OMREŽNA VARNOST

Lakukan tugas rumah & ujian kamu dengan baik sekarang menggunakan Quizwiz!

Prednosti digitalnega podpisa

+ Lahko podpišemo kjerkoli, kadarkoli + Prihranek stroškov, papir, tiskanje, skeniranje + Boljša učinkovitost poteka dela z manj napora + Uporabnik ima svobodo, da je kjerkoli, kadar sodeluje s podjetjem + Zmanjšujejo možnost poneverb

Prednosti omrežnih sistemih za preprečevanje vdorov

+ Ne vpliva na zmogljivost omrežja in sistemov + Zazna napada, preden pridejo do tarče + Vidi vse vrste podatkov

Prednosti in slabosti TEA

+ Preprost opis in implementacija + Eden izmed najhitrejših kriptografskih algorimov - Vdiranje v igralno konzolo Xbox (wiki: TEA has a few weaknesses. Most notably, it suffers from equivalent keys—each key is equivalent to three others, which means that the effective key size is only 126 bits. As a result, TEA is especially bad as a cryptographic hash function. This weakness led to a method for hacking Microsoft's Xbox game console, where the cipher was used as a hash function.)

Prednosti sistemov za preprečevanje vdorov ki temeljijo na gostitelju

+ Zazna lokalne napade + Neobčutljiv na šifriranje v omrežju - vidijo vse informacije ko paket potuje po OSI modelu od spodaj navzgor

Prednosti simetričnega šifriranja

+ Časovno učinkovito, uporablja premikanje, seštevanje, XOR (najhitrejše operacije v CPU)

Slabosti sistemov za preprečevanje vdorov ki temeljijo na gostitelju

- Namestitev na vse važne sisteme - Vpliva na zmogljivost sistema - Zapleteno vzdrževanje - Ne vidi specifično omrežnih napadov - Vdor ga lahko onemogoči - Drago

Slavobosti omrežnih sistemih za preprečevanje vdorov

- Občutljiv na šifriranje v omrežju - ne vidi jih

Slabosti simetričnega šifriranja

- Če tretja oseba dobi dostop do ključa, ni varno -> VARNA IZMENJAVA KLJUČA

Koncepti za zagotavljanje zaščite

1. Avtentikacija - preverjanje prisotnosti: obe strani si medsebojno dokazujeta da sta to za kar se izdajata 2. Integriteta - poročilo ni bilo spremenjeno: zaznavanje morebitnih posegov v sporočila 3. Nemožnost zanikanja: obe strani ne moreta zanikat komunikacijo, pošiljatelj ne more zanikati da je sporočilo poslal in prejemnik ne more zanikati da je sporočilo prejel 4. Zasebnost: prepreči, da bi sporočila videla tretja oseba 5. Nadzor dostopa: sporočilo lahko prebere samo uporabnik kateremu je sporočilo namenjeno

Algoritmi simetričnega šifriranja

AES, DES, RC4, RC5, RC6

Vrste simetričnega šifriranja

Algoritmi ki temeljijo na blokih Algoritmi ki temeljijo na toku podatkov

TOR

Anonimizirano omrežje Brezplačna in odprtokodna programska oprema za omogočanje anonimne komunikacije Osebna zasebnost uporabnikov

SET

Aplikacijski protokol za nakupovanje s kreditnimi karticami

Protokoli katere uporablja IPsec

Authentication Headers Encapsulating Security Payloads Security Associations

Kaj zagotavlja digitalni podpis

Avtentikacijo Integriteto Nemožnost zanikanja

Algoritmi ki temeljijo na blokih (SŠ)

Bloki sporočil s fiksno dolžino Vsak blok je kodiran s simtetričnim ključem (Block algorithms. Set lengths of bits are encrypted in blocks of electronic data with the use of a specific secret key. As the data is being encrypted, the system holds the data in its memory as it waits for complete blocks.)

Infrastruktura javnega ključa

Certificate authority - subjekt ki izdaja digitalna potrdila Registration authority- odgovoren za sprejemanje zahtev za digitalna potrdila in overjanje subjekta, ki daje zahtevo Validation authority - subjekt ki zagotavlja storitev za preverjanje veljavnosti digitalnega potrdila Certificate Revocation List - seznam digitalnih potrdil, ki jih je preklical izdajatelj potrdil in jim ne bi smeli več zaupati (potekla, vkradena, zgubljena potrdila) - če je potrdilo na seznamu ga VA ne potrdi

Mehanizmi za zaščito

Digitalni podpis Šifriranje

Sistemi za samodejno zaznavanje vdorov

Dobimo sporočilo da je nekdo vdro not, ki je meja koliko sporočil hočemo Ne morejo popolnoma nadomestiti ljudi Zaznajo stvari, ki jih človek ne bi mogel Pomagajo pri odločitvah Nevronske mreže - nadzorujejo vzorce Intrusion detection systems IDS Lahko so naprave ali programska oprema

Single sign-on

Dostop do vseh sorodnih sistemov programske opreme, uporabnik se prijavi z eno digitalno identiteto, da dobi dostop do vseh povezanih sistemov - recimo Microsoft - ČE NEKDO DOBI EMO GELSO IMAJO DOSTOP DO VSEH

Digitalno potrdilo

Elektronski dokument ki poda informacije o lastniku digitalnega ključa Vsebuje ključ, identiteto imetnika in digitalni podpis subjekta ki je preveril vsebino potrdila (izdajatelj) Veljavno šele ko je podpisano + programska oprema zaupa izdajatelju

Digitalni podpis

Elektronski prstni odtis Matematična shema za potrditev avtentikacije digitalnih sporočil ali dokumentov Zelo močan razlog da prejemnik verjame da je sporočilo ustvaril znani pošiljatelj in da sporočilo ni bilo spremenjeno med prenosom - CELOVITOST Uporablja se javni ključ za šifriranje sporočil Za podpisovanje uporabljamo zasebni ključ

Single sign-off

Enkraten ukrep odjave iz vseh povezanih sistemov

Ponudnik identitete

Entiteta zaupanja, avtentikacijska infrastruktura, vzdržuje atribute jedra identitete, opcijsko ponuja dodatne storitve

RSA algoritem

Faktorizacija s praštevili - RAČUNSKO POTRATEN PROCES Javni ključ P in privatni ključ S 2 različni praštevili: p in q, nekaj 1000 števk Izračunamo n = p*q -> ugibanje p in q iz n je težko Izberemo malo liho število e, ki je tude številu fi = (p-1) * (q-1) Rešimo enačbo s x e ≡ 1(mod fi) Javni ključ je par P = (e, n) Zasebni ključ je par S = (s, n) Šifriranje sporočila M: C= F(M, e, n) = M^e mod n Dešifriranje sporočila C: M = F' (C, s, n) = C^s mod n

Faze digitalnega podpisovanja

Faza I: zgoščevanje vsebine sporočila (hash) - rezultat je v številu Faza II: število se podpiše z zasebnim ključem ko drugi prejme, dekodira hash in zračuna hash prejeta sporočila in ju primerja lahko isto naredimo s privatnim simetričnim ključem, katereg imata obadva

Idajatelj

Finančna institucija (npr banka) ki imetniku kartice izda plačilno kartico

Prevzemnik

Finančna institucija, ki vzpostavi račun pri rtgovcu, ureja pooblastila in izvaja plačila s plačilnimi karticami

Plačilni prehod

Funkcija mu je da obdeluje plačilna sporočila trgovca, ki jih upravlja prevzemnik

S/MIME PGP

Hibridni način šifriranja za elektronsko pošto

Trgovec

Ima blago ali storitev za prodajo imetniku kartice

Zahteva za nakup - Kupec

Info o plačilu se podpiše in skupaj z hash kodo naročila zakodira z temporary simetričnim ključem katereg potem zašifriramo z bankinim javnim ključem Zraven tega damo še hash kodo plačila in naročilo, kar potem zakodiramo da dobimo še en hash (to je potem dvojni podpis) in dodamo še naš certifikat

Digitalna identiteta

Informacija o entiteti (informacije kot so uporabniška imena, gelsa, digitalna potrdila, osebni podatki, profil), ki jo računalniški sistemi uporabljajo za zastopanje osebe, organizacije, aplikacije ali naprave

Sistemi za preprečevanje vdorov ki temeljijo na gostitelju

Iskanje lastnosti napadov: 10 napačnih prijav za isto uporabniško ime, zahtevana datoteka, zaustavitev delovanja strežnika

Avtorizacija

Izvaja se po avtentikaciji Ali uporabnik potrebuje pravice za dostop do določene datoteke, funkcije, itd...

Onion routing

Izvaja se s šifriranjem v splikacijski plasti sklada aplikacijskih protokolov Tehnika za anonimno komunikacijo prek računalniškega omrežja Šifrirani podatki se prenašajo skozi vrsto omrežnih vozlišč imenovanih onion routers Ne dostopamo takoj do storitev ampak se prvo povežemo na par različnih vmesnih strežnikov

Statistično zaznavanje vdorov

Iščemo odstopanja od normalnega obnašanja

Filtriranje pretoka informacij

Kontrola dostopa do storitev znotraj intraneta Zaznavanje nevarnosti in ukrepanje Pravila dostopa v in izven omrežja glede na aplikacije, tip protokola, uporabnika itd ...

Transakcija

Kupec dobi kartico in digitalno potrdilo od banke Prodajalec ima svoje digitalno potrdilo Kupec naroči blago pri prodajalcu Prodajalec pošlje svoje digitalno potrdilo, da kupec lahko preveri ali mu lahko zaupa Kupec pošlje naročilo in plačilo Prodajalec preveri v plačilnem sistemu ali je plačilo bilo odobreno Prodajalec obravnava naročilo, izdelke dostavi kupcu in zahteva plačilo

Imetnik kartice

Kupec, komunicira s trgovcem, uporablja osebni računalnik in internet

MAC

Message authentication code Pošljemo sporočilo skozi omrežje in če ga kdorkoli spremeni prejemnik to vidi Majhen del informacije ki je dodan k sporočilu Autentikacija sporočila

SSL rokovanje

Metoda izmenjave ključev: RSA z javnima ključema certifikatov Šifriranje podatkov: IDEA Funlcija avtentikacijske kode (MAC): SHA - preverjanje CRC kode

Šifriranje pri IPsec

Najprej se ustvari kanal na omrežnem nivoju Šifriranje na mrežnem nivoju - IP datagrami Šifrirani so TCP in UDP segmenti ter ICMP in SNMP sporočila

Omrežni sistemi za preprečevanje vdorov

Namestitev na nekatere segmente omrežja - tiste najbolj občutljive Odziv v realnem času Sprejma promet Iskanje vzorcev na vseh nivojih OSI: lastnosti napadov, ogromno paketov namenjenih strežniku, zahteva po občutljivih datotekah Bolj popularni

TSL

Naslednik protokola SSL Cilj je zagotovit zasebnost in integriteto podatkov med aplikacijami 443 vrata za HTTPS Potrdila X.509

OpenID

Odprti standardni in decentralizirani protokol za preverjanje prisotnosti Omogoča prijavo z isto identiteto v različne spletne aplikacije

Požarni zid

Omrežni varnostni sistem ki nadzira in nadzoruje dohodni in odhodni omrežni promet na podlagi vnaprej določenih varnostnih pravil

Project Liberty Alliance

Organizacija ki vzpostavlja standarde, smernice in najboljše prakce za upravljanje identitet v računalniških sistemih Okvirji za združitev, zagotavljanje identitete, okvir za upravljanje identitete in spletne storitve za identiteto

Postopek hibridneg šifriranja

Oseba A pridobi javni ključ osebe B Ustvari nov simetričen ključ Uporabi simetričen ključ za šifriranje sporočila Uporabi javni ključ osebe B za šifriranje simetričnega ključa Osebi B pošlje šifrirano sporočilo in šifriran ključ Oseba B uporabi lasten ključ za dešifriranje prejetega simetričnega ključa Dešifrira sporočilo s pomočjo simetričnega ključa

Security associations

Ponuja algoritme in podatke, ki zagotavljajo parametre, potrebne za protokola AH in ESP

CyberChash

Ponuja proramsko opremo za spletno denarnico potrošnikom in programsko opremo trgovcem za sprejemanje plačil s kreditno kartico + Ne rabimo fizičnega denarja

Ponudniki storitev

Ponujajo storitev, ni nujno da investirajo v avtentikacijsko infrastrukturo

Dvojni podpis

Povezuje dve sporočili, ki sta namenjena dvema prejemnikoma DS = E (PRc [H (H (PI) || H (OI) ) ])

Kje postaviti sisteme za odkrivanje vdorov

Pred in za požarnim zidom Pred kritične strežnike Na vsa mesta kjer potrebujete večjo varnost

Avtentikacija pri IPsec

Prejemnik lahko avtenticira pošiljateljev IP naslov, če ni z vredo IP naslova poslano se paket zavrže

Možne nevarnosti v omrežju

Prenost podatkov neavtoriziranim osebam Kraja virov - neki strežniki/pomnilniki Poslušanje (sprejemanje zahtev in odgovorov) Ponovitve sporočil Pošiljanje in sprejemanje sporočil kot avtoriziran uporabnik Vandalizem - uničevanje podatkov, prog opreme, zaklenemo disk, ... Nepooblaščeno pošiljanje sporočil Onemogočanje storitev - pošljemo tolko sporočil na strežnik, da on neha delat Infiltracija (virusi, trojanski konji, črvi, ...)

Kako naredimo sistem varnejši

Preverjamo identiteto pošiljaetelja sporočil Avtentikacija - preverjanje prisotnosti (uporabniško ime, geslo, biometrični podatki, digitalno potrdilo) Avtorizacija dostopa do podatkov Šifriranje sporočil - simetrično/asimetrično Digitalni podpis Privatna omrežja ločena s pomočjo požarnega zidu - določa pravila v omrežju

Avtentikacija

Preverjanje identitete Metode: prijava, avtentikacija HTTP, certifikati

SSH

Protokol za varno povezavo med dvema računalnikoma

SSL

Protokol za varno povezavo med strežnikom inn odjemalcem Višja plast od IPsec Komunikacijska varnost v omrežju

Simetrično šifriranje

Samo en ključ - enak za šifriranje in dešifriranje Uporabnika si morata ključ izmenjati

Tipi sistemov za samodejno zaznavanje vdorov

Sistemi za preprečevanje vdorov ki temeljijo na gostitelju Omrežni sistemi za preprečevanje vdorov

Kritična mesta za zaščito

Spletno bančništvo Spletne trgovine Komunikacije Mikro transakcije ...

Ovojnica pri digitalnem podpisu

Sporočila ne moremo prebrat Podpišemo ovojnico

Secure Electronic Transactions

Standard komunikacijskega protokola za zaščito transakcij s kreditnimi karticami Nabor varnostnih protokolov in formatov, ki so uporabnikom omogočali varno uporabo obstoječe infrastrukture za plačevanje s kreditnimi karticami v odprtem omrežju

Anonimizacija v sistemu TOR

Strežnik sestavi opis skrite storitve in ga objavi na upravljalnem strežniku, uporabnik prejme opis storive in določi vozlišče srečanja

Certification authority

Subjekt ki izdaja digitalna potrdila Korensko potrdilo CA je lahko osnova za izdajo več vmesnih potrdil CA

TEA

Tiny encryption algorithm Temelji na blokih 128 bitni ključ in dve 32 bitni celi nepredznačeni števili Operacije se izvajajo na 32 bitnih številih Obe polovici sporočila se uporabljata za šifriranje druge polovice sporočila

Zahteva za nakup - Trgovec

Tisto v ovojnici samo prepošlje na banko Iz certifikata dobi naš javni ključ, s katerim lahko dešifrira dvojni podpis in dobi Naročilo Plačilo hash kodo Zdaj iz naročila preračunamo hash funkcijo katero potem dodamo hash funkciji plačila in potem pogledamo če sta dve Naročilo Plačilo hash vrednosti enaki

Avtentikacija pri OpeniD

Uporabi se unikaten identifikator, na osnovi kereg se ustvari URI, ki ponuja podatke o profilu - podatke lahko berejo tisti, ki se jim to dovoli

Asimetrično šifriranje

Uporablja par ključev: privatni in javni Prenaša se samo javni ključ En ključ se ne more ustvariti iz drugega Prva oseba zašifrira sporočilo z javnim ključem druge osebe in ji pošlje, druga oseba dešifrira sporočilo s svojim privatnim ključem

Algoritmi ki temeljijo na toku podatkov (SŠ)

Uporablja tok psevdonaključnih števil (tok ključev) Vsak del sporočila je šifriran z uporabo ustreznega ključa iz toka ključev - za šifriranje se običajno uporablja operacija XOR (chatGPT razlaga: Delujejo s kontinuiranim tokom podatkov ali s podatki, ki se obdelujejo po bitih ali bajtih. Uporabljajo tok psevdonaključnih števil (key stream), ki ga generira algoritem z uporabo ključa. Vsak del podatkov se šifrira z ustreznim delom tokovnega ključa z uporabo operacije XOR.)

IPsec

Varen protokol na nivoju IP Internet protocol security samo zaznava a je bil paket spremenjen, lahko še vsebino zašifrira - OVERJA IN ŠIFRIRA znotraj virtualnih privatnih omrežij - VPNs

Postopek algoritma

Vhod je simetričen ključ in sporočilo Pošiljatelj izraačuna vrednost MAC z njegovim ključem in sporočilom, in doda k sporočilu Prejemnik izračuna svojo vrednost MAC s svojim ključem in prejetim sporočilom Prejemnik primerja izračunano in pridobljeno vrednost MAC Vrednosti se ujemata - sporočilo ni bilo spremenjeno Vrednosti se ne ujemata - sporočilo je bilo spremenjeno

Krog zaupan

Vsi zaupajo eni drugim - poslovni sporazumi, sporazumi na nivoju storitve, skupna politika/navodila V njem so ponudnik identitete in Ponudniki storitev

Hibridno šifriranje

Za manjši kos uporabimo asimetrično šifriranje, za ostalo pa simetrično Združuje varnost asimetričnega šifriranja z učinkovitostjo simetričnega šifriranja Sporočilo se sestoji iz dveh delov: zašifrirani podatki in zašifriran ključ Simetričen ključ je ustvarjen za ENKRATNO UPORABO

Authentication Headers

Zagotavlja celovitost podatkov in avtentikacijo izvora podatkov za datagrame IP in zagotavlja sveže podatke Glava vsebuje identifikator povezave, pošiljateljev digitalni podpis datagrama in opis vsebine ki sledi glavi [IP glava][AH glava][podatki]

Encapsulating security payloads

Zagotavlja zaupnost, celovitost podatkov brez povezave, preverjanje pristnosti izvora podatkov, storitev proti ponovnemu predvajanju in omejeno zaupnost pretoka prometa Šifrirani so podatki in rep ESP avtentikacija - digitalni podpis glave podatkov in repa [IP glava][ESP glava][podatki][ESP rep][ESP avtentikacija]

Kaj zagotavlja šifriranje

Zasebnost Nadzor dostopa

Zahteve za varen sistem

Zaščiten komunikacijski kanal Strežnik mora biti prepričan da je sprejel sporočilo od pravega odjemalca Odjemalec mora biti prepričan da je sprejel sporočilo od pravega strežnika Podani morajo biti sveži podatki

Zaznavanje vzorcev napadov

Značilnost omrežnega prometa Zaznavamo celotno skupino napadov Lažni alarmi - vzorci v normalnem delovanju

Varni protokoli

aplikacija: shttp, https, set e-pošta: s/mime, pgp mrežni protokol: ssl, tsl, ssh, pct tcp/ip: IPsec podatkovni nivo: šifriranje povezav

Vzpostavljanje varne povezave

brskalnik uporablja potrdilo CA za overjanje podpisa CA na strežniškem potrdilu kot del pooblastil pred

Kibernetski napad

kakršenkoli žaljivi manevr, ki cilja na računalniške informacijske sisteme, infrastrukture, računalniška omrežja ali osebne računalniške naprave

Trgovcu grejo podatki o

naročilu

Banki grejo podatki o

plačilu

Tipi šifriranja

simetrično in asimetrično

HTTPS, S-HTTP

varen HTTP protokol


Set pelajaran terkait

Code, Standards, and Practices 1

View Set