Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.
„WEBFILTR živě“ přímo na svém počítači Vyzkoušejte KERNUN CLEAR WEB
Mobilně a (ne)bezpečně
SÍŤOVÉ PROTOKOLY.
SÍŤOVÉ SLUŽBY DNS SYSTÉM
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.
Překlad síťových adres - NAT
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Programování v jazyku C# II.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Analýza síťového provozu
Softwarové zabezpečení serveru
Adresářová služba Active directory
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
DIGITÁLNÍ UČEBNÍ MATERIÁL
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Co je VPN? Virtuální privátní síť
Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s
Bezpečnost bezdrátové komunikace
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Firewall.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-16.
Základy informatiky část 6
[Public]—For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Moderní vzdálený přístup Martin Koldovský
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Vybudujte si svůj vlastní internetovský ochranný val
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Pseudo terminal driver
Typy počítačových sítí Střední odborná škola Otrokovice Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je PaedDr. Pavel.
Protokol SSL Petr Dvořák. Obsah prezentace  Co je SSL  Popis protokolu  Ukázka  Použití v praxi.
Protokoly vzdálených terminálů
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-16.
Internet Key Exchange Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Josef Petr Obor vzdělání: M/01 Informační technologie INSPIROMAT PRO TECHNICKÉ OBORY 1. ČÁST – VÝUKOVÉ MATERIÁLY URČENÉ PRO SKUPINU OBORŮ 18 INFORMAČNÍ.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Vrstvy ISO/OSI  Dvě skupiny vrstev  orientované na přenos  fyzická vrstva  linková vrstva  síťová  orientované na aplikace  relační vrstva  prezentační.
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
Protokoly pro připojení k vzdálenému serveru
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Kerberos ● Bezpečnost zaručená třetí stranou ● Autentikátory, KDC ● Lístky relace ● Lístky na vydávání lístků ● Autentizace mezi doménami ● Dílčí protokoly.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
3. Ochrana dynamických dat
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Operační program Vzdělávání pro konkurenceschopnost
Virtuální privátní sítě
Monitoring sítě.
Elektronický (digitální) podpis
Centrální místo služeb 2.0
Transkript prezentace:

Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )

Protokol IPSec Sada otevřených standardů pro zajištění bezpečné komunikace přes sítě IP, pracuje na síťové vrstvě. Služby IPSec Integrita v prostředí nespojované komunikace Ověřování původu dat Ochrana proti opakování Důvěrnost (šifrování) Protokoly IPSec Authentication Header (AH) Encapsulated Security Payload (ESP) Internet Key Exchange (IKE)

Protokol AH Autentizace záhlaví, zajišťuje Integritu dat Autentizaci IP paketu Ochranu proti opakování Vlastnosti protokolu AH Data přenášena otevřeně Přenášená data nemohou být změněna (aniž by se to poznalo) IP záhlaví i data jsou podepsány Zabraňuje útoku typu podvržení adresy sledováním pořadových čísel Používá algoritmy HMAC (Hash Message Authentication Code) Komunikující strany musí sdílet tajný klíč

Protokol ESP Protokol ESP (Encapsulating Security Payload) poskytuje Důvěrnost dat Určitou důvěrnost toku dat Autentizační služby pro AH (volitelně) Vlastnosti ESP Lze použít souběžně s AH Podporuje řadu šifrovacích algoritmů, módů, atd. DES, 3DES, RC5, IDEA, CAST a další

Protokol IKE Internet Key Exchange Kryptografická infrastruktura zajišťující vyjednávání o výměně klíčů Ustaví Security Associations (SAs), mezi IPSec partnery Security Associations (SA): jednosměrný vztah mezi odesílající a přijímající stranou. Autentizuje IPsec partnery Definice pomocí 3 parametrů Security Parameters Index (Metoda autentizace) Cílová IP adresa Identifikátor bezpečnostního protokolu (AH nebo ESP)

Použití protokolů sady IPSec Authentication Header Požaduje se bezpečné připojení k zaručenému adresátovi Musí být ověřován zdroj dat Data sama o sobě nejsou citlivá, riziko zachycení paketů a potenciální kompromitace je nízké Encapsulation Security Payload Přenášené informace jsou citlivé a je nutno je utajit Pouze požaduje-li se ochrana dat Oba protokoly AH a ESP Musí-li být data chráněna a současně je nutná autentizace Pokud zvýšená bezpečnost kompenzuje pokles výkonnosti vyplývající z další režie

Scénáře nasazení IPSec IPSec může být nasazen takto Tři základní varianty konfigurace Host to Host Gateway to Gateway Host to Gateway Ochrana komunikace mezi dvěma koncovými počítači Transportní mód Ochrana komunikace mezi koncovým počítačem a sítí nebo mezi dvěma sítěmi Tunelovací mód

Transportní mód IPSec Server Isolation End-to-End Host Security

Tunelovací mód IPSec Site-to-Site VPN IPSec Tunnel IPSec Tunnel IPSec Gateway IPSec Gateway Windows XP Client FTP Server Site B Site A IPSec Gateway IPSec Gateway

Implementace a konfigurace IPSec Microsoft Windows (od verze 2000) MS Management Console (MMC) Snap-in modul pro správu IP bezpečnosti Nastavení obecných pravidel (IKE – doby platností, šifrovací algoritmy atd.) Nastavení pravidel

Filtry IP adresa IP protokol Zdrojový a cílový TCP a UDP port Akce filtru Povolit přenost bez IPSec (Permit) Blokovat – pakety jsou zahazovány („silent discard“) Aktivovat zabezpečený režim Authentizace Kerberos Předsdílený key Certifikáty

Autentizace Kerberos Integrován do Active directory Sdílený key Textový řetězec Neexistuje spolehlivý a jednoduchý mechanismus zneplatnění Použití pouze pro testovací účely Certifikáty Kompromitované údaje lze zneplatnit (revocation) Role certifikační autority

Testování Konfigurace Host to Host AHS, ESP Authentizace Sdílený klíč Certifikát (vlastní CA) Nástroje IPSec monitor Network monitor

Jak IPSec zabezpečuje datový provoz? TCP vrstva IPSec Driver TCP vrstva IPSec Driver Šifrované IP pakety 3 3 Internet Key Exchange (IKE) vyjednávání 2 2 IPSec Policy 1 1 MMC