William Stallings Data and Computer Communications Curs 11
- Slides: 49
William Stallings Data and Computer Communications Curs 11 Capitolul 18 Securitatea în retele de calculatoare 1
Cerinte pentru sisteme de securitate z Confidenţialitate ydatele accesibile doar pentru cei autorizaţi z Integritate y. NU pot fi modificate în nici un fel z Disponibilitate y. Sistemele trebuie sa fie functionale si disponibile celor autorizati 2
Atac Pasiv z Ascultarea transmisiei z Pentru a obţine informaţii z Dezvăluirea conţinutului y. Străini află conţinutul z Analiza traficului y. Prin monitorizarea frecvenţei, lungimii, natura comunicaţiilor poate fi ghicită z Dificil de detectat z Poate fi prevenită 3
Atac Activ z Impostura y. Pretinde că e altcineva z Replay z Modificarea mesajului z Refuzul serviciului (Denial of Service) z Uşor de detectat y. Detecţia poate conduce la infractor z Dificil de prevenit 4
Pericole în Securitate 5
Criptare Conventionala 6
Ingrediente z Text z Algoritm de criptare z Cheie Secretă z Text Cifrat z Algoritm de decriptare 7
Cerinte pentru securitate z Algoritm de criptare puternic ychiar dacă este cunoscut să nu permită decriptarea sau deducerea cheii y. Chiar dacă sunt disponibile texte necriptate şi criptate în număr limitat z Emiţatorul şi receptorul trebuie să obţină cheia de criptare într-un mod sigur z Cheia deconspirată toată comunicaţia secretă este compromisă 8
Atac asupra criptarii z Criptanaliză y. Se bazează pe natura algoritmului şi cunoştinţe generale asupra caracteristicilor textului plan yÎncercare de a deduce textul sau cheia z Forţă brută y. Se încearcă toate cheile posibile până la obţinerea textului 9
Algoritmi z Cifru bloc y. Procesează text plan în blocuri de dimensiune fixă şi produce text cifrat de dimensiune egală y. Data encryption standard (DES) y. Triple DES (TDES) 10
Data Encryption Standard (DES) z US standard z Blocuri de 64 biti de text necriptat z Cheie pe 56 biti 11
Algoritmul de criptare DES 12
DES Iteratie simpla 13
Puterea DES z Declarat nesigur în 1998 z Electronic Frontier Foundation z DES Cracker machine z DES acum inutil z Alternativa include TDEA (Triple Data Encryption Algorithm) 14
Triple DEA z ANSI X 9. 17 (1985) z Incorporated in DEA standard 1999 z Utilizează 3 chei şi 3 execuţii ale algoritmului DEA z Lungime cheie de 168 biţi 15
Amplasarea dispozitivelor de criptare 16
Criptarea legaturii z Fiecare legatura echipat la ambele capete z Tot traficul este sigur z Nivel înalt de securitate z Necesar mare de echipamente z Mesajele trebuie decriptate în fiecare comutator pentru a citi adresa z Vulnerabilitate în comutatoare yÎn special în reţele publice 17
Criptare capat la capat z Criptare în sistemele finale z Datele criptate trec prin reţea nealterate z Destinaţia împarte cheia cu sursa z Se poate cripta doar partea de date utilizator y. Altfel comutatoarele nu pot citi antetele pachetelor z Modelul de trafic este deductibil A se utiliza ambele metode 18
Distributia cheilor z Cheia aleasă de A trimisă la B (manual) z O a treia parte selectează cheia şi o trimite la A şi B z Cheia nouă se trimite criptat cu cheia veche z Cheia nouă se trimite de o treia parte la A şi B criptată cu cheia veche 19
Distribuirea automata a cheii 20
Distribuirea automata a cheii z Cheie de sesiune y. Utilizată pe durata unei conexiuni logice y. Distrusă la terminarea y. Criptează doar traficul utilizator z Cheie Permanentă y. Utilizată pentru distribuţia cheilor de sesiune z Centru de distribuire a cheilor y. Determină care sisteme pot comunica y. Furnizează cheia de sesiune z Front end processor y. Realizează criptarea end to end y. Obţine cheile pentru host 21
Traffic Padding z Produce text cifrat continuu z Dacă nu e nimic de transmis trimite date aleatoare z Face analiza traficului imposibilă 22
Autentificarea Mesajelor z Protecţie împotriva atacurilor active y. Manipularea datelor z Mesajul este autentic dacă este original şi provine de la sursa reală z Autentificarea permite destinaţiei să verifice y. Mesajul nu este alterat y. Provine de la sursa reală y. Secvenţierea mesajelor este corectă 23
Autentificare prin criptare z Doar sursa şi destinaţia cunosc cheia z Mesajul include: ycod detector de erori ynumăr de secvenţă ymarcaj de timp 24
Autentificare fara criptare z Etichetă de autentificare ataşată la fiecare mesaj z Mesajul nu este criptat z Util pentru: y. Destinaţii multiple, numai una face autentificarea 25
Message Authentication Code z Generează codul de autentificare din mesaj şi cheie comună z Cheia comună cunoscută doar de A şi B z Dacă codul de autentificare corespunde: y. Mesajul nu a fost alterat y. Expeditorul este autentic y. Dacă este şi nr de secvenţă, acesta este corect 26
Autentificarea mesajelor folosing Message Authentication Code 27
Functie hash one way z Acceptă mesaje de lungime variabilă şi rezultă un sumar de lungime fixă z Avantaje ale autentificarii fără criptare y. Criptarea este lentă y. Hard pentru criptare este scump y. Hard criptare optimizat pentru date multe y. Algoritmii sunt acoperiţi de patente y. Controlul exportului (din USA) 28
Folosirea functiei One. Way Hash 29
Functii HASH sigure z Funcţia hash are urmatoarele proprietăţi: y. Poate fi aplicată pentru orice lungime y. Lungimea codului este fixă y. Uşor de calculat y. Nu poate fi inversată y. Nu este fesabil de a se găsi două mesaje cu hash identic 30
SHA-1 z Secure Hash Algorithm 1 z Mesaj de intrare mai mic de 264 bits y. Processed in 512 bit blocks z Output 160 bit digest 31
Criptare cu cheie publica z Se bazează pe algoritmi matematici z Asimetric y. Sunt două chei, publică şi privată z Ingrediente y. Text clar (necriptat) y. Algoritm criptare y. Cheie publică şi privată y. Text cifrat y. Algoritm de decriptare 32
Public Key Encryption (diagrama) 33
Cheie Publica - Operare z Una dintre chei este publică ycea pentru criptare z A doua cheie este privată ycu ea se face decriptarea z Nu se poate determina cheia de decriptare cunoscând cheia de criptare şi algoritmul z Din perechea de chei oricare poate fi utilizată pentru criptare şi a doua pentru decriptare 34
Metoda z Utilizatorul generează cele două chei z Una din chei este făcută publică z Pentru a trimite mesaj la utilizator se criptează cu cheia publică z Utilizatorul decriptează cu cheia sa privată 35
Semnatura digitala z Expeditor criptează mesajul cu cheia sa privată z Receptorul poate să decripteze cu cheia publică z Aceasta autentifică expeditorul ca fiind unicul care posedă cheia potrivită z Nu se asigură protecţia datelor y. Cheia de decriptare este publică 36
Algoritm RSA 37
RSA Exemplu 38
Securitatea IPv 4 si IPv 6 z IPSec z Conectivitate securizata prin Internet z Remote access securizat prin Internet z Conectivitate intranet si extranet z Comert electroniccu securitate imbunatatita 39
IPSec Scope z Authentication header (AH) z Encapsulated security payload (ESP) z Key exchange z RFC 2401, 2402, 2406, 2408 40
Security Association (SA) z Relaţie unidirecţională între expeditor şi destinatar. z Pentru o relatie bidirecţională sunt necesare două asociaţii z Trei parametrii identifică un SA y. Security parameter index SPI y. IP sursă IP destinaţie y. Identificatorul protocolului se securitate (AH sau ESP) 41
Parametrii SA z Contor de numar de secventa z Depasirea numarului de secventa z Informatii AH z Informatii ESP z Durata de viata a asocierii z Modurile protocolului IPSec y. Tunnel, transport or wildcard 42
Moduri Transport si Tunel z Modul Transport y. Protecţie pentru nivele superioare, exemplu TCP y. Se extinde la partea de date a pachetului IP y. Capăt la capăt z Modul Tunel y. Protecţie pentru pachetul IP în întregime y. Pachetul vechi este încapsulat într-unul nou y. Nici un ruter nu examinează pachetul interior y. Poate avea adrese IP sursă şi destinaţie diferite y. Poate implementat in firewall 43
Authentication Header 44
Encapsulating Security Payload z ESP z Servicii de confidentialitate 45
Pachetul ESP 46
Scopul ESP 47
Managementul Cheilor z Manual z Automatic y. ISAKMP/Oakley x. Oakley key determination protocol x. Internet security association and key management protocol 48
Folosirea IKE intr-un mediu cu IPSec 49
- William stallings data and computer communications
- Computer organization and architecture william stallings
- William stallings computer networks
- William stallings computer networks
- Network security essentials 5th edition
- Kr
- William stallings
- William stallings
- Stallings william comunicaciones y redes de computadores
- Cryptography william stallings
- Data and computer communications 10th edition
- Data & computer communications
- Data and computer communications
- Curs data science
- Garbage collection stallings
- Garbage pickup stallings
- Ovid metamorphoses apollo and daphne
- Metodo stallings
- Lh stallings
- Multinationale bucuresti
- Tpsem
- Curs inteligenta artificiala
- Curs inventor
- Curs guvernanta corporativa
- Curs sisteme de operare
- Epurarea apelor uzate curs
- Runtime error 7 out of memory
- Managementul proiectelor curs
- Managementul riscurilor in proiecte
- Curs inventor
- Curs llenguatge administratiu
- Curs cloud
- Radicali arene
- Sisteme de automatizare curs
- Curs sisteme de operare
- Retele de calculatoare curs
- Curs de novells
- Numarator asincron
- Electronica curs
- Curs calificare marinar fluvial
- Curs navet
- Curs retele de calculatoare
- Curs process communication model
- Curs matlab
- Curs inventor
- Curs postuniversitar management
- Ing curs
- Care este rolul sistemului de operare
- Curs de llenguatge administratiu
- Curs llenguatge administratiu