1 / 49

William Stallings Data and Computer Communications

William Stallings Data and Computer Communications. Capitolul 18 Securitatea în reţele de calculatoare. Cerinţe pt sisteme de securitate. Confiden ţialitate datele accesibile doar pt. cei autorizaţi Integrit ate NU pot fi modificate în nici un fel. Atac Pasiv. Ascultarea transmisiei

yered
Télécharger la présentation

William Stallings Data and Computer Communications

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. William StallingsData and Computer Communications Capitolul 18 Securitatea în reţele de calculatoare

  2. Cerinţe pt sisteme de securitate • Confidenţialitate • datele accesibile doar pt. cei autorizaţi • Integritate • NU pot fi modificate în nici un fel

  3. Atac Pasiv • Ascultarea transmisiei • Pt. a obţine informaţii • Dezvăluirea conţinutului • Străini află conţinut • Analiza traficului • Prin monitorizarea frecvenţei, lungimii, natura comunicaţiilor poate fi ghicită • Dificil de detectat • Poate fi prevenită

  4. Atac Activ • Impostura • Pretinde că e altcineva • Replay • Modificarea mesajului • Refuzul serviciului Denial of Service • Uşor de detectat • Detecţia poate conduce la infractor • Dificil de prevenit

  5. Pericole în Securitate

  6. Criptare Convenţională

  7. Ingrediente • text plan • algoritm de criptare • cheie Secretă • text Cifrat • algoritm de decriptare

  8. Cerinţe pt. securitate • Algoritm de criptare puternic • chiar dacă este cunoscut să nu permită decriptarea sau deducerea cheii • Chiar dacă sunt disponibile texte plane şi cifrate în număr limitat • Emiţator şi receptor trebuie să obţină cheia de criptare într-un mod sigur • Cheia deconspirată toată comunicaţia secretă este compromisă

  9. Atac asupra criptării • Criptanaliză • Se bazează pe natura algoritmului şi cunoştinţe generale asupra caracteristicilor textului plan • Încercare de a deduce textul plan sau cheia • Forţă brută • Se încearcă toate cheile posibile până la obţinerea textului plan

  10. Algoritmi • Cifru bloc • Procesează text plan în blocuri de dim fixă şi produce text cifrat de dimensiune egală • Data encryption standard (DES) • Triple DES (TDES)

  11. Data Encryption Standard • US standard • 64 bit plain text blocks • 56 bit key

  12. DES Encryption Algorithm

  13. DES Single Iteration

  14. Puterea DES • Declaratnesigur în 1998 • Electronic Frontier Foundation • DES Cracker machine • DES acum inutil • Alternativa include TDEA

  15. Triple DEA • ANSI X9.17 (1985) • Incorporated in DEA standard 1999 • Utilizează 3 cheişi 3 execuţiia algoritmului DEA • Lungime cheie de 168 biţi

  16. Amplasarea disp. de criptare

  17. Criptarea legăturii • Fiecare link echipat la ambele capete • Tot traficul este sigur • Nivel înalt de securitate • Necesar mare de echipamente • Mesajele trebuie decriptate în fiecare comutator pt. a citi adresa • Vulnerabilitate în comutatoare • În special în reţele publice

  18. Criptare capăt la capăt • Criptare în sistemele finale • Datele criptate trec prin reţea nealterate • Destinaţiaîmparte cheia cu sursa • Se poate cripta doar partea de date utilizator • Altfel comutatoarele nu pot citi antetelepachetelor • Modelul de trafic este deductibil • A se utiliza ambele metode

  19. Distribuţia cheilor • Cheia aleasă de A trimisă la B (manual) • O a treia parte selectează cheia şi o trimite la A şi B • Cheia nouă se trimite criptat cu cheia veche • Cheia nouă se trimite de treia parte la A şi B criptată cu cheia veche

  20. Distribuirea automată a chei

  21. Distribuirea automată a chei • Cheie de sesiune • Utilizată pe durata unei conexiuni logice • Distrusă la terminarea • Criptează doar traficul utilizator • Cheie Permanentă • Utilizată pentru distribuţia cheilor de sesiune • Centru de distribuire a cheilor • Determină care sisteme pot comunica • Furnizează cheia de sesiune • Front end processor • Realizează criptarea end to end • Obţine cheile pt. host

  22. Traffic Padding • Produce text cifrat continuu • Dacă nu e nimic de transmis trimite date aleatoare • Face analiza traficului imposibilă

  23. Autentificarea Mesajelor • Protecţie împotriva atacurilor active • Manipularea datelor • Mesajul este autentic dacă este original şi provine de la sursa reală • Autentificarea permite destinaţiei să verifice • Mesajul nu este alterat • Provine de la sursa reală • Secvenţierea mesajelor este corectă

  24. Autentificare prin criptare • Doar sursa şi destinaţia cunosc cheia • Mesajul include: • cod detector de erori • număr de secvenţă • marcaj de timp

  25. Autentificare fără criptare • Etichetă de autentificare ataşată la fiecare mesaj • Mesajul nu este criptat • Util pentru: • Destinaţii multiple, numai una face autentificarea

  26. Message Authentication Code • Generează codul de autentificare din mesaj şi cheie comună • Cheia comună cunoscută doar de A şi B • Dacă codul de autentificare corespunde: • Mesajul nu a fost alterat • Expeditorul este autentic • Dacă este şi nr de secvenţă, acesta este corect

  27. Message Authentication Using Message Authentication Code

  28. Funcţie hash one way • Acceptă mesaje de lung. variabilă şi rezultă un sumar de lg. fixă • Avantaje ale auth. fără criptare • Criptarea este lentă • Hard pt criptare este scump • Hard criptare optimizat pt. date multe • Algoritmi sunt acoperiţi de patente • Controlul exportului (din USA)

  29. Using One Way Hash

  30. Funcţii HASH sigure • Funcţia hash are urm. proprietăţi: • Poate fi aplicată pt. orice lungime • Lungimea codului este fixă • Uşor de calculat • Nu poate fi inversată • Nu este fesabil de a se găsi două mesaje cu hash identic

  31. SHA-1 • Secure Hash Algorithm 1 • Input message less than 264 bits • Processed in 512 bit blocks • Output 160 bit digest

  32. Criptare cu cheie publică • Se bazează pe alg. matematici • Asimetric • Sunt două chei, publică şi privată • Ingrediente • Text plan sau clar • Algoritm criptare • Cheie publică şi privată • Text cifrat • Algoritm de decriptare

  33. Public Key Encryption (diag)

  34. Cheie Publică - Operare • Una dintre chei este publică • cea pentru criptare • A doua cheie este privată • cu ea se face decriptarea • Nu se poate determina cheia de decriptare cunoscând cheia de criptare şi algoritmul • Din perechea de chei oricare poate fi utilizată pt. criptare şi a doua pt. decriptare

  35. Metoda • Utilizatorul generează cele două chei • Una din chei este făcută publică • Pt. a trimite mesaj la util. se criptează cu cheia publică • Utilizatorul decriptează cu cheia s-a privată

  36. Semnătură digitală • Expeditor criptează mesajul cu cheia s-a privată • Receptorul poate să decripteze cu cheia publică • Aceasta autentifică exp. fiind unicul care posedă cheia potrivită • Nu se asigură protecţia datelor • Cheia de decriptare este publică

  37. Algoritm RSA

  38. RSA Exemplu

  39. IPv4 and IPv6 Security • IPSec • Secure branch office connectivity over Internet • Secure remote access over Internet • Extranet and intranet connectivity • Enhanced electronic commerce security

  40. IPSec Scope • Authentication header AH • Encapsulated security payload ESP • Key exchange • RFC 2401,2402,2406,2408

  41. Security Association • Relaţie unidirecţională între exp şi destinatar. • Pt bidirecţională sunt necesare două asociaţii • Trei parametrii identifică un SA • Security parameter index SPI • IP sursă IP destinaţie • Security protocol identifier AH sau ESP

  42. SA Parameters • Sequence number counter • Sequence counter overflow • Anti-reply windows • AH information • ESP information • Lifetime of this association • IPSec protocol mode • Tunnel, transport or wildcard • Path MTU

  43. Moduri Transport şi Tunel • Modul Transport • Protecţie pt nivele superioare, ex. TCP • Se extinde la partea de date a pachetului IP • Capăt la capăt • Modul Tunel • Protecţiept. pachetul IP în întregime • Pachetul vechi este încapsulat într-unul nou • Nici un ruter nu examinează pachetul interior • Poate avea adrese IP sursă şi destinaţie diferite • Poate implementat la in firewall

  44. Authentication Header

  45. Encapsulating Security Payload • ESP • Confidentiality services

  46. ESP Packet

  47. Scope of ESP

  48. Managementul Cheilor • Manual • Automatic • ISAKMP/Oakley • Oakley key determination protocol • Internet security association and key management protocol

  49. IKE Use in an IPSec Environment

More Related