Presentation laddar. Vänta.

Presentation laddar. Vänta.

3 June 20151 Säkerhet 2 zAutenticering zNyckelhantering zSäker kommunikation på olika nivåer zBrandväggar zIntrång (”Hackning”)

Publicerades avAmanda Åberg

Liknande presentationer

En presentation över ämnet: "3 June 20151 Säkerhet 2 zAutenticering zNyckelhantering zSäker kommunikation på olika nivåer zBrandväggar zIntrång (”Hackning”)"— Presentationens avskrift:

1 3 June 20151 Säkerhet 2 zAutenticering zNyckelhantering zSäker kommunikation på olika nivåer zBrandväggar zIntrång (”Hackning”)

2 3 June 20152 Autentisering zAnvändaridentifiering yKunskap - Något man känner till yTillhörighet - Något man har yEgenskap - Något man är zFör säkrare ykombinera 2 eller 3 Säkrare

3 3 June 20153 Autentisering Syfte: Bob vill att Alice ska “bevisa” sin identitet för honom Protokoll ap1.0: Alice säger “Jag är Alice”

4 3 June 20154 Autentisering: nytt försök Protokoll ap2.0: Alice säger “Jag är Alice” och skickar sin IP-adress för att bevisa detta.

5 3 June 20155 Autentisering: försök 3 Protokoll ap3.0: Alice säger “Jag är Alice” och skickar sitt hemliga lösenord som bevis.

6 3 June 20156 Autentisering:... Protokoll ap3.1: Alice säger “Jag är Alice” och skickar sitt hemliga lösenord krypterat. I am Alice encrypt(password)

7 3 June 20157 Autentisering:... Syfte: avvärj ‘playback attack’ Vad kan gå fel, vilka nackdelar finns det? Figure 7.11 goes here Nonce: ett tal (R) som bara används en enda gång ap4.0: Bob skickar ett nonce, R, till Alice, som måste returnera R krypterat med en gemensam nyckel

8 3 June 20158 Figure 7.12 goes here Autentisering: ap5.0 ap4.0 kräver gemensam (delad) symmetrisk nyckel yproblem: Bob och Alice måste komma överens om en nyckel ykan vi använda public key cryptography? ap5.0: använd nonce och public key cryptography

9 3 June 20159 Figure 7.14 goes here ap5.0: säkerhetshål Man (woman) in the middle attack: Trudy låtsas vara Alice (för Bob) och låtsas var Bob (för Alice) Need “certified” public keys

10 3 June 201510 Distribution av symmetriska nycklar zTänk om det finns flera miljoner av användare och flera tusen servrar zn 2 symmetriska nycklar r Bättre att använda en central tjänst m KDC - Key Distribution Center m Alla har en nyckel till KDC’n m KDC’n känner alla m KDC’n tilldelar en nyckel till varje par som vill kommunicera

11 3 June 201511 Public Key - Digitala Certifikat zCetification Authority (CA) signerar certifikat zCertifikat = ett signerat meddelande som säger “Jag, CA’n, garanterar att 823457345 är Pelles publika nyckel” zOm alla har ett certifikat, en privat nyckel och CA’s publika nyckel så kan autentisering ske

12 3 June 201512 Nycklar - CA zVad är en CA? yEn tredje part som man “litar” på yExempel är statliga myndigheter, finansiella institut och företag som jobbar med detta, tex VeriSign r Viktigt att få tag på CA’s publika nyckel på ett säkert sätt r Kedjor av CA’s m PKI - Public Key Infrastructure

13 3 June 201513 Säker kommunikation - Nivå

14 3 June 201514 Säker e-mail skapar slumpmässig symmetrisk privat nyckel, K S. krypterar meddelandet med K S krypterar också K S med Bob’s publika nyckel. skickar både K S (m) och e B (K S ) till Bob. Alice vill skicka ett hemligt epost-meddelande, m, till Bob.

15 3 June 201515 Säker e-mail (forts.) Alice vill ha authentisering av sändaren (sig själv) och förhindra att meddelandet ändras (message integrity). Alice signerar sitt meddelande digitalt. Skickar både meddelandet (i klartext) och digital signatur.

16 3 June 201516 Säker e-mail (forts 2.) Alice vill ha allt: secrecy, sender authentication, message integrity. Obs: Alice använder både sin privata nyckel och Bob’s publika nyckel.

17 3 June 201517 Pretty good privacy (PGP) zInternet e-mail krypteringsmetod, har blivit de-facto standard. zAnvänder symmetric key cryptography, public key cryptography, hash function, and digital signature som föregående bild visar. zTillhandahåller säkerhet, autentisering av avsändaren, integritet. zUppfinnaren, Phil Zimmerman, var under tre år föremål för en utredning av FBI. ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- A PGP signed message:

18 3 June 201518 SSL - Secure Socket Layer zEtt protokoll utvecklat av Netscape för kommunikation mellan två parter Applikation SSL TCP Applikation TCP IP Skapar en ny gränsyta för programmeraren. Lägger på ett nytt socketlager på existerande, uppkopplade, sockets

19 3 June 201519 SSL zSSL utnyttjar asymmetrisk kryptering för att överföra en symmetrisk sessionsnyckel zAntingen klienten eller servern, eller båda, eller ingen, kan ha ett certifikat zEtt servercertifikat försäkrar klienten att den talar med rätt server zEtt klientcertifikat försäkrar servern att den talar med rätt klient zSSL utan certifikat skyddar mot avlyssning, men ej mot “impersonation”

20 3 June 201520 SSL - Protokoll zSSL består av fyra olika protokoll ordnade i två lager

21 3 June 201521 SSL - Slutord zHur får man tag på SSL? yRSA (kommersiellt): xwww.rsasecurity.com/standards/ssl/developers.html yOpenSSL (fritt): xwww2.psy.uq.edu.au/~ftp/Crypto/ zHTTP + SSL = HTTPS yExakt samma protokoll, men ett nytt transportlager zSlutligen: SSL -> TLS ySSL befinner sig nu i v3.0 yTLS (Transport Layer Security) v3.1 (RFC 2246) yEj helt kompatibla

22 3 June 201522 IPSec zRamverk för krypterad IP zKryptering på IP-nivå yÖverallt, istället för SSL, SSH, kryptering i applikation… zBland annat för VPN (Virtual Private Network)

23 3 June 201523 IPSec - Består av vad? zInte en standard - utan en uppsättning standards zBland annat: yIP Authentication Header(AH) xIntegritet och autenticering av data yEncapsulation Security Payload (ESP) xKonfidentialitet, integritet och autenticering av data yInternet Key Exchange (IKE) xNyckelhantering yInternet Security Association and Key Management Protocol (ISKMP) xProcedurer för att sätta upp/riva ned säkerhetskopplingar yAlgoritmer för autenticering och kryptering

24 3 June 201524 IPSec - Implementation zHur kan man implementera IPSec? yAntingen i värddatorn (host:en) eller i routern (secure gateway) yTransport och/eller tunnling

25 3 June 201525 IPSec - Operation modes zTransport: Modifiera IP-Paket z Tunnling: Paketera IP-paket

26 3 June 201526 Brandväggar zEn “gatekeeper” zEtt skydd mot ej önskad trafik zmen också en begränsning för önskad trafik

27 3 June 201527 Brandväggar - Nivå? zEn brandvägg filtrerar på något/några/alla protokollnivåer zPå transportnivån yPacketfiltrerande router zPå applikationsnivån yProxy server xFör utgående trafik yRelay host xFör inkommande trafik yOftast kallar man båda typerna för proxy

28 3 June 201528 Brandväggar - Proxy zEn proxy yEn gateway på applikationsnivån xEn klient ser den som en server xEn server ser den som en klient ySäkerhet på applikationsnivån, bryter kommunikationslänken

29 3 June 201529 Brandväggar Möjligheter 1.Single point of defense - Förenklar 2.Ett bra övervakningsställe - Loggar och larm 3.VPN - Virtual Private Network (4. Plattform för annat, tex nätverksövervakning, adressöversättning) Begränsningar 1.Kan endast skydda mot attacker som går genom brandväggen 2.Skyddar endast mot externa hot 3.Kan ej skydda mot “malicious programs” och virusinfekterade filer

30 3 June 201530 Varför kan man inte göra ett helt säkert system ? zSystemet består inte bara av maskinvara och program - hela säkerhetsbiten zSystem måste kunna kommunicera zSystem är felkonfigurerade zSäkerhetspatchar införs inte zMänniskor är inte felfria

31 3 June 201531 Intrång - mål, metoder, skydd zVem ? yFrån industrispioner till ’Script Kiddies’ yAnställda zVarför ? yFör att få tag på information yFör att få tag på resurser, t.ex. för en chatserver, film yFör att föra fram något budskap (web-hacking) yFör att störa en verksamhet (Denial of Service) zVad ? Maskiner och mjukvara zHur ? zMotmedel ? zExempel på svagheter i system

32 3 June 201532 Hotanalys - Lyckad attack 1. Identifiera mål och samla information 2. Analysera informationen och hitta en svaghet 3. Uppnå tillräcklig access till målet 4. Utför attacken 5. Sudda ut spåren och undvik vedergällning zDet räcker oftast att stoppa ett steg

33 3 June 201533 Vad: Typer av mål för intrång zPersondatorer och arbetsstationer yWin 95/95, ME, NT, 2000, Unix zServrar yFTP, WEB zTelefonsystemet zBrandväggar zNätverksswitchar, routrar zVPN

34 3 June 201534 Hur gör man ? zFlera sätt: yTa sig in på maskinen via nätverket eller ett modem yFörsöka infiltrera målsystemet med hjälp av virus, trojaner, backdoors - installera en server yTa över en fjärrkontroll yRootkits yWeb-hacking kan öppna en dörr in till ett system (en klient) ySSL yEmail - för att överföra virus, även webb-sidor yIRC yNapster

35 3 June 201535 Hur man hittar sitt mål zManuellt eller med automatiserade script zFootprinting ySkapa en bild av organisationens säkerhetsprofil ySamla information, inte bara via internet yAnnonser, webbsidor, personalkataloger y’Social Engineering’ yTänk på vilken information som finns tillgänglig zEnumeration yIdentifiera domännamn och nätverk yWhois

36 3 June 201536 Hur forts. zDNS ynslookup - för att få ut information ur någon DNS med hjälp av zone transfer ySam Spade yaxfr, axffrcat för Windows ydig yBegränsa Zone Transfer zMail Exchange (MX) - ofta ligger mailservern på samma maskin som brandväggen yhost zStrukturen hos nätverket yTraceroute

37 3 June 201537 Scanning zKnacka på dörren för att se vem som är hemma zPing sweeps yfping/gping - väntar inte på svar, mycket snabbare än ping ynmap har bland annat möjlighet till ping-sweep yWindows: pinger, Ping Sweep yTCP ping scan - provar med TCP ACK istället (troligare att de kommer igenom en brandvägg) yhping - mer styrmöjligheter yicmpquery - vilket ICMP-paket som helst kan skickas yKonfigurera brandväggen - behöver alla ping förmedlas in till lokala nätverket ? yMan kan använda ICMP som en tunnel till ett system innanför brandväggen - en öppen kanal!

38 3 June 201538 Port Scanning zTCP connect - three way handshake zTCP SYN - en halv förbindelse zTCP FIN - systemet skall svara med RST zTCP ACK - är brandväggen ’stateful’ eller inte ? zUDP scan - stängd port svarar med ’ICMP port ureachable’. Vissa brandväggar svarar inte - bättre. zExempel: yStrobe, udp_scan, netcat/nc yNetwork Mapper (nmap) - mycket användbart yWindows: SuperScan zSpeciella program för detektion zBrandväggen kan logga försök. Stäng tjänster !

39 3 June 201539 Active Stack Fingerprinting zVilka versioner av protokollager finns i stacken ? zOlika programvaruleverantörer tolkar RFC olika zEn lyssnande port behövs yFIN probe - olika svar beroende på tillverkare yBogus Flag Probe - Linux sätter den rätt y’Don’t fragment bit’ yTCP initial window size yACK value - seq no eller seq no + 1 yType Of Service - TOS yTCP options yosv osv … zNmap, Queso

40 3 June 201540 Passive Stack Fingerprinting zLyssnar på nätverkstrafiken yTTL yWindow size yDF - don’t fragment yTOS zStarta en sniffer (Ethereal t.ex) zKoppla upp en förbindelse (Telnet ex) zAnalysera paketen, med Siphon t.ex zAutomatiska system - Scotty (grafisk, lab 3 …) zStack Fingerprinting är svårt att förhindra yVissa parametrar kan ändras för att dölja typen av OS/Stack, men det kan påverka den normala driften

41 3 June 201541 Enumeration zAktiva intrångsförsök i syfte att hitta oskyddade användarkonton eller resurser zNätverksresurser zAnvändare och användargrupper zTillämpningar zWindows 2000: yNull session - Stäng av NetBIOS ! yBlockera port 135-159 och 445 (TCP+UDP) ySNMP yenum - Enumerating users yAD - Active Directory - ldp yStäng TCP port 389 och 3268, kontrollera åtkomst till AD

42 3 June 201542 Enumeration forts. zBanner Grabbing - avslöjar OS och version yTelnet yNetcat yHTTP zUNIX: yShowmount yFinger - ganska ofarlig info, dock kan man se vem som är inloggad (root ?) yStoppa fingerd ySMTP - vrfy och expn yTFTP för att hämta password-filen yrpcinfo - enumeration of RPC apps

43 3 June 201543 Windows 2000 zSäkrare än NT 4.0 zPublika standarder istf egna zInternet Information Server (IIS) har problem y”Translate: f” - hämta vilken.asp-fil som helst genom att utnyttja korrupta GET-kommandon yStäng av IIS (aktiverad by default), eller patcha zZone transfers zNetBIOS Over TCP/IP kan deaktiveras zKom ihåg port 445 också (ta bort fildelning) zsid2user/user2sid zPriviledge Escalation

44 3 June 201544 Windows 2000 forts zSAM-filen (Security Accounts Manager) - alla users ykan hämtas ykan modifieras ytomt admin-lösenord

45 3 June 201545 Kernel Rootkits z”Vanliga” rootkits (trojaner etc) är passe’ zModifiera själva systemet i stället (the kernel) zKnark for Linux t.ex. zLoadable Kernel Module kan laddas in i kärnan under drift (ingen omkompilering) zSedan kan man inte lita på någonting: yModulen kan gömma sig själv från listning yKan gömma filer/filsystem yExec-redirection yGömma nätförbindelser yÄndra UID och GID på en process (till root t.ex) y”fjärr-exekvera” kommadon zCD med statiskt länkade program (gör den innan du blir ’root- kitted’) zBevara timestamps

46 3 June 201546 Network devices zHitta dem på samma sätt som andra system yPort scanning yEnumeration yBanner grabbing zBack Doors yDefault user/password yCisco, 3Com, Bay zKonfigurera om switchen till ’shared media’ yLyssna på alla paket …

47 3 June 201547 Brandväggar zApplication proxies – säkra, restriktiva, långsamma z(stateful) Packet filtering gateways zEn väldesignad, -konfigurerad, -underhållen brandvägg är nästan ogenomtränglig zMånga hackers vet detta och går runt brandväggen zIdentifiera typen av brandvägg ySniffing yBanner grabbing zScanning genom brandväggen zACL:s

48 3 June 201548 Denial of Service zOlika typer: yBandbredd yResurser (minne t.ex) yMjukvarufel (kan inte hantera felaktiga indata) zRouting, DNS attacks zAmplifying network zSYN flood yÖka köstorleken yMinska timeoutperiod yOS:et kan deteketera zFragmentation overlap zBuffer overflow zDDoS (se www.grc.com)www.grc.com

49 3 June 201549 Webben, mail... zCookies - kan avlyssnas och spelas upp zActiveX ’Safe for scripting’ -patchar hjälper inte helt zJava - säkert språk, osäkra implementationer zIE Frame Vulnerability yen frame kan läsa en annan, inklusive filsystemet zSSL - bug i Netscape < 4.73 zEmail - Outlook Express/Active X yinstallera och starta vilket program som helst via ’preview’ zWorms - ILOVEYOU etc y - via Vbscript som attachment - läser adressboken och mailar sig vidare zAttachments - kan innehålla macros, scripts, websidor...

Ladda ner ppt "3 June 20151 Säkerhet 2 zAutenticering zNyckelhantering zSäker kommunikation på olika nivåer zBrandväggar zIntrång (”Hackning”)"

Liknande presentationer

Snabbguide och tips.

Snabbguide och tips.
Operativsystem.

Operativsystem.
Basic Security (Grundläggande säkerhet) Methods Of Attack (Attackmetoder)

Basic Security (Grundläggande säkerhet) Methods Of Attack (Attackmetoder)
Föreläsare: Per Sahlin

Föreläsare: Per Sahlin
E-post juni 2013.

E-post juni 2013.
Connecting To The Internet (Internetanslutningar)

Connecting To The Internet (Internetanslutningar)
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4

Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Lektion 6 Mahmud Al Hakim

Lektion 6 Mahmud Al Hakim
Mjukvara och nätverk Vad är det?.

Mjukvara och nätverk Vad är det?.
PKI – en del av säkerheten i SSEK

PKI – en del av säkerheten i SSEK
Översikt av operativsystem (kap 1 & 2)

Översikt av operativsystem (kap 1 & 2)
Varför protokoll? När datorer ska kommunicera uppstår en rad liknande frågeställningar för att de ska kunna förstå varandra. Eftersom datorer dessutom.

Varför protokoll? När datorer ska kommunicera uppstår en rad liknande frågeställningar för att de ska kunna förstå varandra. Eftersom datorer dessutom.
© 2006 AVOCENT CORPORATION MergePoint KVM för ILO / RSA / DRAC kort (s.k. serviceprocessorer) RackTech Systems Nordic AB Avocent specialist Sweden 08 -

© 2006 AVOCENT CORPORATION MergePoint KVM för ILO / RSA / DRAC kort (s.k. serviceprocessorer) RackTech Systems Nordic AB Avocent specialist Sweden 08 -
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 6 – Vecka 48 2010 INNEHÅLL  Hantering av användarkonton och användargrupper  Användning av Sudo för delgering.

OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 6 – Vecka INNEHÅLL  Hantering av användarkonton och användargrupper  Användning av Sudo för delgering.
Trådlös (o)säkerhet Vanliga missuppfattningar Det krävs dyr utrustning Vi har inte trådlös access Vi är säkra för vi använder kryptering Vi är säkra för.

Trådlös (o)säkerhet Vanliga missuppfattningar Det krävs dyr utrustning Vi har inte trådlös access Vi är säkra för vi använder kryptering Vi är säkra för.
Network Addressing (Nätverksadressering)

Network Addressing (Nätverksadressering)
Inkapsling.

Inkapsling.
NETinfo 2009–10-09 Magnus Persson Epost: Telefon: 046 – 222 13 60.

NETinfo 2009–10-09 Magnus Persson Epost: Telefon: 046 –
Virus, Maskar och trojaner

Virus, Maskar och trojaner
Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.

Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.

Liknande presentationer

Google-annonser