Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.

ΔημοσίευσεAlexandras Tocci Τροποποιήθηκε πριν 9 χρόνια

Παρόμοιες παρουσιάσεις

Παρουσίαση με θέμα: "ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012."— Μεταγράφημα παρουσίασης:

1 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 23/01/2012

2 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality (επανάληψη) Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self- signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) –Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π –Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π

3 ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity (επανάληψη) Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: –Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α –Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας Α Παραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature

4 ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ (επανάληψη) ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ (επανάληψη) ht tp://en.wikipedia.org/wiki/Digital_signature 4

5 ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 (επανάληψη) http://www.verisign.com.au/repository/tutorial/digital/intro1.shtml Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

6 ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 6 1 η Φάση: Handshaking –Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI –Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στονS κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί –Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U ΠΑΡΑΤΗΡΗΣΗ: –Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) –Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή όπου υπάρχουν Client Certificates)  έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)

7 ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) 7

8 Πολιτικές πρόσβασης Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου. Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία Επιπλέον: Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way Handshake (Established) Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing) ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Firewalls (επανάληψη)

9 ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (1) (επανάληψη)

10 ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2) (επανάληψη) "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή

11 ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (3) (επανάληψη) Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού X

12 Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο Υπολογιστικό σύστημα (Host based IDS) Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" ("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (1) Intrusion Detection Systems – IDS

13 ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (2) Το IDS Snort Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. –Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου –Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα Σύστημα ανοιχτού κώδικα (Open Source Project) Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)

14 ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (3) Βασική Αρχιτεκτονική IDS

15 Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει. Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS Ταχύτητα κατάληξης σε συμπεράσματα ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (4) Παράμετροι Αποτίμησης Ποιότητας IDS

16 ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Αντιμετώπιση Επιθέσεων DDoS

17 ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Πηγές Πληροφοριών για τη Κατάσταση Δικτύου Υπάρχουσες τεχνικές παθητικής παρακολούθησης δικτύων: –Packet capture –SNMP –Netflow  Διάφοροι περιορισμοί: ευκολία χρήσης, χρονική ακρίβεια, δυνατότητες μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη)

18 Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά. Καλό μετρικό είναι SFR (μέτρηση με packet capture) και πλήθος flows με μόνο SYN flag (μέτρηση με Netflow) λόγω συμμετρίας του TCP. ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Ανίχνευση Επίθεσης TCP SYN

Κατέβασμα ppt "ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012."

Παρόμοιες παρουσιάσεις

Client Access Internet Explorer. Εισαγωγή aXes Terminal Server είναι ένα πρωτοποριακό προϊόν το οποίο μετατρέπει μεταφέρει άμεσα τις οθόνες του iSeries.

Client Access Internet Explorer. Εισαγωγή aXes Terminal Server είναι ένα πρωτοποριακό προϊόν το οποίο μετατρέπει μεταφέρει άμεσα τις οθόνες του iSeries.
Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 07/03/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ.

Β. Μάγκλαρης 07/03/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ.
Διαχείριση Δικτύων Ευφυή Δίκτυα

Διαχείριση Δικτύων Ευφυή Δίκτυα
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.

ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.

ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server 2000. Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου (email service).

Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Ασφάλεια Ηλεκτρονικού Εμπορίου

Ασφάλεια Ηλεκτρονικού Εμπορίου
ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.

ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
Ζητήματα Κρυπτογραφίας- Κέρβερος

Ζητήματα Κρυπτογραφίας- Κέρβερος
Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.

Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.
Εισαγωγικά θέματα www Phishing Βλαχάκου Σταυρούλα ΜΠΣ Δυνητικές κοινότητες – Πάντειο Πανεπιστήμιο.

Εισαγωγικά θέματα www Phishing Βλαχάκου Σταυρούλα ΜΠΣ Δυνητικές κοινότητες – Πάντειο Πανεπιστήμιο.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο

Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ασφάλεια δικτύων.

Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.

Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.

Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18

ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18
1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.

1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.

Παρόμοιες παρουσιάσεις

Διαφημίσεις Google