Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller.

Offentliggjort afRandi Astrup Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller."— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller

2 Sidste uge I sidste uge gennemgik vi –Enterprise Arkitektur 2

3 Dagsorden I denne uge gennemgår vi – Kryptering – Hash – VPN – Digital Signatur – Certifikater & PKI – VPN – Enterprise Sikkerhedsmodeller 3

4 Næste uge I næste uge gennemgår vi – Koncepter og metodiker omkring adgangskontrol – Typisk beskyttelse af applikationer, servere og netværk mod angreb – Trusler i forbindelse med applikations-sikkerhed og strategi for "traffic control". 4

5 Kryptering – Hvad er det? ”Art and Science” omkring det at lave hemmeligheder Det at gemme og sende information, så det kun kan læses af dem, der har brug for det 5 Lad os mødes kl. 9 (Plaintext) Krypterings- maskine Sdgstysda (Ciphertext)

6 Kryptering - Begreber Kryptoanalytiker Plaintext/Cleartext Ciphertext/Cryptogram Encipher/Encrypt/Encode Decipher/Decrypt/Decode Key Space 6

7 Kryptering historie Scytale-Sparta-400 før Kristi To ruller (grene) med nøjagtig ens diameter Tynd strimmel papir rullet omkring rullerne Tekst skrevet på papir Uden gren  Cipher text 7

8 Historie - Caeser Cipher Caeser Cipher er fra Rom omkring 49 før Kristi Også kaldet ”Substitution Cipher” 8

9 Enigma 9

10 Symmetrisk kryptering Bruger en nøgle, som både modtager og afsender har DES, 3DES, Blowfish, IDEA, RC4, AES 10

11 Symmetrisk kryptering 11 M ciphertextciphertext M kk senderModtager KrypteringDekryptering Enc k Dec k Alice Bob

12 Symmetrisk kryptering Hurtig Sikker (ved store nøgler) Nøgleudveksling??? N(N-1)/2 (5 mil til 10.000 mennesker) Algoritmer typisk offentligt tilgængelige Hvem har afsendt? Er der nogen der har ændret noget? 12

13 Nøgler og styrke 13 StyrkeNavnStørrelse SvagRC2-4040 DES56 RC5-6456 MediumSkipjack80 StærkRC2-128128 RC5128 IDEA128 Blowfish128 3DES168 Meget stærkRC6256 AES (Rindael)256

14 Asymmetrisk kryptering (Public Key) Ikke en nøgle, men et nøglepar De to nøgler er matematisk relaterede til hinanden Den ene nøgle er hemmelig og den anden offentlig Når data er krypteret med den ene nøgle er det KUN den anden, der kan læse det igen Baseret på One-Way funktioner og STORE primtal RSA, Diffie-Hellman, ECC, El Gamal 14

15 Public Key kryptering 15 pubkeyprivkey SenderModtager M ciphertextciphertext M KrypteringDekryptering Enc pubkey Dec privkey Alice Bob

16 Public Key kryptering Kræver MEGET CPU Løser problemet omkring nøgleudveksling (1000 brugere = 2000 nøgler) Giver authentication, integrity og non- repudiation 16

17 Hash One-way function Kan ikke genskabe en meddelelse ud fra en hash To forskellige meddelelser må IKKE kunne give den samme hash… Eksempler: RSA Message Digest, MD2, MD4, MD5, SHA og Haval MD5 = 128 bit hash 17

18 Digital Signatur Hver bruger har en public-private nøgle En digital signatur opstår ved at man krypterer en hash af en meddelelse med sin private nøgle Modtager kan så selv lave en hash og sammenligne resultatet med den hash, som han får ved at dekryptere din signatur med din offentlige nøgle  Meddelelse ikke ændret (hash det samme) og kan kun være lavet af dig (Hash blev dekrypteret af din offentlige nøgle) Bemærk: Meddelelsen er ikke hemmelig 18

19 Certifikater Formål  Digital identifikation (3-part) Er i virkeligheden en sikker måde at binde en public key til en private key. X509 Grundlæggende indeholder et certifikat: – Navn – Validitets periode – Formål – Algoritmer anvendt (anvendelige) – Public key – Signatur fra CA 19

20 Hvor bruges certifikater? 20 Autentifikation på Internettet Encrypting File System Sikker E-Mail Software Code Signing Smart Card Logon Digital Signatur Digital Signatur IP Security

21 Certificate Authority (CA) Trusted Third Party der signerer certifikater Kan være hierarki Styrer blandt andet: – Certificering af at du er, hvem du siger du er – Udstedelse – Tilbagekaldelse 21

22 Public Key Infrastructure (PKI) PKI gør umiddelbart følgende: – Agerer CA – Styrer udstedelse og distribution af public/private keys – Publicerer public keys som certifikater – Key Backup og Recovery – Automatisk Key Update 22

23 VPN VPN er en privat forbindelse over en åben forbindelse VPN inkludere adgangskontrol og kryptering 23 VPN Internet Acme Site 2

24 VPN - Typer Remote Access VPN – Bruges til at tilgå et firmas interne netværk fra Internettet 24 Internet Corporate Site

25 VPN - Typer Site-to-Site VPN – Sammenkobling af kontorer via Internettet 25 Internet Branch Office Corporate Site

26 VPN - Typer Extranet VPN – Opkobling af partnere til firmaets interne netværk fra Internettet 26 Corporate Site Internet Partner #1 Partner #2

27 VPN - Typer Client/Server VPN – Beskytter sensitive interne ressourcer – De fleste angreb inde fra en virksomhed 27 Internet LAN clients Database Server LAN clients with sensitive data

28 VPN – Hvad består den af? Protokoller Sikkerhed – Kryptering – Bruger/System kontrol – Data kontrol 28

29 VPN - Protokoller PPTP (Point-to-Point Tunneling Protocol) – Kører på OSI Lag 2 og er primært understøttet i Windows verdenen. – Baseret på PPP (Point-to-Point Protocol) – Benytter proprietær adgangskontrol og kryptering – Begrænset support for brugerstyring og også problemer med skalering – Kendte svagheder 29

30 VPN - Protokoller L2PT (Layer 2 Tunelling Protocol) – Kombinere og udvider PPTP og L2F (Cisco protokol) – Svag adgangskontrol og kryptering – Kan ikke bruges alene til enterprise løsninger, men skal kombineres med IPSec 30

31 VPN - Protokoller IPSec (Internet Protocol Security) – Kører på OSI lag 3 – Er baseret på Internet standard for VPN – Stærk adgangskontrol og kryptering – Enterprise løsning med nøgle håndtering 31

32 Sikkerheds Arkitektur 32

33 Typisk sikkerhedsarkitektur 33

34 Mere 34

35 Sikkerhedsarkitektur Sikkerhedsarkitektur er meget mere Handler om kontrol med information (hvad går hvor og hvorfor): – Levels af sikkerhed – Information Flow modeller – Trusted Operating Systems – Orangebook – Common Criteria 35

36 Levels af sikkerhed Unclassified Restricted Confidential Secret Top Secret Hvad har vi i Danmark? 36

37 Sikkerhedsarkitektur Idéen i sikkerhedsarkitektur er at implementere levels af sikkerhed!!! Hvorfor sikrer man overhovedet et firma? Hvor mange levels af sikkerhed har I i jeres firma? 37

38 Bell-LaPadula sikkerhedsmodellen Bell-LaPadula (BLP) modellen handler om informationskonfidentialitet!!! Modellen søger at afbillede informationsflow typisk set i militæret fra virkelighedens verden Implementerer ”No-read-up” og ”No-write-down” 38

39 Bell-LaPadula sikkerhedsmodellen 39 Top Secret Secret Unclassified Top Secret Secret Unclassified Read OK Read Forbidden Read OK

40 Bell-LaPadula sikkerhedsmodellen 40 Top Secret Secret Unclassified Top Secret Secret Unclassified Read OK Read Forbidden

41 Bell-LaPadula sikkerhedsmodellen 41 Top Secret Secret Unclassified Top Secret Secret Unclassified Write OK Write Forbidden

42 Bell-LaPadula sikkerhedsmodellen 42 Top Secret Secret Unclassified Top Secret Secret Unclassified Write OK Write Forbidden

43 Biba sikkerhedsmodellen Bygger på erfaringer fra den kolde krig omkring at integritet også er vigtigt!!! Biba er - i modsætning til Bell-LaPadula - en sikkerhedsmodel, hvor integritet er vigtigt. Access er derfor ikke afgørende i denne model Derimod er modifikation (integritet) altafgørende “No-read-down”, “No-write-up”, “No-execute-up” 43

44 Biba sikkerhedsmodellen 44 High Integrity Medium Integrity High Integrity Medium Integrity Read OK Read Forbidden

45 Biba sikkerhedsmodellen 45 High Integrity Medium Integrity Low Integrity High Integrity Medium Integrity Low Integrity Write OK Write Forbidden

46 Trusted OS HP Virtual Vault, Trusted Solaris – Implementerer labels!!! Security Kernel Reference Monitor 46

47 Organisationer Orange Book (A1, B1, B2, B3, C1, C2 og D) European ITSEC Evaluation Common Criteria 47

48 Orange book D1: no security C1: lowest level of security – File and directory read & write controls and authentication, root is insecure & auditing (system logging) is not available C2 features an auditing function – records all security-related events & provides stronger protection on key system files, password file. B-rated: multilevel security, such as secret, top secret, and mandatory access control – B2:every object & file is labelled, labels change dynamically depending on what is being used. – B3: includes system hardware, terminals connect using trusted paths & specialised system hardware A1: highest level of security – Mathematically design verified – large amounts of processing power & disk space. 48

49 Og så… Til prøveeksamen 49

Download ppt "IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller."

Lignende præsentationer

v/ Flemming Faber Souschef, IT-Sikkerhedskontoret

v/ Flemming Faber Souschef, IT-Sikkerhedskontoret
Klik på Aktivér redigering på meddelelseslinjen.

Klik på Aktivér redigering på meddelelseslinjen.
Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.

Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.
Kryptering og Computere INTRODUKTION TIL KRYPTERING.

Kryptering og Computere INTRODUKTION TIL KRYPTERING.
TEST 1 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.

TEST 1 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.
Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.

Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.
REGISTRERINGSDATABASEN

REGISTRERINGSDATABASEN
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.

Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
2.-generationsintranet på KU Internet, intranet, ekstranet eller mit net? Claus Qvistgaard It-strategichef 060919.

2.-generationsintranet på KU Internet, intranet, ekstranet eller "mit net"? Claus Qvistgaard It-strategichef
Aalborg Universitet Esbjerg

Aalborg Universitet Esbjerg
Computerens anatomi! Hvad skal du vide før du køber din egen?

Computerens anatomi! Hvad skal du vide før du køber din egen?
Fejltolerance i firserne RC9000 historien Ejvind Lynning.

Fejltolerance i firserne RC9000 historien Ejvind Lynning.
IT Arkitektur og Sikkerhed IT Enterprise Arkitektur.

IT Arkitektur og Sikkerhed IT Enterprise Arkitektur.
Sikkerhed/Otto Knudsen 1 Diagnostics  Debug af web-applikationer.

Sikkerhed/Otto Knudsen 1 Diagnostics  Debug af web-applikationer.
Public Key kryptering INTRODUKTION TIL KRYPTERING.

Public Key kryptering INTRODUKTION TIL KRYPTERING.
TEST 3 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.

TEST 3 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.
V/ Heine M. Jensen –

V/ Heine M. Jensen –
Sikkerhed Share with none Share with everybody Share with some.

Sikkerhed Share with none Share with everybody Share with some.
ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.

ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.
HVAD ER SIKKERHED PÅ NETTET? Confidentiality (Fortrolighed) A message must not be read/understood by anybody else than the sender and the receiver. Authentication.

HVAD ER SIKKERHED PÅ NETTET? Confidentiality (Fortrolighed) A message must not be read/understood by anybody else than the sender and the receiver. Authentication.

Lignende præsentationer

Annoncer fra Google