Documente Academic
Documente Profesional
Documente Cultură
11
Elemente de securitate
12 decembrie 2011
Moto
The only truly secure system is one that is powered off, cast in a
block of concrete and sealed in a lead-lined room with armed
guards - and even then I have my doubts.
Eugene H. Spafford
There are two types of encryption: one that will prevent your sister
from reading your diary and one that will prevent your
government.
Bruce Schneier
12.12.2011
Servicii de reea
port
server
UDP
TCP
client
servicii
conexiune
SSH
WWW
adres
22
cerere
sigur
SMTP
80
HTTP
IMAP
URL
scp
POP3
chei
sshd
12.12.2011
text
HTML
page
MIME
ssh
remote
25
443
Apache
mailbox
OpenSSH
IE
Outlook
Firefox
Thunderbird
3
12.12.2011
Cuprins
Problematica securitii
Principii de securitate
Securitatea sistemului de operare
Securitatea accesului. Parole
Securitatea reelelor
Firewall-uri
Criptare
12.12.2011
Suport curs
12.12.2011
Problematica securitii
Protecia informaiilor preioase (companii, instituii)
Ce este un sistem sigur?
resursele sale sunt utilizate i accesate n orice mprejurare aa cum se
dorete
Noiuni de securitate
Obiective: confidenialitate, integritate, disponibilitate,
autenticitate
Privilegii
Principii
Niveluri de securitate
La nivel de persoan
utilizatorii sunt alei cu grij
educarea utilizatorilor
La nivel fizic
protecia ncperilor ce conin sistemele de calcul
La nivelul reelei
securizarea accesului de la distan
filtrarea pachetelor de compromitere a reelei
12.12.2011
Suport hardware
procesoarele ofer cel puin dou niveluri de privilegiu
unul pentru operaii obinuite (user mode)
altul pentru acces la instruciuni privilegiate (supevisor mode)
10
Aspecte importante
directorul HOME al fiecrui utilizator
drepturi depline
utilizatorul poate sau nu permite accesul altor utilizatori
12.12.2011
11
umask
12.12.2011
12
umask (2)
director: implicit 777
umask: 077 (777 & ~077) 700 (rwx --- ---)
razvan@anaconda:~/junk$ umask
0027
razvan@anaconda:~/junk$ mkdir uso7_dir1
razvan@anaconda:~/junk$ ls -ld uso7_dir1
drwxr-x---
Securitatea accesului
12.12.2011
14
Autentificare (authentication)
permiterea utilizatorului in sistem pe baza credentialelor
(parola, semnatura biometrica, certificat digital etc.)
Autorizare
acordarea de drepturi de acces la resurse pentru utilizator
Controlul accesului
verificarea drepturilor de acces la resurse; se permite sau nu se
permite accesul
12.12.2011
15
Parole
Form de autentificare (username/password)
se compar parola introdus cu cea stocat de sistem
dac cele dou coincid se permite accesul
ghicirea parolei
transferul parolei de la un utilizator autorizat la unul neautorizat
12.12.2011
16
Ar trebui s m ngrijorez?
n 1997, n urma unui sondaj efectuat n Londra, 82% din parole puteau fi
ghicite uor pe baza unei analize sumare a vieii subiectelor
animale de cas, date de natere, nume de rude
17
18
Parole n Unix
La nceput parolele se pstrau criptat n /etc/passwd
Fisierul /etc/passwd conine i alte informaii
numele utilizatorilor
directorul home
shell-ul folosit
19
intrare n /etc/shadow
razvan@anaconda:~/junk$ cat /etc/shadow | grep guest
cat: /etc/shadow: Permission denied
anaconda:/home/razvan/junk# cat /etc/shadow | grep guest
guest:$1$jv4hP2au$BSrUDS0J7LhJv8PrCFltU/:13124:0:99999:7:::
20
Contul de root/Administrator
Controlul absolut al sistemului
obinerea contului de superuser nseamn spargerea sistemului
sudo
permite unui utilizator obinuit (dar de ncredere) rularea unui
set restrns de comenzi cu privilegii de root
privilege separation
12.12.2011
21
Securitatea reelelor
Dou tipuri de ameninri ntr-o reea
vulnerabiliti
la nivelul aplicaiilor sistemului (exploit)
la nivelul protocolului de comunicare folosit (SYN flood)
la nivelul dispozitivelor de reea (ARP poisoning)
configurri necorespunztoare
22
Recunoaterea
Recunoaterea activ
host, whois
ping sweep
aplicaii de scanare a porturilor
firewall blocarea operaiilor
configurarea aplicaiilor s ofere detalii minime (versiune)
Recunoaterea pasiv
interceptarea traficului din reea
tcpdump
wireshark
Kismet
23
Obinerea accesului
Prin analiza traficului
eavesdropping
obinerea parolei
criptare
man-in-the-middle attack
un atacator este capabil s pretinda identitatea unei entitati de
incredere fr ca entitatea comunicanta s realizeze c legtura
este compromis
integritate (hashing: MD5, SHA), autentificare
Social engineering
educaie
12.12.2011
24
DoS Attacks
Denial of Service
mpiedicarea accesului utilizatorilor la o resurs
Poate nsemna consumul resurselor unui sistem
deschiderea unui numr mare de procese (fork bomb)
DDoS
12.12.2011
25
Prevenirea atacurilor
12.12.2011
26
Firewall
Firewall software
Firewall hardware sau dedicat
Reguli de acces pentru pachetelor de retea
Pot fi filtrate (dropped, rejected) pe baza criteriilor
12.12.2011
tipuri de protocol
adresa IP sursa
adresa IP destinatie
port sursa
port destinatie
27
Criptografie
Studiul ascunderii mesajelor
Criptarea este procesul de transformare a unui text clar
(plain text) ntr-un text cifrat
Decriptarea este procesul invers
Criptarea/decriptarea necesit
Un algoritm
O cheie
Date/Mesaj
Dou tipuri
Cu cheie simetric i chei asimetrice (privata si public)
12.12.2011
28
12.12.2011
DES
3DES
RC4
AES
29
Exemple de algoritmi
RSA
Diffie-Hellman
curbe eliptice
12.12.2011
30
12.12.2011
31
12.12.2011
32
Cuvinte cheie
Cuvinte cheie
problematica securitii
root
principii de securitate
sudo
umask
recunoastere
autentificare
autorizare
DoS
controlul accesului
firewall
parole
criptare
/etc/passwd
semnatura digitala
/etc/shadow
chei simetrice/asimetrice
12.12.2011
33
33
Resurse utile
Link-uri utile
http://en.wikipedia.org/wiki/Computer_security
http://www.unixtools.com/security.html
http://en.wikipedia.org/wiki/Ring_(computer_security)
http://en.wikipedia.org/wiki/Network_security
http://insecure.org/
http://www.linuxsecurity.com/
http://www.openbsd.org/
http://www.schneierfacts.com/
12.12.2011
34
34
The End
12.12.2011
35