ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙII) Συστήματα Ανίχνευσης Επιθέσεων IDS Παθητική Παρακολούθηση (Passive Monitoring) Δικτυακής Κίνησης

Σχετικά έγγραφα
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS. Β. Μάγκλαρης

Β. Μάγκλαρης.

Β. Μάγκλαρης 30/11/2015

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Ανάλυση Δικτυακής Κίνησης Πρωτοκόλλων Υπηρεσιών. Ασφάλεια Δικτύων. (4 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

Ασφάλεια Πληροφοριακών Συστημάτων

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Υπηρεσία Ηλεκτρονικού Ταχυδρομείου - SMTP

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

Network Address Translation (NAT)

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

Εργαστηριακή Άσκηση 5

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Τι είναι ένα δίκτυο υπολογιστών; Αρχιτεκτονική επιπέδων πρωτοκόλλων. Δικτυακά πρωτόκολλα

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: 2 - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ:

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

Snort. A multi-mode packet analysis tool 3-1. Ασφάλεια Δικτύων, Τμήμα Πληροφορικής, Ο.Π.Α.,

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

Ασφάλεια Υπολογιστικών Συστηµάτων. Ορισµοί

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή Πρότυπο τριών Διαστάσεων Λειτουργίας Μοντέλο Διαχείρισης FCAPS Το Δίκτυο του Ε.Μ.Π. Περιβάλλον Εργαστηριακών Ασκήσεων

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. ίκτυα Υπολογιστών Ι. To Μοντέλο OSI. Αναπλ. Καθηγ. Π. εμέστιχας

Βασικές Υπηρεσίες Διαδικτύου. Επικοινωνίες Δεδομένων Μάθημα 2 ο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΥΠΟΓΡΑΦΗ. Ηλεκτρονική επικοινωνία. Κρυπτογραφία και ψηφιακές υπογραφές ΚΡΥΠΤΟΓΡΑΦΙΑ & ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Το σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI) & οι υπηρεσίες ψηφιακής πιστοποίησης του ΧΑ

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

Τεχνολογία Ηλεκτρονικού Εμπορίου. 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

ΤΜΗΜΑ ΕΚΠΑΙΔΕΥΤΙΚΗΣ ΥΠΟΛΟΓΙΣΤΙΚΗΣ ΥΠΟΔΟΜΗΣ ΜΗΧΑΝΟΓΡΑΦΙΚΟ ΚΕΝΤΡΟ

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου Security in the E-Commerce

H.E.R.ME.S. Hellenic Exchanges Remote Messaging Services. To σύστημα «ΕΡΜΗΣ» του ΧΑΑ και οι Υπηρεσίες Ψηφιακής Πιστοποίησης της ΑΣΥΚ Α.Ε.

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

9 - Ασφάλεια Ηλεκτρονικών Συναλλαγών ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ & ΑΥΤΟΔΙΟΙΚΗΣΗΣ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε.

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ BOTNETS. Τεχνικές ανίχνευσης και απόκρυψης. Ασημάκης Σιδηρόπουλος. Επιβλέπων: Καθηγητής Γεώργιος Πολύζος

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Ηλεκτρονικό Ταχυδρομείο - SMTP

DNS. Όλες οι άλλες υπηρεσίες του Διαδικτύου, (WWW και ) χρησιμοποιούν το DNS

Δίκτυα Υπολογιστών I

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΕ

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΛΑΣ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΛΟΓΙΣΤΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Βασικά Θέματα Κρυπτογραφίας Συμμετρική & Ασύμμετρη Κρυπτογραφία-Ακεραιότητα)

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

6.2 Υπηρεσίες Διαδικτύου

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

ίκτυα υπολογιστών Στόχοι κεφαλαίου ίκτυα

8.3 Ασφάλεια ικτύων. Ερωτήσεις

7.2.2 Σχέση OSI και TCP/IP

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

DDoS (Denial of Service Attacks)

Ασφάλεια ικτύων (Computer Security)

Οδηγίες Εγκατάστασης και Χρήσης Ψηφιακών Πιστοποιητικών

Εργαστήριο Δικτύων Υπολογιστών

Εισαγωγή στην Πληροφορική

Ασφάλεια Υπολογιστικών Συστημάτων

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΤΟ ΠΡΩΤΟΚΟΛΛΟ SNMP. Β. Μάγκλαρης 01/12/2014

Εισαγωγή Επανάληψη. ΤΕΙ Στερεάς Ελλάδας. ΣT Εξάμηνο, Κατεύθυνση Μηχανικών Δικτύων Τ.Ε. Τμήμα Μηχανικών Πληροφορικής Τ.Ε. Διαδικτυακός Προγραμματισμός

Περί δικτύων. Δρ. Ματθαίος Πατρινόπουλος

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας - Βιβλιοθηκονοµίας. Υπηρεσίες Internet. ίκτυα Η/Υ. Επίπεδο Εφαρµογής. Ενότητα θ

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Ενότητα 1. Εισαγωγή στις βασικές έννοιες των ικτύων ΗΥ

ΠΡΟΤΕΙΝΟΜΕΝΑ ΘΕΜΑΤΑ ΣΤΑ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ Γ Τάξη Ε.Π.Α.Λ.

Β. Μάγκλαρης 07/12/2015.

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Άσκηση 2 η Πρωτόκολλο επικοινωνίας TCP/IP

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

Freedom of Speech. Κρυπτογραφία και ασφαλής ανταλλαγή πληροφοριών στο Internet

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΝΑΛΛΑΓΩΝ

Transcript:

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙII) Συστήματα Ανίχνευσης Επιθέσεων IDS Παθητική Παρακολούθηση (Passive Monitoring) Δικτυακής Κίνησης Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 4/12/2017

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality (Επανάληψη) Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) Κρυπτογράφηση στον Α: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση στον Π: Με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Δημόσιο Κλειδί Π Μετάδοση Παραλήπτης Π Ιδιωτικό Κλειδί Π Μήνυμα Αλγόριθμος Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αλγόριθμος Αρχικό Μήνυμα

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation Message Integrity (Επανάληψη) Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου, clear text) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Αποστολέας Α Περίληψη Μηνύματος (Hash) Αλγόριθμος Μετάδοση Κρυπτογραφίας Παραλήπτης Π Αλγόριθμος Κατακερματισμού Σύγκριση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Ιδιωτικό Κλειδί Α Digital Signature Δημόσιο Κλειδί Α

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 (Επανάληψη) Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority CA Μη Κρυπτογραφημένα Πεδία Ψηφιακού Πιστοποιητικού: Πληροφορίες για τον αποστολέα (subject) μηνύματος (ID, Public Key, ) και της CA Κρυπτογραφημένο Πεδίο: Ψηφιακή Υπογραφή Πιστοποιητικού από CA Η CA υπογράφει με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web Browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA) Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο πιστοποιητικό) από ιεραρχικά δομημένες CA https://technet.microsoft.com/en-us/library/cc962029.aspx

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ (Επανάληψη) http://en.wikipedia.org/wiki/digital_signature

ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 1 η Φάση: Handshaking Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύ S U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: (Επανάληψη) Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S έχει Πιστοποίηση μέσω TTP ή self-signed (Server Based Authentication) Για Ταυτοποίηση Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel της Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP για εφαρμογές Web, Mail ή με πρωτόκολλο RADIUS - UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση σε υπηρεσία DSL, WiFi roaming )

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/3) (Επανάληψη) UA: User Agent MTA: Message Transfer Agent SMTP: Simple Mail Transfer Protocol IMAP: Internet Message Access Protocol POP: Post Office Protocol

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/3) (Επανάληψη) UA 1 MTA 1 (Session 1) User Agent Message Transfer Agent SMTP (TCP Session 1) Δυνατότητα SSL/TLS security MTA 1 MTA 2 (Session 2) SMTP (TCP Session 2) Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail S/W π.χ. sendmail) MTA 2 (Mail Server) UA 2 (Session 3) Πρωτόκολλα POP/IMAP (TCP Session 3) Δυνατότητα SSL/TLS

ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (3/3) (Επανάληψη) Σχήμα με IMAP/POP3 Clients (Outlook, Thunderbird, Fedora ) IMAP: Κρατάει αντίγραφα emails και συντηρεί mail folders των users στον server POP3: Δεν κρατάει αντίγραφα emails στον server αφού διώξει τα emails στον client (πρόβλημα για χρήστες που λαμβάνουν email σε πολλαπλούς clients) Client A (Source) SMTP Session 1 INTERNET SMTP Session 2 IMAP/ POP3 Client B (Destination) http/https Client A (Source) Παράδειγμα Web Mail SMTP Session 1 Web Server SMTP Client IMAP Client INTERNET SMTP Session 2 IMAP http/https Client B (Destination) Outgoing SMTP Server Incoming Mail Server Outgoing SMTP Server Incoming Mail Server

ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2/3) (Επανάληψη) Internet Δρομολογητής Πρόσβασης Firewall Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού: Έλεγχος συνδέσεων Έλεγχος πρόσβασης ανά περιοχή Εσωτερικό Δίκτυο Web Άλλες Υπηρεσίες "Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (1/4) Intrusion Detection Systems IDS Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη. Η απόλυτη (;;;) ασφάλεια: Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο o Υπολογιστικό σύστημα (Host based IDS) o Δίκτυο (Network Based IDS) Μεθοδολογίες ανίχνευσης o Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές" (signatures) γνωστών περιστατικών ασφαλείας (Misuse Detection) o Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους (Anomaly Detection)

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (2/4) Το IDS Snort Snort: Σύστημα NIDS (Network Intrusion Detection System) & NIPS (Network Intrusion Prevention System) που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα Σύστημα ανοιχτού κώδικα (Open Source Project) Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα Παράδειγμα κανόνα alert σε προσπάθεια παράνομης εκτέλεσης εντολών με cmd.exe στον εξυπηρετητή WEB-IIS: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-iis cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (3/4) Βασική Αρχιτεκτονική IDS

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (4/4) Παράμετροι Αποτίμησης Ποιότητας IDS ΟΡΙΣΜΟΙ P-Positives: Επιθέσεις N-Negatives: Κανονική λειτουργία TP- True Positives: Ορθώς διαγνωσμένες επιθέσεις TN-True Negatives: Ορθώς μη διαγνωσμένες επιθέσεις FP-False Positives: Λανθασμένες διαγνώσεις επιθέσεων (false alarms) FN-False Negatives: Επιθέσεις που δεν διαγνώστηκαν ΠΑΡΑΜΕΤΡΟΙ ΑΠΟΤΙΜΗΣΗΣ IDS Ευαισθησία: TP/P (συχνότητα ορθών διαγνώσεων επιθέσεων) Ακρίβεια: TN/N (συχνότητα ορθώς μη διαγνωσμένων επιθέσεων) Απόδοση: Ταχύτητα συλλογής στοιχείων και επεξεργασίας αναφορών. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας) Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS Ταχύτητα κατάληξης σε συμπεράσματα, ενεργοποίηση αντίμετρων πολιτικών μετριασμού (mitigation policy) σε επιθέσεις (π.χ. firewall rules, incident reporting σε ομάδες CSIRT - Computer Security Incident Response Teams)

ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Αντιμετώπιση (Mitigation) Επιθέσεων DDoS

ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Παθητική Παρακολούθηση (Passive Monitoring) Δικτυακής Κίνησης Εναλλακτικοί τρόποι Passive Monitoring Packet Capturing: Αντιγραφή κίνησης ζεύξεων μεταξύ routers/switches (Port Mirroring, Passive split), δυνατότητα πλήρους καταγραφής πακέτων headers + payload, Deep Packet Inspection (DPI) SNMP MIB Counters MRTG Graphs μέσω αποθήκευσης σε RRD (round-robin databases) NetFlow: Καταγραφή μετρητών ροών (packet flows) σε Layer 3 Routers (π.χ. αριθμός πακέτων ή bytes ανά ροή) από packet headers. Οι ροές ορίζονται για εύλογο χρονικό διάστημα βάσει 5 παραμέτρων: 1: Πρωτόκολλο 2-3: Διευθύνσεις IP 4-5: TCP/UDP ports Καταχώρηση σε μετρητές αυξανόμενους ανά πακέτο ή δειγματοληπτικά (1/100, 1/1000) για ζεύξεις υψηλών ταχυτήτων. Ανά διαστήματα οι μετρητές προωθούνται σε εξωτερικούς servers (Collectors) για αποθήκευση και στατιστική επεξεργασία sflow: Δειγματοληψία (sampling) καταγραφής πακέτων (των αρχικών bytes τους, headers+) σε Layer 2 Switches με sflow agents και επεξεργασία μέσω sflow Collectors OpenFlow (OF): OF Table Counters OF Controllers Διάφοροι περιορισμοί: Δυσκολία χρήσης, χρονική ακρίβεια, ακρίβεια μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη, ταχύτητα καταγραφής) Μέσω Packet Capturing Μέσω SNMP MIB Counters Μέσω NetFlow

ΕΙΔΙΚΑ ΘΕΜΑΤΑ: Ανίχνευση Επίθεσης TCP SYN Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά Για ανίχνευση TCP SYN Attack, το πλήθος flows από SYN flags δεν αποκαλύπτει ύποπτες ασυμμετρίες στο TCP (περίπου συμμετρικό σε κανονικές συνθήκες λειτουργίας) Καλό μετρικό είναι SFR (Syn Fin Ratio) (μέτρηση με packet capture):