Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed.

Offentliggjort afEllen Bak Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed."— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed

2 Indhold Authentikering Firewalls Intrusion Detection IPSec

3 2. Authorization (Adgang) 3. Accounting Username: Password: User 0. Identificati on Jeg er: "Username" asteffen 1.Authentication Bevise at jeg er "Username" ******** Authentication

4 Hvad du ved (password, PIN, shared secret) Username: aznHu4Um Password: asteffen FaceIris/Retina ScanningFingerprintVoice Hvad du har (Token, Smartcard, Certifikat, Scratch List Hvad du er (Bilogisk pattern, f.eks. ffingeraftryk) 01 Z4GH 06 IKDX 02 67TS 07 9PL7 03 UR2A 08 NFLB 04 TIQV 09 K91D 05 3Z5P 10 HA85 Typer af Authentikering

5 Physical Security Perimeter Direkte Authentication Password kan blive sniffet Mest til små sites? Authentication Mechanism Access Control Mechanism SysAdmin

6 Problem???

7 Indirekte Authentication Bruges ofte med one-time passwords, F.eks. RSA‘s SecureID Ved hjælp af Extensible Authentication Protocol (EAP) supporterer radius i dag også andre typer (smartcards, biometrical devices, etc.). RADIUS Agent RADIUS Server user: jdoe pw: asdf Brugeren vil gerne have adgang til en server eller ressource logon at... or access denied Access Request Access-Accept or Access-Reject Secured Radius Protocol

8 Eksepmpler på indirekte Remote authentication protocols TACACS+ óg RADIUS Microsoft Windows NT LAN Manager (NTLM) Domain Controllers er authentication servere Kerberos En nøgle distributions protokol der også kan lave authentication Internet Standard, oprindeligt udviklet på MIT Bliver brugt i Windows 2000 og fremefter med det formål at erstatte NTLM

9 NTLM protokollen Windows NT LAN Manager er en propritær Microsoft standard Meget typisk eksempel på en Challenge-Response protocol. User Alice Server Domain Controller (DC) Domain:Wonderland Username:Alice Password:2Uh7& Alice 51ff1d83 f68ba0537 OK H: Hash function E(x, k): Encryption of x with key k H(2Uh7&) = Key A E(f68ba0537, Key A ) = 51ff1d83 User Alice: Key A Alice, f68ba0537, 51ff1d83 Challenge: f68ba0537 E(f68ba0537, Key A ) = 51ff1d83 Comparison with 51ff1d83 – ok?

10 Kerberos

11 Off-line authentication F.eks. af browser til verifikation af server Check af credentials off-line F.eks. public keys til verifikation af digitale signaturer

12 Biometriske passwords Sammenligner brugers biometriske data med tidligere pattern False Acceptance Rate (FAR) måler sandsynligheden for et falsk match. VIGTIGT!

13 Biometriske passwords

14 Hvor stærke er de forskellige (ellers)?

15 Forskellige typer firewall’s Packet Filtering Stateful Inspection Application-Layer Internet

16 Sammenhæng med OSI Typiske netværks firewall Applikations firewall

17 Content scanner Typisk ikke ”stand-alone” firewall men i sammenhæng med firewall (ICAP) ”Højere” end application layer Tjekker for data i f.eks. HTTP eller SMTP strøm. Kunne være ting som: Virus scanning Java/ActiveX Ord Downlaod af ulovlige filtyper Screening for P2P, Messaging etc.

18 Firewalls – Ekstra sikkert Internet External Firewall LAN Internal Firewall Screened Subnet

19 Internet LAN Firewall Firewalls – Normal firewall design

20 Trafik, der ikke kommer gennem den Malicious trafik, som kommer på en åben port, og som ikke tjekkes på applikationslaget Malicious krypteret trafik på en lovlig port Angreb efter at et netværk er kompromiteret Trafik, der ser legitim ud Brugere, der kommer til at installere en virus Hvad beskytter en firewall ikke mod?

21 Gode principper ved valg af firewall Minimum to lag firewall Firewall lag bør være af forskellig fabrikat - Cisco, CheckPoint, CyberGuard etc.) Firewall bør være forskellig type - netværks firewall (stateful inspection), applikations firewall (i.e. ikke circuit- level) Ingen direkte sessioner. Alle sessioner til og fra internt netværk termineres/proxies i DMZ Alle udgående sessioner SKAL authentikeres (Kerberos, Certifikat etc.)

22 Gode principper ved valg af firewall Udgående WWW sessioner SKAL content checkes (virus, kode, SSL osv.) Indgående sessioner skal anvende stærk authenikering (certifikat/two-factor) Indgående og udgående sessioner og pakker må ikke være krypterede MEDMINDRE de bliver content scannede centralt Indgående sessioner skal gennem application layer filter (check af datastrøm med applikationsforståelse) Intrusion Detection på DMZ + logging af alt på alle sikkerhedskomponenter til central logkonsoliderings server

23 Hvad er Intrusion Detection? The art of detecting inappropriate, incorrect, or anomalous activity. ID systems that operate on a host to detect malicious activity on that host are called host-based ID systems, and ID systems that operate on network data flows are called network-based ID systems. http://www.sans.org/newlook/resources/IDFAQ/what_is_ID.htm

24 HIDS og NIDS Host Based Intrusion Detection System (HIDS) Er typisk noget software installeret på et system Agent-baseret Monitorerer multiple data sources, f.eks. filsystem, meta-data og logfiler Wrapper-baseret Virker som en slags firewall – forbyder eller accepterer forbindelser eller logon baseret på en policy

25 HIDS og NIDS Network Intrusion Detection System (NIDS) Monitorerer trafik på netværket Reporterer om trafik der ikke ser normal ud Anomaly-baseret Pakkestørrelse, destination, protokoldistribution etc. Kan være svært at lave en god base-line for, hvad “normal” trafik er Signatur-baseret Anvender signatur fra DB Fleste produkter i dag bruger signatur-baserede teknologier

26 Signaturbaserede NIDS Signaturbaserede Prøver at matche header fields, portnumre, indhold Sniffer trafik Fordele Ingen indlæringskurve Virker out-of-the-box for velkendte angreb Snort har ~1900 signaturer Dragon har ~1700 signaturer Ulemper Nye angreb! Falske positive Nemt at overvinde

27 Signaturer T A A S 10 20 6668 IRC:XDCC /5Bxdcc/5Dslt | | | | | | | | | | | | | | | | | SEARCH STRING | | | | | | | EVENT NAME | | | | | | PORT | | | | | | | | COMPARE BYTES | | | | | | | | | DYNAMIC LOG | | | | | BINARY OR STRING | | | | | PROTECTED NETWORKS | | DIRECTION | PROTOCOL

28 NIDS – Styring Korrelation er vigtigt!!! Brug mange sensorer Et enkelt data opsamlingssted Syslog DBMS Tekstfiler

29 NIDS – Hvor??? Indenfor firewall’en Mange gange for meget data, men færre falsk positive Udenfor Viser også ting som alligevel bliver afvist NIDS SKAL kunne klare alt data!!!

30 Intrusion Prevention Skal være in-line Hardware Redundans Er en slags IDS/Firewall hybrid Hogwash

31 VPN VPN er en privat forbindelse over en åben forbindelse VPN inkludere adgangskontrol og kryptering 31 VPN Internet Acme Site 2

32 VPN - Typer Remote Access VPN (Tunnel Mode) Bruges til at tilgå et firmas interne netværk fra Internettet 32 Internet Corporate Site

33 VPN - Typer Site-to-Site VPN (Tunnel Mode) Sammenkobling af kontorer via Internettet 33 Internet Branch Office Corporate Site

34 VPN - Typer Extranet VPN Opkobling af partnere til firmaets interne netværk fra Internettet 34 Corporate Site Internet Partner #1 Partner #2

35 VPN - Typer Client/Server VPN (Transport mode) Beskytter sensitive interne ressourcer De fleste angreb inde fra en virksomhed 35 Internet LAN clients Database Server LAN clients with sensitive data

36 VPN – Hvad består den af? Protokoller Sikkerhed Kryptering Bruger/System kontrol Data kontrol 36

37 VPN - Protokoller PPTP (Point-to-Point Tunneling Protocol) Kører på OSI Lag 2 og er primært understøttet i Windows verdenen. Baseret på PPP (Point-to-Point Protocol) Benytter proprietær adgangskontrol og kryptering Begrænset support for brugerstyring og også problemer med skalering Kendte svagheder 37

38 VPN - Protokoller L2PT (Layer 2 Tunelling Protocol) Kombinere og udvider PPTP og L2F (Cisco protokol) Svag adgangskontrol og kryptering Kan ikke bruges alene til enterprise løsninger, men skal kombineres med IPSec 38

39 VPN - Protokoller IPSec (Internet Protocol Security) Kører på OSI lag 3 Er baseret på Internet standard for VPN Stærk adgangskontrol og kryptering Enterprise løsning med nøgle håndtering IKE og ESP/AH 39

40 Can use security protocols to encrypt or digitally sign traffic Can use tunnel mode to secure traffic between two networks Can use transport mode to secure traffic between any two hosts Router Tunnel Mode Transport Mode Router IPSec modes

41 Og så… Til gruppe arbejde

Download ppt "IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed."

Lignende præsentationer

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.

Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.
Effektive procedurer med integrerede webservices Applikationer til Office - Smart Clients Case: Digitalt Forvaltningstjek hos Erhvervs- og Selskabsstyrelsen.

Effektive procedurer med integrerede webservices Applikationer til Office - Smart Clients Case: Digitalt Forvaltningstjek hos Erhvervs- og Selskabsstyrelsen.
Bekæmpelse af orme-angreb med Network Virus Wall.

Bekæmpelse af orme-angreb med Network Virus Wall.
Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.

Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.
Integration til portalen og andre systemer Hvordan får vi økonomien til at hænge sammen med det ny setup? Hvad koster det og hvordan kan vi købe ind på.

Integration til portalen og andre systemer Hvordan får vi økonomien til at hænge sammen med det ny setup? Hvad koster det og hvordan kan vi købe ind på.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.

Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Software Underviser Jan Christiansen.

Software Underviser Jan Christiansen.
2.-generationsintranet på KU Internet, intranet, ekstranet eller mit net? Claus Qvistgaard It-strategichef 060919.

2.-generationsintranet på KU Internet, intranet, ekstranet eller "mit net"? Claus Qvistgaard It-strategichef
Firewalls & netsikkerhed Henrik Størner,

Firewalls & netsikkerhed Henrik Størner,
Aalborg Universitet Esbjerg

Aalborg Universitet Esbjerg
Kryptering, & Plug & play enheder IT-Sikkerhedskonference 2008 29. Maj 2008 – C-Cure Shehzad Ahmad, DK-CERT

Kryptering, & Plug & play enheder IT-Sikkerhedskonference Maj 2008 – C-Cure Shehzad Ahmad, DK-CERT
Etiske & metodiske problemer i online research - kort diskussionsoplæg.

Etiske & metodiske problemer i online research - kort diskussionsoplæg.
IT Arkitektur og Sikkerhed IT Enterprise Arkitektur.

IT Arkitektur og Sikkerhed IT Enterprise Arkitektur.
Public Key kryptering INTRODUKTION TIL KRYPTERING.

Public Key kryptering INTRODUKTION TIL KRYPTERING.
Windows XP Service Pack 2 with Advanced Security Technologies Post-Installation konfiguration og Support.

Windows XP Service Pack 2 with Advanced Security Technologies Post-Installation konfiguration og Support.
V/ Heine M. Jensen –

V/ Heine M. Jensen –
Sikkerhed Share with none Share with everybody Share with some.

Sikkerhed Share with none Share with everybody Share with some.
ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.

ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.
Computer netværk og TCP/IP protokoller Kort resume – uge 6

Computer netværk og TCP/IP protokoller Kort resume – uge 6

Lignende præsentationer

Annoncer fra Google