Β. Μάγκλαρης.

Σχετικά έγγραφα
Β. Μάγκλαρης 30/11/2015

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS. Β. Μάγκλαρης

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙII) Συστήματα Ανίχνευσης Επιθέσεων IDS Παθητική Παρακολούθηση (Passive Monitoring) Δικτυακής Κίνησης

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS

Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου Security in the E-Commerce

Network Address Translation (NAT)

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: 2 - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ:

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

Ανάλυση Δικτυακής Κίνησης Πρωτοκόλλων Υπηρεσιών. Ασφάλεια Δικτύων. (4 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Υπηρεσία Ηλεκτρονικού Ταχυδρομείου - SMTP

Ασφάλεια Πληροφοριακών Συστημάτων

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

8.3 Ασφάλεια ικτύων. Ερωτήσεις

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Βασικές Υπηρεσίες Διαδικτύου. Επικοινωνίες Δεδομένων Μάθημα 2 ο

Εργαστηριακή Άσκηση 5

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

6.2 Υπηρεσίες Διαδικτύου

Τεχνολογία Ηλεκτρονικού Εμπορίου. 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Σκοπιµότητα των firewalls

Τι είναι ένα δίκτυο υπολογιστών; Αρχιτεκτονική επιπέδων πρωτοκόλλων. Δικτυακά πρωτόκολλα

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

Το σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI) & οι υπηρεσίες ψηφιακής πιστοποίησης του ΧΑ

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

Σύνταξη κειμένου : Γεώργιος Μαμαλάκης, MSc Επιμέλεια κειμένου : Κωνσταντίνος Βασιλάκης, PhD

Cryptography and Network Security Chapter 15

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΕ

ΤΜΗΜΑ ΕΚΠΑΙΔΕΥΤΙΚΗΣ ΥΠΟΛΟΓΙΣΤΙΚΗΣ ΥΠΟΔΟΜΗΣ ΜΗΧΑΝΟΓΡΑΦΙΚΟ ΚΕΝΤΡΟ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Λειτουργικά Συστήματα (ΗΥ321)

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

υποστηρίζουν και υλοποιούν την πολιτική ασφάλειας

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

H.E.R.ME.S. Hellenic Exchanges Remote Messaging Services. To σύστημα «ΕΡΜΗΣ» του ΧΑΑ και οι Υπηρεσίες Ψηφιακής Πιστοποίησης της ΑΣΥΚ Α.Ε.

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. ίκτυα Υπολογιστών Ι. To Μοντέλο OSI. Αναπλ. Καθηγ. Π. εμέστιχας

Ασφάλεια στο δίκτυο GSM

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Ηλεκτρονικό Ταχυδρομείο - SMTP

Ασφάλεια Υπολογιστικών Συστηµάτων. Ορισµοί

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Ασφάλεια ικτύων (Computer Security)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

9 - Ασφάλεια Ηλεκτρονικών Συναλλαγών ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ & ΑΥΤΟΔΙΟΙΚΗΣΗΣ

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Περί δικτύων. Δρ. Ματθαίος Πατρινόπουλος

Freedom of Speech. Κρυπτογραφία και ασφαλής ανταλλαγή πληροφοριών στο Internet

ΥΠΟΓΡΑΦΗ. Ηλεκτρονική επικοινωνία. Κρυπτογραφία και ψηφιακές υπογραφές ΚΡΥΠΤΟΓΡΑΦΙΑ & ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

Αρχιτεκτονική Ασφάλειας

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

«Προηγμένες Ψηφιακές Υπηρεσίες για τον Πολίτη και τον Σπουδαστή στο ΤΕΙ Σερρών»

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

Από τη στιγμή που ένα δίκτυο αποκτήσει σύνδεση στο Internet ανοίγει ένα κανάλι αμφίδρομης επικοινωνίας:

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

ΟΔΗΓΙΕΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΛΟΓΑΡΙΑΣΜΩΝ ΗΛΕΚΤΡΟΝΙΚΗΣ ΑΛΛΗΛΟΓΡΑΦΙΑΣ ( accounts)

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

DDoS (Denial of Service Attacks)

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Cryptography and Network Security Chapter 22. Fifth Edition by William Stallings

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε.

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Βασικά Θέματα Κρυπτογραφίας Συμμετρική & Ασύμμετρη Κρυπτογραφία-Ακεραιότητα)

1. Τρόποι πρόσβασης στο σας

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

SOS Ερωτήσεις Δίκτυα Υπολογιστών ΙΙ

Διαδίκτυα και το Διαδίκτυο (Internetworking and the Internet)

ΚΕΦΑΛΑΙΟ 3 ICMP Echo Spoofing

Τίτλος Διατριβής: «Ασφάλεια Συστημάτων Ηλεκτρονικού Ταχυδρομείου» ΖΑΛΜΑ ΚΩΝΣΤΑΝΤΙΝΑ ΜΠΠΛ/09066 Επιβλέπων: Παναγιώτης Κοτζανικολάου

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΝΑΛΛΑΓΩΝ

Transcript:

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙI) Δημόσια & Ιδιωτικά Κλειδιά Ψηφιακά Πιστοποιητικά Ψηφιακή Υπογραφή Έλεγχος Πρόσβασης Χρήστη, Single Sign-On (SSO) Authentication & Authorization Infrastructures (AAI) Πάροχοι Ταυτότητας (IdP) SAML - Security Assertion Mark-up Language Πρωτόκολλα & Αρχιτεκτονικές email Συστήματα Προστασίας Firewall Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 20/11/2017

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ (Επανάληψη) Απόκτηση πληροφοριών για το σύστημα: Port Scanning Fingerprinting Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών Λάθος διαμορφώσεις (ανοικτά συστήματα) Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών Packet sniffing "Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) Ιοί, Δούρειοι ίπποι (trojans) Αυτόματα διαδιδόμενοι ιοί (worms)

DISTRIBUTED DENIAL OF SERVICE ATTACKS DDoS Attacks (Επανάληψη) Bots ή Zombies: Μολυσμένοι (π.χ. μέσω worms ή Trojans) κόμβοι στο Internet (υπολογιστές - smart phones - sensors ) που ενεργοποιούνται σε ορισμένη χρονική στιγμή σαν bots ή zombie μαζικών Επιθέσεων Άρνησης Υπηρεσίας (Distributed Denial of Service Attacks, DDoS) Δρομολογείται μεγάλος όγκος κίνησης προς ένα θύμα με στόχο την κατασπατάληση του εύρους ζώνης της σύνδεσης του θύματος ή των πόρων του (επεξεργαστική ισχύς, μνήμη) ώστε να παρεμποδίζεται η όποια παρεχόμενη υπηρεσία

ΥΠΟΚΛΟΠΗ ΚΛΗΣΕΩΝ ΚΙΝΗΤΗΣ ΤΗΛΕΦΩΝΙΑΣ GSM Man-in-the Middle Attack (Επανάληψη) Σύστημα Διαχείρισης 13 Kbit/sec ΦΩΝΗ Κωδικοποιημένη σε A5/1-3 Αποκωδικοποιημένα Κανάλια ΦΩΝΗΣ 64 Kbits/sec ΣΥΣΤΗΜΑ ΜΕΤΑΓΩΓΗΣ - ΔΙΚΤΥΟΥ Παράμετροι Ασφαλείας Χρηστών ΥΠΟΣΥΣΤΗΜΑ ΣΤΑΘΜΟΥ ΒΑΣΗΣ Κατάλογος Χρηστών Οικείου Δικτύου Υποκλοπέας ΑΛΛΕΣ ΕΤΑΙΡΕΙΕΣ ΚΙΝΗΤΗΣ ΤΗΛΕΦΩΝΙΑΣ ΕΤΑΙΡΕΙΕΣ ΣΤΑΘΕΡΗΣ ΤΗΛΕΦΩΝΙΑΣ Κατάλογος Χρηστών Άλλων Δικτύων (ROAMING) A5/1-3: Αλγόριθμοι Κρυπτογράφησης Συνδιαλέξεων GSM Σταθμός Βάσης Κινητό Τηλέφωνο Εξέλιξη GSM UMTS, LTE: Αυθεντικοποίηση Σταθμού Βάσης σε συσκευή Κινητού Τηλέφωνου (προβλήματα μετάβασης, downward compatibility με GSM;)

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) Κρυπτογράφηση στον Α: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση στον Π: Με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Δημόσιο Κλειδί Π Μετάδοση Παραλήπτης Π Ιδιωτικό Κλειδί Π Μήνυμα Αλγόριθμος Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αλγόριθμος Αρχικό Μήνυμα

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation Message Integrity Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου, clear text) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Αποστολέας Α Περίληψη Μηνύματος (Hash) Αλγόριθμος Μετάδοση Κρυπτογραφίας Παραλήπτης Π Αλγόριθμος Κατακερματισμού Σύγκριση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Ιδιωτικό Κλειδί Α Digital Signature Δημόσιο Κλειδί Α

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority CA Μη Κρυπτογραφημένα Πεδία Ψηφιακού Πιστοποιητικού: Πληροφορίες για τον αποστολέα (subject) μηνύματος (ID, Public Key, ) και της CA Κρυπτογραφημένο Πεδίο: Ψηφιακή Υπογραφή Πιστοποιητικού από CA Η CA υπογράφει με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web Browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA) Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο πιστοποιητικό) από ιεραρχικά δομημένες CA https://technet.microsoft.com/en-us/library/cc962029.aspx

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ http://en.wikipedia.org/wiki/digital_signature

ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 1 η Φάση: Handshaking Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύ S U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S έχει Πιστοποίηση μέσω TTP ή self-signed (Server Based Authentication) Για Ταυτοποίηση Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel της Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP για εφαρμογές Web, Mail ή με πρωτόκολλο RADIUS - UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση σε υπηρεσία DSL, WiFi roaming )

ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΗ, AAI Single Sign-On, ΠΑΡΟΧΟΙ ΤΑΥΤΟΤΗΤΑΣ IdP AAI Authentication & Authorization Infrastructure Ταυτοποίηση (Authentication) & Εξουσιοδότηση (Authorization) χρήστη με: Username, Password LDAP Server (Lightweight Directory Access Protocol) RADIUS (Remote Authentication Dial-In User Service) Active Directory (MS Windows) Οι Υποδομές Ταυτοποίησης & Εξουσιοδότησης (ΑΑΙ) επιτρέπουν πρόσβαση Single Sign-On (SSO) σε χρήστες διαδικτυακών πόρων κατανεμημένων σε παρόχους με αμοιβαία εμπιστοσύνη: Ταυτοποίηση (Authentication) μια φορά Εξουσιοδότηση (Authorization) ξεχωριστά με κάθε πάροχο Μεσολάβηση Παρόχου Tαυτότητας (Identity Provider - IdP) π.χ. Facebook, Twitter, Google User Accounts για Εξουσιοδότηση Single Sign-On σε υπηρεσίες με σχετικό security token συνδρομητή από IdP σε Service Providers που το εμπιστεύονται (π.χ. OAuth Open standard for Authorization, SAML - Security Assertion Markup Language) Επιβεβαίωση Ισχυρισμών Ταυτότητας (Identity Assertion) από WAYF (Where Are You From) servers μέσω πρωτοκόλλου SAML ή από LDAP servers με πιστοποιητικά X509 Συνέργεια IdP σε ομόσπονδα σχήματα AAI (π.χ. US Internet2 Shibboleth, GÉANT edugain)

ΡΟΗ SAML ΓΙΑ ΠΡΟΣΒΑΣΗ Single Sign-On (SSO) https://en.wikipedia.org/wiki/security_assertion_markup_language Ρόλοι οριζόμενοι στο πρότυπο SAML (OASIS Standard): Τελικός χρήστης (Principal User, P) Πάροχος Υπηρεσιών (Service Provider, SP) Πάροχος Ταυτότητας (Identity Provider, IdP) SAML: Μηχανισμός Επιβεβαίωσης Ισχυρισμών Ταυτοποίησης & Εξουσιοδότησης (Authentication & Authorization Assertions) Τελικού Χρήστη (P) προς Πάροχο Υπηρεσιών (SP) με την βοήθεια Παρόχων Ταυτότητας (IdP) Ανταλλαγής μηνυμάτων SAML μεταξύ P (User Agent), SP, IdP: Με φόρμες XML (για σιγουριά προστατευμένες από πρωτόκολλα TLS και XML encryption)

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/3) UA: User Agent MTA: Message Transfer Agent SMTP: Simple Mail Transfer Protocol IMAP: Internet Message Access Protocol POP: Post Office Protocol

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/3) UA 1 MTA 1 (Session 1) User Agent Message Transfer Agent SMTP (TCP Session 1) Δυνατότητα SSL/TLS security MTA 1 MTA 2 (Session 2) SMTP (TCP Session 2) Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail S/W π.χ. sendmail) MTA 2 (Mail Server) UA 2 (Session 3) Πρωτόκολλα POP/IMAP (TCP Session 3) Δυνατότητα SSL/TLS

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (3/3) Σχήμα με IMAP/POP3 Clients (Outlook, Thunderbird, Fedora ) IMAP: Κρατάει αντίγραφα emails και συντηρεί mail folders των users στον server POP3: Δεν κρατάει αντίγραφα emails στον server αφού διώξει τα emails στον client (πρόβλημα για χρήστες που λαμβάνουν email σε πολλαπλούς clients) Client A (Source) SMTP Session 1 INTERNET SMTP Session 2 IMAP/ POP3 Client B (Destination) http/https Client A (Source) Παράδειγμα Web Mail SMTP Session 1 Web Server SMTP Client IMAP Client INTERNET SMTP Session 2 IMAP http/https Client B (Destination) Outgoing SMTP Server Incoming Mail Server Outgoing SMTP Server Incoming Mail Server

ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (1/3) Firewalls Τι είναι ένα Firewall: Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων, Marcus J. Ranum, δημιουργός του πρώτου firewall Λειτουργία Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών διευθύνσεων και μετάφραση στο σύνορο (NAT - Network Address Translation). Ο πιο απλός Firewall είναι ο δρομολογητής (router) με σωστά στημένες Access Lists (ACLs) Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας

ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (2/3) Firewalls Βασικοί κανόνες <RuleGroup> <Action> Deny ή Allow <Protocol> IP, TCP, UDP, ICMP, κ.λπ. <SrcPort> <DstPort> <SrcIP> <SrcMask> Πηγή - Ξεχωριστές διευθύνσεις IP ή ομαδοποιήσεις τους <DstIP> <DstMask> Προορισμός Παράδειγμα από δρομολογητή Cisco: access-list 100 permit tcp any host 171.16.23.1 eq 80 Οι σύγχρονες Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά: Γραφικό περιβάλλον Ορισμό ομάδων κανόνων Ορισμό περιοχών προστασίας και ομάδων χρηστών Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις εταιρικές πολιτικές ασφαλείας κ.λπ.

ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (3/3) Firewalls Πολιτικές πρόσβασης Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless allowed") χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") δίνει μεγαλύτερη ελευθερία Επιπλέον δυνατότητες: Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way Handshake (Established) Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing)

ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (1/3) Internet Δρομολογητής Πρόσβασης Firewall Εσωτερικό Δίκτυο

ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2/3) Internet Δρομολογητής Πρόσβασης Firewall Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή Εσωτερικό Δίκτυο Web Άλλες Υπηρεσίες "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο

ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (3/3) Internet Δρομολογητής Πρόσβασης Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού Web Server Εσωτερικό Δίκτυο (2) Mail Server X Firewall / NAT Πραγματικές διευθύνσεις Reverse Web Proxy Mail Relay Εσωτερικό Δίκτυο (1) Μη πραγματικές Διευθύνσεις IP, τύπου 10.1.x.x