Documente Academic
Documente Profesional
Documente Cultură
Curs 11
Capitolul 18 Securitatea n retele de calculatoare
1
Integritate
NU pot fi modificate n nici un fel
Disponibilitate
Sistemele trebuie sa fie functionale si disponibile celor autorizati
Atac Pasiv
Ascultarea transmisiei Pentru a obine informaii Dezvluirea coninutului
Strini afl coninutul
Analiza traficului
Prin monitorizarea frecvenei, lungimii, natura comunicaiilor poate fi ghicit
Atac Activ
Impostura
Pretinde c e altcineva
Dificil de prevenit
Pericole n Securitate
Criptare Conventionala
Ingrediente
Text Algoritm de criptare Cheie Secret Text Cifrat Algoritm de decriptare
Emiatorul i receptorul trebuie s obin cheia de criptare ntr-un mod sigur Cheia deconspirat toat comunicaia secret este compromis
For brut
Se ncearc toate cheile posibile pn la obinerea textului
Algoritmi
Cifru bloc
Proceseaz text plan n blocuri de dimensiune fix i produce text cifrat de dimensiune egal Data encryption standard (DES) Triple DES (TDES)
10
11
12
13
Puterea DES
Declarat nesigur n 1998 Electronic Frontier Foundation DES Cracker machine DES acum inutil Alternativa include TDEA (Triple Data Encryption Algorithm)
14
Triple DEA
ANSI X9.17 (1985) Incorporated in DEA standard 1999 Utilizeaz 3 chei i 3 execuii ale algoritmului DEA Lungime cheie de 168 bii
15
16
Criptarea legaturii
Fiecare legatura echipat la ambele capete Tot traficul este sigur Nivel nalt de securitate Necesar mare de echipamente Mesajele trebuie decriptate n fiecare comutator pentru a citi adresa Vulnerabilitate n comutatoare
n special n reele publice
17
18
Distributia cheilor
Cheia aleas de A trimis la B (manual) O a treia parte selecteaz cheia i o trimite la A i B Cheia nou se trimite criptat cu cheia veche Cheia nou se trimite de o treia parte la A i B criptat cu cheia veche
19
20
Cheie Permanent
Utilizat pentru distribuia cheilor de sesiune
Traffic Padding
Produce text cifrat continuu Dac nu e nimic de transmis trimite date aleatoare Face analiza traficului imposibil
22
Autentificarea Mesajelor
Protecie mpotriva atacurilor active
Manipularea datelor
Mesajul este autentic dac este original i provine de la sursa real Autentificarea permite destinaiei s verifice
Mesajul nu este alterat Provine de la sursa real Secvenierea mesajelor este corect
23
24
25
26
27
28
29
30
SHA-1
Secure Hash Algorithm 1 Mesaj de intrare mai mic de 264 bits
Processed in 512 bit blocks
31
Ingrediente
Text clar (necriptat) Algoritm criptare Cheie public i privat Text cifrat Algoritm de decriptare
32
33
Nu se poate determina cheia de decriptare cunoscnd cheia de criptare i algoritmul Din perechea de chei oricare poate fi utilizat pentru criptare i a doua pentru decriptare
34
Metoda
Utilizatorul genereaz cele dou chei Una din chei este fcut public Pentru a trimite mesaj la utilizator se cripteaz cu cheia public Utilizatorul decripteaz cu cheia sa privat
35
Semnatura digitala
Expeditor cripteaz mesajul cu cheia sa privat Receptorul poate s decripteze cu cheia public Aceasta autentific expeditorul ca fiind unicul care posed cheia potrivit Nu se asigur protecia datelor
Cheia de decriptare este public
36
Algoritm RSA
37
RSA Exemplu
38
39
IPSec Scope
Authentication header (AH) Encapsulated security payload (ESP) Key exchange RFC 2401,2402,2406,2408
40
41
Parametrii SA
Contor de numar de secventa Depasirea numarului de secventa Informatii AH Informatii ESP Durata de viata a asocierii Modurile protocolului IPSec
Tunnel, transport or wildcard
42
Modul Tunel
Protecie pentru pachetul IP n ntregime Pachetul vechi este ncapsulat ntr-unul nou Nici un ruter nu examineaz pachetul interior Poate avea adrese IP surs i destinaie diferite Poate implementat in firewall
43
Authentication Header
44
45
Pachetul ESP
46
Scopul ESP
47
Managementul Cheilor
Manual Automatic
ISAKMP/Oakley
Oakley key determination protocol Internet security association and key management protocol
48
49