νέα κεφαλίδα και παρέχει υπηρεσίες ασφάλειας σε ολόκληρο το πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου
14
Μηχανισμός Authentication Header
Οι αλγόριθμοι που χρησιμοποιούνται είναι προσδιορίζονται στο συσχετισμό ασφάλειας HMAC (MD5,SHA-1) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
15
Πανεπιστήμιο Πελοποννήσου
Πεδία Τροποποίησης 4/12/2018 Πανεπιστήμιο Πελοποννήσου
16
Μηχανισμός ΑΗ σε κατάσταση μεταφοράς
Δημιουργία ενός προσωρινού IP πακέτου στο οποίο δεν συμπεριλαμβάνονται τα πεδιά που υπόκεινται τροποποίηση Υπολογισμός μιας HMAC του προσωρινού IP πακέτου Προσάρτηση του αποτελέσματος στο IP πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου
17
Μηχανισμός ΑΗ σε κατάσταση μεταφοράς
4/12/2018 Πανεπιστήμιο Πελοποννήσου
18
Mηχανισμός AH σε κατάσταση σήραγγας
Δημιουργία ενός νέου IP πακέτου όπου ενθυλακώνει το αρχικό πακέτο IP Υπολογισμός μιας HMAC του ενθυλακωμένου IP πακέτου Προσάρτηση του αποτελέσματος στο νέο IP πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου
19
Μηχανισμός ΑΗ σε κατάσταση σήραγγας
4/12/2018 Πανεπιστήμιο Πελοποννήσου
20
Δομή Authentication Header
4/12/2018 Πανεπιστήμιο Πελοποννήσου
21
Προστασία από επιθέσεις επανάληψης
Το πεδίο Sequence Number έχει ως στόχο την αποτροπή επιθέσεων επανάληψης Το SN σε κάθε αποστολή νέου μηνύματος αυξάνεται Σε περίπτωση όπου η τιμή του SN φτάσει το όριο 2^32-1 τότε θα πρέπει να γίνει εγκαθίδρυση νέας SA 4/12/2018 Πανεπιστήμιο Πελοποννήσου
22
Προστασία από επιθέσεις επανάληψης
To IP είναι ένα αναξιόπιστο ασυνδεσμικό πρωτόκολλο Δεν εγγυάται την ορθή σειρά παράδοσης των πακέτων Χρήση του παραθύρου μεγέθους W To δεξιό τμήμα του παραθύρου αντιπροσωπεύει τη μεγαλύτερη τιμή N του πεδίου SN 4/12/2018 Πανεπιστήμιο Πελοποννήσου
23
Προστασία από επιθέσεις επανάληψης
Για κάθε πακέτο που έχει ληφθεί σωστά και έχει τιμή SN στο διάστημα [Ν-W+1,N] ελέγχεται Έαν έχει πραγματοποιηθεί επαλήθευση του ίδιο πακέτου ο κώδικας αυθεντικοποίησης Για κάθε πακέτο που βρίσκεται μετά το Ν, ελέγχεται ο κώδικας αυθεντικοποίησης και το παράθυρο προχωράει ώστε η τιμή του SN να είναι το δεξιό άκρο του παραθύρου 4/12/2018 Πανεπιστήμιο Πελοποννήσου
24
Προστασία από επιθέσεις επανάληψης
Κάθε πακέτου που βρίσκεται πριν από το N-W+1 και δεν είναι πιστοποιημένο Παράθυρο W ολισθαίνει δεξία εφόσον ληφθεί έκγυρο πακέτο με SN > N N N-W Δεν έχει ληφθεί έγκρυο πακέτο 4/12/2018 Πανεπιστήμιο Πελοποννήσου
25
Μηχανισμός Encapsulating Security Payload
Παρέχει υπηρεσίες εμπιστευτικότητας ακεραιότητας αυθεντικότητας 4/12/2018 Πανεπιστήμιο Πελοποννήσου
26
Πανεπιστήμιο Πελοποννήσου
Δομή ESP 4/12/2018 Πανεπιστήμιο Πελοποννήσου
27
Πανεπιστήμιο Πελοποννήσου
Mηχανισμός ESP Προτεινόμενοι αλγόριθμοι κρυπτογράφησης 3DES RC5 IDEA CAST Blowfish 4/12/2018 Πανεπιστήμιο Πελοποννήσου
28
Μηχανισμός ESP σε κατάσταση μεταφοράς
Κρυπτογράφηση των δεδομένων των ανωτέρων πρωτοκόλλων Δεν υπάρχουν επιπρόσθετες κεφαλίδες Τα δεδομένα ανωτέρου πρωτοκόλλου κρυπτογραφούνται και ενθυλακώνονται στο ESP Το ESP θεωρείται το ωφέλιμο φορτίου του IP πακέτου Οι ενδιάμεσοι κόμβοι δεν έχουν δυνατότητα πρόσβαση στο ωφέλιμο φορτίο 4/12/2018 Πανεπιστήμιο Πελοποννήσου
29
Μηχανισμός ESP σε κατάσταση μεταφοράς
IP TCP ESP σε κατάσταση Μεταφοράς IP ESP κεφ. TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση 4/12/2018 Πανεπιστήμιο Πελοποννήσου
30
Μηχανισμός ESP σε κατάσταση σήραγγας
Όλοκληρο το IP πακέτο κρυπτογραφείται Υπάρχει πρόβλημα δρομολόγησης Για αυτό δημιουργείται ένα νέο πακέτο στο οποίο ενθυλακώνεται το κρυπτογραφημένο Με τον τρόπο αυτό δημιουργείται μια ασφαλής δίοδος-σήραγγα μεταξύ των επικοινωνούντων μερών Μείωση απόδοσης Επιπρόσθετα δεδομένα (νέα κεφαλίδα) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
31
Μηχανισμός ESP σε κατάσταση σήραγγας
IP TCP ESP σε κατάσταση Σήραγγας Νέα IP ESP κεφ. IP TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση Πανεπιστήμιο Πελοποννήσου 4/12/2018
32
Συνοψη Παρεχόμενων Λειτουργιών
Κατάσταση Μεταφοράς Κατάσταση Σήραγγας ΑΗ Αυθεντικοποίηση IP ωφέλιμου φορτίου και τμήμα κεφαλίδας IP Αυθεντικοποίηση ολόκληρου του εσωτερικού πακέτου, και τμήμα της εξωτερικής κεφαλίδας ESP Κρυπτογράφηση του φορτίου IP Κρυπτογράφηση ολόκληρου του εσωτερικού πακέτου 4/12/2018 Πανεπιστήμιο Πελοποννήσου
33
Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου
34
Πανεπιστήμιο Πελοποννήσου
S/MIME Προδιαγράφεται RFC 2630 RFC 2632 RFC 2633 4/12/2018 Πανεπιστήμιο Πελοποννήσου
35
Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούνται από ένα φάκελο και τα περιεχόμενα Ο φάκελος περιέχει πληροφορίες σχετικά με την αποστολή και παράδοση του μηνύματος Τα περιεχόμενα αποτελούν τα δεδομένα προς παράδοση 4/12/2018 Πανεπιστήμιο Πελοποννήσου
36
Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Η δομή ενός μηνύματος Η.Τ αποτελείται Κεφαλίδες Σώμα μηνύματος Παράδειγμα Date: Aug EDT From: George To: Al Hello. This section begins the actual message body 4/12/2018 Πανεπιστήμιο Πελοποννήσου
37
Μηνύματα Ηλεκτρονικού Ταχυδρομείου
Βασικοί Περιορισμοί Το σύστημα ηλεκτρονικού ταχυδρομείου δε μπορεί να μεταδώσει αρχεία σε δυαδική μορφή Δε μπορεί να μεταδώσει δεδομένα κειμένου που περιλαμβάνουν μη λατινικούς χαρακτήρες Multipurpose Internet Mail Extension (MIME) προσπαθεί να επιλύσει τα προβλήματα αυτά 4/12/2018 Πανεπιστήμιο Πελοποννήσου
38
Πανεπιστήμιο Πελοποννήσου
ΜΙΜΕ Ορίζονται νέα πεδία για το προσδιορισμό των πληροφοριών που περιέχονται στο σώμα του μηνύματος Όρίζονται διαφορετικές μορφές περιεχομένων Ορίζονται μετατροπές κωδικοποίησης οι οποίες επιτρέπουν τη μετατροπή από οποιαδήποτε μορφή περιεχομένων σε κάποι μορφή που να προστατεύεται από τροποποίηση από το σύστημα ηλεκτρονικού ταχυδρομείου 4/12/2018 Πανεπιστήμιο Πελοποννήσου
39
Πανεπιστήμιο Πελοποννήσου
S/MIME Οριζόμενοι τύποι multipart/signed; protocol="application/pkcs7-signature" application/pkcs7-mime; smime-type=signed-data application/pkcs7-mime; smime-type=enveloped-data to support Προσδιορίζει τη σύνταξη των προστατευόμενων μηνυμάτων 4/12/2018 Πανεπιστήμιο Πελοποννήσου
40
Παρεχόμενες Υπηρεσίες S/MIME
Παρέχει υπηρεσίες Ακεραιότητας Εμπιστευτικότητας Πιστοποίησης οντότητας Βασίζεται σε υποδομή δημόσιου κλειδιού Αξιοποιεί τη μέθοδο του ψηφιακού φακέλου για την παροχή υπηρεσιών εμπιστευτικότητας 4/12/2018 Πανεπιστήμιο Πελοποννήσου
41
Παρεχόμενες Υπηρεσίες S/MIME
H οντότητα ΜΙΜΕ που προστατεύεται μπορεί να είναι: Ολόκληρο το μήνυμα (εκτός από τις βασικές κεφαλίδες) Τύπος περιεχομένων MIME 4/12/2018 Πανεπιστήμιο Πελοποννήσου
42
Λειτουργία Υπηρεσία Εμπιστευτικότητας S/MIME (enveloped data)
Δημιουργεί ένα τυχαίο μιας χρήσης κλειδί και κρυπτογραφεί το μήνυμα Κρυπτογραφεί το τυχαίο κλειδί με το δημόσιο του παραλήπτη Δημιουργεί το ψηφιακό φάκελο και τον αποστέλει στον παραλήπτη 4/12/2018 Πανεπιστήμιο Πελοποννήσου
43
Λειτουργία Υπηρεσία Ψηφιακής Υπογραφής S/MIME (signed data)
Επιλογή ενός αλγοριθμού συνοψής μηνύματος Υπολογισμός της σύνοψης Κρυπτογράφηση της σύνοψης μηνύματος με το ιδιωτικό κλειδί του υπογράφοντα Επισύναψη στο μήνυμα 4/12/2018 Πανεπιστήμιο Πελοποννήσου
44
Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου
45
Επιθέσεις στο Διαδίκτυο
Επιθέσεις Άρνηση Παροχής Υπηρεσίας Είναι οι ενέργειες που αποτρέπουν την εξουσιοδοτημένη πρόσβαση σε μια παρεχόμενη υπηρεσία λόγω της κατανάλωσης των διαθέσιμων πόρων (π.χ μνήμη, διαθέσιμο εύρος ζώνης) Πιθανόν να δημιουργηθεί ΑΠΥ από κανονική κίνηση (π.χ γιορτές) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
46
Επιθέσεις Άρνησης Υπηρεσιών
Επιθέσεις Πλημμύρας Επιθέσεις μη συμβατών μηνυμάτων Υπερχιλείσης καταχορητών (buffer overflow) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
47
Πανεπιστήμιο Πελοποννήσου
Επιθέσεις Πλημμύρας Είναι δυνατόν να εκδηλωθούν σε όλα τα επίπεδα του διαδικτύου αξιοποιώντας αντίστοιχες αρχιτεκτονικές διαφοροποιώντας σε κάθε περίπτωση το πρωτόκολλο το οποίο χρησιμοποιείται Απλής Πηγής Πολλαπλών Πηγών 4/12/2018 Πανεπιστήμιο Πελοποννήσου
48
Πανεπιστήμιο Πελοποννήσου
Επιθέσεις Πλημμύρας Απλή Πηγής (single source attack) Ο επιτιθέμενος (ένα απλό σύστημα) δημιουργεί (άμεσα) την κίνηση προς το σύστημα στόχο Παράδειγμα: Ping –f O επιτιθέμενος αναγνωρίζεται εύκολα Τα συστήματα που δέχονται τις επιθέσεις θα προσπαθήσουν να αποκριθούν στην εισερχόμενη κίνηση δημιουργόντας ουσιαστικά κίνηση επίθεσης προς τον επιτιθέμενο Προσπαθεί να αποκρίψει την αληθινή του ταυτότητα 4/12/2018 Πανεπιστήμιο Πελοποννήσου
49
Επιθέσεις Πλημμύρας Απλής Πηγής
επιτιθέμενος Κίνηση Επίθεσης Κίνηση Απόκρισης Σύστημα Στόχος 4/12/2018 Πανεπιστήμιο Πελοποννήσου
50
Απόκριψη Ταυτότητας Επιτιθέμενου
Ο επιτιθέμενος σε πολλές περιπτώσεις χρησιμοποιεί πλαστές διευθύνσεις Η δημιουργιά μηνυμάτων με πλαστές διευθύνσεις θεωρείται «trivial» Χρήση libpcap Στην περίπτωση του ping –f ο επιτιθέμενος δε θα δέχεται «πίσω» κίνηση/αποκρίσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου
51
Απόκριψη Ταυτότητας Επιτιθέμενου
Κίνηση Επίθεσης Σύστημα Στόχος επιτιθέμενος Κίνηση Απόκρισης ?? 4/12/2018 Πανεπιστήμιο Πελοποννήσου
52
Απόκριψη Ταυτότητας επιτιθέμενου
Σε αυτή την περίπτωση δεν είναι δυνατός ο άμεσος εντοπισμός του επιτιθέμενου από την απλή επεξεργασία των στοιχείων της κεφαλίδας των εισερχόμενων μηνυμάτων Απαιτείται η δημιουργία του «αντίστροφου» μονοπατιού 4/12/2018 Πανεπιστήμιο Πελοποννήσου
53
Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
client server SYN/ACK ACK 4/12/2018 Πανεπιστήμιο Πελοποννήσου
54
Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
SYN-SPOOF client server SYN/ACK ?? 4/12/2018 Πανεπιστήμιο Πελοποννήσου
55
Απόκριψη Ταυτότητας Επιτιθέμενου: Η Επίθεση TCP/SYN
Mε τον τρόπο αυτό πραγματοποιείται πλημμύρα με εισερχόμενα SYN αιτήματα Το υπολογιστικό σύστημα είναι δυνατόν να επεξεργαστεί ένα περιορισμένο-πεπερασμένο αριθμό τέτοιων συνδέσεων Με αποτέλεσμα νέες εισερχόμενες αιτήσεις να απορίπτονται Δεν απαιτείται η δημιουργία μεγάλου όγκου δεδομένων 4/12/2018 Πανεπιστήμιο Πελοποννήσου
56
Επιθέσεις πλημμύρας πολλαπλών πηγών
4/12/2018 Πανεπιστήμιο Πελοποννήσου
57
Επιθέσεις πλημμύρας πολλαπλών πηγών: Reflection DoS (RDoS)
4/12/2018 Πανεπιστήμιο Πελοποννήσου
58
Πανεπιστήμιο Πελοποννήσου
ΙCMP smurf Ο επιτιθέμενος εντοπίζει ένα δίκτυο το οποίο απαντάει όταν του στείλουν αιτήσεις προς τη διεύθυνση broadcast. O επιτιθέμενος δημιουργεί ένα πλαστό μήνυμα στο οποίο συμπεριλαμβάνεται η διεύθυνση του θύματος και αποστέλει ένα μεγάλο αριθμό τέτοιων μηνυμάτων προς την broadcast διεύθυνση 4/12/2018 Πανεπιστήμιο Πελοποννήσου
59
Πανεπιστήμιο Πελοποννήσου
ΙCMP smurf Όλα τα υπολογιστικά συστήματα στο δίκτυο που αποστάλθηκαν τα πλαστά μηνύματα δημιουργούν αποκρίσεις όχι προς το δίκτυο του επιτιθέμενου άλλα προς το δίκτυο και το υπολογιστικό σύστημα του θύματος. Με τη μέθοδο αυτή ο επιτιθέμενος με ένα μήνυμα δημιουργεί πολλαπλάσια κίνηση προς το υπολογιστικό σύστημα του θύματος 4/12/2018 Πανεπιστήμιο Πελοποννήσου
60
Πανεπιστήμιο Πελοποννήσου
ICMP smurf Υπολογσιστικά Συστήματα Δρομολογητής Στόχος 4/12/2018 Πανεπιστήμιο Πελοποννήσου
61
Πανεπιστήμιο Πελοποννήσου
Ping of Death Πρόκειται για επίθεση που βασίζεται στην ιδέα των μη συμβατών μηνυμάτων Ο επιτιθέμενος δημιουργεί ένα μήνυμα μήκους μεγαλύτερο από αυτό που μπορεί να διαχειριστεί ένα υπολογιστικό σύστημα Συγκεκριμένα το μέγιστο μήκος ενός IP πακέτο είναι (2^16) 4/12/2018 Πανεπιστήμιο Πελοποννήσου
62
Πανεπιστήμιο Πελοποννήσου
Ping of Death O επιτιθέμενος δημιουργεί ένα πακέτο μήκους μεγαλύτερο από 65535 Το οποίο το αποστέλει σε fragments για να μπορέσει να δημιουργήσει το επιθυμητό μήκος του μηνύματος Τα περισσότερα λειτουργικά συστήματα δεν ήταν δυνατόν να επεργαστούν τέτοιου είδους μηνύματα με αποτέλεσμα να πραγματοποιείται άρνηση παροχής υπηρεσίες λόγω υπερχείλισης καταχωριτών 4/12/2018 Πανεπιστήμιο Πελοποννήσου
63
Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/12/2018 Πανεπιστήμιο Πελοποννήσου
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.