ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -...

22
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης [email protected] www.netmode.ntua.gr 20/12/2010

description

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ. Β. Μάγκλαρης [email protected] www.netmode.ntua.gr 20 /1 2 /2010. ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ. ICMP: ping, traceroute tcpdump net-snmp snmp_get snmp_walk trap snmp_set MRTG RRDtool - PowerPoint PPT Presentation

Transcript of ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -...

Page 1: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ -

ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

Β. Μάγκλαρης[email protected]

www.netmode.ntua.gr

20/12/2010

Page 2: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ

• ICMP: ping, traceroute

• tcpdump

• net-snmp– snmp_get– snmp_walk– trap– snmp_set

• MRTG– RRDtool

• Transmission (DWDM, SDH tools): CMIP, TMN, Proprietary– TL1, Q3, Corba

Page 3: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

INTEGRATED NETWORK MANAGEMENT

SERVICES

DMZ

PC CLUSTER

PC LAB

AUTONOMOUS SYSTEM

INTERNET

Firewall

Mail

DirectoryLDAP

Database

FTP

NETWORK OPERATION CENTER(NOC)

ADMINISTRATOR

TICKETINGSYSTEM

ALARM BROKER

CONSOLES

SNMP MANAGER

NAGIOS

OpenNMS

LOWER LAYER MANAGER

WORKFLOW ENGINE

OPERATIONAL DATABASE

NETWORK DESCRIPTION

LANGUAGE (NDL)

SMTP WEB DNS

Page 4: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΟΛΟΚΛΗΡΩΜΕΝΑ ΕΡΓΑΛΕΙΑ

• Αυτοματοποιούν διαδικασίες

• Ομαδοποιούν λειτουργίες

• Open Source– Nagios – Service Monitoring http://www.nagios.org/ – OpenNMS – Network Monitoring

http://www.opennms.org/index.php/Main_Page – Ganglia – Cluster Management http://ganglia.info/

• Commercial– HP Openview– IBM Tivoli

Page 5: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

MANAGEMENT PLATFORMS

Router PrinterSwitchServer

NETWORK MANAGEMENT PROTOCOLS(ICMP, SNMP, Q3, TL1, Remote Access - SSH)

check_ping check_ftpcheck_printer_

ink_levelcheck_smtp

SNMP

NAGIOS MRTG

WE

B IN

TE

RF

AC

EP

LUG

INS

Page 6: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

NAGIOS PLUGINS

Plugin Return Code Service State Host State

0 OK UP

1 WARNING UP or DOWN/UNREACHABLE

2 CRITICAL DOWN/UNREACHABLE

3 UNKNOWN DOWN/UNREACHABLE

RETURN CODE | TEXT OUTPUT |OPTIONAL PERFDATA | LONG TEXT LINE … | PERFDATA …

0 | PING OK - Packet loss = 0%, RTA = 0.15 ms0 | DISK OK - free space: / 3326 MB (56%); |  /=2643MB;5948;5958;0;5968

Page 7: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΠΑΡΑΔΕΙΓΜΑΤΑ NAGIOS PLUGINS

• check_http• check_snmp• check_icmp• check_ntp• check_ifoperstatus• check_mrtg

• check_ssh • check_ifstatus• check_ntp_time• check_imap• check_ups• check_ftp

Παράδειγμα: Command Line Interface (CLI)

check_ping -H <host> -w <wrta>,<wpl>% -c <crta>,<cpl>%

Web Interface

http://mariana.netmode.ntua.gr/nagios/

Login: netmg

Password: netmg

Page 8: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ

• Είδη Απειλών και Επιθέσεων• Προστασία

– Πολιτικές– Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication

Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI)

– Εργαλεία (Access Control Lists – ACL’s, Firewalls)– Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems –

IDS) & Ανωμαλιών (Anomaly Detection Systems)

• Κρυπτογραφία• Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

Page 9: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ

• Απόκτηση πληροφοριών για το σύστημα:– Port Scanning– Fingerprinting

• Μη εξουσιοδοτημένη πρόσβαση– Υποκλοπή κωδικών– Λάθος διαμορφώσεις (ανοικτά συστήματα)– Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης

πρόσβασης)• Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS)• Υποκλοπή και παραποίηση επικοινωνιών

– Packet sniffing– "Man-in-the-Middle" attacks

• Κακόβουλο λογισμικό (malware)– Ιοί, Δούρειοι ίπποι (trojans)– Αυτόματα διαδιδόμενοι ιοί (worms)

Page 10: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗΜη Εξουσιοδοτημένη Πρόσβαση

• Ταυτότητα χρήστη (user Global ID – GID):– Μία ταυτότητα αντιστοιχεί σε ένα χρήστη [email protected]– Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχους

[email protected], [email protected] ….– Ταυτοποίηση χρήστη:

• Με <user_name, password> μόνο• Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή

αποθηκευμένο σε κατάλογο χρηστών LDAP στο home organization ενός χρήστη)– Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization &

Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming) του user_profile

– Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations)

• Κίνδυνοι υποκλοπής– "Αδύναμοι" κωδικοί & πρωτόκολλα - one time passwords?– Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση,

ανεπαρκώς φυλασσόμενες εγκαταστάσέις)– Φυσική απώλεια (PDA κλπ.)– «Social Engineering»

Page 11: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1)Denial of Service Attacks - DoS

• Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματος από όλους– Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή

εφαρμογές εξυπηρετητών) - Software Exploits– Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο

δίκτυο• Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες

– Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα

– Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων– Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα

στο πακέτο

• Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

Page 12: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2) Denial of Service Attacks - DoS

• Επιθέσεις εξάντλησης πόρων– Εξάντληση υπολογιστικών ή δικτυακών πόρων– Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων– Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός

συστημάτων επίθεσης – Επιθέσεις Ενίσχυσης (Amplification Attacks)

• Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS– Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο

• Bots• "Αυτόματη" παραβίαση και έλεγχος τους• Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται

διαφορά– Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

Page 13: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf"

Επιτιθέμενος

Μη ασφαλισμένο δίκτυο

ICMP Echo requestDestination: LAN broadcastSource: victim.host

Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast

Στόχος (web Server)

victim.hostICMP Echo replyDestination:victim.hostICMP Echo replyDestination:victim.hostICMP Echo replyDestination:victim.host

Page 14: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS)

Διαχειριστικό Πρόβλημα:Λειτουργία κακόβουλου λογισμικού

Δίκτυο Στόχος

"Ζόμπι" ή "bots"Attack Agents

X

AttackMaster

AttackMaster

Επιτιθέμενος

Διαχειριστικό Πρόβλημα 2:Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

Page 15: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) • Packet sniffing

– Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch

– Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί

• Telnet passwords• Web passwords• Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί

πιστωτικών καρτών κ.λπ.)

• "Man-in-the-Middle" attacks– Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να

υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας

• ARP "poisoning"• TCP "session hijacking"• DNS "poisoning" – URL redirection

Page 16: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2)Λύσεις

– Χρήση κρυπτογραφίας• Αντικατάσταση του telnet με SSH (Secure Shell)• Κρυπτογραφημένη έκδοση του IMAP για e-mail• Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή

μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση)

– Χρήση ψηφιακών πιστοποιητικών (certificates)• Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση

ταυτότητας)

– Προσοχή στην επιλογή των σημείων σύνδεσης:• Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης• Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής

εναλλακτικοί τρόποι ελέγχου πρόσβασης:– Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε

τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password

– Access Lists εξουσιοδοτημένων διευθύνσεων MAC – Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών

LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

Page 17: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ

• Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography)– Χρήση μοναδικού κλειδιού και από τα δύο μέρη – Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit

σε συνεχή ροή δεδομένων (stream cipher)– Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES– Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού– Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

• Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography)– Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα– Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman– Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του

συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5– Ισχυρά σημεία:

• Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά– Αδύνατα σημεία:

• Αργή στην εκτέλεση• Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών

Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI)

– Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

Page 18: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (1)• Αποστολέας και Παραλήπτης έχουν ανταλλάξει Δημόσια κλειδιά (π.χ.

μέσω SSL ή – Κρυπτογράφηση: Με το δημόσιο κλειδί του Παραλήπτη– Αποκρυπτογράφηση: με το ιδιωτικό κλειδί του Παραλήπτη

Μήνυμα

Δημόσιο Κλειδί Π

Κρυπτογραφημένο

Μήνυμα

Κρυπτ.Μήνυμα

ΑρχικόΜήνυμ

α

ΜετάδοσηΙδιωτικό Κλειδί Π

Αποστολέας Α

Παραλήπτης Π

Αλγόριθμος Αλγόριθμος

Page 19: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ (2)

• Χρήση για την επιβεβαίωση αποστολέα και τη μη δυνατότητα άρνησης αποστολής (non-repudiation)– Επιβεβαίωση ταυτότητας αποστολέα (ψηφιακή υπογραφή, digital

signature)– Χρησιμοποιείται επίσης για την υπογραφή ψηφιακών πιστοποιητικών

Μήνυμα

Δημόσιο Κλειδί Α

Μετάδοση

Αποστολέας Α

Παραλήπτης Π

ΑλγόριθμοςΚατακερματισ

μού

ΠερίληψηΜηνύματο

ς

Ιδιωτικό Κλειδί Α

ΑλγόριθμοςΚρυπτογρα

φίας

ΑλγόριθμοςΚατακερματι

σμού

Σύγκριση

Page 20: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ

Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα:

• Φάση hand-shaking (αρχική φάση) – Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key

Cryptography– Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο-

μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography

• Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα)– Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με

δεδομένα που αφορούν στη σύνοδο

• Κυρίαρχο σχήμα στο Internet– Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ

PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP– Secure Socket Layer, SSL: Ταυτοποίηση Web server από τους χρήστες –

clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)

Page 21: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (1)

• Βεβαιώνουν την ακεραιότητα του Δημόσιου κλειδιού.

• Βεβαιώνουν τη σύνδεση ενός δημόσιου κλειδιού με ένα άτομο ή οργανισμό μέσω της Έμπιστης Τρίτης Οντότητας (Trusted Third Party, TTP) – Αρχή Πιστοποίησης (Certification Authority, CA) στο πλαίσιο σχήματος Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure, PKI)

• Ανάλογα με την Αρχή Πιστοποίησης το πιστοποιητικό έχει και διαφορετικό εύρος αναγνώρισης. Συνήθως υπάρχει ιεραρχία πιστοποίησης που ορίζεται από το πρότυπο X.509.

• Από τι αποτελείται ένα ψηφιακό πιστοποιητικό:– Κάποια πληροφοριακά στοιχεία για το χρήστη του– Το δημόσιο κλειδί του χρήστη– Το όνομα μιας Αρχής Πιστοποίησης (CA Name)– Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης (CA Digital Signature)

Page 22: ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ (2)

• Υπογραφή ενός ψηφιακού πιστοποιητικού με το ιδιωτικό κλειδί της Αρχής Πιστοποίησης (CA)