William Stallings Data and Computer Communications

Curs 11
Capitolul 18 Securitatea n retele de calculatoare
1

Cerinte pentru sisteme de securitate

Confidenialitate
datele accesibile doar pentru cei autorizai

Integritate
NU pot fi modificate n nici un fel

Disponibilitate
Sistemele trebuie sa fie functionale si disponibile celor autorizati

Atac Pasiv
Ascultarea transmisiei Pentru a obine informaii Dezvluirea coninutului
Strini afl coninutul

Analiza traficului
Prin monitorizarea frecvenei, lungimii, natura comunicaiilor poate fi ghicit

Dificil de detectat Poate fi prevenit

3

Atac Activ
Impostura
Pretinde c e altcineva

Replay Modificarea mesajului Refuzul serviciului (Denial of Service) Uor de detectat

Detecia poate conduce la infractor

Dificil de prevenit

Pericole n Securitate

Criptare Conventionala

Ingrediente
Text Algoritm de criptare Cheie Secret Text Cifrat Algoritm de decriptare

Cerinte pentru securitate

Algoritm de criptare puternic
chiar dac este cunoscut s nu permit decriptarea sau deducerea cheii Chiar dac sunt disponibile texte necriptate i criptate n numr limitat

Emiatorul i receptorul trebuie s obin cheia de criptare ntr-un mod sigur Cheia deconspirat toat comunicaia secret este compromis

Atac asupra criptarii

Criptanaliz
Se bazeaz pe natura algoritmului i cunotine generale asupra caracteristicilor textului plan ncercare de a deduce textul sau cheia

For brut
Se ncearc toate cheile posibile pn la obinerea textului

Algoritmi
Cifru bloc
Proceseaz text plan n blocuri de dimensiune fix i produce text cifrat de dimensiune egal Data encryption standard (DES) Triple DES (TDES)

10

Data Encryption Standard (DES)

US standard Blocuri de 64 biti de text necriptat Cheie pe 56 biti

11

Algoritmul de criptare DES

12

DES Iteratie simpla

13

Puterea DES
Declarat nesigur n 1998 Electronic Frontier Foundation DES Cracker machine DES acum inutil Alternativa include TDEA (Triple Data Encryption Algorithm)

14

Triple DEA
ANSI X9.17 (1985) Incorporated in DEA standard 1999 Utilizeaz 3 chei i 3 execuii ale algoritmului DEA Lungime cheie de 168 bii

15

Amplasarea dispozitivelor de criptare

16

Criptarea legaturii
Fiecare legatura echipat la ambele capete Tot traficul este sigur Nivel nalt de securitate Necesar mare de echipamente Mesajele trebuie decriptate n fiecare comutator pentru a citi adresa Vulnerabilitate n comutatoare
n special n reele publice

17

Criptare capat la capat

Criptare n sistemele finale Datele criptate trec prin reea nealterate Destinaia mparte cheia cu sursa Se poate cripta doar partea de date utilizator
Altfel comutatoarele nu pot citi antetele pachetelor

Modelul de trafic este deductibil

A se utiliza ambele metode

18

Distributia cheilor
Cheia aleas de A trimis la B (manual) O a treia parte selecteaz cheia i o trimite la A i B Cheia nou se trimite criptat cu cheia veche Cheia nou se trimite de o treia parte la A i B criptat cu cheia veche

19

Distribuirea automata a cheii

20

Distribuirea automata a cheii

Cheie de sesiune
Utilizat pe durata unei conexiuni logice Distrus la terminarea Cripteaz doar traficul utilizator

Cheie Permanent
Utilizat pentru distribuia cheilor de sesiune

Centru de distribuire a cheilor

Determin care sisteme pot comunica Furnizeaz cheia de sesiune

Front end processor

Realizeaz criptarea end to end Obine cheile pentru host
21

Traffic Padding
Produce text cifrat continuu Dac nu e nimic de transmis trimite date aleatoare Face analiza traficului imposibil

22

Autentificarea Mesajelor
Protecie mpotriva atacurilor active
Manipularea datelor

Mesajul este autentic dac este original i provine de la sursa real Autentificarea permite destinaiei s verifice
Mesajul nu este alterat Provine de la sursa real Secvenierea mesajelor este corect

23

Autentificare prin criptare

Doar sursa i destinaia cunosc cheia Mesajul include:
cod detector de erori numr de secven marcaj de timp

24

Autentificare fara criptare

Etichet de autentificare ataat la fiecare mesaj Mesajul nu este criptat Util pentru:
Destinaii multiple, numai una face autentificarea

25

Message Authentication Code

Genereaz codul de autentificare din mesaj i cheie comun Cheia comun cunoscut doar de A i B Dac codul de autentificare corespunde:
Mesajul nu a fost alterat Expeditorul este autentic Dac este i nr de secven, acesta este corect

26

Autentificarea mesajelor folosing Message Authentication Code

27

Functie hash one way

Accept mesaje de lungime variabil i rezult un sumar de lungime fix Avantaje ale autentificarii fr criptare
Criptarea este lent Hard pentru criptare este scump Hard criptare optimizat pentru date multe Algoritmii sunt acoperii de patente Controlul exportului (din USA)

28

Folosirea functiei OneWay Hash

29

Functii HASH sigure

Funcia hash are urmatoarele proprieti:
Poate fi aplicat pentru orice lungime Lungimea codului este fix Uor de calculat Nu poate fi inversat Nu este fesabil de a se gsi dou mesaje cu hash identic

30

SHA-1
Secure Hash Algorithm 1 Mesaj de intrare mai mic de 264 bits
Processed in 512 bit blocks

Output 160 bit digest

31

Criptare cu cheie publica

Se bazeaz pe algoritmi matematici Asimetric
Sunt dou chei, public i privat

Ingrediente
Text clar (necriptat) Algoritm criptare Cheie public i privat Text cifrat Algoritm de decriptare

32

Public Key Encryption (diagrama)

33

Cheie Publica - Operare

Una dintre chei este public
cea pentru criptare

A doua cheie este privat

cu ea se face decriptarea

Nu se poate determina cheia de decriptare cunoscnd cheia de criptare i algoritmul Din perechea de chei oricare poate fi utilizat pentru criptare i a doua pentru decriptare

34

Metoda
Utilizatorul genereaz cele dou chei Una din chei este fcut public Pentru a trimite mesaj la utilizator se cripteaz cu cheia public Utilizatorul decripteaz cu cheia sa privat

35

Semnatura digitala
Expeditor cripteaz mesajul cu cheia sa privat Receptorul poate s decripteze cu cheia public Aceasta autentific expeditorul ca fiind unicul care posed cheia potrivit Nu se asigur protecia datelor
Cheia de decriptare este public

36

Algoritm RSA

37

RSA Exemplu

38

Securitatea IPv4 si IPv6

IPSec Conectivitate securizata prin Internet Remote access securizat prin Internet Conectivitate intranet si extranet Comert electroniccu securitate imbunatatita

39

IPSec Scope
Authentication header (AH) Encapsulated security payload (ESP) Key exchange RFC 2401,2402,2406,2408

40

Security Association (SA)

Relaie unidirecional ntre expeditor i destinatar. Pentru o relatie bidirecional sunt necesare dou asociaii Trei parametrii identific un SA
Security parameter index SPI IP surs IP destinaie Identificatorul protocolului se securitate (AH sau ESP)

41

Parametrii SA
Contor de numar de secventa Depasirea numarului de secventa Informatii AH Informatii ESP Durata de viata a asocierii Modurile protocolului IPSec
Tunnel, transport or wildcard

42

Moduri Transport si Tunel

Modul Transport
Protecie pentru nivele superioare, exemplu TCP Se extinde la partea de date a pachetului IP Capt la capt

Modul Tunel
Protecie pentru pachetul IP n ntregime Pachetul vechi este ncapsulat ntr-unul nou Nici un ruter nu examineaz pachetul interior Poate avea adrese IP surs i destinaie diferite Poate implementat in firewall
43

Authentication Header

44

Encapsulating Security Payload

ESP Servicii de confidentialitate

45

Pachetul ESP

46

Scopul ESP

47

Managementul Cheilor
Manual Automatic
ISAKMP/Oakley
Oakley key determination protocol Internet security association and key management protocol

48

Folosirea IKE intr-un mediu cu IPSec

49