BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Slides:



Advertisements
Podobné prezentace
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Advertisements

Single Sign-On (SSO) konečně komfort pro uživatele Konference ISSS – duben 2008 Pavel Novotný, NESS.
Elektronický podpis.
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.
Z ČEHO SE POČÍTAČ SKLÁDÁ
Definování prostředí pro provozování aplikace dosud jsme řešili projekt v obecné rovině aplikace bude ovšem provozována v konkrétním technickém a programovém.
Adresářová služba Active directory
Za prvé musíte mít připojení k internetu Za druhé zajděte za panem učitelem Hůlkou a poproste ho aby vám umožnil přístup do vašeho domovského adresáře.
Protokol TCP/IP a OSI model
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
CZ.1.07/1.4.00/ VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Vypracoval: Ondřej Dvorský Třída: VIII.A
Protokoly a adresy na internetu
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Úvod do síťového operačního systému Novell Netware.
Základy počítačových sítí elektronická pošta Základy počítačových sítí Lekce 5 Ing. Jiří ledvina, CSc.
Uživatelské profily, vlastnosti uživatelského účtu
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
STRUKTURA POČÍTAČOVÝCH SÍTÍ. Co to je PC síť  PC síť - propojení dvou a více PC za účelem sdílení dat nebo komunikace.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
2 Fučíková Sylvie HR/Win – moderní technologie pro osvědčené aplikace.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
VY_32_INOVACE_8_10_Počítačové sítě
Základy informatiky část 6
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Selektivní šifrování dat v databázích
Internet.
Anotace Žák definuje základní SW Autor Petr Samec Jazyk Čeština Očekávaný výstup Dokáže definovat základní software Speciální vzdělávací potřeby Ne Klíčová.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Operační systémy Název a adresa školy
Spustit Konec Sára Výšková 7.A. Stisknutím kláves Ctrl + Alt + Delete se vám objeví ikona. Menu.
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
Pohled uživatele.
Internet Key Exchange Projektování distribuovaných systémů Ing. Jiří ledvina, CSc.
INTERNET INFORMATIKA 5. TŘÍDA. Internet si volně můžeme vyložit jako sít, která vzájemně propojuje počítače po celém světě. Někdy se také internet označuje.
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Hybridní kryptosystémy
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
ELEKTRONICKÝ PODPIS Jiří Suchomel tel.: Přihlášení na:Tester kraj Heslo:ecibudrap.
Úvod do databází zkrácená verze.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
 = jedná se o vzájemné propojení lokálních počítačových sítí pomocí vysokorychlostních datových spojů  vznikl spojením mnoha menších sítí  v každé.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. Autor Mgr. Lubomír Stepek Anotace Prezence slouží k seznámení se zásadami bezpečné.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Kerberos ● Bezpečnost zaručená třetí stranou ● Autentikátory, KDC ● Lístky relace ● Lístky na vydávání lístků ● Autentizace mezi doménami ● Dílčí protokoly.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Biometrika v informační bezpečnosti Daniel Raška.
Výukový materiál zpracovaný v rámci projektu: Střední zdravotnická škola ÚO – šablony Registračn í č í slo projektu: CZ.1.07/1.5.00/ Š ablona: III/2.
Paměti PC HDD, CD/DVD, USB Flash RAM a ROM Vnější paměť Disková paměť
Bezpečnostní technologie I
Inf Elektronická komunikace
Internet - historie.
Virtuální privátní sítě
Zabezpečení www stránek
Monitoring sítě.
Web Application Scanning
Základy počítačových sítí elektronická pošta
Elektronický (digitální) podpis
HASH.
IP adresa a MAC Michaela Imlaufová.
Transkript prezentace:

BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) TÉMA Č. 11: AUTENTIZAČNÍ PROTOKOLY MS WINDOWS mjr. Ing Milan Jirsa, PhD.

Autentizační pověření Autentizace je proces ověřující identitu uživatele. Aby měl operační systém jistotu, že uživatel je opravdu tím kým tvrdí, že je, požaduje po uživateli nějaký důkaz. Pro tento důkaz se používá označení uživatelské pověření (user credentials), dále jen pověření. Pověření reprezentuje nějaký typický znak nebo jedinečnou informaci, která je v okamžiku autentizace dostupná všem zúčastněným stranám.

Autentizační pověření Pověření se obvykle dělí do tří tříd. Může to být: 1. Něco, co známe. Tajemství, které známe a sdílíme ho se systémem, ke kterému chceme získat přístup, představuje nejjednodušší a nejobvyklejší formu pověření. Typickým příkladem je heslo. 2. Něco, co máme. Druhá třída pověření předpokládá, že uživatel vlastní nějaký autentizační předmět, například čipovou kartu, nějaké USB zařízení nebo RSA SecurID zařizení generující hesla na jedno použití. 3. Něco, co jsme. Třetí třída pověření zahrnuje širokou škálu biometrických informací jako jsou otisky prstů, oční duhovka, charakteristika hlasu, atd. Autentizace může být jednofaktorová nebo vícefaktorová, podle toho, kolik různých typů pověření se při ní použije. Standardně jsou operačním systémem Windows podporovány jen pověření prvních dvou typů.

Ukládání pověření Pověření použitá uživateli při autentizaci si operační systém musí někam ukládat. Hesla se standardně v otevřeném tvaru nikam neukládají, místo toho se ukládají jejich hash hodnoty. Hash hodnoty hesel k lokálním uživatelským účtům jsou uloženy přímo v počítači, kde byly účty založeny, v tzv. SAM databázi. Doménové účty se nacházejí v aktivním adresáři počítače, který vykonává funkci řadiče domény. Pro zvýšení bezpečnosti uložení hash hodnot používají některé systémy tzv. solení hesel, ale Windows k nim nepatří. To znamená, že dva uživatelé, kteří si náhodou zvolí stejné heslo, budou mít i stejnou hash.

LM hash Z důvodů zpětné kompatibility s operačním systémem LAN Manager jsou ve starších verzích Windows podporovány méně bezpečné LM hashe. LAN Manager povolal maximálně heslo dlouhé 14 znaků a v něm, kromě číslic a dalších povolených znaků jen velké znaky anglické abecedy. Postup při vytváření LM hashe je následující: 1. všechny znaky hesla se převedou na velké znaky, 2. heslo se dále doplní nulami na 14 znaků, 3. těchto 14 znaků se rozdělí na dvě skupiny po sedmi znacích, 4. každá skupina se použije jako klíč v algoritmu DES k zašifrování konstanty AAD3B435B51404EE, 5. zřetězením vznikne hash hodnota dlouhá 32 znaků.

NT hash a kešované pověření Pokud by se útočník dostal k LM hash hodnotám, velmi rychle z nich získá původní hesla. Proto se v praxi generování LM hashe vypíná a používá se jen bezpečnější NT hash, která vzniká jako výstup z algoritmu MD4. Pokud se uživatel úspěšně přihlásí do systému Windows pomocí doménového účtu, tak se standardně vytvoří lokální kopie hash hodnoty, která mu později umožní se opakovaně přihlásit i v případě, že řadič domény nebude k dispozici. Toto “kešované pověření” je ale uloženo bezpečněji, protože standardní NT hash hodnota se spolu se jménem účtu (toto je jediný případ, kdy Windows použijí solení hesel) znovu zpracuje algoritmem MD4. Windows Vista a vyšší navíc přidávají ještě jeden krok: výsledná hodnota se zpracuje ještě algoritmem PKCS#5.

Přihlášení k lokálnímu účtu Nejjednodušší varianta autentizace nastává v situaci, kdy se uživatel přihlašuje interaktivně na lokální účet. 1. Uživatel stiskne kombinaci kláves Ctrl + Alt + Delete, načež část bezpečnostního podsystému Windows nazvaná LSASS (Local Security Authority Sub-System) vytvoří novou relaci a spustí proces WinLogon, který zobrazí přihlašovací dialogové okno. 2. Uživatel zadá jméno účtu a heslo. 3. Proces WinLogon z hesla vytvoří NT hash, kterou porovná s hodnotou v SAM databázi. Jsou-li obě hodnoty stejné, je přihlášení úspěšně dokončeno.

Přihlášení k lokálnímu účtu ze sítě Pokud se ovšem hlásíme přes síť k vzdálenému počítači nebo pomocí doménového účtu, situace se komplikuje, protože autentizační informace putuje po síti. Windows v takovém případě využívají protokol typu výzva – odpověď (NTLM a Kerberos). Obecné schéma protokolu: 1. Uživatel zahájí přihlašování tím, že vznese požadavek na vzdálený server. 2. Server vytvoří tzv. výzvu, což je nějaká náhodná hodnota, kterou pošle klientovi. 3. Klient má k dispozici informaci, kterou uživatel zadal při lokálním příhlášení, a tuto informaci zpracuje spolu s výzvou v kryptografické operaci jejímž výstupem je odpověď serveru.

Protokol typu výzva – odpověď

Protokol NTLM NTLM označuje rodinu autentizačních protokolů, která byla postupně vylepšovány. Všechny verze Windows řady NT až do Windows Server 2003, posílaly současně LM odpověď i NT odpověď. Žádná domluva o tom, která z variant prokolu se použije neprobíhala. Od verze Windows Server 2003 je standardně zasílána jen NT odpověď, Windows Vista a vyšší upřednostňují bezpečnější variantu protokolu označovanou jako NTLM v2. Starší verze Windows mohou NTLM v2 používat také, ale musí být tak nakonfigurovány, nejedná se tedy o standardní chování. Konfigurovatelná položka registru se v originále nazývá LMCompatibilityLevel. (Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager.)

Protokol NTLM

Protokol Kerberos Kerberos je preferovaným autentizačním protokolem v doméně od verze Windows Pouze v situaci, kdy nelze použít, přejde se na některou z variant protokolu NTLM. Protože využívá tzv. plně kvalifikovaná doménová jména, nelze ho použít například tehdy, když chce uživatel využívat prostředky vzdáleného počítače identifikovaného jen IP adresou. Kerberos umožňuje na rozdíl od NTLM vzájemnou autentizaci klienta i serveru. Protokol Kerberos také předpokládá, že síť představuje nepřátelské prostředí ve kterém může útočník odposlouchávat síťový provoz, zachycovat, mazat a modifikovat autentizační zprávy. Aby dosáhl bezpečné autentizace používá Kerberos nejen šifrování dat, ale také časovou synchronizaci. Kerberos ve verzi 5, který je implementován ve Windows, standardně předpokládá, že čas na klientovi a na serveru se neliší o více než pět minut.

Tok požadavků a odpovědí Kerbera

1. Po spuštění počítače jsou vytvořena tzv. předautentizační data, obsahující mimo jiné i časovou známku. Předautentizační data jsou zašifrována klíčem odvozeným z hesla a zaslána jako KRB_AS_REQ paket (Kerberos Authentication Service Request) autentizační službě, která se ve Windows označuje jako KDC (Key Distribuiton Center) a běží na řadiči domény. 2. Autentizační služba vytvoří speciální datovou strukturu označovanou jako TGT lístek (Ticket Granting Ticket). Dále vytvoří klíč relace, který klient použije při komunikaci s další službou běžící na řadiči domény – TGS (Ticket Granting Service, služba poskytující lístky). Tento klíč je klientovi zaslán šifrovaně jako KRB_AS_REP paket.

Tok požadavků a odpovědí Kerbera 3. Klient nyní pošle požadavek službě poskytující lístky s žádostí o přístup ke vzdálenému serveru. Tento požadavek obsahuje TGT lístek, identifikaci služby na serveru a další informace, to vše šifrované klíčem relace. 4. Služba poskytující lístky odpoví zprávou obsahující lístek pro požadovanou službu, který obsahuje mimo jiné informaci získanou od klienta v předchozím kroku. Celé je to zašifrované veřejným klíčem serveru, takže pro klienta je to nečitelné. Stejná služba vytvoří také relační klíč pro utajenou komunikaci mezi klientem a serverem. 5. Nakonec klient pošle serveru získaný lístek. Informace od klienta a relační klíč pro jejich vzájemnou komunikaci je zašifrován veřejným klíčem serveru.