05 PL wyklad new

background image

Systemy Teleinformatyczne

w Transporcie Morskim

Joanna Szłapczyńska

Katedra Nawigacji, ZD Podstaw Informatyki i Sieci Komputerowych

Wykład 5

background image

Page  2



Zapobieganie zagrożeniom bezpieczeństwa w sieci (c.d.)

infrastruktura klucza publicznego (PKI)

SSL

Wirtualne Sieci Prywatne - VPN

IPSec

bezpieczeństwo w sieciach bezprzewodowych (WLAN)

Wykład 5

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  3

Klucze publiczne i prywatne

Systemy Teleinformatyczne w Transporcie Morskim

Klucz

publiczny

Alice

Klucz

prywatny

Alice

Deszyfrowanie

Szyfrowanie

Witaj
Alu!

Witaj
Alu!

Bartek

Ala

Szyfrowana transmisja danych:
szyfrowanie kluczem publicznym,
deszyfrowanie kluczem prywatnym

Podpis cyfrowy:
szyfrowanie kluczem prywatnym,
deszyfrowanie kluczem publicznym

background image

Page  4

Certyfikacja kluczy publicznych



Ważne jest (szczególnie dla podpisów cyfrowych) aby być
pewnym, że otrzymany za pośrednictwem Internetu klucz
publiczny K

+

reprezentuje właściwą osobę lub instytucję



Zamiast dystrybuować swój klucz publiczny na własną rękę lepiej
skorzystać z pośrednictwa

Urzędu Certyfikacji (Certification

Authority - CA). CA mają za zadanie weryfikację tożsamości
właścicieli kluczy publicznych i wystawianie cyfrowych
certifikatów (podpisanych cyfrowo przez klucz prywatny CA)



W rzeczywistości zamiast udostępniania klucza publicznego
stosuje się zaszyfrowany certyfikat, który może być łatwo
odszyfrowany przez każdego za pomocą klucza publicznego CA

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  5

Infrastruktura klucza publicznego (PKI) (1)



Infrastruktura klucza publicznego (Public-Key Infrastructure - PKI) to
zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do
tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych
na kryptografii z kluczem publicznym



Elementy

PKI

Urzędy Cetryfikacyjne CA - przydzielają i odbierają certyfikaty

Urzędy/punkty Rejestracyjne RA - poręczają za powiązania pomiędzy kluczami
publicznymi, tożsamością posiadaczy certyfikatów oraz innymi atrybutami

Posiadacze certyfikatów, którym wydawane są certyfikaty i którzy mogą
podpisywać dokumenty cyfrowe

Klienci, którzy zatwierdzają cyfrowe podpisy oraz ich ścieżki certyfikowania
prowadzące od znanych publicznych kluczy zaufanych CA

Katalogi przechowujące i udostępniające certyfikaty oraz listy certyfikatów
unieważnionych (CRL - Certificate Revocation List)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  6

Infrastruktura klucza publicznego (PKI) (2)

Systemy Teleinformatyczne w Transporcie Morskim

Źródło: NetWorld /2000

background image

Page  7

Infrastruktura klucza publicznego (PKI) (2)

Systemy Teleinformatyczne w Transporcie Morskim

Źródło: NetWorld /2000

background image

Page  8

Infrastruktura klucza publicznego (PKI) (3)

Systemy Teleinformatyczne w Transporcie Morskim



Standardem cyfrowego certyfikatu jest specyfikacja X.509

Źródło: wss.pl

background image

Page  9

Infrastruktura klucza publicznego (PKI) (4)

Systemy Teleinformatyczne w Transporcie Morskim



Urzędy Certyfikacji CA mogą mieć strukturę hierarchiczną

Narodowe Centrum Certyfikacji (NCCert) to główny urząd certyfikacji
(tzw. Root CA) w Polsce dla infrastruktury bezpiecznego podpisu,
prowadzony przez departament ochrony NBP

background image

Page  10

Uwierzytelnianie punktów końcowych (1)



Kody MAC zapewniają integralność danych lecz nie zapewniają
pełnego uwierzytelniania 

• np. w przypadku ataku z odtworzenia (replay attack) atakujący może

zarejestrować a później odtworzyć (ponownie wysłać) wiadomość
opatrzoną kodem MAC i odbierający może się nie zorientować, że to
jest stara wiadomość!



Uwierzytelnianie wymaga sprawdzenia tożsamości nadawcy
oraz dodatkowych znaczników wskazujących na to, że
wiadomość jest wysłana „w realtimie” (podobnie do numerów
sekwencyjnych w TCP)

Nonce - identyfikator jednorazowy (jednorazowego użycia)
wykorzystywany do uwierzytelniania

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  11

Uwierzytelnianie punktów końcowych(2)

Systemy Teleinformatyczne w Transporcie Morskim

Alicja

Bartek

background image

Page  12



Z kryptografii można korzystać niemalże w ramach każdej z
warstw (w modelu ISO/OSI lub TCP/IP)

• zabezpieczenie n-tej warstwy powoduje świadczenie bezpiecznych

usług dla warstwy wyższej (n+1)

Zastosowania kryptografii w sieciach komp. (1)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  13



W

sieciach TCP/IP kryptografia może być stosowana dla

warstwy aplikacji – np. zabezpieczenia wymiany poczty e-mail przez
Preety Good Privacy - PGP

warstwy transportowej- Secure Socket Layer (SSL) oraz Transport
Layer Security (TLS) (implementacja w warstwie aplikacji ale widoczne
w warstwie transportowej)

warstwy internetu/sieci – IP Secure (IPSec) oraz wirtualne sieci
prywatne (Virtual Private Networks - VPN)

warstwy fizycznej – w sieciach bezprzewodowych (WLAN)
szyfrowanie w czasie transmisji

Zastosowania kryptografii w sieciach komp. (2)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  14

Kryptografia w warstwie aplikacji – PGP (1)



Pretty Good Privacy (PGP) to oprogramowanie oferujące funkcje
kryptograficzne w systemie wymiany poczty elektronicznej

• szyfrowanie i deszyfrowanie przesyłanych wiadomości,

• wstawianie podpisu cyfrowego,

• weryfikacja autentyczności nadawcy (jeśli ten także korzysta z PGP)

• zarządzanie kluczami

• PGP korzysta z certyfikacji kluczy publicznych za pośrednictwem sieci

zaufania a nie przez Urzędy Certyfikacyjne (CA)

• PGP korzysta z



funkcji skrótu MD5 lub SHA



algorytmu z kluczem symetrycznym: CAST, 3-DES lub IDEA



algorytmu z kluczem publicznym RSA

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  15

Kryptografia w warstwie aplikacji – PGP (2)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  16

Kryptografia w warstwie aplikacji – PGP (3)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  17

Secure Socket Layer (SSL) (1)



Secure Socket Layer (SSL) rodzina protokołów kryptograficznych
oferująca bezpieczną transmisję danych w ramach warstwy transportowej
(chociaż zaimplementowana w warstwie aplikacji!)



Transport Layer Security (TLS) - oficjalna wersja standardu SSL od wer.3

Systemy Teleinformatyczne w Transporcie Morskim

Protokoły chronione

przez SSL

Warstwa

aplikacji

Warstwa

transportowa

Warstwa internetu

/ sieci

Warstwa

fizyczna

background image

Page  18

Secure Socket Layer (SSL) (2)



Dlaczego połączenie TCP np. z serwerem WWW za pośrednictwem
protokołu HTTP wymaga ochrony?

• załóżmy, że Alicja chce dokonać zakupu 3 płyt DVD w sklepie Bartka, płacąc

swoją kartą kredytową



jeśli nie zostanie zachowana poufność (szyfrowanie) intruz może przechwycić
zamówienie i uzyskać informacje osobowe oraz te dot. karty kredytowej Alicji.
Dzięki temu intruz może realizować inne zakupy na konto Alicji

  



jeśli nie zostanie zachowana integralność danych intruz może zmodyfikować
zamówienie Alicji i doprowadzić do zakupu np. 300 zamiast 3 płyt DVD

 



jeśli serwer nie zostanie uwierzytelniony to Alicja może skorzystać ze strony
WWW sfabrykowanej przez oszusta, który pobierze opłatę i nie wyda towaru,
co więcej pozna jej dane osobowe oraz dot. karty kredytowej

  



jeśli Alicja nie zostanie uwierzytelniona to serwer może przetwarzać
zamówienie w rzeczywistości od innej osoby



Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  19

Secure Socket Layer (SSL) (3)



SSL rozwiązuje problemy bezpiecznej transmisji TCP zapewniając

• poufność

• integralność danych

• uwierzytelnianie klienta oraz serwera



SSL zazwyczaj wykorzystywany jest do transmisji HTTP, jednak można
z niego korzystać do zabezpieczania innych transmisji w ramach TCP

• tworzone jest gniazdo SSL, analogiczne do gniazda TCP, za pomocą

którego można realizować transmisję

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  20

Secure Socket Layer (SSL) (4)



SSL to trójfazowy protokół typu klient-serwer

negocjacja



ustanawianie połączenia TCP



negocjacja szyfrów, funkcji skrótu, itd.



uwierzytelnianie serwera korzystające z certyfikatu cyfrowego i identyfikatora
jednorazowego



wysyłanie klucza PMS (Pre-MaSter) do serwera

obliczanie i wymiana klucza – klient i serwer generują klucze sesji oraz
szyfrujące (oddzielnie dla kierunków transmisji)

transfer danych

• SSL korzysta z szyfrowania kluczem symetrycznym (strumień danych TCP!)

• dane dzielone są na rekordy SSL z dołączanym kodem MAC (każdy rekord)

• transmisję zamyka specjalny komunikat SSL FIN

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  21

Certyfikaty SSL

Systemy Teleinformatyczne w Transporcie Morskim

Źródło: ssl.certum.pl

background image

Page  22

Rekordy danych SSL

Systemy Teleinformatyczne w Transporcie Morskim

Dane aplikacji

Rekordy danych

Spakowane dane
(kompresja)

Zaszyfrowane
dane

Pakiet TCP

Transmisja

Szyfrowanie

DANE

DANE 1

DANE 2

DANE 3

background image

Page  23

HTTPS – HTTP za pośrednictwem SSL



SSL jest najczęściej wykorzystywany do realizacji bezpiecznych
połączeń HTTP ->

HTTPS (443)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  24

Wirtualne sieci prywatne VPN (1)



Firma posiadająca swoje oddziały np. w różnych krajach często
chciałaby posiadać swoją własną sieć rozległą WAN, bezpieczną i
niezależną od zagrożeń czyhających w Internecie

• oczywiście możliwe jest zbudowanie

fizycznej sieci prywatnej z

własną (lub dzierżawioną) siecią urządzeń i łączy jednak zazwyczaj
jest to nieopłacalne

• zamiast tego tworzone są

wirtualne sieci prywatne (Virtual Private

Network - VPN) korzystające z Internetu ale w pełni bezpieczne

Systemy Teleinformatyczne w Transporcie Morskim

Centrala
firmy

Oddział
regionalny

Oddział
regionalny

Zdalni użytkownicy zasobów firmy

background image

Page  25

Wirtualne sieci prywatne VPN (2)



VPNy korzystają z kryptograficznych protokołów tunelujących
zapewniających

poufność poprzez uniemożliwienie podsłuchiwania danych

uwierzytelnianie uniemożliwiające podszywanie się pod cudzą
tożsamość

integralność danych przez przeciwdziałanie zmianom wysłanych
danych



Aby móc osiągnąć powyższe cele

VPNy potrzebują nowego

protokołu w warstwie sieci / internetu, wspierającego kryptografię

Internet Protocol Security (IPSec) rozszerza protokół IP przez
kryptograficzną ochronę transmisji danych

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  26

Wirtualne sieci prywatne VPN (3)



VPN oparty na IPsec składa się z dwóch kanałów
komunikacyjnych pomiędzy połączonymi komputerami

kanał wymiany kluczy za pośrednictwem którego przekazywane są
dane związane z uwierzytelnianiem oraz szyfrowaniem (klucze),
korzysta z protokołu UDP (port 500)

kanał przesyłu danych (jeden lub więcej), który niesie pakiety
transmitowane poprzez sieć prywatną

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  27

Internet Protocol Security (IPsec)(1)



IPsec to w rzeczywistości grupa protokołów

Internet Key Exchange (IKE)



uwierzytelnia obie strony transmisji i negocjuje parametry kryptograficzne



ustanawia jednokierunkowy bezpieczny kanał komunikacyjny (Security
Association - SA
)



uzgadnia klucze kryptograficzne oraz parametry tuneli IPsec

Authentication Header (AH) - protokół do zapewnienia uwierzytelniania i
integralności pakietów IP w IPsec

Encapsulating Security Payload (ESP) – podobnie do AH, dodatkowo wspiera



niezaprzeczalność danych (przy pomocy obliczenia skrótu z
zaszyfrowanych już danych)



unikanie duplikacji pakietów jak również ataku przez powtórzenie
(zastosowanie numerów sekwencji)



poufność danych

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  28

Internet Protocol Security (IPsec)(2)



IPsec ma dwa tryby pracy

tryb tunelowy – cały datagram IP jest szyfrowany oraz może być
uwierzytelniany. Tworzony jest nowy datagram z nagłówkiem do którego trafia
uprzednio zaszyfrowany datagram. Tryb tunelowy wykorzystywany jest do
tworzenia VPNów dla komunikacji

• sieć-sieć

• host-sieć (np. użytkownik ze zdalnym dostępem)

• host-host

tryb transportowy – jedynie zawartość (transferowane dane) w datagramie
IP jest szyfrowana i ew. uwierzytelniana. Tryb transportowy wykorzystywany
jest jedynie w transmisjach host-host



W trybach

tunelowym i transportowym pracują oba protokoły wymiany

danych:

AH oraz ESP

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  29

Internet Protocol Security (IPsec)(3)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  30

IPSec - tryb transportowy

Systemy Teleinformatyczne w Transporcie Morskim

IP

TCP

Dane użytkownika

Typowy datagram IP v.4
przenoszący dane TCP

IP

TCP

Dane użytkownika

AH

ESP

Datagram IP v.4 przenoszący
dane TCP w IPSec - tryb
transportowy

Część oznaczona

podwójną czerwoną linią

jest zaszyfrowana i

całkowicie nieprzezroczysta dla ewentualnego podsłuchiwacza. Podlega
ona także ochronie integralności.

W

trybie transportowym nagłówek IP pozostaje widoczny. Atakujący

nie wie zatem o czym się rozmawia, ale wie za to kto z kim tę
konwersację prowadzi.

background image

Page  31

IPSec - tryb tunelowy

Systemy Teleinformatyczne w Transporcie Morskim

IP

TCP

Dane użytkownika

Typowy datagram IP v.4
przenoszący dane TCP

AH

ESP

TCP

Dane użytkownika

IPSec

Datagram IP v.4
przenoszący dane
TCP w IPSec - tryb
tunelowy

Część oznaczona

podwójną czerwoną linią

jest zaszyfrowana i

całkowicie nieprzezroczysta dla ewentualnego podsłuchiwacza. Podlega
ona także ochronie integralności.

Tryb tunelowy zapewnia wyższy poziom ochrony - datagram
użytkownika jest w całości enkapsulowany w AH/ESP, a na początku
umieszczany jest dodatkowy nagłówek IPSec

IP

background image

Page  32

IPSec w IP v.4 oraz IP v.6

Systemy Teleinformatyczne w Transporcie Morskim



Datagramy

IPsec są w stanie pokonywać barierę translacji adresów

NAT (dotyczy IP v.4) za pomocą mechanizmu

NAT Traversal



Datagramy IP v.4 mogą korzystać z mechanizmów IPSec, natomiast
w IP v.6 IPSec jest obowiązkowym mechanizmem

background image

Page  33

Bezpieczeństwo sieci bezprzewodowych (WLAN)



W sieciach bezprzewodowych (WLAN) medium stanowią fale
radiowe rozchodzące się w powietrzu – medium w żaden sposób
nie jest chronione!

• podstawowe zagrożenia bezpieczeństwa to podsłuchiwanie transmisji

oraz nieautoryzowany dostęp do punktu dostępowego (AP)

• z tego powodu rozwiązania kryptograficzne należy zastosować już w

najniższej warstwie ISO/OSI (w. fizyczna)



Ogólne podejścia do

zabezpieczania WLANów

• kontrola dostępu na poziomie punktów dostępowych (AP) - WEP,

WPA, WPA2, filtrowanie MAC

• ograniczony dostęp do sieci (system uwierzytelniania IEEE 802.1x)

• szyfrowanie end-to-end (SSL, PGP, itd.)

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  34

Architektura bezpieczeństwa WLAN



W sieciach WLAN wyróżniamy trzy stany, które mają rozróżnić stacje
skojarzone od uwierzytelnionych. Uwierzytelnianie i logowanie tworzą
razem dwustopniowy system przyporządkowania



Stacja może się zalogować tylko wtedy, gdy jest uwierzytelniona. Przez
uwierzytelnienie rozumie się tu dowód, że stacja jest tą za którą się podaje



Metody uwierzytelniania:

otwarte (open authentication), posługujące się bardzo prostym algorytmem, który tylko
formalnie spełnia kryteria uwierzytelniania

za pomocą wspólnych kluczy (shared key authentication), polegająca na sprawdzeniu,
czy obie stacje biorące udział w procesie posługują się tym samym tajnym kluczem

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  35

WLAN – kontrola dostępu na poziomie AP (1)



Pierwotnie zaproponowaną (1997) metodą kontroli dostępu w WLAN był
WEP - Wired Equivalent Privacy

• uwierzytelnianie w systemie otwartym lub ze współdzielonym kluczem

• 40-bitowy lub 128-bitowy klucz symetryczny oraz algorytm strumieniowy RC4

(poufność)

• suma kontrolna CRC (integralność)



Już w 2001 r. zostało udowodnione, że zabezpieczenia

WEP mogą zostać

stosunkowo łatwo złamane z powodu

• manualnej dystrybucji klucza

• administratorzy korzystali głównie z 40-bitowych kluczy, które są zbyt słabe

• możliwe jest znalezienie klucza WEP za pomocą generatora z bazą ok. (jedynie)

2 mln ramek (dziś osiągalne dla przeciętnego netbooka)

• WEP nie blokuje możliwości podsłuchiwania transmisji sąsiadów

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  36

WLAN – WEP

Systemy Teleinformatyczne w Transporcie Morskim

Źródło: PCWorld 2003 - Security

background image

Page  37

WLAN – kontrola dostępu na poziomie AP (2)



Nowszym (i bardziej bezpiecznym rozwiązaniem) kontroli dostępu w WLAN
jest protokół

WPA oraz jego następca WPA2 (IEEE 802.11i)

WPA – algorytm strumieniowy RC4 + protokół Temporal Key Integrity Protocol
(TKIP) z kodami MAC

WPA2 – algorytm blokowy AES + protokół Counter-Mode/CBC-MAC Protocol
(CCMP)

• uwierzytelnianie zgodne ze specyfikacją

IEEE 802.1X/EAP

• IEEE 802.1X to uniwersalny standard uwierzytelniania w sieciach LAN

oraz WLAN

• IEEE 802.1X korzysta z protokołu Extensible Authentication Protocol

EAP, który umożliwia stosowanie oraz implementację różnorodnych
metod uwierzytelniania w sposób ujednolicony i niezależny od sprzętu
pośredniczącego

• często wykorzystywane uwierzytelnianie z wykorzystaniem protokołu

RADIUS

Systemy Teleinformatyczne w Transporcie Morskim

background image

Page  38

WLAN – kontrola dostępu na poziomie AP (3)

Systemy Teleinformatyczne w Transporcie Morskim

Źródło: wififorum.pl

KOMPUTER D

KOMPUTER C

KOMPUTER B

KOMPUTER A

Login, hasło
Uzytkownika

i MAC

Uwierzytelnianie za pośrednictwem
Serwera RADIUS


Wyszukiwarka

Podobne podstrony:
03 PL wyklad
02 PL wyklad
2009-11-05, pedagogium, wykłady, Teoria edukacji obronnej i bezpieczeństwa publicznego
PMI 04 05 2011 wykład
GO, notatek pl wyklad 4 regionalne plany gospodarki odpadami wyklad
PL wykład
01 PL wyklad
Dobrostan owiec. 5fantastic.pl , Wykłady(1)
340069 CS300 RevA 05 5 PL
rehabilitacja w chorobach narządu ruchu- wykład new, Fizjoterapia licencjat
MODU 0 MODU Y SZCZEG Y. 5fantastic.pl , Wykłady(1)
Pedagogika specjalna 31.05.2011 WYKŁAD, Studia, PPS
MODU 7 BEHAWIORALNE WSKA N. 5fantastic.pl , Wykłady(1)
MODU 1 DOBROSTAN ZWIERZ T . 5fantastic.pl , Wykłady(1)
28 05 11 Wykłady
GO notatek-pl-wyklad-5-planowanie-przestrzenne-wyklad
ADO090223 ES64U4 Fehlersuchanleitung 05 5 1 pl
05 materiały wykład II

więcej podobnych podstron