Documente Academic
Documente Profesional
Documente Cultură
CSE Dep
1/42
Moto
The only truly secure system is one that is powered o, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene H. Spaord
CSE Dep
2/42
Virtualizare
VirtualBox
KVM
LXC
hosted virtualization
bare-metal virtualization
guest
hypervisor host
system virtualization
CSE Dep Cursul 12, Elemente de securitate 3/42
Cloud computing
http://cloudcomputersupes.wordpress.com/category/cloud-funny-messages/
CSE Dep
4/42
Cuprins
Not , iuni de securitate Securitatea sistemului de operare Parole Securitatea ret , elelor Concluzie
CSE Dep
5/42
Suport curs
CSE Dep
6/42
Problematica securit at , ii
protect , ia informat , iilor pret , ioase (companii, institut , ii) Ce este un sistem sigur?
resursele sale sunt utilizate s n orice mprejurare as , i accesate ,a cum se dores te ,
CSE Dep
8/42
principii
security through obscurity vs. security by design cea mai slab a verig a simplitate (feature creep ) defense in depth analiza riscurilor
CSE Dep
9/42
Niveluri de securitate
la nivel de persoan a
utilizatorii sunt ales a , i cu grij educarea utilizatorilor
la nivel zic
protect nc aperilor ce cont , ia , in sistemele de calcul
CSE Dep
10/42
sistem de operare sigur: resursele acestuia sunt accesate n mod valid zone de memorie, dispozitive de I/E, s , iere, procesor Cine asigur a securitatea sistemului de operare?
nucleul SO
unul pentru operat , ii obis , nuite (user mode) altul pentru acces la instruct , iuni privilegiate (supevisor mode)
doar nucleul ruleaz a n modul supervizor (kernel mode) separarea privilegiilor
CSE Dep
12/42
aspecte importante
directorul HOME al ec arui utilizator
drepturi depline utilizatorul poate sau nu permite accesul altor utilizator
CSE Dep
13/42
umask
restrict arilor n sistemul de s , ia drepturilor de creare a intr , iere valori tipice pentru umask: 022, 027, 077 drepturi de creare implicite
666 pentru s , ier 777 pentru director
CSE Dep
14/42
umask (cont.)
s , ier: implicit 666 umask: 027 (666 & 027) 640 (rw- r-- ---)
umask pe s , iere
razvan@anaconda:~/junk$ umask 0022 razvan@anaconda:~/junk$ touch uso7_test1 razvan@anaconda:~/junk$ ls -l uso7_test1 -rw-r--r-- 1 razvan razvan 0 Nov 10 17:28 uso7_test1 razvan@anaconda:~/junk$ umask 027 razvan@anaconda:~/junk$ touch uso7_test2 razvan@anaconda:~/junk$ ls -l uso7_test2 -rw-r----- 1 razvan razvan 0 Nov 10 17:28 uso7_test2
CSE Dep
15/42
umask (cont.)
director: implicit 777 umask: 077 (777 & 077) 700 (rwx --- ---)
umask pe directoare
razvan@anaconda:~/junk$ umask 0027 razvan@anaconda:~/junk$ mkdir uso7_dir1 razvan@anaconda:~/junk$ ls -ld uso7_dir1 drwxr-x--- 2 razvan razvan 4096 Nov 10 17:29 uso7_dir1 razvan@anaconda:~/junk$ umask 077 razvan@anaconda:~/junk$ mkdir uso7_dir2 razvan@anaconda:~/junk$ ls -ld uso7_dir2 drwx------ 2 razvan razvan 4096 Nov 10 17:29 uso7_dir2
CSE Dep
16/42
Securitatea accesului
CSE Dep
17/42
autenticare (authentication)
permiterea utilizatorului n sistem pe baza credent , ialelor (parola, semnatur a biometric a, certicat digital etc.)
autorizare
acordarea de drepturi de acces la resurse pentru utilizator
controlul accesului
vericarea drepturilor de acces la resurse; se permite sau nu se permite accesul
CSE Dep
18/42
Parole
CSE Dep
20/42
metode
ncerc ari automatizate (brute force) se ncearc a ghicirea parolei pe baz a
Ar trebui s a m a ngrijorez?
n 1997, n urma unui sondaj efectuat n Londra, 82% din parole puteau ghicite us , or pe baza unei analize sumare a viet , ii subiectelor
animale de cas a, date de nas , tere, nume de rude
CSE Dep
21/42
vericarea periodic a a parolelor utilizatorilor password aging : schimbarea parolei dup a o anumit a perioad a
CSE Dep
22/42
Parole n Unix
la nceput parolele se p astrau criptat n /etc/passwd s , ierul /etc/passwd cont , ine s , i alte informat , ii
numele utilizatorilor directorul home shell-ul folosit
CSE Dep
23/42
s , ierul /etc/shadow accesibil numai de root parola ar putea spart a prin ncerc ari de login repetate
timeout ntre ncerc arile de autenticare
/etc/passwd
razvan@anaconda:~/junk$ cat /etc/passwd | grep guest guest:x:1001:1001:Guest,EF 303,,,Test:/home/guest:/bin/bash
/etc/shadow
razvan@anaconda:~/junk$ cat /etc/shadow | grep guest cat: /etc/shadow: Permission denied anaconda:/home/razvan/junk# cat /etc/shadow | grep guest guest:$1$jv4hP2au$BSrUDS0J7LhJv8PrCFltU/:13124:0:99999:7:::
CSE Dep
24/42
Contul privilegiat
sudo
permite unui utilizator obis ncredere) rularea unui , nuit (dar de set restr ans de comenzi cu privilegii de root privilege separation
CSE Dep
25/42
CSE Dep
27/42
Recunoas , terea
CSE Dep
28/42
man-in-the-middle attack
un atacator este capabil s a pretind a identitatea unei entit at , i de ncredere f ar a ca entitatea comunicant a s a realizeze c a leg atura este compromis a integritate (hashing: MD5, SHA), autenticare
social engineering
educat , ie
CSE Dep
29/42
mpiedicarea accesului utilizatorilor la o resurs a poate nsemna consumul resurselor unui sistem
deschiderea unui num ar mare de procese (fork bomb)
CSE Dep
30/42
Prevenirea atacurilor
stabilirea unor politici clare de securitate congurarea politicilor de ltrare a pachetelor congurarea cript arii tracului important congurarea programelor antivirus detectarea atacurilor / problemelor
monitorizare IDS (Intrusion Detection System)
CSE Dep
31/42
Firewall
rewall software rewall hardware sau dedicat reguli de acces pentru pachetelor de retea pot ltrate (dropped, rejected) pe baza criteriilor
tipuri de protocol adresa IP sursa adresa IP destinatie port sursa port destinatie
CSE Dep
32/42
Criptograe
studiul ascunderii mesajelor criptarea este procesul de transformare a unui text clar (plain text) ntr-un text cifrat decriptarea este procesul invers criptarea/decriptarea necesit a
un algoritm o cheie date/mesaj
CSE Dep
33/42
Criptare s , i decriptare
CSE Dep
34/42
Ross Anderson 2nd Edition, 2010 prima edit arcat a gratis , ie poate desc o privire n ansamblu a securit at , ii sistemelor s , i ret , elelor atacuri s arare , i ap bogat a n povestiri reale us , or de citit cont a pe aspecte practice , ine formalisme, dar insist
CSE Dep
36/42
Bruce Schneier
http://en.wikipedia.org/wiki/File:Bruce_Schneier_1.jpg
autorul mai multor c art , i de securitate algoritmi de criptograe Bruce Schneier on security (blog) (http://www.schneier.com) Bruce Schneier Facts
CSE Dep Cursul 12, Elemente de securitate 37/42
RSA
numele de la fondatorii: Ron Rivest, Adi Shamir, Led Adleman inint a n 1982 , at algoritmul de criptare cu chei publice RSA token-uri de autenticare (RSA SecurID security tokens) RSA Factoring Challenge
CSE Dep
38/42
AES
Advanced Encryption Standard adoptat de guvernul US ca standard de criptare n noiembrie 2001 init a numele unuia dintre inventatori , ial denumit Rijndael dup nlocuies , te algoritmul DES (Data Encryption Standard) din 1977 procesul de alegere a avut loc ntre 1997 s , i 2000 destinat comunit at , ii criptograce init , ial aleste 15 algoritmi, apoi 5 nalis , ti, apoi doar 1 (Rijndael)
CSE Dep
39/42
Cuvinte cheie
problematica securit at , ii principii de securitate umask autenticare autorizare controlul accesului parole /etc/passwd
/etc/shadow root sudo recunoas , tere man in the middle denial of service rewall criptare
CSE Dep
40/42
Resurse utile
CSE Dep
41/42